Windows VM 用の Azure Disk EncryptionAzure Disk Encryption for Windows VMs

Azure Disk Encryption は、データを保護して、組織のセキュリティおよびコンプライアンス コミットメントを満たすのに役立ちます。Azure Disk Encryption helps protect and safeguard your data to meet your organizational security and compliance commitments. Windows の Bitlocker 機能を使用して、Azure 仮想マシン (VM) の OS とデータ ディスクにボリューム暗号化が提供されます。これは、ディスク暗号化キーとシークレットを制御および管理できるように、Azure Key Vault に統合されています。It uses the Bitlocker feature of Windows to provide volume encryption for the OS and data disks of Azure virtual machines (VMs), and is integrated with Azure Key Vault to help you control and manage the disk encryption keys and secrets.

Azure Security Center を使用している場合、暗号化されていない VM があると警告を受け取ります。If you use Azure Security Center, you're alerted if you have VMs that aren't encrypted. アラートは高重要度として表示され、このような VM は暗号化することをお勧めします。The alerts show as High Severity and the recommendation is to encrypt these VMs.

Azure Security Center のディスク暗号化アラート

警告

  • これまで Azure AD で Azure Disk Encryption を使用して VM を暗号化していた場合は、引き続きこのオプションを使用して VM を暗号化する必要があります。If you have previously used Azure Disk Encryption with Azure AD to encrypt a VM, you must continue use this option to encrypt your VM. 詳細については、「Azure AD での Azure Disk Encryption (以前のリリース)」を参照してください。See Azure Disk Encryption with Azure AD (previous release) for details.
  • 特定の推奨事項により、データ、ネットワーク、またはコンピューティング リソースの使用量が増え、その結果、ライセンスまたはサブスクリプション コストの追加が必要になる可能性があります。Certain recommendations might increase data, network, or compute resource usage, resulting in additional license or subscription costs. サポートされているリージョンにおいて Azure でリソースを作成するための有効なアクティブ Azure サブスクリプションが必要です。You must have a valid active Azure subscription to create resources in Azure in the supported regions.

Azure CLI を使用した Windows VM の作成および暗号化のクイックスタートまたはAzure Powershell を使用した Windows VM の作成および暗号化のクイックスタートのページでは、Windows 用 Azure Disk Encryption の基礎について数分で学習できます。You can learn the fundamentals of Azure Disk Encryption for Windows in just a few minutes with the Create and encrypt a Windows VM with Azure CLI quickstart or the Create and encrypt a Windows VM with Azure Powershell quickstart.

サポートされている VM とオペレーティング システムSupported VMs and operating systems

サポート対象の VMSupported VMs

Windows VM は、さまざまなサイズで利用できます。Windows VMs are available in a range of sizes. Azure Disk Encryption は、Basic、A シリーズ VM、またはメモリが 2 GB 未満の仮想マシンでは利用できません。Azure Disk Encryption is not available on Basic, A-series VMs, or on virtual machines with a less than 2 GB of memory.

Azure Disk Encryption は、Premium Storage を使用した VM でも利用できます。Azure Disk Encryption is also available for VMs with premium storage.

Azure Disk Encryption は、第 2 世代 VM では使用できません。Azure Disk Encryption is not available on Generation 2 VMs. 例外の詳細については、「Azure Disk Encryption:サポートされていないシナリオに関する記事を参照してください。For more exceptions, see Azure Disk Encryption: Unsupported scenarios.

Azure Disk Encryption は、一時ディスクのない VM イメージ (Dv4、Dsv4、Ev4、および Esv4) では使用できません。Azure Disk Encryption is not available on VM images without temp disks (Dv4, Dsv4, Ev4, and Esv4). ローカル一時ディスクを持たない Azure VM のサイズ」を参照してください。See Azure VM sizes with no local temporary disk.

サポートされるオペレーティング システムSupported operating systems

  • Windows クライアント: Windows 8 以降Windows client: Windows 8 and later.
  • Windows Server: Windows Server 2008 R2 以降Windows Server: Windows Server 2008 R2 and later.

注意

Windows Server 2008 R2 には、暗号化用に .NET Framework 4.5 をインストールする必要があります。Windows Update から、オプションの更新プログラムである Windows Server 2008 R2 x64 ベース システム用の Microsoft .NET Framework 4.5.2 (KB2901983) を使用してインストールすることができます。Windows Server 2008 R2 requires the .NET Framework 4.5 to be installed for encryption; install it from Windows Update with the optional update Microsoft .NET Framework 4.5.2 for Windows Server 2008 R2 x64-based systems (KB2901983).

Windows Server 2012 R2 Core と Windows Server 2016 Core には、暗号化用に VM 上に bdehdcfg コンポーネントをインストールする必要があります。Windows Server 2012 R2 Core and Windows Server 2016 Core requires the bdehdcfg component to be installed on the VM for encryption.

ネットワーク要件Networking requirements

Azure Disk Encryption を有効にするには、VM が次のネットワーク エンドポイントの構成要件を満たす必要があります。To enable Azure Disk Encryption, the VMs must meet the following network endpoint configuration requirements:

  • ご利用のキー コンテナーに接続するためのトークンを取得するには、Windows VM が Azure Active Directory エンドポイント [login.microsoftonline.com] に接続できる必要があります。To get a token to connect to your key vault, the Windows VM must be able to connect to an Azure Active Directory endpoint, [login.microsoftonline.com].
  • 暗号化キーをご利用のキー コンテナーに書き込むには、Windows VM がキー コンテナー エンドポイントに接続できる必要があります。To write the encryption keys to your key vault, the Windows VM must be able to connect to the key vault endpoint.
  • Windows VM は、Azure 拡張リポジトリをホストする Azure ストレージ エンドポイントと、VHD ファイルをホストする Azure ストレージ アカウントに接続できる必要があります。The Windows VM must be able to connect to an Azure storage endpoint that hosts the Azure extension repository and an Azure storage account that hosts the VHD files.
  • セキュリティ ポリシーで Azure VM からインターネットへのアクセスが制限されている場合は、上記の URI を解決し、IP への送信接続を許可するための特定のルールを構成することができます。If your security policy limits access from Azure VMs to the Internet, you can resolve the preceding URI and configure a specific rule to allow outbound connectivity to the IPs. 詳細については、「ファイアウォールの内側にある Azure Key Vault へのアクセス」を参照してください。For more information, see Azure Key Vault behind a firewall.

グループ ポリシーの要件Group Policy requirements

Azure Disk Encryption では、Windows VM に対して BitLocker 外部キー保護機能が使用されます。Azure Disk Encryption uses the BitLocker external key protector for Windows VMs. ドメインに参加している VM の場合は、TPM 保護機能を適用するグループ ポリシーをプッシュしないでください。For domain joined VMs, don't push any group policies that enforce TPM protectors. "互換性のある TPM が装備されていない BitLocker を許可する" のグループ ポリシーについては、BitLocker グループ ポリシー リファレンスに関するページをご覧ください。For information about the group policy for "Allow BitLocker without a compatible TPM," see BitLocker Group Policy Reference.

ドメインに参加済みであり、カスタム グループ ポリシーを使用する仮想マシンでの BitLocker ポリシーには、次の設定を含める必要があります。[BitLocker 回復情報のユーザー記憶域を構成する] -> [256 ビットの回復キーを許可する]BitLocker policy on domain joined virtual machines with custom group policy must include the following setting: Configure user storage of BitLocker recovery information -> Allow 256-bit recovery key. BitLocker のカスタム グループ ポリシー設定に互換性がない場合、Azure Disk Encryption は失敗します。Azure Disk Encryption will fail when custom group policy settings for BitLocker are incompatible. 正しいポリシー設定がないマシンでは、新しいポリシーを適用し、新しいポリシーを強制的に更新して (gpupdate.exe /force)、再起動する処理が必要になる可能性があります。On machines that didn't have the correct policy setting, apply the new policy, force the new policy to update (gpupdate.exe /force), and then restarting may be required.

BitLocker によって使用される AES-CBC アルゴリズムがドメイン レベル グループ ポリシーでブロックされると、Azure Disk Encryption は失敗します。Azure Disk Encryption will fail if domain level group policy blocks the AES-CBC algorithm, which is used by BitLocker.

暗号化キーのストレージ要件Encryption key storage requirements

Azure Disk Encryption では、ディスク暗号化キーとシークレットを制御および管理するために、Azure Key Vault が必要です。Azure Disk Encryption requires an Azure Key Vault to control and manage disk encryption keys and secrets. ご利用のキー コンテナーと VM は、同じ Azure リージョンおよびサブスクリプションに存在している必要があります。Your key vault and VMs must reside in the same Azure region and subscription.

詳細については、「Azure Disk Encryption 用のキー コンテナーの作成と構成」をご覧ください。For details, see Creating and configuring a key vault for Azure Disk Encryption.

用語Terminology

次の表では、Azure Disk Encryption のドキュメントで使用される一般的な用語の一部を定義します。The following table defines some of the common terms used in Azure disk encryption documentation:

用語Terminology 定義Definition
Azure Key VaultAzure Key Vault Key Vault は、Federal Information Processing Standards (FIPS) に照らして検証されたハードウェア セキュリティ モジュールに基づく、暗号化キー管理サービスです。Key Vault is a cryptographic, key management service that's based on Federal Information Processing Standards (FIPS) validated hardware security modules. これらの標準は、暗号化キーと機密性の高いシークレットを保護するために役立ちます。These standards help to safeguard your cryptographic keys and sensitive secrets. 詳細については、Azure Key Vault のドキュメントと「Azure Disk Encryption 用のキー コンテナーの作成と構成」をご覧ください。For more information, see the Azure Key Vault documentation and Creating and configuring a key vault for Azure Disk Encryption.
Azure CLIAzure CLI Azure CLI は、コマンド ラインから Azure リソースを管理できるように最適化されています。The Azure CLI is optimized for managing and administering Azure resources from the command line.
BitLockerBitLocker BitLocker は、Windows VM でディスク暗号化を有効にするために使用される、業界で認められた Windows ボリューム暗号化テクノロジです。BitLocker is an industry-recognized Windows volume encryption technology that's used to enable disk encryption on Windows VMs.
キー暗号化キー (KEK)Key encryption key (KEK) シークレットを保護またはラップするために使用できる非対称キー (RSA 2048) です。The asymmetric key (RSA 2048) that you can use to protect or wrap the secret. ハードウェア セキュリティ モジュール (HSM) で保護されたキーまたはソフトウェアで保護されたキーを指定できます。You can provide a hardware security module (HSM)-protected key or software-protected key. 詳細については、Azure Key Vault のドキュメントと「Azure Disk Encryption 用のキー コンテナーの作成と構成」をご覧ください。For more information, see the Azure Key Vault documentation and Creating and configuring a key vault for Azure Disk Encryption.
PowerShell コマンドレットPowerShell cmdlets 詳しくは、Azure PowerShell コマンドレットに関するページをご覧ください。For more information, see Azure PowerShell cmdlets.

次のステップNext steps