Azure Disk Encryption トラブルシューティング ガイド

  • [アーティクル]

適用対象: ✔️ Windows VM ✔️ フレキシブル スケール セット

このガイドは、所属組織が Azure Disk Encryption を使用しいる IT プロフェッショナル、情報セキュリティ アナリスト、クラウド管理者を対象としています。 この記事は、ディスクの暗号化に関連する問題のトラブルシューティングを支援することを目的としています。

以下のいずれかの手順を実行する前に、暗号化しようとしている VM が、サポートされている VM サイズとオペレーティング システムであること、およびすべての前提条件を満たしていることを確認してください。

"DiskEncryptionData の送信失敗" のトラブルシューティング

VM の暗号化が失敗し、"DiskEncryptionData を送信できませんでした..." というエラー メッセージが表示される場合、通常は次のいずれかの状況が原因で発生します。

  • Key Vault が、仮想マシンとは異なるリージョンやサブスクリプションに存在している
  • Key Vault の高度なアクセス ポリシーが、Azure Disk Encryption を許可するように設定されていない
  • キー暗号化キーが、使用時に、Key Vault で無効化または削除されている
  • Key Vault またはキー暗号化キー (KEK) のリソース ID または URL の入力ミス
  • VM、データ ディスク、またはキーの名前を指定するときの特殊文字の使用。 _VMName、élite など
  • サポートされていない暗号化シナリオ
  • VM またはホストが必要なリソースにアクセスできなくなるネットワークの問題

推奨事項

Note

disk-encryption-keyvault パラメーターの値は、次のように、完全な識別子文字列の形式で表されます: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
key-encryption-key パラメーターは KEK の完全な URI であり、次の形式で表されます: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

ファイアウォール内の Azure Disk Encryption のトラブルシューティング

ファイアウォール、プロキシ要件、またはネットワーク セキュリティ グループ (NSG) 設定によって接続が制限されていると、必要なタスクを実行するための拡張機能が中断することがあります。 この中断が発生すると、"拡張機能の状態は VM で使用できません" などのステータス メッセージが表示される可能性があります。想定されるシナリオでは、暗号化は完了しません。 以下のセクションで、調査することが推奨される一般的なファイアウォールの問題について説明します。

ネットワーク セキュリティ グループ

適用されるネットワーク セキュリティ グループ設定で、ディスクの暗号化のために規定されている、ネットワーク構成の前提条件を満たすようエンドポイントが設定されている必要があります。

ファイアウォールの内側にある Azure Key Vault

Microsoft Entra の資格情報で暗号化が有効にされている場合は、ターゲットの VM で、Microsoft Entra のエンドポイントと Key Vault のエンドポイントの両方への接続を許可する必要があります。 現在の Microsoft Entra 認証エンドポイントは、Microsoft 365 の URL と IP アドレスの範囲に関するドキュメントのセクション 56 と 59 に記載されています。 Key Vault の説明は、「ファイアウォールの向こう側にある Access Azure Key Vault へのアクセス」方法に関するドキュメンテーションにあります。

Azure Instance Metadata Service

VM は、Azure プラットフォーム リソースとの通信に使用する仮想パブリック IP アドレス (168.63.129.16) と Azure Instance Metadata Service のエンドポイント (169.254.169.254) にアクセスできる必要があります。 ローカル HTTP トラフィックをこのアドレスに変更する (たとえば X-Forwarded-For ヘッダーを追加する) プロキシ構成はサポートされません。

Windows Server 2016 Server Core のトラブルシューティング

Windows Server 2016 Server Core では既定で、bdehdcfg コンポーネントを使用できません。 このコンポーネントは、Azure Disk Encryption で必要です。 これは、VM の有効期間中 1 回のみ実行される、OS ボリュームからのシステム ボリュームの分割に使用されます。 これらのバイナリは、以後の暗号化操作には必要ありません。

この問題を解決するには、次の 4 つのファイルを Windows Server 2016 Data Center VM から Server Core 上の同じ場所にコピーします。

\windows\system32\bdehdcfg.exe
\windows\system32\bdehdcfglib.dll
\windows\system32\en-US\bdehdcfglib.dll.mui
\windows\system32\en-US\bdehdcfg.exe.mui

  1. 次のコマンドを入力します。

    bdehdcfg.exe -target default

  2. このコマンドは、550 MB のシステム パーティションを作成します。 システムを再起動します。

  3. DiskPart を使用してボリュームを確認した後、次に進みます。

次に例を示します。

DISKPART> list vol

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
  Volume 0     C                NTFS   Partition    126 GB  Healthy    Boot
  Volume 1                      NTFS   Partition    550 MB  Healthy    System
  Volume 2     D   Temporary S  NTFS   Partition     13 GB  Healthy    Pagefile

暗号化の状態のトラブルシューティング

VM 内で非暗号化されたディスクが、ポータルで暗号化済みと表示される場合があります。 この状況は、高レベルの Azure Disk Encryption 管理コマンドを使用するのではなく、低レベルのコマンドを使用して VM 内から直接ディスクを復号化した場合に発生する可能性があります。 高レベルのコマンドでは、VM 内からディスクが非暗号化されるだけでなく、VM の外部で、重要なプラットフォーム レベルの暗号化の設定と VM に関連する拡張機能の設定が更新されます。 これらの設定が整合していないと、プラットフォームは暗号化の状態を報告できず、VM を適切にプロビジョニングすることもできません。

PowerShell で Azure Disk Encryption を無効にするには、最初に Disable-AzVMDiskEncryption、次に Remove-AzVMDiskEncryptionExtension を使用します。 暗号化を無効にする前に Remove-AzVMDiskEncryptionExtension を実行すると、失敗します。

CLI で Azure Disk Encryption を無効にするには、az vm encryption disable を使用します。

次のステップ

このドキュメントでは、Azure Disk Encryption で発生する一般的な問題の詳細と、それらの問題のトラブルシューティング方法について説明しました。 このサービスと機能の詳細については、次の記事を参照してください。