Delen via

Azure Disk Encryption voor Windows-VM's

Belangrijk

Azure Disk Encryption is gepland voor buitengebruikstelling op 15 september 2028. Tot die datum kunt u Azure Disk Encryption blijven gebruiken zonder onderbreking. Op 15 september 2028 blijven workloads met ADE-functionaliteit actief, maar versleutelde schijven kunnen niet worden ontgrendeld nadat de VM opnieuw is opgestart, wat leidt tot serviceonderbreking.

Gebruik versleuteling op de host voor nieuwe VM's. Alle ADE-VM's (inclusief back-ups) moeten vóór de buitengebruikstellingsdatum migreren naar versleuteling op de host om serviceonderbreking te voorkomen. Zie Migreren van Azure Disk Encryption naar versleuteling op de host voor meer informatie.

Van toepassing op: ✔️ Flexibele schaalsets voor Windows-VM's ✔️.

Azure Disk Encryption helpt om uw gegevens te beschermen en te beveiligen, zodat u aan de beveiligings- en nalevingsafspraken van uw organisatie voldoet. De BitLocker-functie van Windows wordt gebruikt om volumeversleuteling te bieden voor het besturingssysteem en de gegevensschijven van virtuele Azure-machines (VM's) en is geïntegreerd met Azure Key Vault om u te helpen de schijfversleutelingssleutels en -geheimen te beheren.

Azure Disk Encryption is zonetolerant, op dezelfde manier als virtuele machines. Zie Azure-services die beschikbaarheidszones ondersteunen voor meer informatie.

Als u Microsoft Defender for Cloud gebruikt, wordt u gewaarschuwd als u vm's hebt die niet zijn versleuteld. De waarschuwingen worden weergegeven als hoge ernst en de aanbeveling is om deze VM's te versleutelen.

Waarschuwing voor Microsoft Defender voor Cloud-schijfversleuteling

Waarschuwing

  • Voor vm's die eerder zijn versleuteld met Behulp van Azure Disk Encryption met Microsoft Entra ID, moet u dezelfde methode blijven gebruiken. Zie Azure Disk Encryption met Microsoft Entra ID-app (vorige versie) voor details.
  • De implementatie van deze aanbevelingen kan het gebruik van uw gegevens, het netwerk of het rekenresourcegebruik verhogen, wat mogelijk resulteert in meer licentie- of abonnementskosten. Een geldig actief Azure-abonnement is vereist voor het maken van resources in ondersteunde regio's.
  • Gebruik BitLocker nooit rechtstreeks om VIRTUELE machines of schijven te ontsleutelen die zijn versleuteld via Azure Disk Encryption, omdat dit kan leiden tot gegevensverlies.

U kunt in slechts een paar minuten de basisprincipes van Azure Disk Encryption voor Windows leren met de quickstart een Virtuele Windows-machine maken en versleutelen met Azure CLI of de quickstart een Virtuele Windows-machine maken en versleutelen met Azure PowerShell.

Ondersteunde VM's en besturingssystemen

Ondersteunde VM's

Windows-VM's zijn beschikbaar in een reeks grootten. Azure Disk Encryption wordt ondersteund op vm's van de eerste en tweede generatie. Azure Disk Encryption is ook beschikbaar voor VM's met Premium Storage.

Azure Disk Encryption is niet beschikbaar op Basic, A-serie VM's, V6-serie-VM's of op virtuele machines met een geheugen van minder dan 2 GB. Zie Azure Disk Encryption: Beperkingen voor meer uitzonderingen.

Ondersteunde besturingssystemen

Alle versies van Windows die BitLocker ondersteunen en zijn geconfigureerd om te voldoen aan de vereisten van BitLocker. Zie het BitLocker-overzicht voor meer informatie.

Opmerking

Windows Server 2022 en Windows 11 bieden geen ondersteuning voor een RSA 2048-bits sleutel. Zie veelgestelde vragen voor meer informatie: Welke grootte moet ik gebruiken voor mijn sleutelversleutelingssleutel?

Voor Windows Server 2012 R2 Core en Windows Server 2016 Core moet het bdehdcfg-onderdeel worden geïnstalleerd op de VIRTUELE machine voor versleuteling.

Voor Windows Server 2008 R2 moet .NET Framework 4.5 zijn geïnstalleerd voor versleuteling; installeer deze vanuit Windows Update met de optionele update van Microsoft .NET Framework 4.5.2 voor Windows Server 2008 R2 x64-systemen (KB2901983).

Netwerkvereisten

Als u Azure Disk Encryption wilt inschakelen, moeten de VM's voldoen aan de volgende configuratievereisten voor netwerkeindpunten:

  • De Windows-VM moet verbinding kunnen maken met een Azure-opslageindpunt dat als host fungeert voor de Azure-extensieopslagplaats en een Azure-opslagaccount dat als host fungeert voor de VHD-bestanden.
  • Als uw beveiligingsbeleid de toegang van Azure-VM's tot internet beperkt, kunt u de voorgaande URI oplossen en een specifieke regel configureren om uitgaande connectiviteit met de IP-adressen toe te staan. Zie Azure Key Vault achter een firewall voor meer informatie.

Vereisten voor groepsbeleid

Azure Disk Encryption maakt gebruik van de externe BitLocker-sleutelbeveiliging voor Windows-VM's. Voor vm's die lid zijn van een domein, pusht u geen groepsbeleid dat TPM-beveiliging afdwingt. Zie de referentie voor BitLocker-groepsbeleid voor informatie over het groepsbeleid 'BitLocker zonder compatibele TPM toestaan'.

BitLocker-beleid op virtuele machines die lid zijn van een domein met aangepast groepsbeleid moet de volgende instelling bevatten: Gebruikersopslag van BitLocker-herstelgegevens configureren -> 256-bits herstelsleutel toestaan. Azure Disk Encryption mislukt wanneer aangepaste groepsbeleidsinstellingen voor BitLocker niet compatibel zijn. Op computers waarop de juiste beleidsinstelling niet is ingesteld, past u het nieuwe beleid toe en dwingt u af dat het nieuwe beleid wordt bijgewerkt (gpupdate.exe /force). Mogelijk is opnieuw opstarten vereist.

Groepsbeleidsfuncties van Microsoft BitLocker Administration and Monitoring (MBAM) zijn niet compatibel met Azure Disk Encryption.

Waarschuwing

Azure Disk Encryption slaat geen herstelsleutels op. Als de instelling Interactieve aanmelding: drempelwaarde voor vergrendeling van computeraccounts is ingeschakeld, kunnen machines alleen worden hersteld door een herstelsleutel op te geven via de seriële console. Instructies voor het controleren of het juiste herstelbeleid is ingeschakeld, vindt u in het Bitlocker-herstelhandleidingplan.

Azure Disk Encryption mislukt als groepsbeleid op domeinniveau het AES-CBC algoritme blokkeert, dat wordt gebruikt door BitLocker.

Opslagvereisten voor versleutelingssleutels

Azure Disk Encryption vereist een Azure Key Vault om schijfversleutelingssleutels en -geheimen te beheren. Uw sleutelkluis en VM's moeten zich in dezelfde Azure-regio en hetzelfde abonnement bevinden.

Zie Een sleutelkluis maken en configureren voor Azure Disk Encryption voor meer informatie.

Terminologie

In de volgende tabel worden enkele algemene termen gedefinieerd die worden gebruikt in de documentatie voor Azure-schijfversleuteling:

Terminologie Definitie
Azure Key Vault Key Vault is een cryptografische, sleutelbeheerservice die is gebaseerd op FIPS-gevalideerde hardwarebeveiligingsmodules (Federal Information Processing Standards). Deze standaarden helpen bij het beveiligen van uw cryptografische sleutels en gevoelige geheimen. Zie de documentatie van Azure Key Vault en een sleutelkluis maken en configureren voor Azure Disk Encryption voor meer informatie.
Azure-opdrachtregelinterface (CLI) De Azure CLI is geoptimaliseerd voor het beheren en het administreren van Azure-resources via de opdrachtregel.
BitLocker BitLocker is een door de branche herkende Technologie voor Windows-volumeversleuteling die wordt gebruikt voor het inschakelen van schijfversleuteling op Windows-VM's.
Encryptiesleutel voor sleutels (KEK) De asymmetrische sleutel (RSA 2048) die u kunt gebruiken om het geheim te beveiligen of in te pakken. U kunt een met hardwarebeveiligingsmodule (HSM) beveiligde sleutel of met software beveiligde sleutel opgeven. Zie de documentatie van Azure Key Vault en een sleutelkluis maken en configureren voor Azure Disk Encryption voor meer informatie.
PowerShellcmdlets Zie Azure PowerShell-cmdlets voor meer informatie.

Volgende stappen

  • Last updated on