Windows 用 Azure Disk Encryption (Microsoft.Azure.Security.AzureDiskEncryption)
概要
Azure Disk Encryption では、BitLocker を使用して、Windows を実行している Azure 仮想マシン上で完全なディスク暗号化を提供します。 このソリューションは Azure Key Vault と統合されており、ディスクの暗号化キーとシークレットは Key Vault サブスクリプションで管理することができます。
前提条件
前提条件の完全な一覧については、「Windows VM 用の Azure Disk Encryption」の特に次のセクションを参照してください。
拡張機能のスキーマ
Azure Disk Encryption (ADE) 用の拡張スキーマには、次の 2 つのバージョンがあります。
- v2.2 - Microsoft Entra のプロパティを使用しない、推奨される新しいスキーマ。
- v1.1 - Microsoft Entra プロパティを必要とする古いスキーマ。
ターゲット スキーマを選択するには、typeHandlerVersion プロパティを、使用するスキーマのバージョンと同じ値に設定する必要があります。
スキーマ v2.2: Microsoft Entra ID なし (推奨)
v2.2 スキーマはすべての新しい VM で推奨されており、Microsoft Entra のプロパティを必要としません。
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "2.2",
"autoUpgradeMinorVersion": true,
"settings": {
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
スキーマ v1.1: Microsoft Entra ID を使用
1.1 スキーマでは、aadClientID と、aadClientSecret または AADClientCertificate のいずれかを必要とします。新しい VM には推奨されません。
aadClientSecretの使用
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientSecret": "[aadClientSecret]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "1.1",
"settings": {
"AADClientID": "[aadClientID]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
AADClientCertificateの使用
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientCertificate": "[aadClientCertificate]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "1.1",
"settings": {
"AADClientID": "[aadClientID]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
プロパティ値
注: すべての値で大文字と小文字が区別されます。
| 名前 | 値/例 | データ型 |
|---|---|---|
| apiVersion | 2019-07-01 | date |
| publisher | Microsoft.Azure.Security | string |
| type | AzureDiskEncryption | string |
| typeHandlerVersion | 2.2、1.1 | string |
| (1.1 スキーマ) AADClientID | xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx | guid |
| (1.1 スキーマ) AADClientSecret | password | string |
| (1.1 スキーマ) AADClientCertificate | thumbprint | string |
| EncryptionOperation | EnableEncryption | string |
| (省略可能 - 既定値 RSA-OAEP) KeyEncryptionAlgorithm | 'RSA-OAEP'、'RSA-OAEP-256'、'RSA1_5' | string |
| KeyVaultURL | url | string |
| KeyVaultResourceId | url | string |
| (省略可能) KeyEncryptionKeyURL | url | string |
| (省略可能) KekVaultResourceId | url | string |
| (省略可能) SequenceVersion | UNIQUEIDENTIFIER | string |
| VolumeType | OS、Data、All | string |
テンプレートのデプロイ
スキーマ v2.2 に基づくテンプレートのデプロイの例については、Azure クイックスタート テンプレートの encrypt-running-windows-vm-without-aad を参照してください。
スキーマ v1.1 を基板とするテンプレート デプロイの例については、Azure クイックスタート テンプレート encrypt-running-windows-vm を参照してください。
Note
また、VolumeType パラメーターが All に設定されている場合は、正しくフォーマットされている場合にのみ、データ ディスクが暗号化されます。
トラブルシューティングとサポート
トラブルシューティング
トラブルシューティングについては、「Azure Disk Encryption トラブルシューティング ガイド」を参照してください。
サポート
この記事についてさらにヘルプが必要な場合は、いつでも MSDN の Azure フォーラムと Stack Overflow フォーラムで Azure エキスパートに問い合わせることができます。
または、Azure サポート インシデントを送信できます。 Azure サポートに移動して、[サポートを受ける] を選択します。 Azure サポートの使用方法の詳細については、「 Azure Support FAQ (Microsoft Azure サポートに関する FAQ)」を参照してください。
次のステップ
- 拡張機能の詳細については、「Windows 用の仮想マシン拡張機能とその機能」を参照してください。
- Windows 用の Azure Disk Encryption の詳細については、「Windows Virtual Machines」を参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示