Windows용 Azure Disk Encryption(Microsoft.Azure.Security.AzureDiskEncryption)

개요

Azure Disk Encryption은 BitLocker를 사용하여 Windows를 실행하는 Azure 가상 머신에서 전체 디스크 암호화를 제공합니다. 이 솔루션은 Azure Key Vault와 통합되어 키 자격 증명 모음 구독의 디스크 암호화 키와 비밀을 관리합니다.

필수 조건

사전 요구 사항의 전체 목록은 Windows VM용 Azure Disk Encryption, 특히 다음 섹션을 참조하세요.

• 지원되는 VM 및 운영 체제
• 네트워킹 요구 사항
• 그룹 정책 요구 사항

확장 스키마

Azure Disk Encryption(ADE)에는 두 가지 버전의 확장 스키마가 있습니다.

• v2.2 - Microsoft Entra 속성을 사용하지 않는 최신 권장 스키마
• v1.1 - Microsoft Entra 속성이 필요한 이전 스키마

대상 스키마를 선택하려면 typeHandlerVersion 속성을 사용하려는 스키마 버전과 동일하게 설정해야 합니다.

스키마 v2.2: Microsoft Entra ID 없음(권장)

v2.2 스키마는 모든 새 VM에 권장되며 Microsoft Entra 속성이 필요하지 않습니다.

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "AzureDiskEncryption",
        "typeHandlerVersion": "2.2",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "EncryptionOperation": "[encryptionOperation]",
          "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
          "KeyVaultURL": "[keyVaultURL]",
          "KeyVaultResourceId": "[keyVaultResourceID]",
          "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
          "KekVaultResourceId": "[kekVaultResourceID]",
          "SequenceVersion": "sequenceVersion]",
          "VolumeType": "[volumeType]"
        }
  }
}

스키마 v1.1: Microsoft Entra ID 사용

1.1 스키마는 aadClientID 및 aadClientSecret와 AADClientCertificate 중 하나가 필요하며, 새 VM에는 권장되지 않습니다.

aadClientSecret사용:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientSecret": "[aadClientSecret]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

AADClientCertificate사용:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientCertificate": "[aadClientCertificate]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

속성 값

참고: 모든 값은 대/소문자를 구분합니다.

이름	값/예제	데이터 형식
apiVersion	2019-07-01	날짜
publisher	Microsoft.Azure.Security	string
type	AzureDiskEncryption	string
typeHandlerVersion	2.2, 1.1	string
(0.1 스키마) AADClientID	xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx	guid
(1.1 스키마) AADClientSecret	password	string
(1.1 스키마) AADClientCertificate	thumbprint	string
EncryptionOperation	EnableEncryption	string
(선택 사항 - 기본 RSA-OAEP) KeyEncryptionAlgorithm	'RSA-OAEP', 'RSA-OAEP-256', 'RSA1_5'	string
KeyVaultURL	url	string
KeyVaultResourceId	url	string
(선택 사항) KeyEncryptionKeyURL	url	string
(선택 사항) KekVaultResourceId	url	string
(선택 사항) SequenceVersion	uniqueidentifier	string
VolumeType	OS, Data, All	string

템플릿 배포

스키마 v2.2를 기반으로 하는 템플릿 배포의 예는 Azure 빠른 시작 템플릿 encrypt-running-windows-vm-without-aad를 참조하세요.

스키마 v1.1을 기반으로 하는 템플릿 배포의 예는 Azure 빠른 시작 템플릿 encrypt-running-windows-vm을 참조하세요.

참고 항목

또한 VolumeType 매개 변수를 All로 설정하면 데이터 디스크는 형식이 올바르게 지정된 경우에만 암호화됩니다.

문제 해결 및 지원

문제 해결

문제 해결 방법은 Azure Disk Encryption 문제 해결 가이드를 참조하세요.

지원

이 문서의 어디에서든 도움이 필요한 경우 MSDN Azure 및 Stack Overflow 포럼에서 Azure 전문가에게 문의할 수 있습니다.

또는 Azure 기술 지원 인시던트를 제출할 수 있습니다. Azure 지원으로 이동하여 지원받기를 선택합니다. Azure 지원을 사용하는 방법에 대한 자세한 내용은 Microsoft Azure 지원 FAQ를 참조하세요.

다음 단계

• 확장에 대한 자세한 내용은 Windows용 가상 머신 확장 및 기능을 참조하세요.
• Windows용 Azure Disk Encryption에 대한 자세한 내용은 Windows 가상 머신을 참조하세요.