Windows VM での Azure Disk Encryption シナリオ

適用対象: ✔️ Windows VM ✔️ フレキシブル スケール セット

Windows 仮想マシン (VM) 用の Azure Disk Encryption では、Windows の BitLocker 機能を使用して、OS ディスクとデータ ディスクの完全なディスク暗号化を提供します。 また、VolumeType パラメーターが ALL の場合、一時的なディスクの暗号化を行うことができます。

Azure Disk Encryption は、ディスクの暗号化キーとシークレットを制御および管理できるように、Azure Key Vault と統合されています。 サービスの概要については、「Azure Disk Encryption for Windows VMs」 (Windows VM 用の Azure Disk Encryption) を参照してください。

前提条件

ディスク暗号化は、サポートされている VM サイズとオペレーティング システムの仮想マシンにのみ適用できます。 また、次の前提条件を満たしている必要があります。

• ネットワーク要件
• グループ ポリシーの要件
• 暗号化キーのストレージ要件

制限

これまで Microsoft Entra ID で Azure Disk Encryption を使って VM を暗号化していた場合は、引き続きこのオプションを使用して VM を暗号化する必要があります。 詳細については、「Microsoft Entra ID での Azure Disk Encryption (以前のリリース)」を参照してください。

ディスクを暗号化する前にスナップショットを取得するか、バックアップを作成する (またはその両方を行う) 必要があります。 バックアップがあると、暗号化中に予期しないエラーが発生した場合に、回復オプションを使用できるようになります。 マネージド ディスクを含む VM では、暗号化する前にバックアップが必要になります。 バックアップを作成したら、Set-AzVMDiskEncryptionExtension cmdlet コマンドレットで -skipVmBackup パラメーターを指定して、マネージド ディスクを暗号化できます。 暗号化された VM のバックアップと復元方法の詳細については、「暗号化された Azure VM をバックアップおよび復元する」を参照してください。

暗号化を有効または無効にすると、VM が再起動する場合があります。

Azure Disk Encryption は、次のシナリオ、機能、およびテクノロジには対応していません。

• Basic レベルの VM または従来の VM の作成方法を使用して作成された VM を暗号化する。
• NTFS の要求など、BitLocker のすべての要件と制限。 詳細については、「BitLocker の概要」をご覧ください。
• ソフトウェア ベースの RAID システムを使用して構成されている VM を暗号化する。
• 記憶域スペース ダイレクト (S2D) で構成された VM、または Windows 記憶域スペースで構成された 2016 より前のバージョンの Windows Server を暗号化する。
• オンプレミスのキー管理システムとの統合。
• Azure Files (共有ファイル システム)。
• ネットワーク ファイル システム (NFS)。
• 動的ボリューム。
• Windows Server コンテナー。これにより、コンテナーごとに動的ボリュームが作成されます。
• エフェメラル OS ディスク。
• iSCSI ディスク。
• DFS、GFS、DRDB、CephFS を含む (ただし、これだけではありません) 共有/分散ファイル システムの暗号化。
• 暗号化された VM を別のサブスクリプションまたはリージョンに移動する。
• 暗号化された VM のイメージまたはスナップショットを作成し、それを使用して追加の VM をデプロイする。
• 書き込みアクセラレータ ディスクを備えた M シリーズの VM。
• ホストでの暗号化またはユーザーが管理するキーによるサーバー側暗号化 (SSE + CMK) によって暗号化されたディスクを持つ VM に ADE を適用する。 SSE + CMK をデータ ディスクに適用すること、または SSE + CMK が構成されたデータ ディスクを ADE で暗号化された VM に追加することも、サポートされていないシナリオです。
• ADE で暗号化された VM、またはこれまでに ADE で暗号化されたことがある VM を、ホストでの暗号化、またはユーザーが管理するキーによるサーバー側暗号化に移行する。
• フェールオーバー クラスター内の VM を暗号化する。
• Azure Ultra ディスクの暗号化。
• Premium SSD v2 ディスクの暗号化。
• DENY 効果付きで Secrets should have the specified maximum validity period ポリシーが有効になっているサブスクリプション内の VM の暗号化。
• DENY 効果付きで Key Vault secrets should have an expiration date ポリシーが有効になっているサブスクリプション内の VM の暗号化

ツールをインストールし、Azure に接続する

Azure Disk Encryption は、Azure CLI と Azure PowerShell を使用して、有効にして管理することができます。 そのためには、ツールをローカルにインストールし、Azure サブスクリプションに接続する必要があります。

Azure CLI

Azure CLI 2.0 は、Azure リソースを管理するためのコマンドライン ツールです。 CLI は、データのクエリを柔軟に実行し、長時間実行される操作を非ブロッキング プロセスとしてサポートし、スクリプトが簡単になるように設計されています。 「Azure CLI のインストール」の手順に従って、これをローカルにインストールすることができます。

Azure CLI を使用して Azure アカウントにログインするには、az login コマンドを使用します。

az login

サインインするテナントを選択するには、以下を使用します。

az login --tenant <tenant>

複数のサブスクリプションがあり、特定のサブスクリプションを指定する場合は、az account list を使用してサブスクリプションの一覧を表示し、az account set を使用して指定します。

az account list
az account set --subscription "<subscription name or ID>"

詳しくは、Azure CLI 2.0 の概要に関する記事をご覧ください。

Azure PowerShell

Azure PowerShell az モジュールには、Azure リソースの管理に Azure Resource Manager モデルを使う一連のコマンドレットが用意されています。 これは、Azure Cloud Shell を使用してブラウザーで使用することも、「Azure PowerShell モジュールのインストール」の手順に従ってご使用のローカル マシンにインストールすることもできます。

既にローカルにインストールされている場合、Azure Disk Encryption を構成するには、最新バージョンの Azure PowerShell SDK を使用します。 Azure PowerShell リリースの最新バージョンをダウンロードします。

Azure PowerShell を使用して Azure アカウントにサインインするには、Connect-AzAccount コマンドレットを使用します。

Connect-AzAccount

複数のサブスクリプションがあり、1 つを指定する場合は、Get-AzSubscription コマンドレットを使用してそれらを一覧表示し、次に Set-AzContext コマンドレットを使用します。

Set-AzContext -Subscription <SubscriptionId>

Get-AzContext コマンドレットを実行すると、正しいサブスクリプションが選択されていることが確認されます。

Azure Disk Encryption コマンドレットがインストールされていることを確認するには、Get-command コマンドレットを使用します。

Get-command *diskencryption*

詳細については、「Azure PowerShell の使用に関するページ」を参照してください。

既存または実行中の Windows VM に対して暗号化を有効にする

このシナリオでは、Resource Manager テンプレート、PowerShell コマンドレット、または CLI コマンドを使用して、暗号化を有効にすることができます。 仮想マシンを拡張するためのスキーマの情報が必要な場合は、Windows 用 Azure Disk Encryption 拡張機能に関する記事を参照してください。

Azure PowerShell を使用して既存または実行中の VM で暗号化を有効にする

Set-AzVMDiskEncryptionExtension コマンドレットを使用して、Azure で実行中の IaaS 仮想マシンで暗号化を有効にします。

• 実行中の VM を暗号化する: 以下のスクリプトでは変数を初期化し、Set-AzVMDiskEncryptionExtension コマンドレットを実行します。 前提条件として、リソース グループ、VM、およびキー コンテナーが既に作成されている必要があります。 MyKeyVaultResourceGroup、MyVirtualMachineResourceGroup、MySecureVM、MySecureVault を実際の値に置き換えます。

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;
  

• KEK を使用して実行中の VM を暗号化する:

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MyExtraSecureVM';
  $KeyVaultName = 'MySecureVault';
  $keyEncryptionKeyName = 'MyKeyEncryptionKey';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;
  
  

  Note

  disk-encryption-keyvault パラメーターの値は、次のように、完全な識別子文字列の形式で表されます: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  key-encryption-key パラメーターは KEK の完全な URI であり、次の形式で表されます: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• ディスクが暗号化されていることを確認する: IaaS VM の暗号化の状態を確認するには、Get-AzVmDiskEncryptionStatus コマンドレットを使用します。

  Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
  

暗号化を無効にするには、「暗号化を無効にし、暗号化拡張機能を削除する」を参照してください。

Azure CLI を使用して既存または実行中の VM で暗号化を有効にする

az vm encryption enable コマンドを使用して、Azure で実行中の IaaS 仮想マシンで暗号化を有効にします。

• 実行中の VM を暗号化する:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]
  

• KEK を使用して実行中の VM を暗号化する:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
  

  Note

  disk-encryption-keyvault パラメーターの値は、次のように、完全な識別子文字列の形式で表されます: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  key-encryption-key パラメーターは KEK の完全な URI であり、次の形式で表されます: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• ディスクが暗号化されていることを確認する: IaaS VM の暗号化の状態を確認するには、az vm encryption show コマンドを使用します。

  az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
  

暗号化を無効にするには、「暗号化を無効にし、暗号化拡張機能を削除する」を参照してください。

Resource Manager テンプレートの使用

実行中の Windows VM を暗号化するための Resource Manager テンプレートを使用して、Azure で既存または実行中の IaaS Windows VM に対してディスク暗号化を有効にすることができます。

1. Azure クイックスタート テンプレートで、 [Azure に配置する] をクリックします。

2. サブスクリプション、リソース グループ、場所、設定、法律条項、および契約を選択します。 [購入] をクリックして、既存または実行中の IaaS VM で暗号化を有効にします。

次の表は、既存または実行中の VM に対する、Resource Manager テンプレートのパラメーターをまとめたものです。

パラメーター	説明
vmName	暗号化操作を実行する VM の名前。
KeyVaultName	BitLocker キーのアップロード先となる Key Vault の名前。 コマンドレット (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname または Azure CLI コマンド az keyvault list --resource-group "MyKeyVaultResourceGroup" を使用して取得できます。
keyVaultResourceGroup	キー コンテナーが含まれているリソース グループの名前
keyEncryptionKeyURL	キー暗号化キーの URL (形式は https://<keyvault-name>.vault.azure.net/key/<key-name>)。 KEK を使用しない場合、このフィールドは空白のままにします。
volumeType	暗号化操作が実行されるボリュームの種類。 有効な値は OS、Data、および All です。
forceUpdateTag	操作が強制実行である必要があるたびに、GUID のような一意の値を渡します。
resizeOSDisk	OS パーティションは、システム ボリュームを分割する前に、完全な OS VHD が占有できるようにサイズ変更する必要があります。
location	すべてのリソースの場所。

Lsv2 VM の NVMe ディスクで暗号化を有効にする

このシナリオでは、Lsv2 シリーズ VM の NVMe ディスクで Azure Disk Encryption を有効にする方法について説明します。 Lsv2 シリーズは、ローカル NVMe ストレージを特徴としています。 ローカル NVMe ディスクは一時的なものであり、VM を停止/割り当て解除した場合にこれらのディスク上のデータは失われます (参照: LSv2 シリーズ)。

NVMe ディスクで暗号化を有効にするには、次の操作を実行します。

1. NVMe ディスクを初期化し、NTFS ボリュームを作成します。
2. VolumeType パラメーターを "All" に設定して、VM での暗号化を有効にします。 これにより、NVMe ディスクによってサポートされるボリュームを含め、すべての OS とデータ ディスクで暗号化が有効になります。 詳細については、「既存または実行中の Windows VM に対して暗号化を有効にする」を参照してください。

次のシナリオでは、暗号化は NVMe ディスクに保持されます。

• VM の再起動
• 仮想マシン スケール セットの再イメージ化
• OS のスワップ

次のシナリオでは、NVMe ディスクは初期化前の状態に戻ります。

• 割り当て解除後での VM の起動
• サービス復旧
• バックアップ

これらのシナリオでは、VM の起動後に NVMe ディスクを初期化する必要があります。 NVMe ディスクで暗号化を有効にするには、NVMe ディスクが初期化された後にコマンドを実行して、Azure Disk Encryption を再び有効にします。

制限事項セクションに記載されているシナリオに加えて、NVMe ディスクの暗号化は以下ではサポートされていません。

• Microsoft Entra ID で Azure Disk Encryption を使って暗号化された VM (以前のリリース)
• 記憶域スペースを備えた NVMe ディスク
• NVMe ディスクを使用した SKU の Azure Site Recovery (「Azure リージョン間での Azure VM ディザスター リカバリーに関するサポート マトリックス」の「レプリケートされるマシン - ストレージ」を参照してください)。

お客様が暗号化した VHD と暗号化キーから作成された新しい IaaS VM

このシナリオでは、PowerShell コマンドレットまたは CLI コマンドを使用して、事前に暗号化された VHD および関連する暗号化キーから新しい VM を作成できます。

「Prepare a pre-encrypted Windows VHD」 (事前に暗号化された Windows VHD を準備する) に記載の手順を使用します。 イメージを作成したら、次のセクションの手順に従って、暗号化された Azure VM を作成できます。

Azure PowerShell を使用して事前に暗号化された VHD を含む VM を暗号化する

PowerShell コマンドレット Set-AzVMOSDisk を使用して、暗号化された VHD でディスク暗号化を有効にすることができます。 次の例では、一般的ないくつかのパラメーターを示します。

$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"

新しく追加されたデータ ディスクで暗号化を有効にする

PowerShell を使用して Windows VM に新しいディスクを追加することができます。また、Azure Portal を使用することもできます。

Note

新しく追加されたデータ ディスクの暗号化は、PowerShell または CLI のみを使用して有効にする必要があります。 現在、Azure portal では、新しいディスクでの暗号化を有効にすることに対応していません。

Azure PowerShell を使用して新しく追加されたディスクで暗号化を有効にする

PowerShell を使用して Windows VM 用の新しいディスクを暗号化する場合は、新しいシーケンス バージョンを指定する必要があります。 シーケンス バージョンは一意である必要があります。 次のスクリプトでは、シーケンス バージョン用の GUID が生成されます。 場合によっては、Azure Disk Encryption 拡張機能により、新しく追加されたデータ ディスクが自動的に暗号化される可能性があります。 新しいディスクがオンラインになった後に VM を再起動すると、自動的に暗号化が行われることが多いです。 通常、これは以前に VM でディスクの暗号化を実行したときに、ボリュームの種類に "All" を指定していることが原因です。 自動の暗号化が新しく追加されたデータ ディスク上で発生する場合は、新しいシーケンス バージョンで Set-AzVmDiskEncryptionExtension コマンドレットをもう一度実行することをお勧めします。 新しいデータ ディスクが自動的に暗号化されており、暗号化したくない場合は、まずすべてのドライブの暗号化を解除して、ボリュームの種類に OS を指定して新しいシーケンス バージョンで再暗号化します。

• 実行中の VM を暗号化する: 以下のスクリプトでは変数を初期化し、Set-AzVMDiskEncryptionExtension コマンドレットを実行します。 前提条件として、リソース グループ、VM、およびキー コンテナーが既に作成されている必要があります。 MyKeyVaultResourceGroup、MyVirtualMachineResourceGroup、MySecureVM、MySecureVault を実際の値に置き換えます。 この例では -VolumeType パラメーターに "All" が使用されているため、OS ボリュームとデータ ボリュームの両方が含まれます。 OS ボリュームのみを暗号化する場合は、-VolumeType パラメーターに "OS" を使用します。

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
   $sequenceVersion = [Guid]::NewGuid();
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
  

• KEK を使用して実行中の VM を暗号化する: この例では -VolumeType パラメーターに "All" が使用されているため、OS ボリュームとデータ ボリュームの両方が含まれます。 OS ボリュームのみを暗号化する場合は、-VolumeType パラメーターに "OS" を使用します。

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MyExtraSecureVM';
  $KeyVaultName = 'MySecureVault';
  $keyEncryptionKeyName = 'MyKeyEncryptionKey';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
  $sequenceVersion = [Guid]::NewGuid();
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
  
  

  Note

  disk-encryption-keyvault パラメーターの値は、次のように、完全な識別子文字列の形式で表されます: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  key-encryption-key パラメーターは KEK の完全な URI であり、次の形式で表されます: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

Azure CLI を使用して新しく追加されたディスクで暗号化を有効にする

暗号化を有効にするコマンドを実行する際に、Azure CLI コマンドによって、新しいシーケンス バージョンが自動的に提供されます。 この例では、"All" が volume-type パラメーターに使用されています。 OS ディスクのみ暗号化する場合は、volume-type パラメーターを OS に変更する必要があります。 PowerShell 構文とは異なり、CLI では暗号化を有効にする際にユーザーが一意のシーケンス バージョンを指定する必要はありません。 CLI では独自の一意のシーケンス バージョン値が自動的に生成され、使用されます。

• 実行中の VM を暗号化する:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "All"
  

• KEK を使用して実行中の VM を暗号化する:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "All"
  

暗号化を無効にし、暗号化拡張機能を削除する

Azure Disk Encryption 拡張機能を無効にしたり、Azure Disk Encryption 拡張機能を削除したりできます。 これらは 2 つの異なる操作です。

ADE を削除するには、まず暗号化を無効にしてから拡張機能を削除することをお勧めします。 暗号化拡張機能を無効にせずに削除すると、ディスクは暗号化されたままになります。 拡張機能を削除した後に暗号化を無効にした場合、(暗号化解除操作を実行するために) 拡張機能は再インストールされ、もう一度削除する必要が生じます。

暗号化を無効にする

Azure PowerShell、Azure CLI、または Resource Manager テンプレートを使用して暗号化を無効にすることができます。 暗号化を無効にしても、拡張機能は削除されません (「暗号化拡張機能を削除する」を参照してください)。

警告

OS とデータ ディスクの両方が暗号化されている場合にデータ ディスクの暗号化を無効にすると、予期しない結果が生じる恐れがあります。 代わりに、すべてのディスクで暗号化を無効にしてください。

暗号化を無効にすると、ディスクの暗号化を解除するための BitLocker のバックグラウンド プロセスが開始されます。 暗号化の再有効化を試す前に、このプロセスを完了するための十分な時間を確保する必要があります。

• Azure PowerShell を使用してディスク暗号化を無効にする: 暗号化を無効にするには、Disable-AzVMDiskEncryption コマンドレットを使用します。

  Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "all"
  

• Azure CLI を使用して暗号化を無効にする: 暗号化を無効にするには、az vm encryption disable コマンドを使用します。

  az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "all"
  

• Resource Manager テンプレートを使用して暗号化を無効にする:

  1. 実行中の Windows VM でディスク暗号化を無効にするためのテンプレートで [Azure に配置する] をクリックします。
  2. サブスクリプション、リソース グループ、場所、VM、ボリュームの種類、法律条項、および契約を選択します。
  3. [購入] をクリックして、実行中の Windows VM でディスク暗号化を無効にします。

暗号化拡張機能を削除する

ディスクの暗号化を解除し、暗号化拡張機能を削除したい場合、拡張機能を削除する前に、暗号化を無効にする必要があります。「暗号化を無効にする」を参照してください。

Azure PowerShell または Azure CLI を使用して、暗号化拡張機能を削除できます。

• Azure PowerShell を使用してディスク暗号化を無効にする: 暗号化を削除するには、Remove-AzVMDiskEncryptionExtension コマンドレットを使用します。

  Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"
  

• Azure CLI を使用して暗号化を無効にする: 暗号化を削除するには、az vm extension delete コマンドを使用します。

  az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryption"
  

次のステップ

• Azure Disk Encryption の概要
• Azure Disk Encryption のサンプル スクリプト
• Azure Disk Encryption のトラブルシューティング