Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
Crittografia dischi di Azure per le macchine virtuali e i set di scalabilità di macchine virtuali verrà ritirato il 15 settembre 2028. I nuovi clienti devono usare la crittografia nell'host per tutte le nuove macchine virtuali. I clienti esistenti devono pianificare la migrazione delle macchine virtuali abilitate per ADE correnti alla crittografia nell'host prima della data di ritiro per evitare interruzioni del servizio. Vedere Eseguire la migrazione da Crittografia dischi di Azure alla crittografia nell'host.
Si applica a: ✔️ Macchine virtuali e set di scalabilità flessibili ✔️ Windows.
Crittografia dischi di Azure consente di proteggere e salvaguardare i dati per soddisfare gli obblighi di sicurezza e conformità dell'organizzazione. Usa la funzionalità BitLocker di Windows per offrire la crittografia del volume per il disco del sistema operativo e i dischi dati delle macchine virtuali (VM) di Azure ed è integrato con Azure Key Vault per facilitare il controllo e la gestione delle chiavi e dei segreti di crittografia dei dischi.
Crittografia dischi di Azure è resiliente a livello di area, allo stesso modo delle macchine virtuali. Per altri dettagli, vedere servizi Azure che supportano la funzionalità Zone di disponibilità.
Se si usa Microsoft Defender per il cloud, si viene avvisati se sono presenti macchine virtuali non crittografate. Gli avvisi vengono visualizzati con un livello di gravità elevato e la raccomandazione di crittografare tali macchine virtuali.
Avviso
- Per le macchine virtuali crittografate in precedenza con Crittografia dischi di Azure con Microsoft Entra ID, è necessario continuare a usare lo stesso metodo. Per i dettagli, vedere Crittografia dischi di Azure con Microsoft Entra ID (versione precedente).
- L'implementazione di queste raccomandazioni può aumentare l'utilizzo di dati, rete o risorse di calcolo, con un conseguente possibile aumento dei costi di licenza o sottoscrizione. Per creare risorse nelle aree supportate, è necessaria una sottoscrizione di Azure attiva valida.
- Non usare mai BitLocker direttamente per decrittografare le macchine virtuali o i dischi crittografati tramite Crittografia dischi di Azure, in quanto ciò può causare la perdita di dati.
È possibile apprendere in pochi minuti le nozioni di base di Crittografia dischi di Azure per Windows con Avvio rapido: Creare e crittografare una macchina virtuale Windows con l'interfaccia della riga di comando di Azure o Avvio rapido: Creare e crittografare una macchina virtuale Windows con Azure PowerShell.
Macchine virtuali e sistemi operativi supportati
VM supportate
Le macchine virtuali Windows sono disponibili in una gamma di dimensioni. Crittografia dischi di Azure è supportato nelle macchine virtuali di generazione 1 e 2. Crittografia dischi di Azure è disponibile anche per le macchine virtuali con Archiviazione Premium.
Crittografia dischi di Azure non è disponibile in macchine virtuali di base, serie A, macchine virtuali serie v6 o in macchine virtuali con meno di 2 GB di memoria. Per altre eccezioni, vedere Crittografia dischi di Azure: limitazioni.
Sistemi operativi supportati
Tutte le versioni di Windows che supportano BitLocker e sono configurate per soddisfare i requisiti di BitLocker. Per altre informazioni, vedere Panoramica BitLocker.
Note
Windows Server 2022 e Windows 11 non supportano una chiave RSA a 2048 bit. Per altre informazioni, vedere Domande frequenti: Quali dimensioni è consigliabile usare per la chiave di crittografia della chiave?
Windows Server 2012 R2 Core e Windows Server 2016 Core richiedonol'installazione del componente bdehdcfg nella macchina virtuale per la crittografia.
Windows Server 2008 R2 richiede l'installazione di .NET Framework 4.5 per la crittografia; installarlo da Windows Update tramite l'aggiornamento facoltativo Microsoft .NET Framework 4.5.2 per i sistemi Windows Server 2008 R2 basati su x64 (KB2901983).
Requisiti di rete
Per abilitare Crittografia dischi di Azure, è necessario che le macchine virtuali soddisfino i requisiti di configurazione degli endpoint di rete seguenti:
- La macchina virtuale Windows deve potersi connettere a un endpoint di archiviazione di Azure che ospita il repository delle estensioni di Azure e a un account di archiviazione di Azure che ospita i file del disco rigido virtuale.
- Se i criteri di sicurezza limitano l'accesso dalle macchine virtuali di Azure a Internet, è possibile risolvere l'URI precedente e configurare una regola specifica per consentire la connettività in uscita agli indirizzi IP. Per altre informazioni, vedere Azure Key Vault protetto da firewall.
Requisiti di Criteri di gruppo
Crittografia dischi di Azure usa la protezione con chiave esterna BitLocker per le macchine virtuali Windows. Per le macchine virtuali aggiunte a un dominio, non eseguire il push di criteri di gruppo che applichino protezioni TPM. Per informazioni sui Criteri di gruppo per consentire BitLocker senza un TPM compatibile, vedere BitLocker Group Policy Reference (Informazioni di riferimento sui Criteri di gruppo BitLocker).
I criteri di BitLocker nelle macchine virtuali aggiunte a un dominio con criteri di gruppo personalizzati devono includere l'impostazione seguente: Configurazione archiviazione delle informazioni di ripristino di BitLocker da parte degli utenti > Consenti chiave di ripristino a 256 bit. Crittografia dischi di Azure avrà esito negativo quando le impostazioni di Criteri di gruppo personalizzate per BitLocker sono incompatibili. Sulle macchine sprovviste delle corrette impostazioni di criteri, applicare i nuovi criteri e forzare l'aggiornamento dei criteri (gpupdate.exe /force). Potrebbe essere necessario eseguire il riavvio.
Le funzionalità di Criteri di gruppo di Microsoft BitLocker Administration and Monitoring (MBAM) non sono compatibili con Crittografia dischi di Azure.
Avviso
Crittografia dischi di Azure non archivia le chiavi di ripristino. Se l'impostazione di sicurezza accesso interattivo: soglia di blocco dell'account del computer è abilitata, i computer possono essere recuperati solo fornendo una chiave di ripristino tramite la console seriale. Le istruzioni per assicurarsi che i criteri di ripristino appropriati siano abilitati sono disponibili nel piano di ripristino di Bitlocker.
Crittografia dischi di Azure avrà esito si conclude con un errore se i criteri di gruppo a livello di dominio bloccano l'algoritmo AES-CBC, usato da BitLocker.
Requisiti di archiviazione delle chiavi di crittografia
Crittografia dischi di Azure richiede Azure Key Vault per controllare e gestire segreti e chiavi di crittografia dei dischi. L'insieme di credenziali delle chiavi e le macchine virtuali devono risiedere nella stessa area e sottoscrizione di Azure.
Per altre informazioni, vedere Creazione e configurazione di un insieme di credenziali delle chiavi per Crittografia dischi di Azure.
Terminologia
La tabella seguente definisce alcuni dei termini comuni usati nella documentazione di Crittografia dischi di Azure:
| Terminologia | Definizione |
|---|---|
| Azure Key Vault (Archivio chiavi di Azure) | Key Vault è un servizio di crittografia e gestione delle chiavi basato su moduli di sicurezza hardware convalidati dagli standard FIPS (Federal Information Processing Standards). Questi standard consentono di proteggere le chiavi crittografiche e i segreti sensibili. Per altre informazioni, vedere la documentazione di Azure Key Vault e Creazione e configurazione di un insieme di credenziali delle chiavi per Crittografia dischi di Azure. |
| Interfaccia della riga di comando di Azure | L'interfaccia della riga di comando di Azure è ottimizzata per la gestione e l'amministrazione delle risorse di Azure dalla riga di comando. |
| BitLocker | BitLocker è una tecnologia di crittografia del volume di Windows riconosciuta nel settore, usata per abilitare la crittografia dei dischi nelle macchine virtuali di Windows. |
| Chiave di crittografia della chiave (KEK) | La chiave asimmetrica (RSA 2048) che è possibile usare per proteggere il segreto o eseguirne il wrapping. È possibile fornire una chiave protetta tramite modulo di protezione hardware o una chiave protetta tramite software. Per altre informazioni, vedere la documentazione di Azure Key Vault e Creazione e configurazione di un insieme di credenziali delle chiavi per Crittografia dischi di Azure. |
| Cmdlet PowerShell | Per altre informazioni, vedere Cmdlet di Azure PowerShell. |
Passaggi successivi
- Avvio rapido: Creare e crittografare una macchina virtuale Windows con l'interfaccia della riga di comando di Azure
- Avvio rapido: Creare e crittografare una macchina virtuale Windows con Azure PowerShell
- Scenari di crittografia dischi di Azure per macchine virtuali Windows
- Eseguire la migrazione da Crittografia dischi di Azure alla crittografia lato server
- Script dell'interfaccia della riga di comando dei prerequisiti di Crittografia dischi di Azure
- Script di PowerShell dei prerequisiti di Crittografia dischi di Azure
- Creazione e configurazione di un insieme di credenziali delle chiavi per la crittografia dischi di Azure