Compartilhar via

Azure Disk Encryption para VMs do Windows

Importante

O Azure Disk Encryption está programado para ser desativado em 15 de setembro de 2028. Até essa data, você pode continuar a usar o Azure Disk Encryption sem interrupções. Em 15 de setembro de 2028, as cargas de trabalho habilitadas para ADE continuarão a ser executadas, mas os discos criptografados não serão desbloqueados após reinicializações da VM, resultando em interrupção do serviço.

Utilize criptografia no host para novas VMs. Todas as VMs habilitadas para ADE (incluindo backups) devem migrar para a criptografia no host antes da data de desativação para evitar a interrupção do serviço. Consulte Migrar do Azure Disk Encryption para criptografia no host para obter detalhes.

Aplica-se a: ✔️ VMs do Windows ✔️ Conjuntos de dimensionamento flexíveis.

O Azure Disk Encryption ajuda a proteger seus dados e a atender aos compromissos de conformidade e segurança da sua organização. Ele usa o recurso BitLocker do Windows para fornecer criptografia de volume para o sistema operacional e os discos de dados das VMs (máquinas virtuais) do Azure e é integrado ao Azure Key Vault para ajudar você a controlar e gerenciar as chaves de criptografia de disco e os segredos.

Azure Disk Encryption é resiliente à zona, da mesma maneira que as Máquinas Virtuais. Para saber mais, veja Os serviços do Azure que oferecem suporte às Zonas de Disponibilidade.

Se você usar o Microsoft Defender para Nuvem, receberá um alerta se tiver VMs não criptografadas. Esses alertas são mostrados como Alta Gravidade e a recomendação é criptografar essas VMs.

Alerta de criptografia de disco do Microsoft Defender para Nuvem

Aviso

  • Para VMs criptografadas anteriormente usando o Azure Disk Encryption com a ID do Microsoft Entra, você deve continuar usando esse mesmo método. Consulte Azure Disk Encryption com o Microsoft Entra ID (versão anterior) para obter detalhes.
  • A implementação dessas recomendações pode aumentar seus dados, rede ou uso de recursos de computação, potencialmente resultando em mais custos de licença ou assinatura. Uma assinatura ativa válida do Azure é necessária para criar recursos em regiões com suporte.
  • Nunca use o BitLocker diretamente para descriptografar VMs ou discos criptografados por meio do Azure Disk Encryption, pois isso pode levar à perda de dados.

Você pode aprender os conceitos básicos do Azure Disk Encryption para Windows em apenas alguns minutos com o Início rápido: criar e criptografar uma VM do Windows com CLI do Azure ou o Início rápido: criar e criptografar uma VM do Windows com o Azure PowerShell.

Sistemas operacionais e VMs com suporte

VMs com suporte

As VMs do Windows estão disponíveis em uma série de tamanhos. Azure Disk Encryption tem suporte em VMs de Geração 1 e Geração 2. O Azure Disk Encryption também está disponível para VMs com armazenamento premium.

O Azure Disk Encryption não está disponível em VMs básicas da série A, VMs da série V6 ou em máquinas virtuais com menos de 2 GB de memória. Para obter mais exceções, consulte Azure Disk Encryption: Restrições.

Sistemas operacionais compatíveis

Todas as versões do Windows que dão suporte ao BitLocker e são configuradas para atender aos requisitos do BitLocker. Para obter mais informações, confira Visão geral do BitLocker.

Observação

No Windows Server 2022 e no Windows 11 não há suporte para chave RSA de 2048 bits. Para saber mais, confira Perguntas frequentes: qual tamanho devo usar para minha chave de criptografia de chave?

O Windows Server 2012 R2 Core e o Windows Server 2016 Core exigem que o componente bdehdcfg seja instalado na VM para criptografia.

O Windows Server 2008 R2 requer que o .NET Framework 4.5 seja instalado para criptografia; instale-o do Windows Update com a atualização opcional Microsoft .NET Framework 4.5.2 para sistemas baseados no Windows Server 2008 R2 x64(KB2901983).

Requisitos de rede

Para habilitar o recurso de Criptografia de Disco do Azure, as VMs devem atender aos seguintes requisitos de configuração do ponto de extremidade de rede:

  • A VM do Windows deve ser capaz de se conectar a um ponto de extremidade do armazenamento do Azure que hospeda o repositório de extensão do Azure e uma conta de armazenamento do Azure que hospeda os arquivos VHD.
  • Se a política de segurança limita o acesso de VMs do Azure à Internet, você pode resolver o URI anterior e configurar uma regra específica para permitir a conectividade de saída para os IPs. Para obter mais informações, consulte Azure Key Vault por trás de um firewall.

Requisitos da política de grupo

O Azure Disk Encryption usa o protetor de chave externa do BitLocker para Windows VMs. Para VMs ingressado no domínio, não envie por push todas as políticas de grupo que imponham protetores TPM. Para obter informações sobre a política de grupo "Permitir BitLocker sem um TPM compatível", confira Referência de política de grupo do BitLocker.

Políticas do BitLocker em máquinas virtuais conectadas ao domínio com uma política de grupo personalizado devem incluir a seguinte configuração: Configurar o armazenamento do usuário das informações de recuperação do BitLocker -> Permitir chave de recuperação de 256 bits. O Azure Disk Encryption falha quando as configurações da política de grupo personalizada para o BitLocker são incompatíveis. Em computadores que não tenham a configuração de política correta, aplique a nova política e force para atualizar a nova política (gpupdate.exe /force). A reinicialização poderá ser necessária.

Os recursos da política de grupo de MBAM (Administração e Monitoramento do Microsoft BitLocker) não são compatíveis com o Azure Disk Encryption.

Aviso

O Azure Disk Encryption não armazena as chaves de recuperação. Se a configuração de segurança Logon interativo: Limite de bloqueio de conta de computador estiver habilitada, os computadores só poderão ser recuperados fornecendo uma chave de recuperação através do console serial. As instruções para garantir que as políticas de recuperação apropriadas estejam habilitadas podem ser encontradas no Plano do guia de recuperação do BitLocker.

O Azure Disk Encryption falhará se a política de grupo de nível de domínio bloquear o algoritmo AES-CBC, que é usado pelo BitLocker.

Requisitos de armazenamento de chave de criptografia

O Azure Disk Encryption requer um Azure Key Vault para ajudar você a controlar e gerenciar os segredos e chaves de criptografia de disco. Seu cofre de chaves e as VMs devem residir na mesma região e assinatura do Azure.

Para saber detalhes, confira Criar e configurar um cofre de chaves para Azure Disk Encryption.

Terminologia

A tabela a seguir define alguns dos termos comuns usados na documentação de criptografia de disco do Azure:

Terminologia Definição
Azure Key Vault Key Vault é um serviço de gerenciamento de chaves criptográfico baseado em módulos de segurança de hardware validados pelo FIPS (Federal Information Processing Standards). Esses padrões ajudam a proteger as chaves criptográficas e os segredos confidenciais. Para obter mais informações, consulte a documentação do Azure Key Vault e Criar e configurar um cofre de chaves para Azure Disk Encryption.
CLI do Azure A CLI do Azure é otimizada para gerenciar e administrar os recursos do Azure na linha de comando.
BitLocker O BitLocker é uma tecnologia de criptografia de volume do Windows reconhecida pela indústria e usada para habilitar a criptografia de disco em VMs do Windows.
Chave com criptografia de chave (KEK) A chave assimétrica (RSA 2048) que pode ser usada para proteger ou encapsular o segredo. É possível fornecer uma chave protegida por HSM (módulos de segurança de hardware) ou uma chave protegida por software. Para obter mais informações, consulte a documentação do Azure Key Vault e Criar e configurar um cofre de chaves para Azure Disk Encryption.
Cmdlets do PowerShell Para obter mais informações, confira cmdlets do Azure PowerShell.

Próximas etapas

  • Last updated on