Azure Disk Encryption-scenario's voor Windows-VM's

Van toepassing op: ✔️ Flexibele schaalsets voor Windows-VM's ✔️

Azure Disk Encryption voor Windows virtuele machines (VM's) gebruikt de BitLocker-functie van Windows om volledige schijfversleuteling van de besturingssysteemschijf en gegevensschijf te bieden. Daarnaast biedt het versleuteling van de tijdelijke schijf wanneer de parameter VolumeType All is.

Azure Disk Encryption is geïntegreerd met Azure Key Vault om u te helpen de schijfversleutelingssleutels en -geheimen te beheren. Zie Azure Disk Encryption voor Windows VM's voor een overzicht van de service.

Vereisten

U kunt schijfversleuteling alleen toepassen op virtuele machines met ondersteunde VM-grootten en besturingssystemen. U moet ook voldoen aan de volgende vereisten:

• Netwerkvereisten
• Vereisten voor groepsbeleid
• Opslagvereisten voor versleutelingssleutels

Beperkingen

Als u eerder Azure Disk Encryption met Microsoft Entra ID hebt gebruikt voor het versleutelen van een VM, moet u deze optie blijven gebruiken om uw VM te versleutelen. Zie Azure Disk Encryption met Microsoft Entra ID-app (vorige versie) voor details.

U moet een momentopname maken en/of een back-up maken voordat schijven worden versleuteld. Back-ups zorgen ervoor dat een hersteloptie mogelijk is als er een onverwachte fout optreedt tijdens de versleuteling. Voor VM's met beheerde schijven is een back-up vereist voordat versleuteling plaatsvindt. Zodra een back-up is gemaakt, kunt u de cmdlet Set-AzVMDiskEncryptionExtension gebruiken om beheerde schijven te versleutelen door de parameter -skipVmBackup op te geven. Zie Back-ups maken en herstellen van versleutelde virtuele machines voor meer informatie over het maken van back-ups en het herstellen van versleutelde virtuele machines.

Het versleutelen of uitschakelen van versleuteling kan ertoe leiden dat een VIRTUELE machine opnieuw wordt opgestart.

Azure Disk Encryption werkt niet voor de volgende scenario's, functies en technologie:

• Het versleutelen van vm's in de basic-laag die zijn gemaakt via de klassieke methode voor het maken van vm's.
• Het versleutelen van VM's die zijn geconfigureerd met RAID-systemen op basis van software.
• Het versleutelen van VM's die zijn geconfigureerd met Opslagruimten Direct (S2D) of Windows Server-versies vóór 2016 die zijn geconfigureerd met Windows Opslagruimten.
• Integratie met een on-premises sleutelbeheersysteem.
• Azure Files (gedeeld bestandssysteem).
• Network File System (NFS).
• Dynamische volumes.
• Windows Server-containers, die dynamische volumes maken voor elke container.
• Tijdelijke besturingssysteemschijven.
• iSCSI-schijven.
• Versleuteling van gedeelde/gedistribueerde bestandssystemen zoals (maar niet beperkt tot) DFS, GFS, DRDB en CephFS.
• Een versleutelde VM verplaatsen naar een ander abonnement of een andere regio.
• Een installatiekopie of momentopname van een versleutelde VIRTUELE machine maken en deze gebruiken om extra VM's te implementeren.
• Vm's uit de M-serie met Write Accelerator-schijven.
• ADE toepassen op een virtuele machine met schijven die zijn versleuteld met versleuteling op de host of op de server met door de klant beheerde sleutels (SSE + CMK). Het toepassen van SSE + CMK op een gegevensschijf of het toevoegen van een gegevensschijf met SSE + CMK die is geconfigureerd voor een virtuele machine die is versleuteld met ADE, is ook een niet-ondersteund scenario.
• Migreren van een VIRTUELE machine die is versleuteld met ADE of ooit is versleuteld met ADE, naar versleuteling op host of serverzijde met door de klant beheerde sleutels.
• Vm's in failoverclusters versleutelen.
• Versleuteling van Azure Ultra Disks.
• Versleuteling van Premium SSD v2-schijven.
• Versleuteling van VM's in abonnementen waarvoor het Secrets should have the specified maximum validity period beleid is ingeschakeld met het effect DENY.
• Versleuteling van VM's in abonnementen waarvoor het Key Vault secrets should have an expiration date beleid is ingeschakeld met het effect DENY

Hulpprogramma's installeren en verbinding maken met Azure

Azure Disk Encryption kan worden ingeschakeld en beheerd via de Azure CLI en Azure PowerShell. Hiervoor moet u de hulpprogramma's lokaal installeren en verbinding maken met uw Azure-abonnement.

Azure-CLI

Azure CLI 2.0 is een opdrachtregelprogramma voor het beheren van Azure-resources. De CLI is ontworpen om flexibel querygegevens uit te voeren, langdurige bewerkingen te ondersteunen als niet-blokkerende processen en scripting eenvoudig te maken. U kunt deze lokaal installeren door de stappen in Azure CLI installeren uit te voeren.

Als u zich wilt aanmelden bij uw Azure-account met de Azure CLI, gebruikt u de opdracht az login.

az login

Als u een tenant wilt selecteren om u aan te melden, gebruikt u:

az login --tenant <tenant>

Als u meerdere abonnementen hebt en een specifieke abonnementen wilt opgeven, haalt u uw abonnementslijst op met az account list en geeft u op met az account set.

az account list
az account set --subscription "<subscription name or ID>"

Zie Aan de slag met Azure CLI 2.0 voor meer informatie.

Azure PowerShell

De Az-module van Azure PowerShell biedt een set cmdlets die gebruikmaakt van het Azure Resource Manager-model voor het beheren van uw Azure-resources. U kunt deze gebruiken in uw browser met Azure Cloud Shell of u kunt deze installeren op uw lokale computer met behulp van de instructies in De Azure PowerShell-module installeren.

Als u deze al lokaal hebt geïnstalleerd, moet u ervoor zorgen dat u de nieuwste versie van de Azure PowerShell SDK-versie gebruikt om Azure Disk Encryption te configureren. Download de nieuwste versie van de Azure PowerShell-release.

Als u zich wilt aanmelden bij uw Azure-account met Azure PowerShell, gebruikt u de cmdlet Verbinding maken-AzAccount.

Connect-AzAccount

Als u meerdere abonnementen hebt en er een wilt opgeven, gebruikt u de cmdlet Get-AzSubscription om deze weer te geven, gevolgd door de cmdlet Set-AzContext :

Set-AzContext -Subscription <SubscriptionId>

Als u de Cmdlet Get-AzContext uitvoert, controleert u of het juiste abonnement is geselecteerd.

Gebruik de cmdlet Get-command om te controleren of de Azure Disk Encryption-cmdlets zijn geïnstalleerd:

Get-command *diskencryption*

Zie Aan de slag met Azure PowerShell voor meer informatie.

Versleuteling inschakelen op een bestaande of actieve Windows-VM

In dit scenario kunt u versleuteling inschakelen met behulp van de Resource Manager-sjabloon, PowerShell-cmdlets of CLI-opdrachten. Als u schemagegevens nodig hebt voor de extensie van de virtuele machine, raadpleegt u het artikel Over Azure Disk Encryption voor Windows-extensies .

Versleuteling inschakelen op bestaande of actieve VM's met Azure PowerShell

Gebruik de cmdlet Set-AzVMDiskEncryptionExtension om versleuteling in te schakelen op een actieve Virtuele IaaS-machine in Azure.

• Een actieve VM versleutelen: met het onderstaande script worden uw variabelen geïnitialiseerd en wordt de cmdlet Set-AzVMDiskEncryptionExtension uitgevoerd. De resourcegroep, de VM en de sleutelkluis moeten al zijn gemaakt als vereisten. Vervang MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM en MySecureVault door uw waarden.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;
  

• Een actieve VM versleutelen met KEK:

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MyExtraSecureVM';
  $KeyVaultName = 'MySecureVault';
  $keyEncryptionKeyName = 'MyKeyEncryptionKey';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;
  
  

  Notitie

  De syntaxis voor de waarde van de parameter disk-encryption-keyvault is de volledige id-tekenreeks: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  De syntaxis voor de waarde van de parameter key-encryption-key is de volledige URI voor de KEK, zoals in: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Controleer of de schijven zijn versleuteld: gebruik de cmdlet Get-AzVmDiskEncryptionStatus om de versleutelingsstatus van een IaaS-VM te controleren.

  Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
  

Zie Versleuteling uitschakelen en de versleutelingsextensie verwijderen om de versleuteling uit te schakelen.

Versleuteling inschakelen op bestaande of actieve VM's met de Azure CLI

Gebruik de opdracht az vm encryption enable om versleuteling in te schakelen op een actieve Virtuele IaaS-machine in Azure.

• Een actieve VM versleutelen:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]
  

• Een actieve VM versleutelen met KEK:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
  

  Notitie

  De syntaxis voor de waarde van de parameter disk-encryption-keyvault is de volledige id-tekenreeks: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  De syntaxis voor de waarde van de parameter key-encryption-key is de volledige URI voor de KEK, zoals in: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Controleer of de schijven zijn versleuteld: gebruik de opdracht az vm encryption show om de versleutelingsstatus van een IaaS-VM te controleren.

  az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
  

Zie Versleuteling uitschakelen en de versleutelingsextensie verwijderen om de versleuteling uit te schakelen.

De Resource Manager-sjabloon gebruiken

U kunt schijfversleuteling inschakelen op bestaande of actieve IaaS Windows-VM's in Azure met behulp van de Resource Manager-sjabloon om een actieve Windows-VM te versleutelen.

1. Klik in de quickstart-sjabloon van Azure op Implementeren naar Azure.

2. Selecteer het abonnement, de resourcegroep, de locatie, de instellingen, de juridische voorwaarden en de overeenkomst. Klik op Aanschaffen om versleuteling in te schakelen op de bestaande of actieve IaaS-VM.

De volgende tabel bevat de Resource Manager-sjabloonparameters voor bestaande of actieve VM's:

Parameter	Description
vmName	De naam van de virtuele machine om de versleutelingsbewerking uit te voeren.
keyVaultName	De naam van de sleutelkluis waarnaar de BitLocker-sleutel moet worden geüpload. U kunt deze ophalen met behulp van de cmdlet (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname of de Azure CLI-opdracht az keyvault list --resource-group "MyKeyVaultResourceGroup"
keyVaultResourceGroup	Naam van de resourcegroep die de sleutelkluis bevat
keyEncryptionKeyURL	De URL van de sleutelversleutelingssleutel, in de indeling https://< keyvault-name.vault.azure.net/key/>< key-name>. Als u geen KEK wilt gebruiken, laat u dit veld leeg.
volumeType	Type volume waarop de versleutelingsbewerking wordt uitgevoerd. Geldige waarden zijn besturingssysteem, gegevens en alle.
forceUpdateTag	Geef een unieke waarde door als een GUID telkens wanneer de bewerking geforceerd moet worden uitgevoerd.
formaat vanOSDisk wijzigen	Moet de grootte van de besturingssysteempartitie worden gewijzigd om de volledige VHD van het besturingssysteem te bezetten voordat u het systeemvolume splitst.
locatie	Locatie voor alle resources.

Versleuteling inschakelen op NVMe-schijven voor Lsv2-VM's

In dit scenario wordt beschreven hoe u Azure Disk Encryption inschakelt op NVMe-schijven voor VM's uit de Lsv2-serie. De Lsv2-serie bevat lokale NVMe-opslag. Lokale NVMe-schijven zijn tijdelijk en er gaan gegevens verloren op deze schijven als u uw VIRTUELE machine stopt/de toewijzing ervan ongedaan maakt (zie: Lsv2-serie).

Versleuteling op NVMe-schijven inschakelen:

1. Initialiseer de NVMe-schijven en maak NTFS-volumes.
2. Schakel versleuteling op de VIRTUELE machine in met de parameter VolumeType ingesteld op Alles. Hiermee schakelt u versleuteling in voor alle besturingssysteem- en gegevensschijven, inclusief volumes die worden ondersteund door NVMe-schijven. Zie Versleuteling inschakelen op een bestaande of actieve Windows-VM voor meer informatie.

Versleuteling blijft behouden op de NVMe-schijven in de volgende scenario's:

• VM opnieuw opstarten
• Installatiekopie van virtuele-machineschaalset
• Besturingssysteem wisselen

NVMe-schijven worden niet geïnitialiseerd in de volgende scenario's:

• VM starten na deallocatie
• Serviceherstel
• Backup

In deze scenario's moeten de NVMe-schijven worden geïnitialiseerd nadat de VM is gestart. Als u versleuteling op de NVMe-schijven wilt inschakelen, voert u de opdracht uit om Azure Disk Encryption opnieuw in te schakelen nadat de NVMe-schijven zijn geïnitialiseerd.

Naast de scenario's die worden vermeld in de sectie Beperkingen , wordt versleuteling van NVMe-schijven niet ondersteund voor:

• VM's die zijn versleuteld met Azure Disk Encryption met Microsoft Entra ID (vorige release)
• NVMe-schijven met opslagruimten
• Azure Site Recovery van SKU's met NVMe-schijven (zie ondersteuningsmatrix voor herstel na noodgevallen van Azure-VM's tussen Azure-regio's: Gerepliceerde machines - opslag).

Nieuwe IaaS-VM's die zijn gemaakt op basis van door de klant versleutelde VHD en versleutelingssleutels

In dit scenario kunt u een nieuwe VIRTUELE machine maken op basis van een vooraf versleutelde VHD en de bijbehorende versleutelingssleutels met behulp van PowerShell-cmdlets of CLI-opdrachten.

Gebruik de instructies in Een vooraf versleutelde Windows-VHD voorbereiden. Nadat de installatiekopieën zijn gemaakt, kunt u de stappen in de volgende sectie gebruiken om een versleutelde Azure-VM te maken.

Vm's versleutelen met vooraf versleutelde VHD's met Azure PowerShell

U kunt schijfversleuteling op uw versleutelde VHD inschakelen met behulp van de PowerShell-cmdlet Set-AzVMOSDisk. In het onderstaande voorbeeld ziet u enkele algemene parameters.

$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"

Versleuteling inschakelen op een nieuw toegevoegde gegevensschijf

U kunt een nieuwe schijf toevoegen aan een Virtuele Windows-machine met behulp van PowerShell of via Azure Portal.

Notitie

Nieuw toegevoegde gegevensschijfversleuteling moet zijn ingeschakeld via PowerShell of alleen cli. Op dit moment biedt Azure Portal geen ondersteuning voor het inschakelen van versleuteling op nieuwe schijven.

Versleuteling inschakelen op een nieuw toegevoegde schijf met Azure PowerShell

Wanneer u PowerShell gebruikt om een nieuwe schijf voor Windows-VM's te versleutelen, moet er een nieuwe reeksversie worden opgegeven. De reeksversie moet uniek zijn. Met het onderstaande script wordt een GUID gegenereerd voor de reeksversie. In sommige gevallen kan een nieuw toegevoegde gegevensschijf automatisch worden versleuteld door de Azure Disk Encryption-extensie. Automatische versleuteling treedt meestal op wanneer de VIRTUELE machine opnieuw wordt opgestart nadat de nieuwe schijf online is. Dit wordt meestal veroorzaakt doordat 'Alles' is opgegeven voor het volumetype toen schijfversleuteling eerder op de virtuele machine werd uitgevoerd. Als automatische versleuteling plaatsvindt op een nieuw toegevoegde gegevensschijf, raden we u aan de cmdlet Set-AzVmDiskEncryptionExtension opnieuw uit te voeren met een nieuwe reeksversie. Als uw nieuwe gegevensschijf automatisch is versleuteld en u niet wilt worden versleuteld, ontsleutelt u eerst alle stations en versleutelt u opnieuw met een nieuwe reeksversie die het besturingssysteem voor het volumetype opgeeft.

• Een actieve VM versleutelen: met het onderstaande script worden uw variabelen geïnitialiseerd en wordt de cmdlet Set-AzVMDiskEncryptionExtension uitgevoerd. De resourcegroep, de VM en de sleutelkluis moeten al zijn gemaakt als vereisten. Vervang MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM en MySecureVault door uw waarden. In dit voorbeeld wordt 'All' gebruikt voor de parameter -VolumeType, die zowel besturingssysteem- als gegevensvolumes bevat. Als u alleen het besturingssysteemvolume wilt versleutelen, gebruikt u 'OS' voor de parameter -VolumeType.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
   $sequenceVersion = [Guid]::NewGuid();
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
  

• Een actieve VM versleutelen met behulp van KEK: in dit voorbeeld wordt 'Alles' gebruikt voor de parameter -VolumeType, die zowel besturingssysteem- als gegevensvolumes bevat. Als u alleen het besturingssysteemvolume wilt versleutelen, gebruikt u 'OS' voor de parameter -VolumeType.

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MyExtraSecureVM';
  $KeyVaultName = 'MySecureVault';
  $keyEncryptionKeyName = 'MyKeyEncryptionKey';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
  $sequenceVersion = [Guid]::NewGuid();
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
  
  

  Notitie

  De syntaxis voor de waarde van de parameter disk-encryption-keyvault is de volledige id-tekenreeks: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  De syntaxis voor de waarde van de parameter key-encryption-key is de volledige URI voor de KEK, zoals in: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

Versleuteling inschakelen op een nieuw toegevoegde schijf met Azure CLI

De Azure CLI-opdracht geeft automatisch een nieuwe reeksversie voor u op wanneer u de opdracht uitvoert om versleuteling in te schakelen. In het voorbeeld wordt 'All' gebruikt voor de parameter volumetype. Mogelijk moet u de parameter volumetype wijzigen in het besturingssysteem als u alleen de besturingssysteemschijf versleutelt. In tegenstelling tot de PowerShell-syntaxis vereist de CLI niet dat de gebruiker een unieke reeksversie opgeeft bij het inschakelen van versleuteling. De CLI genereert en gebruikt automatisch een eigen unieke reeksversiewaarde.

• Een actieve VM versleutelen:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "All"
  

• Een actieve VM versleutelen met KEK:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "All"
  

Versleuteling uitschakelen en de versleutelingsextensie verwijderen

U kunt de Extensie voor Azure-schijfversleuteling uitschakelen en u kunt de Extensie voor Azure-schijfversleuteling verwijderen. Dit zijn twee afzonderlijke bewerkingen.

Als u ADE wilt verwijderen, wordt u aangeraden eerst versleuteling uit te schakelen en vervolgens de extensie te verwijderen. Als u de versleutelingsextensie verwijdert zonder deze uit te schakelen, worden de schijven nog steeds versleuteld. Als u versleuteling uitschakelt nadat u de extensie hebt verwijderd, wordt de extensie opnieuw geïnstalleerd (om de ontsleutelingsbewerking uit te voeren) en moet deze een tweede keer worden verwijderd.

Versleuteling uitschakelen

U kunt versleuteling uitschakelen met behulp van Azure PowerShell, de Azure CLI of met een Resource Manager-sjabloon. Als u versleuteling uitschakelt, wordt de extensie niet verwijderd (zie De versleutelingsextensie verwijderen).

Waarschuwing

Het uitschakelen van gegevensschijfversleuteling wanneer zowel het besturingssysteem als de gegevensschijven zijn versleuteld, kan onverwachte resultaten hebben. Schakel in plaats daarvan versleuteling uit op alle schijven.

Als u versleuteling uitschakelt, wordt een achtergrondproces van BitLocker gestart om de schijven te ontsleutelen. Dit proces moet voldoende tijd krijgen om te voltooien voordat u probeert versleuteling opnieuw in te schakelen.

• Schijfversleuteling uitschakelen met Azure PowerShell: gebruik de cmdlet Disable-AzVMDiskEncryption om de versleuteling uit te schakelen.

  Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "all"
  

• Versleuteling uitschakelen met de Azure CLI: Als u versleuteling wilt uitschakelen, gebruikt u de opdracht az vm encryption disable .

  az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "all"
  

• Versleuteling uitschakelen met een Resource Manager-sjabloon:

  1. Klik op Implementeren naar Azure vanuit schijfversleuteling uitschakelen bij het uitvoeren van een Windows-VM-sjabloon .
  2. Selecteer het abonnement, de resourcegroep, de locatie, de VM, het volumetype, de juridische voorwaarden en de overeenkomst.
  3. Klik op Aanschaffen om schijfversleuteling uit te schakelen op een actieve Windows-VM.

De versleutelingsextensie verwijderen

Als u uw schijven wilt ontsleutelen en de versleutelingsextensie wilt verwijderen, moet u versleuteling uitschakelen voordat u de extensie verwijdert. Zie Versleuteling uitschakelen.

U kunt de versleutelingsextensie verwijderen met behulp van Azure PowerShell of de Azure CLI.

• Schijfversleuteling uitschakelen met Azure PowerShell: gebruik de cmdlet Remove-AzVMDiskEncryptionExtension om de versleuteling te verwijderen.

  Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"
  

• Versleuteling uitschakelen met de Azure CLI: Als u versleuteling wilt verwijderen, gebruikt u de opdracht az vm extension delete .

  az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryption"
  

Volgende stappen

• Overzicht van Azure Disk Encryption
• Voorbeeldscripts voor Azure Disk Encryption
• Problemen met Azure Disk Encryption oplossen