Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Viktigt!
Azure Disk Encryption för virtuella datorer och VM-skalningsuppsättningar dras tillbaka den 15 september 2028. Nya kunder bör använda kryptering på värdnivå för alla nya virtuella datorer. Befintliga kunder bör planera att migrera nuvarande ADE-aktiverade virtuella datorer till kryptering på värdserver före slutdatumet för att undvika avbrott i tjänsten – se Migrera från Azure Disk Encryption till kryptering på värdserver.
Gäller för: ✔️ Flexibla skalningsuppsättningar för virtuella Windows-datorer ✔️.
Azure Disk Encryption hjälper till att skydda dina data så att din verksamhet uppfyller både interna och externa krav och åtaganden. Den använder BitLocker-funktionen i Windows för att tillhandahålla volymkryptering för operativsystemet och datadiskarna på virtuella Azure-datorer (VM) och är integrerad med Azure Key Vault för att hjälpa dig att styra och hantera diskkrypteringsnycklar och hemligheter.
Azure Disk Encryption är zonmotståndskraftigt, på samma sätt som virtuella datorer. Mer information finns i Azure Services som stöder Tillgänglighetszoner.
Om du använder Microsoft Defender för molnet aviseras du om du har virtuella datorer som inte är krypterade. Aviseringarna visas som hög allvarlighetsgrad och rekommendationen är att kryptera dessa virtuella datorer.
Varning
- För virtuella datorer som tidigare krypterats med Azure Disk Encryption med Microsoft Entra-ID måste du fortsätta använda samma metod. Mer information finns i Azure Disk Encryption med Microsoft Entra ID (tidigare version).
- Implementeringen av dessa rekommendationer kan öka din data-, nätverks- eller beräkningsresursanvändning, vilket kan leda till fler licens- eller prenumerationskostnader. En giltig aktiv Azure-prenumeration krävs för att skapa resurser i regioner som stöds.
- Använd aldrig BitLocker direkt för att dekryptera virtuella datorer eller diskar som krypterats via Azure Disk Encryption, eftersom detta kan leda till dataförlust.
Du kan lära dig grunderna i Azure Disk Encryption för Windows på bara några minuter med snabbstarten Skapa och kryptera en virtuell Windows-dator med Azure CLI eller snabbstarten Skapa och kryptera en virtuell Windows-dator med Azure PowerShell.
Virtuella datorer och operativsystem som stöds
Virtuella datorer som stöds
Virtuella Windows-datorer är tillgängliga i olika storlekar. Azure Disk Encryption stöds på virtuella datorer av generation 1 och generation 2. Azure Disk Encryption är också tillgängligt för virtuella datorer med premiumlagring.
Azure Disk Encryption är inte tillgängligt på virtuella datorer i Basic- eller A-serien, virtuella datorer i v6-serien eller på virtuella datorer med mindre än 2 GB minne. Fler undantag finns i Azure Disk Encryption: Restrictions (Azure Disk Encryption: Restrictions).
Operativsystem som stöds
Alla versioner av Windows som stöder BitLocker och är konfigurerade för att uppfylla kraven för BitLocker. Mer information finns i Översikt över BitLocker.
Kommentar
Windows Server 2022 och Windows 11 stöder inte en RSA 2048-bitarsnyckel. Mer information finns i Vanliga frågor och svar: Vilken storlek ska jag använda för min nyckelkrypteringsnyckel?
Windows Server 2012 R2 Core och Windows Server 2016 Core kräver att komponenten bdehdcfg installeras på den virtuella datorn för kryptering.
Windows Server 2008 R2 kräver att .NET Framework 4.5 installeras för kryptering. installera den från Windows Update med den valfria uppdateringen Microsoft .NET Framework 4.5.2 för Windows Server 2008 R2 x64-baserade system (KB2901983).
Nätverkskrav
För att aktivera Azure Disk Encryption måste de virtuella datorerna uppfylla följande konfigurationskrav för nätverksslutpunkten:
- Den virtuella Windows-datorn måste kunna ansluta till en Azure Storage-slutpunkt som är värd för Lagringsplatsen för Azure-tillägget och ett Azure-lagringskonto som är värd för VHD-filerna.
- Om din säkerhetsprincip begränsar åtkomsten från virtuella Azure-datorer till Internet kan du lösa föregående URI och konfigurera en specifik regel för att tillåta utgående anslutning till IP-adresserna. Mer information finns i Azure Key Vault bakom en brandvägg.
Grupprincipkrav
Azure Disk Encryption använder bitLocker-skyddet för externa nycklar för virtuella Windows-datorer. För domänanslutna virtuella datorer ska du inte push-överföra några grupprinciper som framtvingar TPM-skydd. Information om grupprincipen för "Tillåt BitLocker utan kompatibel TPM" finns i BitLocker grupprincip Referens.
BitLocker-principen på domänanslutna virtuella datorer med anpassad grupprincip måste innehålla följande inställning: Konfigurera användarlagring av BitLocker-återställningsinformation –> Tillåt 256-bitars återställningsnyckel. Azure Disk Encryption misslyckas när anpassade grupprincipinställningar för BitLocker är inkompatibla. På datorer som inte hade rätt principinställning tillämpar du den nya principen och tvingar den nya principen att uppdateras (gpupdate.exe /force). Omstart kan krävas.
Grupprincipfunktionerna för Microsoft BitLocker Administration och övervakning (MBAM) är inte kompatibla med Azure Disk Encryption.
Varning
Azure Disk Encryption lagrar inte återställningsnycklar. Om säkerhetsinställningen Interaktiv inloggning: Tröskelvärde för utelåsning av datorkonto är aktiverad kan datorer bara återställas genom att tillhandahålla en återställningsnyckel via seriekonsolen. Instruktioner för att säkerställa att lämpliga återställningsprinciper är aktiverade finns i Bitlocker-återställningsguidens plan.
Azure Disk Encryption misslyckas om grupprincipen på domännivå blockerar AES-CBC-algoritmen, som används av BitLocker.
Lagringskrav för krypteringsnycklar
Azure Disk Encryption kräver ett Azure Key Vault för att styra och hantera diskkrypteringsnycklar och hemligheter. Dina nyckelvalv och virtuella datorer måste finnas i samma Azure-region och prenumeration.
Mer information finns i Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption.
Terminologi
I följande tabell definieras några vanliga termer som används i dokumentationen för Azure-diskkryptering:
| Terminologi | Definition |
|---|---|
| Azure Key Vault | Key Vault är en kryptografisk nyckelhanteringstjänst som baseras på FIPS-verifierade maskinvarusäkerhetsmoduler (Federal Information Processing Standards). Dessa standarder hjälper till att skydda dina kryptografiska nycklar och känsliga hemligheter. Mer information finns i Dokumentation om Azure Key Vault och Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption. |
| Azure CLI (kommandoradsgränssnittet för Azure) | Azure CLI är optimerat för att hantera och administrera Azure-resurser från kommandoraden. |
| BitLocker | BitLocker är en branschkänd Windows-volymkrypteringsteknik som används för att aktivera diskkryptering på virtuella Windows-datorer. |
| Nyckelkrypteringsnyckel (KEK) | Den asymmetriska nyckeln (RSA 2048) som du kan använda för att skydda eller omsluta hemligheten. Du kan ange en maskinvarusäkerhetsmodul (HSM)-skyddad nyckel eller programvaruskyddad nyckel. Mer information finns i Dokumentation om Azure Key Vault och Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption. |
| PowerShell-cmdletar | Mer information finns i Azure PowerShell-cmdletar. |
Nästa steg
- Snabbstart – Skapa och kryptera en virtuell Windows-dator med Azure CLI
- Snabbstart – Skapa och kryptera en virtuell Windows-dator med Azure PowerShell
- Azure Disk Encryption-scenarier på virtuella Windows-datorer
- Migrera från Azure Disk Encryption till kryptering på serversidan
- Cli-skript för förhandskrav för Azure Disk Encryption
- PowerShell-skript för förhandskrav för Azure Disk Encryption
- Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption