Azure Disk Encryption på virtuella Windows-datorer
Gäller för: ✔️ Windows virtuella datorer:heavy_check_mark: Flexibla skalningsuppsättningar
Azure Disk Encryption hjälper till att skydda dina data så att din verksamhet uppfyller både interna och externa krav och åtaganden. Den använder BitLocker-funktionen i Windows för att tillhandahålla volymkryptering för operativsystemet och datadiskarna på virtuella Azure-datorer (VM) och är integrerad med Azure Key Vault för att hjälpa dig att styra och hantera diskkrypteringsnycklarna och hemligheterna.
Azure Disk Encryption är zontålig, på samma sätt som Virtual Machines. Mer information finns i Azure-tjänster som stöder Tillgänglighetszoner.
Om du använder Microsoft Defender förmolnet får du en avisering om du har virtuella datorer som inte är krypterade. Aviseringarna visas med hög allvarlighetsgrad och rekommendationen är att kryptera dessa virtuella datorer.
Varning
- Om du tidigare har använt Azure Disk Encryption Azure AD för att kryptera en virtuell dator måste du fortsätta att använda det här alternativet för att kryptera den virtuella datorn. Se Azure Disk Encryption med Azure AD (tidigare version) för mer information.
- Vissa rekommendationer kan öka användningen av data-, nätverks- eller beräkningsresurser, vilket resulterar i ytterligare licens- eller prenumerationskostnader. Du måste ha en giltig aktiv Azure-prenumeration för att skapa resurser i Azure i de regioner som stöds.
Du kan lära dig grunderna i Azure Disk Encryption för Windows på bara några minuter med snabbstarten Skapa och kryptera en virtuell Windows-dator med Azure CLI eller snabbstarten Skapa och kryptera en virtuell Windows-dator med Azure PowerShell.
Virtuella datorer och operativsystem som stöds
Virtuella datorer som stöds
Windows Virtuella datorer är tillgängliga i olika storlekar. Azure Disk Encryption stöds på virtuella datorer av första och andra generationen. Azure Disk Encryption är också tillgängligt för virtuella datorer med Premium Storage.
Azure Disk Encryption är inte tillgängligt på basic-, A-seriensvirtuella datorer eller på virtuella datorer med mindre än 2 GB minne. Fler undantag finns i Azure Disk Encryption: Scenarier som inte stöds.
Operativsystem som stöds
- Windows klient: Windows 8 och senare.
- Windows Server: Windows Server 2008 R2 och senare.
- Windows 10 Enterprise flera sessioner.
Anteckning
Windows Server 2008 R2 kräver att .NET Framework 4.5 installeras för kryptering. installera den från Windows Update med den valfria uppdateringen Microsoft .NET Framework 4.5.2 för Windows Server 2008 R2 x64-baserade system (KB2901983).
Windows Server 2012 R2 Core och Windows Server 2016 Core kräver att bdehdcfg-komponenten är installerad på den virtuella datorn för kryptering.
Nätverkskrav
För att Azure Disk Encryption måste de virtuella datorerna uppfylla följande konfigurationskrav för nätverksslutpunkter:
- För att få en token att ansluta till nyckelvalvet måste den virtuella Windows datorn kunna ansluta till en Azure Active Directory slutpunkt, [ login.microsoftonline.com ] .
- Om du vill skriva krypteringsnycklarna till nyckelvalvet måste Windows virtuella datorn kunna ansluta till slutpunkten för nyckelvalvet.
- Den Windows virtuella datorn måste kunna ansluta till en Azure-lagringsslutpunkt som är värd för lagringsplatsen för Azure-tillägget och ett Azure-lagringskonto som är värd för VHD-filerna.
- Om din säkerhetsprincip begränsar åtkomsten från virtuella Azure-datorer till Internet kan du lösa föregående URI och konfigurera en specifik regel för att tillåta utgående anslutning till IP-adresser. Mer information finns i Azure Key Vault bakom en brandvägg.
grupprincip krav
Azure Disk Encryption använder bitLocker-skydd med extern nyckel för Windows virtuella datorer. Skicka inte några grupprinciper som framtvingar TPM-skydd för domän-domän-VM:ar. Information om grupprincipen för "Tillåt BitLocker utan kompatibel TPM" finns i BitLocker grupprincip Referens.
BitLocker-principen på domänkopplade virtuella datorer med anpassad grupprincip måste innehålla följande inställning: Konfigurera användarlagring av BitLocker-återställningsinformation -> Tillåt 256-bitars återställningsnyckel. Azure Disk Encryption misslyckas när anpassade grupprincipinställningar för BitLocker är inkompatibla. På datorer som inte har rätt principinställning tillämpar du den nya principen och tvingar den nya principen att uppdateras (gpupdate.exe /force). Omstart kan krävas.
Grupprincipfunktionerna i Microsoft Bitlocker Administration och övervakning (MBAM) är inte kompatibla med Azure Disk Encryption.
Varning
Azure Disk Encryption lagrar inte återställningsnycklar. Om säkerhetsinställningen Interaktiv inloggning: Tröskel för låsning av datorkonto är aktiverad kan datorer bara återställas genom att tillhandahålla en återställningsnyckel via seriekonsolen. Anvisningar för att se till att lämpliga återställningsprinciper är aktiverade finns i bitlocker-återställningsguideplanen.
Azure Disk Encryption misslyckas om grupprincipen på domännivå blockerar AES-CBC-algoritmen, som används av BitLocker.
Lagringskrav för krypteringsnyckel
Azure Disk Encryption kräver en Azure Key Vault för att kontrollera och hantera diskkrypteringsnycklar och hemligheter. Ditt nyckelvalv och dina virtuella datorer måste finnas i samma Azure-region och -prenumeration.
Mer information finns i Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption.
Terminologi
I följande tabell definieras några av de vanliga termer som används i dokumentationen för Azure-diskkryptering:
| Terminologi | Definition |
|---|---|
| Azure Key Vault | Key Vault är en kryptografisk nyckelhanteringstjänst som baseras på FIPS-verifierade (Federal Information Processing Standards) maskinvarusäkerhetsmoduler. Dessa standarder hjälper till att skydda dina kryptografiska nycklar och känsliga hemligheter. Mer information finns i dokumentationen Azure Key Vault och Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption. |
| Azure CLI | Azure CLI är optimerat för att hantera och administrera Azure-resurser från kommandoraden. |
| BitLocker | BitLocker är en branschledd Windows för volymkryptering som används för att aktivera diskkryptering på Windows virtuella datorer. |
| Nyckelkrypteringsnyckel (KEK) | Den asymmetriska nyckeln (RSA 2048) som du kan använda för att skydda eller omsluta hemligheten. Du kan ange en maskinvarusäkerhetsmodul (HSM)-skyddad nyckel eller programvaruskyddad nyckel. Mer information finns i dokumentationen Azure Key Vault och Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption. |
| PowerShell-cmdletar | Mer information finns i Azure PowerShell cmdlets. |
Nästa steg
- Snabbstart – Skapa och kryptera en virtuell Windows dator med Azure CLI
- Snabbstart – Skapa och kryptera en virtuell Windows dator med Azure PowerShell
- Azure Disk Encryption-scenarier på virtuella Windows-datorer
- Azure Disk Encryption CLI-skript som krävs
- Azure Disk Encryption PowerShell-skript som krävs
- Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption