سيناريوهات تشفير قرص Azure على أجهزة Windows الظاهرية

مقالة
01/03/2024

ينطبق على: ✔️ أجهزة ظاهرية تعمل بنظام التشغيل Windows ✔️ مجموعات تغيير السعة المرنة

يستخدم تشفير قرص Azure للأجهزة الظاهرية Windows ميزة BitLocker في Windows لتوفير تشفير القرص الكامل لقرص نظام التشغيل وأقراص البيانات. بالإضافة إلى ذلك، فإنه يوفر تشفير القرص المؤقت عندما تكون المعلمة VolumeType هي الكل.

تم دمج تشفير قرص Azure مع Azure Key Vault لمساعدتك على التحكم في مفاتيح تشفير القرص والأسرار وإدارتها. للحصول على نظرة عامة على الخدمة، راجع تشفير قرص Azure لأجهزة Windows الظاهرية.

المتطلبات الأساسية

يمكنك فقط تطبيق تشفير القرص على الأجهزة الظاهرية ذات أحجام الأجهزة الظاهرية وأنظمة التشغيل المدعومة. يجب عليك أيضاً تلبية المتطلبات الأساسية التالية:

القيود

إذا كنت قد استخدمت تشفير قرص Azure مسبقا مع معرف Microsoft Entra لتشفير جهاز ظاهري، يجب الاستمرار في استخدام هذا الخيار لتشفير الجهاز الظاهري الخاص بك. راجع تشفير قرص Azure باستخدام معرف Microsoft Entra (الإصدار السابق) للحصول على التفاصيل.

يجب عليك التقاط لقطة و/أو إنشاء نسخة احتياطية قبل تشفير الأقراص. تضمن النسخ الاحتياطية إمكانية خيار الاسترداد في حال حدوث فشل غير متوقع في أثناء التشفير. تتطلب الأجهزة الظاهرية ذات الأقراص المدارة نسخة احتياطية لما قبل حدوث التشفير. بمجرد إجراء نسخة احتياطية، يمكنك استخدام cmdlet Set-AzVMDiskEncryptionExtension لتشفير الأقراص المدارة عن طريق تحديد المعلمة -skipVmBackup. لمزيد من المعلومات حول كيفية عمل نسخة احتياطية من الأجهزة الظاهرية المشفرة واستعادتها، راجع النسخ الاحتياطي لجهاز Azure الظاهري المشفر واستعادته.

قد يؤدي التشفير أو تعطيل التشفير إلى إعادة تشغيل جهاز ظاهري.

لا يعمل تشفير قرص Azure مع السيناريوهات والميزات والتقنيات التالية:

تشفير الأجهزة الظاهرية الأساسية للطبقة أو الأجهزة الظاهرية التي تم إنشاؤها من خلال طريقة إنشاء الأجهزة الظاهرية الكلاسيكية.
تشفير الأجهزة الظاهرية التي تم تكوينها باستخدام أنظمة RAID المستندة إلى البرامج.
تشفير أجهزة ظاهرية تم تكوينها باستخدام مساحات التخزين المباشرة (S2D)، أو إصدارات Windows Server قبل 2016 التي تم تكوينها باستخدام مساحات التخزين لـ Windows.
التكامل مع نظام إدارة المفاتيح المحلية.
ملفات Azure (نظام الملفات المشترك).
بروتوكول Network File System (NFS).
وحدات تخزين ديناميكية.
حاويات Windows Server، والتي تنشئ وحدات تخزين ديناميكية لكل حاوية.
أقراص نظام التشغيل سريعة الزوال.
أقراص iSCSI.
تشفير أنظمة الملفات المشتركة/الموزعة مثل (على سبيل المثال لا الحصر): DFS وGFS وDRDB وCephFS.
نقل جهاز ظاهري مشفر إلى اشتراك أو منطقة أخرى.
إنشاء صورة أو لقطة لجهاز ظاهري مشفر واستخدامه لنشر أجهزة ظاهرية إضافية.
الأجهزة الظاهرية من الفئة M المزودة بأقراص مسرع الكتابة.
تطبيق ADE على جهاز ظاهري يحتوي على أقراص مشفرة باستخدام التشفير في المضيف أو التشفير من جانب الخادم باستخدام مفاتيح يديرها العميل (SSE + CMK). تطبيق SSE + CMK على قرص بيانات أو إضافة قرص بيانات مع SSE + CMK تم تكوينه إلى جهاز ظاهري مشفر باستخدام ADE هو سيناريو غير مدعوم أيضا.
ترحيل جهاز ظاهري مشفر باستخدام ADE، أو تم تشفيره من أي وقت مضى باستخدام ADE، إلى التشفير في المضيف أو التشفير من جانب الخادم باستخدام مفاتيح يديرها العميل.
تشفير الأجهزة الظاهرية في مجموعات تجاوز الفشل.
تشفير أقراص Azure ultra.
تشفير أقراص Premium SSD v2.
تشفير الأجهزة الظاهرية في الاشتراكات التي تم Secrets should have the specified maximum validity period تمكين النهج لها مع تأثير DENY.
تشفير الأجهزة الظاهرية في الاشتراكات التي تم تمكين النهج بها Key Vault secrets should have an expiration date مع تأثير DENY

تثبيت الأدوات والاتصال بـ Azure

يمكن تمكين تشفير قرص Azure وإدارته من خلال Azure CLI وAzure PowerShell. للقيام بذلك، يجب عليك تثبيت الأدوات محلياً والاتصال باشتراك Azure الخاص بك.

Azure CLI

إن Azure CLI 2.0 هي أداة سطر أوامر لإدارة موارد Azure. تم تصميم واجهة سطر الأوامر (CLI) للاستعلام عن البيانات بمرونة، ودعم العمليات طويلة المدى كعمليات غير معطلة، وتسهيل البرمجة النصية. يمكنك تثبيته محلياً باتباع الخطوات الواردة في تثبيت Azure CLI.

من أجل تسجيل الدخول إلى حساب Azure الخاص بك باستخدام Azure CLI، استخدم الأمر az login.

az login

إذا كنت ترغب في تحديد مستأجر لتسجيل الدخول من خلاله، فاستخدم:

az login --tenant <tenant>

إذا كانت لديك اشتراكات متعددة وترغب في تحديد اشتراك معين، فاحصل على قائمة الاشتراك الخاصة بك مع قائمة حسابات az وحددها باستخدام مجموعة حساب az.

az account list
az account set --subscription "<subscription name or ID>"

لمزيدٍ من المعلومات، راجع بدء استخدام Azure CLI 2.0.

Azure PowerShell

توفر الوحدة Azure PowerShell az مجموعة من أوامر cmdlets التي تستخدم نموذج Azure Resource Manager لإدارة موارد Azure. يمكنك استخدامه في متصفحك مع Azure Cloud Shell، أو يمكنك تثبيته على جهازك المحلي باستخدام الإرشادات الواردة في تثبيت وحدة Azure PowerShell.

إذا كنت قد قمت بالفعل بتثبيته محلياً، فتأكد من استخدام أحدث إصدار من Azure PowerShell SDK لتكوين تشفير قرص Azure. قم بتنزيل أحدث إصدار من Azure PowerShell.

من أجل تسجيل الدخول إلى حسابك في Azure باستخدام Azure PowerShell، استخدم الأمر Connect-AzAccount cmdlet.

Connect-AzAccount

إذا كانت لديك اشتراكات متعددة وتريد تحديد واحد، فاستخدم الأمر Get-AzSubscription cmdlet لإدراجه، متبوعاً بـ Set-AzContext cmdlet:

Set-AzContext -Subscription <SubscriptionId>

سيؤدي تشغيل الأمر Get-AzContext cmdlet إلى التحقق من تحديد الاشتراك الصحيح.

لتأكيد تثبيت أوامر cmdlets لتشفير قرص Azure، استخدم الأمر Get-command cmdlet:

Get-command *diskencryption*

لمزيدٍ من المعلومات، راجع بدء استخدام Azure PowerShell.

تمكين التشفير على جهاز Windows ظاهري موجود أو قيد التشغيل

في هذا السيناريو، يمكنك تمكين التشفير باستخدام أوامر قالب Resource Manager أو أوامر PowerShell cmdlets أو CLI. إذا كنت بحاجة إلى معلومات المخطط لملحق الجهاز الظاهري، فراجع مقالة تشفير قرص Azure لملحق Linux.

تمكين التشفير على الأجهزة الظاهرية الموجودة أو قيد التشغيل باستخدام Azure PowerShell

استخدم cmdlet Set-AzVMDiskEncryptionExtension لتمكين التشفير على جهاز ظاهري IaaS قيد التشغيل في Azure.

تشفير جهاز ظاهري قيد التشغيل: يقوم البرنامج النصي أدناه بتهيئة المتغيرات الخاصة بك وتشغيل cmdlet Set-AzVMDiskEncryptionExtension. يجب أن تكون مجموعة الموارد، والجهاز الظاهري، والمخزن الرئيسي قد تم إنشاؤها بالفعل كمتطلبات أساسية. استبدل MyKeyVaultResourceGroup، وMyVirtualMachineResourceGroup، وMySecureVM، وMySecureVault بقيمك.

 $KVRGname = 'MyKeyVaultResourceGroup';
 $VMRGName = 'MyVirtualMachineResourceGroup';
 $vmName = 'MySecureVM';
 $KeyVaultName = 'MySecureVault';
 $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
 $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
 $KeyVaultResourceId = $KeyVault.ResourceId;

 Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;

تشفير جهاز ظاهري قيد التشغيل باستخدام KEK:

$KVRGname = 'MyKeyVaultResourceGroup';
$VMRGName = 'MyVirtualMachineResourceGroup';
$vmName = 'MyExtraSecureVM';
$KeyVaultName = 'MySecureVault';
$keyEncryptionKeyName = 'MyKeyEncryptionKey';
$KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
$diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
$KeyVaultResourceId = $KeyVault.ResourceId;
$keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;

Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;

إشعار

بناء جملة قيمة المعلمة keyvault لتشفير القرص هي سلسلة المعرف الكاملة: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/[keyvault-name] بناء جملة قيمة معلمة مفتاح تشفير المفتاح هي عنوان URI الكامل لـ KEK كما في: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

تحقق من تشفير الأقراص: للتحقق من حالة تشفير جهاز ظاهري IaaS، استخدم cmdlet Get-AzVmDiskEncryptionStatus.
```
Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
```

لتعطيل التشفير، راجع تعطيل التشفير وإزالة ملحق التشفير.

تمكين التشفير على الأجهزة الظاهرية الموجودة أو قيد التشغيل باستخدام Azure CLI

استخدم الأمر تمكين تشفير az vm لتمكين التشفير على جهاز ظاهري IaaS قيد التشغيل في Azure.

تشفير جهاز ظاهري قيد التشغيل:

az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]

تشفير جهاز ظاهري قيد التشغيل باستخدام KEK:
```
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
```
إشعار

بناء جملة قيمة المعلمة keyvault لتشفير القرص هي سلسلة المعرف الكاملة: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/[keyvault-name] بناء جملة قيمة معلمة مفتاح تشفير المفتاح هي عنوان URI الكامل لـ KEK كما في: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]
تحقق من تشفير الأقراص: للتحقق من حالة تشفير جهاز ظاهري IaaS، استخدم الأمر إظهار تشفير az vm.
```
az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
```

لتعطيل التشفير، راجع تعطيل التشفير وإزالة ملحق التشفير.

استخدام قالب إدارة الموارد

يمكنك تمكين تشفير القرص على الأجهزة الظاهرية Windows IaaS الموجودة أو قيد التشغيل في Azure باستخدام قالب إدارة الموارد لتشفير جهاز ظاهري قيد التشغيل Windows.

في قالب التشغيل السريع Azure، انقر فوق Deploy to Azure.
حدد الاشتراك ومجموعة الموارد والموقع والإعدادات والمصطلحات القانونية والاتفاق. انقر فوق شراء لتمكين التشفير على جهاز IaaS الظاهري الحالي أو قيد التشغيل.

يسرد الجدول التالي معلمات قالب Resource Manager للأجهزة الظاهرية الموجودة أو قيد التشغيل:

المعلمة	‏‏الوصف‬
vmName	اسم الجهاز الظاهري لتشغيل عملية التشفير.
keyVaultName	اسم مخزن المفاتيح الذي يجب تحميل مفتاح BitLocker إليه. يمكنك الحصول عليه باستخدام cmdlet `(Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname` أو الأمر Azure CLI `az keyvault list --resource-group "MyKeyVaultResourceGroup"`
keyVaultResourceGroup	اسم مجموعة الموارد التي تحتوي على المخزن الرئيسي
keyEncryptionKeyURL	عنوان URL لمفتاح تشفير المفتاح، بالتنسيق https://<keyvault-name>.vault.azure.net/key/<key-name>. إذا كنت لا ترغب في استخدام مفتاح KEK، فاترك هذا الحقل فارغاً.
volumeType	نوع وحدة التخزين التي يتم تنفيذ عملية التشفير عليها. القيم الصالحة هي نظام التشغيلوالبياناتوالكل.
forceUpdateTag	قم بتمرير قيمة فريدة مثل GUID في كل مرة تحتاج فيها العملية إلى التشغيل القسري.
resizeOSDisk	هل يجب تغيير حجم قسم نظام التشغيل ليشغل OS VHD كاملاً قبل تقسيم وحدة تخزين النظام.
موقع	موقع كافة الموارد.

تفعيل التشفير على أقراص NVMe لـ Lsv2 VMs

يصف هذا السيناريو تمكين تشفير أقراص Azure على أقراص NVMe لسلسلة Lsv2 VMs. تتميز سلسلة Lsv2 بتخزين NVMe المحلي. تعد أقراص NVMe المحلية مؤقتة، وستُفقد البيانات الموجودة على هذه الأقراص إذا قمت بإيقاف/إلغاء تخصيص الجهاز الظاهري (راجع: سلسلة Lsv2).

لتمكين التشفير على أقراص NVMe:

قم بتهيئة أقراص NVMe وإنشاء وحدات تخزين NTFS.
قم بتمكين التشفير على الجهاز الظاهري مع تعيين معلمة VolumeType على الكل. سيؤدي ذلك إلى تمكين التشفير لجميع أنظمة التشغيل وأقراص البيانات، بما في ذلك وحدات التخزين المدعومة بأقراص NVMe. للحصول على معلومات، راجع تمكين التشفير على جهاز Windows ظاهري موجود أو قيد التشغيل.

سيستمر التشفير على أقراص NVMe في السيناريوهات التالية:

إعادة تشغيل الجهاز الظاهري
إعادة صوة مجموعة تغيير سعة الجهاز الظاهري
نظام تشغيل المبادلة

سيتم إلغاء تهيئة أقراص NVMe في السيناريوهات التالية:

بدء تشغيل الجهاز الظاهري بعد إلغاء التخصيص
إصلاح الخدمة
نسخ احتياطي

في هذه السيناريوهات، تحتاج أقراص NVMe إلى التهيئة بعد بدء تشغيل الجهاز الظاهري. لتمكين التشفير على أقراص NVMe، قم بتشغيل الأمر لتمكين تشفير قرص Azure مرة أخرى بعد تهيئة أقراص NVMe.

بالإضافة إلى السيناريوهات المدرجة في قسم القيود ، تشفير أقراص NVMe غير مدعوم ل:

الأجهزة الظاهرية المشفرة باستخدام تشفير قرص Azure باستخدام معرف Microsoft Entra (الإصدار السابق)
أقراص NVMe بمساحات تخزين
استرداد موقع Azure لوحدات SKU باستخدام أقراص NVMe (راجع مصفوفة الدعم لاسترداد جهاز Azure ظاهري في حالات الكوارث بين مناطق Azure: الأجهزة المنسوخة - التخزين).

أجهزة IaaS الظاهرية الجديدة التي تم إنشاؤها من VHD المشفرة من قبل العميل ومفاتيح التشفير

في هذا السيناريو، يمكنك إنشاء جهاز ظاهري جديد من VHD مشفر مسبقاً ومفاتيح التشفير المرتبطة باستخدام أوامر PowerShell cmdlets أو أوامر CLI.

استخدم الإرشادات الواردة في إعداد Windows VHD مشفر مسبقاً. بعد إنشاء الصورة، يمكنك استخدام الخطوات الواردة في القسم التالي لإنشاء جهاز Azure ظاهري مشفر.

تشفير الأجهزة الظاهرية باستخدام محركات VHD المشفرة مسبقاً باستخدام Azure PowerShell

يمكنك تمكين تشفير القرص على VHD المشفر باستخدام PowerShell cmdlet Set-AzVMOSDisk. يمنحك المثال أدناه بعض المعلمات الشائعة.

$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"

تمكين التشفير على قرص بيانات تمت إضافته حديثاً

يمكنك إضافة قرص جديد إلى جهاز Windows الظاهري باستخدام PowerShell أو من خلال مدخل Microsoft Azure.

إشعار

يجب تمكين تشفير قرص البيانات المضاف حديثا عبر Powershell أو CLI فقط. حاليا، لا يدعم مدخل Microsoft Azure تمكين التشفير على الأقراص الجديدة.

تمكين التشفير على قرص تمت إضافته حديثاً باستخدام Azure PowerShell

عند استخدام PowerShell لتشفير قرص جديد للأجهزة الظاهرية Windows، يجب تحديد إصدار تسلسل جديد. يجب أن يكون إصدار التسلسل فريداً. يقوم البرنامج النصي أدناه بإنشاء GUID لإصدار التسلسل. في بعض الحالات، قد يتم تشفير قرص بيانات تمت إضافته حديثاً تلقائياً بواسطة ملحق تشفير قرص Azure. يحدث التشفير التلقائي عادة عند إعادة تشغيل الجهاز الظاهري بعد اتصال القرص الجديد بالإنترنت. يحدث هذا عادة لأنه تم تحديد "الكل" لنوع وحدة التخزين عند تشغيل تشفير القرص مسبقاً على الجهاز الظاهري. في حال حدوث تشفير تلقائي على قرص بيانات تمت إضافته حديثاً، نوصي بتشغيل Set-AzVmDiskEncryptionExtension cmdlet مرة أخرى باستخدام إصدار تسلسل جديد. إذا كان قرص البيانات الجديد مشفرًا تلقائيًا ولا ترغب في أن يتم تشفيره، فقم بفك تشفير جميع محركات الأقراص أولًا ثم أعد تشفيرها باستخدام إصدار تسلسل جديد يحدد نظام التشغيل لنوع وحدة التخزين.

تشفير جهاز ظاهري قيد التشغيل: يقوم البرنامج النصي أدناه بتهيئة المتغيرات الخاصة بك وتشغيل cmdlet Set-AzVMDiskEncryptionExtension. يجب أن تكون مجموعة الموارد، والجهاز الظاهري، والمخزن الرئيسي قد تم إنشاؤها بالفعل كمتطلبات أساسية. استبدل MyKeyVaultResourceGroup، وMyVirtualMachineResourceGroup، وMySecureVM، وMySecureVault بقيمك. يستخدم هذا المثال "الكل" للمعلمة -VolumeType، والتي تتضمن كلاً من وحدات تخزين نظام التشغيل والبيانات. إذا كنت ترغب فقط في تشفير وحدة تخزين نظام التشغيل، فاستخدم "OS" للمعلمة -VolumeType.
```
 $KVRGname = 'MyKeyVaultResourceGroup';
 $VMRGName = 'MyVirtualMachineResourceGroup';
 $vmName = 'MySecureVM';
 $KeyVaultName = 'MySecureVault';
 $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
 $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
 $KeyVaultResourceId = $KeyVault.ResourceId;
 $sequenceVersion = [Guid]::NewGuid();

 Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
```
تشفير جهاز ظاهري قيد التشغيل باستخدام KEK: يستخدم هذا المثال "الكل" للمعلمة -VolumeType، والتي تتضمن كلاً من وحدات تخزين نظام التشغيل والبيانات. إذا كنت ترغب فقط في تشفير وحدة تخزين نظام التشغيل، فاستخدم "OS" للمعلمة -VolumeType.
```
$KVRGname = 'MyKeyVaultResourceGroup';
$VMRGName = 'MyVirtualMachineResourceGroup';
$vmName = 'MyExtraSecureVM';
$KeyVaultName = 'MySecureVault';
$keyEncryptionKeyName = 'MyKeyEncryptionKey';
$KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
$diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
$KeyVaultResourceId = $KeyVault.ResourceId;
$keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
$sequenceVersion = [Guid]::NewGuid();

Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
```
إشعار

بناء جملة قيمة المعلمة keyvault لتشفير القرص هي سلسلة المعرف الكاملة: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/[keyvault-name] بناء جملة قيمة معلمة مفتاح تشفير المفتاح هي عنوان URI الكامل لـ KEK كما في: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

تمكين التشفير على قرص تمت إضافته حديثاً باستخدام Azure CLI

سيوفر الأمر Azure CLI تلقائياً إصدار تسلسل جديد لك عند تشغيل الأمر لتمكين التشفير. يستخدم المثال "الكل" للمعلمة من نوع وحدة التخزين. قد تحتاج إلى تغيير معلمة نوع وحدة التخزين إلى نظام التشغيل إذا كنت تقوم فقط بتشفير قرص نظام التشغيل. على عكس بناء جملة PowerShell، لا يتطلب CLI من المستخدم تقديم إصدار تسلسل فريد عند تمكين التشفير. يقوم CLI تلقائياً بإنشاء واستخدام قيمة إصدار التسلسل الفريد الخاص به.

تشفير جهاز ظاهري قيد التشغيل:

az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "All"

تشفير جهاز ظاهري قيد التشغيل باستخدام KEK:

az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "All"

تعطيل التشفير وإزالة ملحق التشفير

يمكنك تعطيل ملحق تشفير قرص Azure، كما يمكنك إزالة ملحق تشفير قرص Azure. هاتان عمليتان متميزتان.

لإزالة ADE، يوصى أولاً بتعطيل التشفير ثم إزالة الملحق. إذا قمت بإزالة ملحق التشفير دون تعطيله، فستظل الأقراص مشفرة. إذا قمت بتعطيل التشفير بعد إزالة الملحق، فستتم إعادة تثبيت الملحق (لإجراء عملية فك التشفير) وسيتعين إزالته مرة أخرى.

تعطيل التشفير

يمكنك تعطيل التشفير باستخدام Azure PowerShell أو Azure CLI أو باستخدام قالب إدارة الموارد. لا يؤدي تعطيل التشفير إلى إزالة الملحق (راجع إزالة ملحق التشفير).

تحذير

قد يؤدي تعطيل تشفير قرص البيانات عند تشفير كل من نظام التشغيل وأقراص البيانات إلى نتائج غير متوقعة. قم بتعطيل التشفير على جميع الأقراص بدلاً من ذلك.

سيؤدي تعطيل التشفير إلى بدء عملية خلفية من BitLocker لفك تشفير الأقراص. يجب إعطاء هذه العملية وقتاً كافياً لإكمالها قبل محاولة إعادة تمكين أي تشفير.

تعطيل تشفير القرص باستخدام Azure PowerShell: لتعطيل التشفير، استخدم Disable-AzVMDiskEncryption cmdlet.
```
Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "all"
```
تعطيل التشفير باستخدام Azure CLI: لتعطيل التشفير، استخدم الأمر تعطيل تشفير az vm.
```
az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "all"
```
تعطيل التشفير باستخدام قالب Resource Manager:
1. انقر فوق نشر إلى Azure من تعطيل تشفير القرص عند تشغيل قالب أجهزة Windows الظاهرية.
2. حدد الاشتراك ومجموعة الموارد والموقع والجهاز الظاهري ونوع وحدة التخزين والشروط القانونية والاتفاق.
3. انقر على شراء لتعطيل تشفير القرص على جهاز ظاهري Windows قيد التشغيل.

إزالة ملحق التشفير

إذا كنت ترغب في فك تشفير الأقراص الخاصة بك وإزالة ملحق التشفير، فيجب عليك تعطيل التشفير قبل إزالة الملحق؛ انظر تعطيل التشفير.

يمكنك إزالة ملحق التشفير باستخدام Azure PowerShell أو Azure CLI.

تعطيل تشفير القرص باستخدام Azure PowerShell: لإزالة التشفير، استخدم الأمر Remove-AzVMDiskEncryptionExtension cmdlet.
```
Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"
```
تعطيل التشفير باستخدام Azure CLI: لإزالة التشفير، استخدم الأمر az vm extension delete.
```
az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryption"
```

Share via