Skenario Azure Disk Encryption pada Windows VM

Berlaku untuk: ✔️ VM Windows ✔️ Set skala fleksibel

Azure Disk Encryption untuk mesin virtual (VM) Windows menggunakan fitur BitLocker dari Windows untuk menyediakan enkripsi disk penuh dari disk OS dan disk data. Selain itu, ia menyediakan enkripsi disk sementara ketika parameter VolumeType adalah semuanya.

Azure Disk Encryption terintegrasi dengan Azure Key Vault untuk membantu Anda mengontrol dan mengelola kunci dan rahasia enkripsi disk. Untuk gambaran umum layanan, lihat Azure Disk Encryption untuk VM Windows.

Prasyarat

Anda hanya dapat menerapkan enkripsi disk ke komputer virtual dengan ukuran VM dan sistem operasi yang didukung. Anda juga harus memenuhi prasyarat berikut:

• Persyaratan jaringan
• Persyaratan Kebijakan Grup
• Persyaratan penyimpanan kunci enkripsi

Batasan

Jika sebelumnya Anda telah menggunakan Azure Disk Encryption dengan Microsoft Entra ID untuk mengenkripsi VM, Anda harus terus menggunakan opsi ini untuk mengenkripsi VM Anda. Lihat Azure Disk Encryption dengan Microsoft Entra ID (rilis sebelumnya) untuk detailnya.

Anda harus mengambil sebuah snapshot dan/atau membuat cadangan sebelum disk dienkripsi. Cadangan memastikan bahwa opsi pemulihan memungkinkan jika kegagalan tak terduga terjadi selama enkripsi. Komputer virtual dengan disk terkelola memerlukan cadangan sebelum enkripsi terjadi. Setelah cadangan dibuat, Anda dapat menggunakan cmdlet Set-AzVMDiskEncryptionExtension untuk mengenkripsi disk terkelola dengan menentukan parameter -skipVmBackup. Untuk informasi lebih lanjut tentang cara mencadangkan dan mengembalikan komputer virtual yang terenkripsi, lihat Cadangkan dan kembalikan Azure VM yang sudah terenkripsi.

Mengenkripsi atau menonaktifkan enkripsi dapat menyebabkan mesin virtual dimulai-ulang.

Azure Disk Encryption tidak berfungsi untuk skenario, fitur, dan teknologi berikut:

• Mengenkripsi VM tingkat dasar atau VM yang dibuat melalui metode pembuatan VM klasik.
• Mengenkripsi VM yang dikonfigurasi dengan sistem RAID berbasis perangkat lunak.
• Mengenkripsi VM yang dikonfigurasi dengan Storage Spaces Direct (S2D), atau versi Windows Server sebelum 2016 yang dikonfigurasikan dengan Windows Storage Spaces.
• Integrasi dengan sistem manajemen kunci lokal.
• Azure Files (sistem file bersama).
• Sistem File Jaringan (NFS).
• Volume dinamis.
• Kontainer Windows Server, yang membuat volume dinamis untuk setiap kontainer.
• Disk OS sementara.
• Disk iSCSI.
• Enkripsi sistem file bersama/terdistribusi seperti (tetapi tidak terbatas pada) DFS, GFS, DRDB, dan CephFS.
• Memindahkan VM terenkripsi ke langganan atau wilayah lain.
• Membuat gambar atau snapshot VM terenkripsi dan menggunakannya untuk menyebarkan VM tambahan.
• VM seri M dengan disk Write Accelerator.
• Menerapkan ADE ke VM yang memiliki disk yang dienkripsi dengan Enkripsi di Host atau enkripsi sisi server dengan kunci yang dikelola pelanggan (SSE + CMK). Menerapkan SSE + CMK ke disk data atau menambahkan disk data dengan SSE + CMK yang dikonfigurasi ke VM yang dienkripsi dengan ADE juga merupakan skenario yang tidak didukung.
• Memigrasikan VM yang dienkripsi dengan ADE, atau pernah dienkripsi dengan ADE, ke Enkripsi di Host atau enkripsi sisi server dengan kunci yang dikelola pelanggan.
• Mengenkripsi VM dalam kluster failover.
• Enkripsi di disk ultra Azure.
• Enkripsi disk Premium SSD v2.
• Enkripsi VM dalam langganan yang mengaktifkan Secrets should have the specified maximum validity period kebijakan dengan efek DENY.
• Enkripsi VM dalam langganan yang mengaktifkan Key Vault secrets should have an expiration date kebijakan dengan efek DENY

Memasang alat dan menyambungkan ke Azure

Azure Disk Encryption dapat diaktifkan dan dikelola melalui Azure CLI dan Azure PowerShell. Untuk melakukannya, Anda harus menginstal alat secara lokal dan menyambungkan ke langganan Azure Anda.

Azure CLI

Azure CLI 2.0 merupakan alat baris perintah untuk mengelola sumber daya Azure. CLI dirancang untuk secara fleksibel mengkueri data, mendukung operasi jangka panjang sebagai proses non-pemblokiran, dan memudahkan proses pembuatan skrip. Anda dapat menginstalnya secara lokal dengan mengikuti langkah-langkah dalam Menginstal Azure CLI.

Untuk Masuk ke akun Azure Anda dengan Azure CLI, gunakan perintah login az.

az login

Jika Anda ingin memilih penyewa untuk masuk di bawah ini, gunakan:

az login --tenant <tenant>

Jika Anda memiliki beberapa langganan dan ingin menentukan langganan tertentu, dapatkan daftar langganan Anda dengan daftar akun az dan tentukan dengan kumpulan akun az.

az account list
az account set --subscription "<subscription name or ID>"

Untuk informasi selengkapnya, lihat Mulai menggunakan Azure CLI 2.0.

Azure PowerShell

Modul az Azure PowerShell menyediakan kumpulan cmdlet yang menggunakan model Azure Resource Manager untuk mengelola sumber daya Azure Anda. Anda dapat menggunakannya di browser Anda dengan Azure Cloud Shell, atau Anda dapat menginstalnya di mesin lokal Anda menggunakan instruksi di Menginstal modul Azure PowerShell.

Jika Anda sudah menginstalnya secara lokal, pastikan Anda menggunakan versi terbaru Azure PowerShell SDK untuk mengonfigurasi Azure Disk Encryption. Unduh versi terbaru rilis Azure PowerShell.

Untuk Masuk ke akun Azure Anda dengan Azure PowerShell, gunakan cmdlet Connect-AzAccount.

Connect-AzAccount

Jika Anda memiliki beberapa langganan dan ingin menentukannya, gunakan cmdlet Get-AzSubscription untuk mencantumkannya, diikuti dengan cmdlet Set-AzContext:

Set-AzContext -Subscription <SubscriptionId>

Menjalankan cmdlet Get-AzContext akan memverifikasi bahwa langganan yang benar telah dipilih.

Untuk mengonfirmasi bahwa cmdlet Azure Disk Encryption telah diinstal, gunakan cmdlet Get-command:

Get-command *diskencryption*

Untuk informasi selengkapnya, lihat Memulai Azure PowerShell.

Mengaktifkan enkripsi disk pada Windows VM yang sudah ada atau sedang berjalan

Dalam skenario ini, Anda dapat mengaktifkan enkripsi dengan menggunakan templat Resource Manager, cmdlet PowerShell, atau perintah CLI. Jika Anda memerlukan informasi skema untuk ekstensi komputer virtual, lihat artikel Azure Disk Encryption untuk ekstensi Windows.

Aktifkan enkripsi pada VM yang sudah ada atau yang sedang berjalan dengan Azure PowerShell

Gunakan cmdlet Set-AzVMDiskEncryptionExtension untuk mengaktifkan enkripsi pada komputer virtual IaaS yang sedang berjalan di Azure.

• Enkripsikan satu VM yang sedang berjalan: Skrip di bawah ini menginisialisasi variabel Anda dan menjalankan cmdlet Set-AzVMDiskEncryptionExtension. Grup sumber daya, VM, dan key vault seharusnya sudah dibuat sebagai prasyarat. Ganti MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM, dan MySecureVault dengan nilai-nilai Anda.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;
  

• Mengenkripsi VM yang sedang berjalan menggunakan KEK:

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MyExtraSecureVM';
  $KeyVaultName = 'MySecureVault';
  $keyEncryptionKeyName = 'MyKeyEncryptionKey';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;
  
  

  Catatan

  Sintaks untuk nilai parameter disk-encryption-keyvault adalah string pengidentifikasi lengkap: subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  Sintaks untuk nilai parameter key-encryption-key adalah URI lengkap ke KEK seperti pada: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Pastikan disk dienkripsi: Untuk memeriksa status enkripsi komputer virtual IaaS, gunakan cmdlet Get-AzVmDiskEncryptionStatus.

  Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
  

Untuk menonaktifkan enkripsi, lihat Menonaktifkan enkripsi dan menghapus ekstensi enkripsi.

Aktifkan enkripsi pada VM yang ada atau yang sedang berjalan dengan Azure CLI

Gunakan perintah az vm encryption enable untuk mengaktifkan enkripsi pada komputer virtual IaaS yang sedang berjalan di Azure.

• Enkripsikan VM yang sedang berjalan:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]
  

• Mengenkripsi VM yang sedang berjalan menggunakan KEK:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
  

  Catatan

  Sintaks untuk nilai parameter disk-encryption-keyvault adalah string pengidentifikasi lengkap: subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  Sintaks untuk nilai parameter key-encryption-key adalah URI lengkap ke KEK seperti pada: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Pastikan disk dienkripsi: Untuk memeriksa status enkripsi komputer virtual IaaS, gunakan perintah az vm encryption show.

  az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
  

Untuk menonaktifkan enkripsi, lihat Menonaktifkan enkripsi dan menghapus ekstensi enkripsi.

Menggunakan templat Resource Manager

Anda dapat mengaktifkan enkripsi disk pada komputer virtual IaaS Windows yang sudah ada atau yang sedang berjalan di Azure dengan menggunakan templat Azure Resource Manager untuk mengenkripsi komputer virtual Windows yang sedang berjalan.

1. Pada template panduan memulai Azure, klik Terapkan ke Azure.

2. Pilih langganan, grup sumber daya, lokasi, setelan, persyaratan hukum, dan perjanjian. Klik Beli untuk mengaktifkan enkripsi pada komputer virtual IaaS yang sudah ada atau yang sedang berjalan.

Tabel berikut ini mencantumkan parameter templat Resource Manager untuk VM yang sudah ada atau yang berjalan:

Parameter	Deskripsi
vmName	Nama VM untuk menjalankan operasi enkripsi.
keyVaultName	Nama brankas kunci bahwa kunci BitLocker harus diunggah. Anda bisa mendapatkannya dengan menggunakan cmdlet (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname atau perintah Azure CLI az keyvault list --resource-group "MyKeyVaultResourceGroup"
keyVaultResourceGroup	Nama grup sumber daya yang berisi brankas kunci
keyEncryptionKeyURL	URL kunci enkripsi kunci, dalam format https://< keyvault-name >.vault.azure.net/key/<key-name>. Jika Anda tidak ingin menggunakan KEK, biarkan bidang ini kosong.
volumeType	Jenis volume tempat operasi enkripsi dilakukan. Nilai yang valid adalah OS, Data, dan Semua.
forceUpdateTag	Teruskan nilai unik seperti GUID setiap kali operasi perlu dijalankan secara paksa.
resizeOSDisk	Jika partisi OS diubah ukurannya untuk menempati VHD OS penuh sebelum membagi volume sistem.
lokasi	Lokasi untuk semua sumber daya.

Aktifkan enkripsi pada disk NVMe untuk Lsv2 VM

Skenario ini menjelaskan tentang bagaimana mengaktifkan Azure Disk Encryption pada disk NVMe untuk VM seri Lsv2. Seri Lsv2 memiliki penyimpanan NVMe lokal. Disk NVMe lokal bersifat sementara, dan data akan hilang pada disk ini jika Anda menghentikan/dealokasi VM Anda (Lihat: Lsv2-series).

Untuk mengaktifkan enkripsi pada disk NVMe:

1. Inisialisasi disk NVMe dan buat volume NTFS.
2. Aktifkan enkripsi pada VM dengan parameter VolumeType yang diatur ke Semua. Hal ini akan mengaktifkan enkripsi untuk semua OS dan disk data, termasuk volume yang didukung oleh disk NVMe. Untuk informasi, lihat Aktifkan enkripsi disk pada Windows VM yang sudah ada atau sedang berjalan.

Enkripsi akan bertahan pada disk NVMe dalam skenario berikut:

• Mulai ulang VM
• Gambar ulang set skala komputer virtual
• Tukar OS

Disk NVMe tidak akan dinitialisasi dengan skenario berikut:

• Mulai VM setelah deallocation
• Penyembuhan layanan
• Cadangan

Dalam skenario ini, disk NVMe perlu diinisialisasi setelah VM dimulai. Untuk mengaktifkan enkripsi pada disk NVMe, jalankan perintah untuk mengaktifkan Azure Disk Encryption lagi setelah disk NVMe diinisialisasi.

Selain skenario yang tercantum di bagian Pembatasan , enkripsi disk NVMe tidak didukung untuk:

• VM dienkripsi dengan Azure Disk Encryption dengan MICROSOFT Entra ID (rilis sebelumnya)
• Disk NVMe dengan ruang penyimpanan
• Azure Site Recovery SKU dengan disk NVMe (lihat Dukung matriks untuk pemulihan bencana Azure VM di antara wilayah Azure: Mesin yang direplikasi - penyimpanan).

VM IaaS baru yang dibuat dari kunci enkripsi dan VHD yang dienkripsi pelanggan

Dalam skenario ini, Anda dapat membuat VM baru dari VHD pra-enkripsi dan kunci enkripsi terkait dengan menggunakan cmdlet PowerShell atau perintah CLI.

Gunakan instruksi dalam Siapkan VHD Windows pra-enkripsi. Setelah gambar dibuat, Anda dapat menggunakan langkah-langkah di bagian berikutnya untuk membuat Azure VM yang terenkripsi.

Enkripsi VM dengan VHD pra-enkripsi dengan Azure PowerShell

Anda dapat mengaktifkan enkripsi disk pada VHD Anda yang terenkripsi dengan menggunakan cmdlet PowerShell Set-AzVMOSDisk. Contoh di bawah ini memberi Anda beberapa parameter umum.

$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"

Mengaktifkan enkripsi pada disk data yang baru ditambahkan

Anda dapat menambahkan disk baru ke komputer virtual Windows dengan menggunakan PowerShell, atau melalui portal Azure.

Catatan

Enkripsi disk data yang baru ditambahkan harus diaktifkan melalui Powershell, atau CLI saja. Saat ini, portal Azure tidak mendukung pengaktifan enkripsi pada disk baru.

Mengaktifkan enkripsi pada disk yang baru ditambahkan dengan Azure PowerShell

Saat menggunakan PowerShell untuk mengenkripsi disk baru untuk komputer virtual Windows, versi urutan baru harus ditentukan. Versi urutannya harus unik. Script di bawah ini menghasilkan GUID untuk versi urutan. Dalam beberapa kasus, disk data yang baru ditambahkan mungkin dienkripsi secara otomatis oleh ekstensi Azure Disk Encryption. Enkripsi otomatis biasanya terjadi ketika komputer virtual dimulai-ulang setelah disk baru online. Ini biasanya disebabkan karena "Semua" ditentukan untuk jenis volume ketika enkripsi disk sebelumnya berjalan pada komputer virtual. Jika enkripsi otomatis terjadi pada disk data yang baru ditambahkan, sebaiknya jalankan cmdlet Set-AzVmDiskEncryptionExtension lagi dengan versi urutan baru. Jika disk data baru Anda dienkripsi secara otomatis dan Anda tidak ingin dienkripsi, dekripsi semua drive terlebih dahulu lalu enkripsi ulang dengan versi urutan baru yang menentukan OS untuk jenis volume.

• Enkripsikan satu VM yang sedang berjalan: Skrip di bawah ini menginisialisasi variabel Anda dan menjalankan cmdlet Set-AzVMDiskEncryptionExtension. Grup sumber daya, VM, dan key vault seharusnya sudah dibuat sebagai prasyarat. Ganti MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM, dan MySecureVault dengan nilai-nilai Anda. Contoh ini menggunakan "Semua" untuk parameter -VolumeType, yang mencakup volume OS dan Data. Jika Anda hanya ingin mengenkripsi volume OS, gunakan "OS" untuk parameter -VolumeType.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
   $sequenceVersion = [Guid]::NewGuid();
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
  

• Enkripsikan sebuah komputer virtual yang sedang berjalan dengan menggunakan KEK: Contoh ini menggunakan "Semua" untuk parameter -VolumeType, yang mencakup volume OS dan Data. Jika Anda hanya ingin mengenkripsi volume OS, gunakan "OS" untuk parameter -VolumeType.

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MyExtraSecureVM';
  $KeyVaultName = 'MySecureVault';
  $keyEncryptionKeyName = 'MyKeyEncryptionKey';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
  $sequenceVersion = [Guid]::NewGuid();
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
  
  

  Catatan

  Sintaks untuk nilai parameter disk-encryption-keyvault adalah string pengidentifikasi lengkap: subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  Sintaks untuk nilai parameter key-encryption-key adalah URI lengkap ke KEK seperti pada: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

Aktifkan enkripsi pada disk yang baru ditambahkan dengan Azure CLI

Perintah Azure CLI akan secara otomatis menyediakan versi urutan baru untuk Anda saat Anda menjalankan perintah untuk mengaktifkan enkripsi. Contohnya menggunakan "Semua" untuk parameter jenis volume. Anda mungkin perlu mengubah parameter jenis volume ke OS jika Anda hanya mengenkripsi disk OS. Berbeda dengan sintaks PowerShell, CLI tidak mengharuskan pengguna untuk memberikan versi urutan unik saat mengaktifkan enkripsi. CLI secara otomatis menghasilkan dan menggunakan nilai versi urutannya sendiri yang unik.

• Enkripsikan VM yang sedang berjalan:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "All"
  

• Mengenkripsi VM yang sedang berjalan menggunakan KEK:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "All"
  

Menonaktifkan enkripsi dan menghapus ekstensi enkripsi

Anda dapat menonaktifkan ekstensi enkripsi disk Azure, dan Anda dapat menghapus ekstensi enkripsi disk Azure. Ini adalah dua operasi yang berbeda.

Untuk menghapus Azure Disk Encryption, sebaiknya nonaktifkan enkripsi terlebih dahulu, lalu hapus ekstensi. Jika Anda menghapus ekstensi enkripsi tanpa menonaktifkannya, disk akan tetap dienkripsi. Jika Anda menonaktifkan enkripsi setelah menghapus ekstensi, ekstensi akan diinstal ulang (untuk melakukan operasi dekripsi) dan perlu dihapus untuk kedua kalinya.

Nonaktifkan enkripsi

Anda dapat menonaktifkan enkripsi menggunakan Azure PowerShell, Azure CLI, atau dengan templat Azure Resource Manager. Menonaktifkan enkripsi tidak menghapus ekstensi (lihat Menghapus ekstensi enkripsi).

Peringatan

Menonaktifkan enkripsi disk data saat OS dan disk data telah dienkripsi dapat memberikan hasil yang tidak diharapkan. Nonaktifkan enkripsi di semua disk.

Menonaktifkan enkripsi akan memulai proses latar belakang BitLocker untuk mendekripsi disk. Proses ini harus diberi waktu yang cukup untuk diselesaikan sebelum mencoba mengaktifkan kembali enkripsi apa pun.

• Menonaktifkan enkripsi disk dengan Microsoft Azure PowerShell: Untuk menonaktifkan enkripsi, gunakan cmdlet Disable-AzVMDiskEncryption.

  Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "all"
  

• Menonaktifkan enkripsi dengan Azure CLI: Untuk menonaktifkan enkripsi, gunakan perintah az vm encryption disable.

  az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "all"
  

• Menonaktifkan enkripsi dengan templat Resource Manager:

  1. Klik Sebarkan ke Azure dari templat Nonaktifkan enkripsi disk pada komputer virtual Windows yang berjalan.
  2. Pilih langganan, grup sumber daya, lokasi, VM, jenis volume, persyaratan hukum, dan perjanjian.
  3. Klik Beli untuk menonaktifkan enkripsi disk pada komputer virtual Windows yang sedang berjalan.

Menghapus ekstensi enkripsi

Jika Anda ingin menonaktifkan enkripsi disk dan menghapus ekstensi enkripsi, Anda harus menonaktifkan enkripsi sebelum menghapus ekstensi; lihat menonaktifkan enkripsi.

Anda dapat menghapus ekstensi enkripsi menggunakan Azure PowerShell atau Azure CLI.

• Nonaktifkan enkripsi disk dengan Azure PowerShell: Untuk menghapus enkripsi, gunakan cmdlet Remove-AzVMDiskEncryptionExtension.

  Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"
  

• Menonaktifkan enkripsi dengan CLI Azure: Untuk menghapus enkripsi, gunakan perintah az vm extension delete.

  az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryption"
  

Langkah berikutnya

• Gambaran Umum Azure Disk Encryption
• Skrip sampel Azure Disk Encryption
• Pemecahan masalah Azure Disk Encryption