Azure Disk Encryption für Windows (Microsoft.Azure.Security.AzureDiskEncryption)
Übersicht
Azure Disk Encryption nutzt BitLocker, um auf virtuellen Azure-Computern unter Windows eine vollständige Datenträgerverschlüsselung bereitzustellen. Diese Lösung ist in Azure Key Vault integriert, um die Verschlüsselungsschlüssel und Geheimnisse für die Datenträgerverschlüsselung in Ihrem Key Vault-Abonnement zu verwalten.
Voraussetzungen
Eine vollständige Liste mit den Voraussetzungen finden Sie unter Azure Disk Encryption für virtuelle Windows-Computer. Achten Sie besonders auf die folgenden Abschnitte:
Erweiterungsschema
Es gibt zwei Versionen des Erweiterungsschemas für Azure Disk Encryption (ADE):
- v2.2: ein neueres empfohlenes Schema, das keine Microsoft Entra-Eigenschaften verwendet
- v1.1: ein älteres Schema, für das Microsoft Entra-Eigenschaften erforderlich sind
Zum Auswählen eines Zielschemas muss die Eigenschaft typeHandlerVersion auf die gewünschte Schemaversion festgelegt werden.
Schema v2.2: ohne Microsoft Entra ID (empfohlen)
Das v2.2-Schema wird für alle neuen VMs empfohlen und erfordert keine Microsoft Entra-Eigenschaften.
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "2.2",
"autoUpgradeMinorVersion": true,
"settings": {
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Schema v1.1: mit Microsoft Entra ID
Das 1.1-Schema erfordert aadClientID und entweder aadClientSecret oder AADClientCertificate und wird für neue virtuelle Computer nicht empfohlen.
Verwenden von aadClientSecret:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientSecret": "[aadClientSecret]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "1.1",
"settings": {
"AADClientID": "[aadClientID]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Verwenden von AADClientCertificate:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientCertificate": "[aadClientCertificate]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "1.1",
"settings": {
"AADClientID": "[aadClientID]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Eigenschaftswerte
Hinweis: Bei allen Werten wird die Groß- und Kleinschreibung unterschieden.
| Name | Wert/Beispiel | Datentyp |
|---|---|---|
| apiVersion | 01.07.2019 | date |
| publisher | Microsoft.Azure.Security | Zeichenfolge |
| type | AzureDiskEncryption | Zeichenfolge |
| typeHandlerVersion | 2.2, 1.1 | Zeichenfolge |
| (1.1-Schema) AADClientID | xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx | guid |
| (1.1-Schema) AADClientSecret | password | Zeichenfolge |
| (1.1-Schema) AADClientCertificate | thumbprint | Zeichenfolge |
| EncryptionOperation | EnableEncryption | Zeichenfolge |
| (optional – Standard-RSA-OAEP) KeyEncryptionAlgorithm | 'RSA-OAEP', 'RSA-OAEP-256', 'RSA1_5' | Zeichenfolge |
| KeyVaultURL | url | Zeichenfolge |
| KeyVaultResourceId | url | Zeichenfolge |
| (optional) KeyEncryptionKeyURL | url | Zeichenfolge |
| (optional) KekVaultResourceId | url | Zeichenfolge |
| (optional) SequenceVersion | UNIQUEIDENTIFIER | Zeichenfolge |
| VolumeType | Betriebssystem, Daten, alle | Zeichenfolge |
Bereitstellung von Vorlagen
Ein Beispiel für eine auf der Schemaversion 2.2 basierende Vorlagenbereitstellung finden Sie in der Azure-Schnellstartvorlage encrypt-running-windows-vm-without-aad.
Ein Beispiel für eine auf der Schemaversion 1.1 basierende Vorlagenbereitstellung finden Sie in der Azure-Schnellstartvorlage encrypt-running-windows-vm.
Hinweis
Wenn der Parameter VolumeType auf „All“ festgelegt ist, werden Datenträger nur dann verschlüsselt, wenn sie ordnungsgemäß formatiert sind.
Problembehandlung und Support
Problembehandlung
Informationen zur Problembehandlung finden Sie unter Leitfaden zur Azure Disk Encryption-Problembehandlung.
Support
Sollten Sie beim Lesen dieses Artikels feststellen, dass Sie weitere Hilfe benötigen, können Sie sich über das MSDN Azure-Forum oder über das Stack Overflow-Forum mit Azure-Experten in Verbindung setzen.
Alternativ dazu haben Sie die Möglichkeit, einen Azure-Supportfall zu erstellen. Navigieren Sie zum Azure-Support, und wählen Sie „Support erhalten“ aus. Informationen zur Nutzung von Azure-Support finden Sie unter Microsoft Azure-Support-FAQ.
Nächste Schritte
- Weitere Informationen zu Erweiterungen finden Sie unter Erweiterungen und Features für virtuelle Computer für Windows.
- Weitere Informationen zu Azure Disk Encryption für Windows finden Sie unter Virtuelle Windows-Computer.