Partager via

Gérer le chiffrement BitLocker sur Azure Local, version 23H2

  • Article

S’applique à : Azure Local 2311.2 et versions ultérieures

Cet article explique comment afficher et activer le chiffrement BitLocker et récupérer des clés de récupération BitLocker sur votre instance locale Azure.

Prérequis

Avant de commencer, vérifiez que vous avez accès à une instance Azure Local, version 23H2 déployée, inscrite et connectée à Azure.

Afficher les paramètres BitLocker via Portail Azure

Pour afficher les paramètres BitLocker dans le Portail Azure, vérifiez que vous avez appliqué l’initiative MCSB. Pour plus d’informations, consultez l’initiative Appliquer microsoft Cloud Security Benchmark.

BitLocker offre deux types de protection : le chiffrement pour les volumes de système d’exploitation et le chiffrement pour les volumes de données. Vous ne pouvez afficher les paramètres BitLocker que dans le Portail Azure. Pour gérer les paramètres, consultez Gérer les paramètres BitLocker avec PowerShell.

Capture d’écran montrant la page Protections des données pour le chiffrement de volume sur Portail Azure.

Gérer les paramètres BitLocker avec PowerShell

Vous pouvez afficher, activer et désactiver les paramètres de chiffrement de volume sur votre instance locale Azure.

Propriétés de l’applet de commande PowerShell

Les propriétés d’applet de commande suivantes sont destinées au chiffrement de volume avec le module BitLocker : AzureStackBitLockerAgent.

  •   Get-ASBitLocker -<Local | PerNode>

    Local etPerNode définir l’étendue à laquelle l’applet de commande est exécutée.

    • Local : peut être exécuté dans une session PowerShell distante standard et fournit des détails sur le volume BitLocker pour le nœud local.
    • PerNode : nécessite CredSSP (lors de l’utilisation de PowerShell à distance) ou d’une session bureau à distance (RDP). Fournit les détails du volume BitLocker par nœud.
  •   Enable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>

  •   Disable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>

Afficher les paramètres de chiffrement pour le chiffrement de volume avec BitLocker

Procédez comme suit pour afficher les paramètres de chiffrement :

  1. Connectez-vous à votre machine locale Azure.

  2. Exécutez l’applet de commande PowerShell suivante à l’aide des informations d’identification de l’administrateur local :

    Get-ASBitLocker

Activer, désactiver le chiffrement de volume avec BitLocker

Procédez comme suit pour activer le chiffrement de volume avec BitLocker :

  1. Connectez-vous à votre machine locale Azure.

  2. Exécutez l’applet de commande PowerShell suivante à l’aide des informations d’identification de l’administrateur local :

    Important

    • L’activation du chiffrement de volume avec BitLocker sur le type de volume BootVolume nécessite TPM 2.0.

    • Lors de l’activation du chiffrement de volume avec BitLocker sur le type de volume ClusterSharedVolume (CSV), le volume sera placé en mode redirigé et toutes les machines virtuelles de charge de travail seront suspendues pendant une courte période. Cette opération est perturbatrice ; planifier en conséquence. Pour plus d’informations, consultez Comment configurer des disques cluster chiffrés BitLocker dans Windows Server 2012.

    Enable-ASBitLocker

Procédez comme suit pour désactiver le chiffrement de volume avec BitLocker :

  1. Connectez-vous à votre machine locale Azure.

  2. Exécutez l’applet de commande PowerShell suivante à l’aide des informations d’identification de l’administrateur local :

    Disable-ASBitLocker

Obtenir les clés de récupération BitLocker

Remarque

Les clés BitLocker peuvent être récupérées à tout moment à partir de votre Active Directory local. Si le cluster est arrêté et que vous n’avez pas les clés, vous ne pourrez peut-être pas accéder aux données chiffrées sur le cluster. Pour enregistrer vos clés de récupération BitLocker, nous vous recommandons de les exporter et de les stocker dans un emplacement externe sécurisé tel qu’Azure Key Vault.

Procédez comme suit pour exporter les clés de récupération de votre cluster :

  1. Connectez-vous à votre instance locale Azure en tant qu’administrateur local. Exécutez la commande suivante dans une session de console locale ou une session RDP (Remote Desktop Protocol) locale ou une session PowerShell distante avec l’authentification CredSSP :

  2. Pour obtenir les informations de clé de récupération, exécutez la commande suivante dans PowerShell :

    Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey

    Voici un exemple de sortie :

     PS C:\Users\ashciuser> Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey

 ComputerName    PasswordId    RecoveryKey
 -------         ----------    -----------
 ASB88RR1OU19    {Password1}   Key1
 ASB88RR1OU20    {Password2}   Key2
 ASB88RR1OU21    {Password3}   Key3
 ASB88RR1OU22    {Password4}   Key4

Étapes suivantes