Häufig gestellte Fragen zu Azure Disk Encryption für virtuelle Windows-Computer

Dieser Artikel bietet Antworten auf häufig gestellte Fragen (FAQ) zu Azure Disk Encryption für virtuelle Windows-Computer. Weitere Informationen zu diesem Dienst finden Sie unter Azure Disk Encryption-Übersicht.

Was ist Azure Disk Encryption für virtuelle Windows-Computer?

Azure Disk Encryption für Windows-VMs bietet mithilfe des BitLocker-Features von Windows eine vollständige Datenträgerverschlüsselung der Datenträger für das Betriebssystem und für Daten. Darüber hinaus wird der temporäre Datenträger verschlüsselt, wenn der VolumeType-Parameter auf „All“ festgelegt ist. Der Inhalt wird verschlüsselt von der VM zum Speicher-Back-End übertragen. Auf diese Weise wird eine End-to-End-Verschlüsselung mit einem vom Kunden verwalteten Schlüssel erreicht.

Weitere Informationen finden Sie unter Unterstützte VMs und Betriebssysteme.

Wo ist Azure Disk Encryption allgemein verfügbar?

Azure Disk Encryption ist in allen öffentlichen Azure-Regionen allgemein verfügbar.

Welche Benutzeroberflächen sind für Azure Disk Encryption verfügbar?

Azure Disk Encryption mit allgemeiner Verfügbarkeit unterstützt Azure Resource Manager-Vorlagen, Azure PowerShell und die Azure CLI. Dank der unterschiedlichen Benutzeroberflächen können Sie flexibel vorgehen. Ihnen stehen drei Optionen zum Aktivieren der Datenträgerverschlüsselung für Ihre VMs zur Verfügung. Weitere Informationen zum Benutzererlebnis und eine ausführliche Anleitung für Azure Disk Encryption finden Sie unter Azure Disk Encryption – Bereitstellungsszenarien und -umgebungen für Windows.

Was kostet Azure Disk Encryption?

Es fallen keine Gebühren für die Verschlüsselung von VM-Datenträgern mit Azure Disk Encryption an, es werden jedoch Gebühren für die Verwendung von Azure Key Vault berechnet. Weitere Informationen zu den Azure Key Vault-Kosten finden Sie auf der Seite Key Vault – Preise.

Wie sehen die ersten Schritte mit Azure Disk Encryption aus?

Informationen zu den ersten Schritten finden Sie unter Azure Disk Encryption Overview (Azure Disk Encryption – Übersicht).

Welche VM-Größen und Betriebssysteme unterstützen Azure Disk Encryption?

Im Artikel Azure Disk Encryption – Voraussetzungen werden die VM-Größen und VM-Betriebssysteme aufgelistet, die Azure Disk Encryption unterstützen.

Kann ich sowohl Start- als auch Datenvolumes mit Azure Disk Encryption verschlüsseln?

Sie können sowohl Start- als auch Datenvolumes verschlüsseln, jedoch können Sie die Daten nicht verschlüsseln, ohne vorher das Betriebssystemvolume zu verschlüsseln.

Kann ich ein nicht bereitgestelltes Volume mit Azure Disk Encryption verschlüsseln?

Nein, Azure Disk Encryption verschlüsselt nur bereitgestellte Volumes.

Was ist serverseitige Speicherverschlüsselung?

Bei der serverseitigen Speicherverschlüsselung werden verwaltete Azure-Datenträger in Azure Storage verschlüsselt. Verwaltete Datenträger werden standardmäßig mit serverseitiger Verschlüsselung mit einem von der Plattform verwalteten Schlüssel verschlüsselt (Stand: 10. Juni 2017). Sie können die Verschlüsselung verwalteter Datenträger mit Ihren eigenen Schlüsseln verwalten, indem Sie einen kundenseitig verwalteten Schlüssel angeben. Weitere Informationen finden Sie unter Serverseitige Verschlüsselung von verwalteten Azure-Datenträgern.

Wie unterscheidet sich Azure Disk Encryption von der serverseitigen Speicherverschlüsselung mit einem vom Kunden verwalteten Schlüssel, und wann sollte ich die beiden Lösungen verwenden?

Azure Disk Encryption bietet End-to-End-Verschlüsselung für den Betriebssystemdatenträger, Datenträger für Daten und den temporären Datenträger mit einem vom Kunden verwalteten Schlüssel.

  • Wenn Ihre Anforderungen das Verschlüsseln der genannten Datenträger sowie End-to-End-Verschlüsselung einschließen, verwenden Sie Azure Disk Encryption.
  • Wenn Ihre Anforderungen das Verschlüsseln von ruhenden Daten mit einem vom Kunden verwalteten Schlüssel einschließen, verwenden Sie serverseitige Verschlüsselung mit vom Kunden verwalteten Schlüsseln. Sie können einen Datenträger nicht sowohl mit Azure Disk Encryption als auch mit der serverseitigen Speicherverschlüsselung mit kundenseitig verwalteten Schlüsseln verschlüsseln.
  • Wenn Sie ein unter Einschränkungen genanntes Szenario verwenden, sollten Sie die serverseitige Verschlüsselung mit kundenseitig verwalteten Schlüsseln in Betracht ziehen.
  • Wenn es nach den Richtlinien Ihrer Organisation zulässig ist, ruhende Inhalte mit einem von Azure verwalteten Schlüssel zu verschlüsseln, ist keine Aktion erforderlich: Der Inhalt wird standardmäßig verschlüsselt. Bei verwalteten Datenträgern wird der Inhalt im Speicher standardmäßig mit serverseitiger Verschlüsselung mit einem von der Plattform verwalteten Schlüssel verschlüsselt. Der Schlüssel wird vom Azure Storage-Dienst verwaltet.

Wie rotiere ich geheime oder Verschlüsselungsschlüssel?

Zum Rotieren geheimer Schlüssel rufen Sie einfach den gleichen Befehl auf, den Sie ursprünglich zur Aktivierung der Datenträgerverschlüsselung verwendet haben, und geben Sie einen anderen Key Vault an. Zum Rotieren des Schlüssels für die Verschlüsselung anderer Schlüssel (Key Encryption Key, KEK) rufen Sie den gleichen Befehl auf, den Sie ursprünglich zum Aktivieren der Datenträgerverschlüsselung verwendet haben, und geben die neue Schlüsselverschlüsselung an.

Warnung

  • Wenn Sie zuvor Azure Disk Encryption mit Microsoft Entra-App durch Angabe von Microsoft Entra-Anmeldeinformationen zum Verschlüsseln dieser VM verwendet haben, müssen Sie diese Option weiterhin verwenden. Die Verwendung von Azure Disk Encryption ohne Microsoft Entra ID auf einer VM, die mithilfe von Azure Disk Encryption mit Microsoft Entra ID verschlüsselt wurde, wird noch nicht unterstützt.

Wie entferne ich oder füge einen Schlüssel für die Verschlüsselung anderer Schlüssel (Key Encryption Key, KEK) hinzu, wenn ursprünglich kein Schlüssel verwendet wurde?

Um einen KEK hinzuzufügen, rufen Sie den Aktivierungsbefehl erneut auf, und übergeben den KEK-Parameter. Um einen KEK zu entfernen, rufen Sie den Aktivierungsbefehl erneut ohne den KEK-Parameter auf.

Welche Größe sollte ich für meinen KEK verwenden?

Windows Server 2022 und Windows 11 enthalten eine neuere Version von BitLocker und funktionieren derzeit nicht mit RSA 2048-Bit-Schlüsselverschlüsselungsschlüsseln. Bis dieses Problem behoben ist, verwenden Sie einen RSA 3072- oder RSA 4096-Bit-Schlüssel, wie unter Unterstützte Betriebssysteme beschrieben.

Für frühere Windows-Versionen können Sie stattdessen RSA 2048-Schlüsselverschlüsselungsschlüssel verwenden.

Ermöglicht Azure Disk Encryption die Verwendung von BYOK (Bring Your Own Key)?

Ja. Sie können Ihre eigenen Schlüssel für die Verschlüsselung anderer Schlüssel (Key Encryption Keys, KEKs) angeben. Diese Schlüssel werden in Azure Key Vault, dem Schlüsselspeicher für Azure Disk Encryption, aufbewahrt. Weitere Informationen zu den einzelnen KEK-Szenarien finden Sie in unter Erstellen und Konfigurieren eines Schlüsseltresors für Azure Disk Encryption.

Kann ich einen von Azure erstellten KEK verwenden?

Ja. Sie können Azure Key Vault verwenden, um einen KEK für Azure Disk Encryption zu erstellen. Diese Schlüssel werden in Azure Key Vault, dem Schlüsselspeicher für Azure Disk Encryption, aufbewahrt. Weitere Informationen über den Verschlüsselungsschlüssel finden Sie unter Erstellen und Konfigurieren eines Schlüsseltresors für Azure Disk Encryption.

Kann ich den lokalen Schlüsselverwaltungsdienst oder HSM verwenden, um die Verschlüsselungsschlüssel zu schützen?

Sie können den lokalen Schlüsselverwaltungsdienst oder HSM nicht verwenden, um die Verschlüsselungsschlüssel mit Azure Disk Encryption zu schützen. Sie können hierzu nur den Azure Key Vault-Dienst verwenden. Weitere Informationen zu den einzelnen KEK-Szenarien finden Sie in unter Erstellen und Konfigurieren eines Schlüsseltresors für Azure Disk Encryption.

Was sind die Voraussetzungen für die Konfiguration von Azure Disk Encryption?

Für Azure Disk Encryption müssen einige Voraussetzungen erfüllt werden. Lesen Sie den Artikel Azure Disk Encryption – Voraussetzungen, um einen neuen Schlüsseltresor zu erstellen oder einen vorhandenen Schlüsseltresor für den verschlüsselten Datenträgerzugriff einzurichten, um die Verschlüsselung zu aktivieren und Geheimnisse und Schlüssel zu schützen. Weitere Informationen zu den einzelnen KEK-Szenarien finden Sie in unter Erstellen und Konfigurieren eines Schlüsseltresors für Azure Disk Encryption.

Welche Voraussetzungen müssen für die Konfiguration von Azure Disk Encryption mit einer Microsoft Entra-App (früheres Release) erfüllt sein?

Für Azure Disk Encryption müssen einige Voraussetzungen erfüllt werden. Lesen Sie den Artikel Azure Disk Encryption mit Microsoft Entra ID, um eine Microsoft Entra-Anwendung zu erstellen, einen neuen Schlüsseltresor zu erstellen oder einen vorhandenen Schlüsseltresor für den verschlüsselten Datenträgerzugriff einzurichten. So können Sie die Verschlüsselung aktivieren sowie Geheimnisse und Schlüssel schützen. Weitere Informationen zu den einzelnen KEK-Szenarien finden Sie in unter Erstellen und Konfigurieren eines Schlüsseltresors für Azure Disk Encryption mit Microsoft Entra ID.

Wird Azure Disk Encryption mit einer Microsoft Entra-App (früheres Release) weiterhin unterstützt?

Ja. Die Datenträgerverschlüsselung mithilfe einer Microsoft Entra-App wird weiterhin unterstützt. Für die Verschlüsselung neuer VMs empfiehlt sich jedoch die Verwendung der neuen Methode, anstatt eine Microsoft Entra-App für die Verschlüsselung zu verwenden.

Kann ich VMs, die mit einer Microsoft Entra-App verschlüsselt wurden, zur Verschlüsselung ohne eine Microsoft Entra-App migrieren?

Derzeit gibt es für Computer, die mit einer Microsoft Entra-App verschlüsselt wurden, keinen direkten Migrationspfad zur Verschlüsselung ohne Microsoft Entra-App. Es gibt außerdem keinen direkten Pfad von der Verschlüsselung ohne Microsoft Entra-App zur Verschlüsselung mit einer AD-App.

Welche Version von Azure PowerShell wird von Azure Disk Encryption unterstützt?

Verwenden Sie die neueste Version des Azure PowerShell SDK, um Azure Disk Encryption zu konfigurieren. Laden Sie die neueste Version von Azure PowerShell herunter. Azure Disk Encryption wird nicht vom Azure SDK Version 1.1.0 unterstützt.

Um was handelt es sich beim Datenträger „Bek Volume“ bzw. „/mnt/azure_bek_disk“?

„Bek volume“ für Windows ist ein lokales Datenvolume, auf dem die Verschlüsselungsschlüssel für verschlüsselte Azure-VMs sicher gespeichert werden.

Hinweis

Löschen oder bearbeiten Sie keine Inhalte auf diesem Datenträger. Die Bereitstellung des Datenträgers kann nicht aufgehoben werden, da für Verschlüsselungsvorgänge auf der IaaS-VM der Verschlüsselungsschlüssel vorhanden sein muss.

Welche Verschlüsselungsmethode verwendet Azure Disk Encryption?

Azure Disk Encryption wählt die Verschlüsselungsmethode in BitLocker basierend auf der Windows-Version wie folgt aus:

Windows-Versionen Version Verschlüsselungsmethode
Windows Server 2012, Windows 10 oder höher >=1511 XTS-AES-256-Bit
Windows Server 2012, Windows 8, 8.1, 10 < 1511 AES-256-Bit *
Windows Server 2008R2 AES 256-Bit mit Diffuser

* AES-256-Bit mit Diffuser wird in Windows 2012 und höher nicht unterstützt.

Um die Version Ihres Windows-Betriebssystems zu ermitteln, führen Sie das Tool "winver" auf dem virtuellen Computer aus.

Kann ich eine verschlüsselte VM sichern und wiederherstellen?

Azure Backup bietet einen Mechanismus zum Sichern und Wiederherstellen verschlüsselter virtueller Computer innerhalb desselben Abonnements und derselben Region. Anleitungen finden Sie unter Sichern und Wiederherstellen verschlüsselter virtueller Computer mit Azure Backup. Das Wiederherstellen eines verschlüsselten virtuellen Computers in einer anderen Region wird derzeit nicht unterstützt.

Wo kann ich Fragen stellen oder Feedback geben?

Sie können auf der Frageseite von Microsoft Q&A (Fragen und Antworten) für Azure Disk Encryption Fragen stellen und Feedback geben.

Nächste Schritte

In diesem Artikel haben Sie Antworten auf die am häufigsten gestellten Fragen im Zusammenhang mit Azure Disk Encryption erhalten. Weitere Informationen zu diesem Dienst finden Sie in den folgenden Artikeln: