Azure Disk Encryption för Windows (Microsoft.Azure.Security.AzureDiskEncryption)

Översikt

Azure Disk Encryption använder BitLocker för att tillhandahålla fullständig diskkryptering på virtuella Azure-datorer som kör Windows. Den här lösningen är integrerad med Azure Key Vault för att hantera diskkrypteringsnycklar och hemligheter i din nyckelvalvsprenumeration.

Förutsättningar

En fullständig lista över krav finns i Azure Disk Encryption för Windows virtuella datorer,särskilt följande avsnitt:

Tilläggsschema

Det finns två versioner av tilläggsschemat för Azure Disk Encryption (ADE):

  • v2.2 – Ett nyare rekommenderat schema som inte använder Azure Active Directory (AAD) egenskaper.
  • v1.1 – Ett äldre schema som Azure Active Directory (AAD) egenskaper.

Om du vill välja ett målschema typeHandlerVersion måste egenskapen vara inställd på samma version av schemat som du vill använda.

V2.2-schemat rekommenderas för alla nya virtuella datorer och kräver inte Azure Active Directory egenskaper.

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "AzureDiskEncryption",
        "typeHandlerVersion": "2.2",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "EncryptionOperation": "[encryptionOperation]",
          "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
          "KeyVaultURL": "[keyVaultURL]",
          "KeyVaultResourceId": "[keyVaultResourceID]",
          "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
          "KekVaultResourceId": "[kekVaultResourceID]",
          "SequenceVersion": "sequenceVersion]",
          "VolumeType": "[volumeType]"
        }
  }
}

Schema v1.1: med AAD

1.1-schemat kräver aadClientID och aadClientSecret antingen AADClientCertificate eller och rekommenderas inte för nya virtuella datorer.

Med hjälp av aadClientSecret :

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientSecret": "[aadClientSecret]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Med hjälp av AADClientCertificate :

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientCertificate": "[aadClientCertificate]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Egenskapsvärden

Obs! Alla värden är fallkänsliga.

Namn Värde/exempel Datatyp
apiVersion 2019-07-01 date
utgivare Microsoft.Azure.Security sträng
typ AzureDiskEncryption sträng
typeHandlerVersion 2.2, 1.1 sträng
(1.1-schema) AADClientID xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx guid
(1.1-schema) AADClientSecret password sträng
(1.1-schema) AADClientCertificate Stämpel sträng
EncryptionOperation EnableEncryption sträng
(valfritt – RSA-OAEP som standard) KeyEncryptionAlgorithm RSA-OAEP, RSA-OAEP-256, RSA1_5 sträng
KeyVaultURL url sträng
KeyVaultResourceId url sträng
(valfritt) KeyEncryptionKeyURL url sträng
(valfritt) KekVaultResourceId url sträng
(valfritt) SequenceVersion uniqueidentifier sträng
VolumeType OS, Data, Alla sträng

Malldistribution

Ett exempel på malldistribution baserat på schema v2.2 finns i Azure Snabbstartsmall encrypt-running-windows-vm-without-aad.

Ett exempel på malldistribution baserat på schema v1.1 finns i Azure QuickStart Template encrypt-running-windows-vm.

Anteckning

Även om VolumeType parametern är inställd på Alla krypteras datadiskar endast om de är korrekt formaterade.

Felsökning och support

Felsöka

Information om felsökning finns i felsökningsguiden för Azure Disk Encryption.

Support

Om du behöver mer hjälp när som helst i den här artikeln kan du kontakta Azure-experter på MSDN Azure och Stack Overflow forum .

Du kan också skapa en Azure-supportincident. Gå till Azure-support och välj Få support. Information om hur du använder Azure Support finns i vanliga frågor och svar Microsoft Azure supporten.

Nästa steg