Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Importante
A Criptografia de Disco do Azure para Máquinas Virtuais e Conjuntos de Dimensionamento de Máquinas Virtuais será desativada em 15 de setembro de 2028. Novos clientes devem usar criptografia no host para todas as novas VMs. Os clientes existentes devem planear migrar as VMs atuais habilitadas para ADE para a criptografia no host antes da data de desativação para evitar interrupções de serviço -- consulte Migrar da Criptografia de Disco do Azure para a criptografia no host.
Aplica-se a: ✔️ VMs ✔️ do Windows Conjuntos de escala flexível.
A Azure Disk Encryption ajuda a proteger e a salvaguardar os seus dados para cumprir as obrigações de conformidade e segurança da sua organização. Utiliza a funcionalidade BitLocker do Windows para fornecer criptografia de volume para o SO e discos de dados das máquinas virtuais (VMs) do Azure e está integrado no Azure Key Vault para ajudar a controlar e gerir as chaves e segredos de criptografia do disco.
O Azure Disk Encryption é resiliente à zona, da mesma forma que as Máquinas Virtuais. Para obter detalhes, consulte Serviços do Azure que dão suporte a zonas de disponibilidade.
Se você usa o Microsoft Defender for Cloud, será alertado se tiver VMs não criptografadas. Os alertas são exibidos como Alta Severidade e a recomendação é criptografar essas VMs.
Aviso
- Para VMs previamente criptografadas usando o Azure Disk Encryption com ID do Microsoft Entra, você deve continuar usando esse mesmo método. Para obter os detalhes, veja Azure Disk Encryption com o Microsoft Entra ID (versão anterior).
- A implementação dessas recomendações pode aumentar o uso de dados, rede ou recursos de computação, potencialmente resultando em mais custos de licença ou assinatura. É necessária uma subscrição ativa válida do Azure para criar recursos em regiões suportadas.
- Nunca use o BitLocker diretamente para descriptografar VMs ou discos que foram criptografados por meio da Criptografia de Disco do Azure, pois isso pode levar à perda de dados.
Você pode aprender os fundamentos da Criptografia de Disco do Azure para Windows em apenas alguns minutos com o início rápido Criar e criptografar uma VM do Windows com a Azure CLI ou o início rápido Criar e criptografar uma VM do Windows com o Azure PowerShell.
VMs e sistemas operacionais suportados
VMs suportadas
As VMs do Windows estão disponíveis em vários tamanhos. O Azure Disk Encryption tem suporte em VMs de Geração 1 e 2. O Azure Disk Encryption também está disponível para VMs com armazenamento premium.
O Azure Disk Encryption não está disponível em VMs Basic, série A, VMs da série v6 ou em máquinas virtuais com menos de 2 GB de memória. Para obter mais exceções, consulte Azure Disk Encryption: Restrictions.
Sistemas operativos suportados
Todas as versões do Windows que suportam o BitLocker e estão configuradas para atender aos requisitos do BitLocker. Para obter mais informações, consulte Visão geral do BitLocker.
Nota
O Windows Server 2022 e o Windows 11 não suportam uma chave RSA de 2048 bits. Para obter mais informações, consulte FAQ: Que tamanho devo usar para minha chave de criptografia de chave?
O Windows Server 2012 R2 Core e o Windows Server 2016 Core exigem que o componente bdehdcfg seja instalado na VM para criptografia.
O Windows Server 2008 R2 requer que o .NET Framework 4.5 seja instalado para criptografia; instalá-lo a partir do Windows Update com a atualização opcional Microsoft .NET Framework 4.5.2 para sistemas baseados em x64 (KB2901983) do Windows Server 2008 R2.
Requisitos de rede
Para habilitar a Criptografia de Disco do Azure, as VMs devem atender aos seguintes requisitos de configuração de ponto de extremidade de rede:
- A VM do Windows deve ser capaz de se conectar a um ponto de extremidade de armazenamento do Azure que hospeda o repositório de extensão do Azure e uma conta de armazenamento do Azure que hospeda os arquivos VHD.
- Se sua política de segurança limitar o acesso das VMs do Azure à Internet, você poderá resolver o URI anterior e configurar uma regra específica para permitir a conectividade de saída com os IPs. Para obter mais informações, consulte Azure Key Vault behind a firewall.
Requisitos da Política de Grupo
A Criptografia de Disco do Azure usa o protetor de chave externa do BitLocker para VMs do Windows. Para VMs ingressadas no domínio, não aplique nenhuma política de grupo que imponha protetores TPM. Para obter informações sobre a política de grupo para "Permitir BitLocker sem um TPM compatível", consulte Referência da Política de Grupo do BitLocker.
A política do BitLocker em máquinas virtuais ingressadas no domínio com política de grupo personalizada deve incluir a seguinte configuração: Configurar o armazenamento do usuário das informações de recuperação do BitLocker -> Permitir chave de recuperação de 256 bits. A Criptografia de Disco do Azure falhará quando as configurações de política de grupo personalizadas para o BitLocker forem incompatíveis. Em máquinas que não têm a configuração de política correta, aplique a nova política e force a nova política a atualizar (gpupdate.exe /force). Pode ser necessário reiniciar novamente.
Os recursos de política de grupo do Microsoft BitLocker Administration and Monitoring (MBAM) não são compatíveis com a Criptografia de Disco do Azure.
Aviso
O Azure Disk Encryption não armazena chaves de recuperação. Se a configuração de segurança Logon interativo: limite de bloqueio de conta da máquina estiver ativada, as máquinas só poderão ser recuperadas através de uma chave de recuperação disponibilizada pela consola serial. Instruções para garantir que as políticas de recuperação apropriadas estejam habilitadas podem ser encontradas no Guia do plano de recuperação do Bitlocker.
A Criptografia de Disco do Azure falhará se a política de grupo no nível de domínio bloquear o algoritmo AES-CBC, que é usado pelo BitLocker.
Requisitos do armazenamento de chaves de encriptação
O Azure Disk Encryption requer um Cofre de Chaves do Azure para controlar e gerenciar chaves e segredos de criptografia de disco. Seu cofre de chaves e VMs devem residir na mesma região e assinatura do Azure.
Para obter detalhes, consulte Criando e configurando um cofre de chaves para a Criptografia de Disco do Azure.
Terminologia
A tabela a seguir define alguns dos termos comuns usados na documentação de criptografia de disco do Azure:
| Terminologia | Definição |
|---|---|
| Azure Key Vault | O Key Vault é um serviço de gerenciamento de chaves criptográfico baseado em módulos de segurança de hardware validados pelo Federal Information Processing Standards (FIPS). Esses padrões ajudam a proteger suas chaves criptográficas e segredos confidenciais. Para obter mais informações, consulte a documentação do Azure Key Vault e Criando e configurando um cofre de chaves para o Azure Disk Encryption. |
| CLI do Azure | A CLI do Azure é otimizada para gerenciar e administrar recursos do Azure a partir da linha de comando. |
| BitLocker | O BitLocker é uma tecnologia de criptografia de volume do Windows reconhecida pelo setor que é usada para habilitar a criptografia de disco em VMs do Windows. |
| Chave de encriptação de chaves (KEK) | A chave assimétrica (RSA 2048) que pode utilizar para proteger ou encapsular o segredo. Você pode fornecer uma chave protegida pelo módulo de segurança de hardware (HSM) ou uma chave protegida por software. Para obter mais informações, consulte a documentação do Azure Key Vault e Criando e configurando um cofre de chaves para o Azure Disk Encryption. |
| Cmdlets do PowerShell | Para obter mais informações, consulte Cmdlets do Azure PowerShell. |
Próximos passos
- Guia de início rápido - Criar e criptografar uma VM do Windows com a CLI do Azure
- Guia de início rápido - Criar e criptografar uma VM do Windows com o Azure PowerShell
- Cenários do Azure Disk Encryption em VMs do Windows
- Migrar do Azure Disk Encryption para a criptografia do lado do servidor
- Script de pré-requisitos da CLI do Azure Disk Encryption
- Script PowerShell de pré-requisitos do Azure Disk Encryption
- Criar e configurar um cofre de chaves para o Azure Disk Encryption