Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Visão geral
O Azure Disk Encryption usa BitLocker para fornecer criptografia de disco completa em máquinas virtuais do Azure que executam o Windows. Está solução é integrada ao Azure Key Vault para gerenciar os segredos e as chaves de criptografia de disco em sua assinatura do cofre de chaves.
Observação
Experimente a assistência de VM para diagnósticos mais rápidos. Recomendamos que você execute VM assist for Windows ou VM assist for Linux. Essas ferramentas de diagnóstico baseadas em script ajudam você a identificar problemas comuns que afetam o Agente Convidado da VM do Azure e a integridade geral da VM.
Se você estiver enfrentando problemas de desempenho com máquinas virtuais, antes de entrar em contato com o suporte, execute essas ferramentas.
Pré-requisitos
Para obter uma lista completa de pré-requisitos, consulte Azure Disk Encryption para VMs do Windows, especificamente as seguintes seções:
Esquema de Extensão
Há duas versões do esquema de extensão para Azure Disk Encryption (ADE):
- v2.2: um esquema recomendado mais recente que não usa as propriedades do Microsoft Entra.
- v1.1: um esquema mais antigo que requer propriedades do Microsoft Entra.
Para selecionar um esquema de destino, a propriedade typeHandlerVersion deve ser definida igual à versão do esquema que você deseja usar.
Esquema v2.2: sem Microsoft Entra ID (recomendado)
O esquema v2.2 é recomendado para todas as VMs novas e não requer propriedades do Microsoft Entra.
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "2.2",
"autoUpgradeMinorVersion": true,
"settings": {
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Esquema v1.1: com Microsoft Entra ID
O esquema 1.1 requer aadClientID e também aadClientSecret ou AADClientCertificate e não é recomendado para novas VMs.
Usando aadClientSecret:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientSecret": "[aadClientSecret]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "1.1",
"settings": {
"AADClientID": "[aadClientID]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Usando AADClientCertificate:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientCertificate": "[aadClientCertificate]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "1.1",
"settings": {
"AADClientID": "[aadClientID]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Valores de propriedade
Observação: todos os valores diferenciam maiúsculas de minúsculas.
| Nome | Valor/Exemplo | Tipo de Dados |
|---|---|---|
| apiVersion | 2019-07-01 | date |
| desenvolvedor | Microsoft.Azure.Security | cadeia |
| tipo | AzureDiskEncryption | cadeia |
| typeHandlerVersion | 2.2, 1.1 | cadeia |
| (esquema 1.1) AADClientID | xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx | guid |
| (esquema 1.1) AADClientSecret | senha | cadeia |
| (esquema 1.1) AADClientCertificate | impressão digital | cadeia |
| EncryptionOperation | EnableEncryption | cadeia |
| (opcional - padrão RSA-OAEP ) KeyEncryptionAlgorithm | 'RSA-OAEP', 'RSA-OAEP-256', 'RSA1_5' | cadeia |
| KeyVaultURL | url | cadeia |
| KeyVaultResourceId | url | cadeia |
| (opcional) KeyEncryptionKeyURL | url | cadeia |
| (opcional) KekVaultResourceId | url | cadeia |
| (opcional) SequenceVersion | UNIQUEIDENTIFIER | cadeia |
| VolumeType | Sistema operacional, Dados, Tudo | cadeia |
Implantação de modelo
Para obter um exemplo de implantação de modelo com base no esquema v2.2, consulte o modelo de início rápido do Azure encrypt-running-windows-vm-without-aad.
Para obter um exemplo de implantação de modelo com base no esquema v1.1, consulte modelo de início rápido do Azure encrypt-running-windows-vm.
Observação
Além disso, se o parâmetro VolumeType for definido como Tudo, os discos de dados serão criptografados somente se forem montados corretamente.
Solução de problemas e suporte
Solucionar problemas
Para solução de problemas, consulte o Guia de solução de problemas do Azure Disk Encryption.
Suporte
Caso precise de mais ajuda em qualquer ponto deste artigo, entre em contato com os especialistas do Azure nos fóruns do Azure MSDN e do Stack Overflow.
Como alternativa, você pode registrar um incidente de suporte do Azure. Acesse o Suporte do Azure e selecione Obter suporte. Para saber mais sobre como usar o suporte do Azure, leia as Perguntas frequentes do Suporte do Microsoft Azure.
Próximas etapas
- Para obter mais informações sobre extensões, consulte Recursos e extensões da máquina virtual para Windows.
- Para mais informações sobre o Azure Disk Encryption para Linux, consulte Máquinas virtuais Windows.