Azure Disk Encryption に関する FAQAzure Disk Encryption FAQ

この記事では、Windows および Linux IaaS VM の Azure Disk Encryption に関してよく寄せられる質問 (FAQ) への回答を示します。This article provides answers to frequently asked questions (FAQ) about Azure Disk Encryption for Windows and Linux IaaS VMs. このサービスの詳細については、「Windows および Linux IaaS VM の Azure Disk Encryption」をご覧ください。For more information about this service, see Azure Disk Encryption for Windows and Linux IaaS VMs.

Azure Disk Encryption はどこで一般公開 (GA) されていますか。Where is Azure Disk Encryption in general availability (GA)?

Windows および Linux IaaS VM の Azure Disk Encryption は、すべての Azure パブリック リージョンで一般公開されています。Azure Disk Encryption for Windows and Linux IaaS VMs is in general availability in all Azure public regions.

Azure Disk Encryption では、どのようなユーザー エクスペリエンスを利用できますか。What user experiences are available with Azure Disk Encryption?

Azure Disk Encryption GA は、Azure Resource Manager テンプレート、Azure PowerShell、および Azure CLI をサポートしています。Azure Disk Encryption GA supports Azure Resource Manager templates, Azure PowerShell, and Azure CLI. 異なるユーザー エクスペリエンスによって柔軟性が得られます。The different user experiences give you flexibility. IaaS VM のディスク暗号化を有効にするオプションは 3 つあります。You have three different options for enabling disk encryption for your IaaS VMs. Azure Disk Encryption で利用可能なユーザー エクスペリエンスとステップ バイ ステップ ガイダンスの詳細については、Windows で Azure Disk Encryption を有効にする方法に関するページと Linux で Azure Disk Encryption を有効にする方法に関するページを参照してください。For more information on the user experience and step-by-step guidance available in Azure Disk Encryption, see Enable Azure Disk Encryption for Windows and Enable Azure Disk Encryption for Linux.

Azure Disk Encryption の価格はどれくらいですか。How much does Azure Disk Encryption cost?

Azure Disk Encryption を使用して VM ディスクを暗号化するための料金は発生しませんが、Azure Key Vault の使用に関連する料金が発生します。There's no charge for encrypting VM disks with Azure Disk Encryption but there are charges associated with the use of Azure Key Vault. Azure Key Vault のコストの詳細については、「Key Vault の価格」ページを参照してください。For more information on Azure Key Vault costs, see the Key Vault pricing page.

Azure Disk Encryption は、どのレベルの仮想マシンをサポートしていますか。Which virtual machine tiers does Azure Disk Encryption support?

Azure Disk Encryption は、A、D、DS、G、GS、および F シリーズの IaaS VM を含む Standard レベルの VM で使用できます。Azure Disk Encryption is available on standard tier VMs including A, D, DS, G, GS, and F series IaaS VMs. Premium Storage がある VM でも利用できます。It's also available for VMs with premium storage. Basic レベルの VM では使用できません。It isn't available on basic tier VMs.

Azure Disk Encryption は、どの Linux ディストリビューションをサポートしていますか。What Linux distributions does Azure Disk Encryption support?

Azure Disk Encryption は、以下の Linux サーバーのディストリビューションおよびバージョンでサポートされます。Azure Disk Encryption is supported on the following Linux server distributions and versions:

Linux ディストリビューションLinux distribution VersionVersion 暗号化がサポートされているボリュームの種類Volume type supported for encryption
UbuntuUbuntu 16.04-DAILY-LTS16.04-DAILY-LTS OS とデータ ディスクOS and data disk
UbuntuUbuntu 14.04.5-DAILY-LTS14.04.5-DAILY-LTS OS とデータ ディスクOS and data disk
RHELRHEL 7.57.5 データ ディスク*Data disk*
RHELRHEL 7.47.4 データ ディスク*Data disk*
RHELRHEL 7.37.3 データ ディスク*Data disk*
RHELRHEL 7.27.2 データ ディスク*Data disk*
RHELRHEL 6.86.8 データ ディスク*Data disk*
RHELRHEL 6.76.7 データ ディスク*Data disk*
CentOSCentOS 7.47.4 OS とデータ ディスクOS and data disk
CentOSCentOS 7.37.3 OS とデータ ディスクOS and data disk
CentOSCentOS 7.2n7.2n OS とデータ ディスクOS and data disk
CentOSCentOS 6.86.8 OS とデータ ディスクOS and data disk
CentOSCentOS 7.17.1 データ ディスクData disk
CentOSCentOS 7.07.0 データ ディスクData disk
CentOSCentOS 6.76.7 データ ディスクData disk
CentOSCentOS 6.66.6 データ ディスクData disk
CentOSCentOS 6.56.5 データ ディスクData disk
openSUSEopenSUSE 13.213.2 データ ディスクData disk
SLESSLES 12 SP112 SP1 データ ディスクData disk
SLESSLES 優先度: 12-SP1Priority: 12-SP1 データ ディスクData disk
SLESSLES HPC 12HPC 12 データ ディスクData disk
SLESSLES 優先度: 11-SP4Priority: 11-SP4 データ ディスクData disk
SLESSLES 11 SP411 SP4 データ ディスクData disk

*ADE は、RHEL のデータ ディスクでサポートされます。現在の ADE 実装は OS ディスクでも動作しますが、現時点で共同ではサポートされていません。ソリューションの共同サポートに向けて、Microsoft と Red Hat の双方が取り組んでいるところです。差し当たり、Linux での Azure Disk Encryption に関する記事を参照してください。*ADE is supported for RHEL for data disk. The current ADE implementation does work for OS disk but isn't currently jointly supported. Both Microsoft and Red Hat are working on a jointly supported solution. In the interim, you can reference the Azure Disk Encryption for Linux article.

Azure Disk Encryption の使用を開始するにはどうすればよいですか。How can I start using Azure Disk Encryption?

最初に、Azure Disk Encryption の概要をお読みください。To get started, read the Azure Disk Encryption overview.

Azure Disk Encryption でブート ボリュームとデータ ボリュームの両方を暗号化できますか。Can I encrypt both boot and data volumes with Azure Disk Encryption?

はい。Windows および Linux IaaS VM のブート ボリュームとデータ ボリュームを暗号化できます。Yes, you can encrypt boot and data volumes for Windows and Linux IaaS VMs. Windows VM の場合は、データを暗号化する前に、OS ボリュームを暗号化する必要があります。For Windows VMs, you can't encrypt the data without first encrypting the OS volume. Linux VM の場合は、先に OS ボリュームを暗号化しなくても、データを暗号化することができます。For Linux VMs, it's possible to encrypt the data volume without having to encrypt the OS volume first. Linux の OS ボリュームを暗号化した後で Linux IaaS VM の OS ボリュームの暗号化を無効にすることはできません。After you've encrypted the OS volume for Linux, disabling encryption on an OS volume for Linux IaaS VMs isn't supported.

Azure Disk Encryption では、Bring Your Own Key (BYOK) を実施できますか。Does Azure Disk Encryption allow you to bring your own key (BYOK)?

はい。独自のキー暗号化キーを指定できます。Yes, you can supply your own key encryption keys. これらのキーは、Azure Disk Encryption のキー ストアである Azure Key Vault で保護されます。These keys are safeguarded in Azure Key Vault, which is the key store for Azure Disk Encryption. キー暗号化キーのサポート シナリオの詳細については、「Azure Disk Encryption prerequisites (Azure Disk Encryption の前提条件)」を参照してください。For more information on the key encryption keys support scenarios, see Azure Disk Encryption prerequisites.

Azure によって作成されたキー暗号化キーを使用できますか。Can I use an Azure-created key encryption key?

はい。Azure Key Vault を使用して、Azure Disk Encryption で使用するキー暗号化キーを生成できます。Yes, you can use Azure Key Vault to generate a key encryption key for Azure disk encryption use. これらのキーは、Azure Disk Encryption のキー ストアである Azure Key Vault で保護されます。These keys are safeguarded in Azure Key Vault, which is the key store for Azure Disk Encryption. キー暗号化キーの詳細については、「Azure Disk Encryption prerequisites (Azure Disk Encryption の前提条件)」を参照してください。For more information on the key encryption key, see Azure Disk Encryption prerequisites.

オンプレミスのキー管理サービスまたは HSM を使用して暗号化キーを保護できますか。Can I use an on-premises key management service or HSM to safeguard the encryption keys?

Azure Disk Encryption では、オンプレミスのキー管理サービスまたは HSM を使用して暗号化キーを保護することはできません。You can't use the on-premises key management service or HSM to safeguard the encryption keys with Azure Disk Encryption. 暗号化キーを保護するために使用できるのは、Azure Key Vault サービスのみです。You can only use the Azure Key Vault service to safeguard the encryption keys. キー暗号化キーのサポート シナリオの詳細については、「Azure Disk Encryption prerequisites (Azure Disk Encryption の前提条件)」を参照してください。For more information on the key encryption key support scenarios, see Azure Disk Encryption prerequisites.

Azure Disk Encryption を構成するための前提条件は何ですか。What are the prerequisites to configure Azure Disk Encryption?

Azure Disk Encryption の前提条件があります。There are prerequisites for Azure Disk Encryption. 新しいキー コンテナーを作成するか、既存のキー コンテナーを暗号化できるようにディスク暗号化アクセス用に設定して、シークレットとキーを保護するには、「Azure Disk Encryption の前提条件」を参照してください。See the Azure Disk Encryption prerequisites article to create a new key vault, or set up an existing key vault for disk encryption access to enable encryption, and safeguard secrets and keys. キー暗号化キーのサポート シナリオの詳細については、Azure Disk Encryption の概要に関するページを参照してください。For more information on the key encryption key support scenarios, see Azure Disk Encryption overview.

Azure AD アプリ (以前のリリース) で Azure Disk Encryption を構成するための前提条件は何ですか。What are the prerequisites to configure Azure Disk Encryption with an Azure AD app (previous release)?

Azure Disk Encryption の前提条件があります。There are prerequisites for Azure Disk Encryption. Azure Active Directory アプリケーションを作成するか、新しいキー コンテナーを作成するか、既存のキー コンテナーをディスク暗号化アクセス用に設定してシークレットとキーの暗号化と保護を実行できるようにするには、「Azure Disk Encryption prerequisites (Azure Disk Encryption の前提条件)」を参照してください。See the Azure Disk Encryption prerequisites article to create an Azure Active Directory application, create a new key vault, or set up an existing key vault for disk encryption access to enable encryption, and safeguard secrets and keys. キー暗号化キーのサポート シナリオの詳細については、Azure Disk Encryption の概要に関するページを参照してください。For more information on the key encryption key support scenarios, see Azure Disk Encryption overview.

Azure AD アプリ (以前のリリース) を使用した Azure Disk Encryption は、まだサポートされていますか。Is Azure Disk Encryption using an Azure AD app (previous release) still supported?

はい。Yes. Azure AD アプリを使用したディスク暗号化は、まだサポートされています。Disk encryption using an Azure AD app is still supported. ただし、新しい VM を暗号化する場合は、Azure AD アプリを使用して暗号化するのではなく、新しい方法を使用することをお勧めします。However, when encrypting new VMs it's recommended that you use the new method rather than encrypting with an Azure AD app.

Azure AD アプリで暗号化された VM を、Azure AD アプリがない暗号化に移行することはできますか。Can I migrate VMs that were encrypted with an Azure AD app to encryption without an Azure AD app?

現時点では、Azure AD アプリで暗号化されたマシンを、Azure AD アプリがない暗号化に直接移行するパスはありません。Currently, there isn't a direct migration path for machines that were encrypted with an Azure AD app to encryption without an Azure AD app. また、Azure AD アプリがない暗号化から AD アプリによる暗号化への直接的なパスはありません。Additionally, there isn't a direct path from encryption without an Azure AD app to encryption with an AD app.

Azure Disk Encryption は、どのバージョンの Azure PowerShell をサポートしていますか。What version of Azure PowerShell does Azure Disk Encryption support?

Azure Disk Encryption を構成するには、最新バージョンの Azure PowerShell SDK を使用してください。Use the latest version of the Azure PowerShell SDK to configure Azure Disk Encryption. Azure PowerShell の最新バージョンをダウンロードしてください。Download the latest version of Azure PowerShell. Azure Disk Encryption は、Azure SDK Version 1.1.0 ではサポートされていませんAzure Disk Encryption is not supported by Azure SDK version 1.1.0.

注意

Linux 用 Azure Disk Encryption プレビューの拡張機能は非推奨となっています。The Linux Azure disk encryption preview extension is deprecated. 詳細については、「Deprecating Azure disk encryption preview extension for Linux IaaS VMs」(Linux IaaS VM 用 Azure Disk Encryption プレビューの拡張機能の非推奨化) を参照してください。For details, see Deprecating Azure disk encryption preview extension for Linux IaaS VMs.

カスタム Linux イメージに対して Azure Disk Encryption を適用できますか。Can I apply Azure Disk Encryption on my custom Linux image?

カスタム Linux イメージに対して Azure Disk Encryption を適用することはできません。You can't apply Azure Disk Encryption on your custom Linux image. 前述したサポート対象のディストリビューションのギャラリー Linux イメージのみがサポートされます。Only the gallery Linux images for the supported distributions called out previously are supported. カスタム Linux イメージは現時点ではサポートされていません。Custom Linux images aren't currently supported.

yum update を使用する Linux Red Hat VM に更新プログラムを適用できますか。Can I apply updates to a Linux Red Hat VM that uses the yum update?

はい。Red Hat Linux VM に対して更新プログラムまたは修正プログラムを実行できます。Yes, you can perform an update or patch a Red Hat Linux VM. 詳細については、「Applying updates to a encrypted Azure IaaS Red Hat VM using Yum Update」(yum update を使用して暗号化された Azure IaaS Red Hat VM に更新プログラムを適用する) を参照してください。For more information, see Applying updates to an encrypted Azure IaaS Red Hat VM by using the yum update.

Linux で最適な結果を得るには、次のワークフローが推奨されます。The following workflow is recommended to have the best results on Linux:

  • 必要な OS ディストリビューションとバージョンに対応する、変更されていないストック ギャラリー イメージを使用して開始しますStart from the unmodified stock gallery image corresponding to the needed OS distro and version
  • 暗号化するマウント済みのドライブをバックアップします。Back up any mounted drives that will be encrypted. このバックアップによって、暗号化が完了する前に VM が再起動された場合など、障害発生時の復旧が可能になります。This back up allows for recovery if there's a failure, for example if the VM is rebooted before encryption has completed.
  • 暗号化 (VM の特性や、接続されているデータ ディスクのサイズによっては、数時間から数日かかることがあります)Encrypt (can take several hours or even days depending on VM characteristics and size of any attached data disks)
  • 必要に応じて、イメージをカスタマイズし、イメージにソフトウェアを追加します。Customize, and add software to the image as needed.

このワークフローが可能でない場合は、DM-Crypt を使用したディスク全体の暗号化に代わる方法として、プラットフォームのストレージ アカウント レイヤーで Storage Service Encryption (SSE) を使用することができます。If this workflow isn't possible, relying on Storage Service Encryption (SSE) at the platform storage account layer may be an alternative to full disk encryption using dm-crypt.

ディスク "Bek ボリューム" または "/mnt/azure_bek_disk" とは何ですか。What is the disk "Bek Volume" or "/mnt/azure_bek_disk"?

Windows の "Bek ボリューム" または Linux の "/mnt/azure_bek_disk" は、暗号化された Azure IaaS VM の暗号化キーを安全に格納するローカルのデータ ボリュームです。"Bek volume" for Windows or "/mnt/azure_bek_disk" for Linux is a local data volume that securely stores the encryption keys for Encrypted Azure IaaS VMs.

注意

このディスクのコンテンツの削除や編集はしないでください。Do not delete or edit any contents in this disk. IaaS VM 上のすべての暗号化操作に暗号化キーが必要なため、ディスクのマウントを解除しないでください。Do not unmount the disk since the encryption key presence is needed for any encryption operations on the IaaS VM.

Azure Disk Encryption はどのような暗号化方法を使用しますか。What encryption method does Azure Disk Encryption use?

Windows では、ADE は Bitlocker AES256 暗号化方法を使用します (Windows Server 2012 より前のバージョンでは AES256WithDiffuser)。On Windows, ADE uses the Bitlocker AES256 encryption method (AES256WithDiffuser on versions prior to Windows Server 2012). Linux では、ADE は dmcrypt の既定値である 256 ビット ボリューム マスター キーの aes-xts-plain64 を使用します。On Linux, ADE uses the dmcrypt default of aes-xts-plain64 with a 256-bit volume master key.

EncryptFormatAll を使用して、すべてのボリュームの種類を指定した場合、既に暗号化したデータ ドライブ上のデータは消去されますか。If I use EncryptFormatAll and specify all volume types, will it erase the data on the data drives that we already encrypted?

いいえ、Azure Disk Encryption を使用して既に暗号化されているデータ ドライブのデータは消去されません。No, data won't be erased from data drives that are already encrypted using Azure Disk Encryption. EncryptFormatAll で、OS ドライブが再暗号化されなかったのと同様に、既に暗号化されているデータ ドライブは再暗号化されません。Similar to how EncryptFormatAll didn't re-encrypt the OS drive, it won't re-encrypt the already encrypted data drive. 詳細については、「EncryptFormatAll 条件」を参照してください。For more information, see the EncryptFormatAll criteria.

質問したり、フィードバックを提供したりするにはどこに移動すればよいですか。Where can I go to ask questions or provide feedback?

Azure Disk Encryption フォーラムで質問したり、フィードバックを提供したりできます。You can ask questions or provide feedback on the Azure Disk Encryption forum.

次の手順Next steps

このドキュメントでは、Azure Disk Encryption に関して最もよく寄せられるご質問について説明しました。In this document, you learned more about the most frequent questions related to Azure Disk Encryption. このサービスの詳細については、以下の記事を参照してください。For more information about this service, see the following articles: