Scenariusze usługi Azure Disk Encryption na maszynach wirtualnych z systemem Windows

Dotyczy: Windows ✔️ maszyn wirtualnych elastyczne ✔️ zestawy skalowania

Azure Disk Encryption maszyn Windows wirtualnych używa funkcji BitLocker programu Windows w celu zapewnienia pełnego szyfrowania dysku systemu operacyjnego i dysku danych. Ponadto zapewnia szyfrowanie dysku tymczasowego, gdy parametr VolumeType ma wartość Wszystkie.

Azure Disk Encryption jest zintegrowana z Azure Key Vault , aby ułatwić kontrolowanie kluczy szyfrowania dysków i wpisów tajnych oraz zarządzanie nimi. Aby uzyskać omówienie usługi, zobacz Azure Disk Encryption for Windows VMs (Omówienie maszyn wirtualnych).

Szyfrowanie dysków można zastosować tylko do maszyn wirtualnych o obsługiwanych rozmiarach i systemach operacyjnych. Należy również spełnić następujące wymagania wstępne:

Ważne

Instalowanie narzędzi i nawiązywanie połączenia z platformą Azure

Azure Disk Encryption można włączyć i zarządzać nimi za pomocą interfejsu wiersza polecenia platformy Azurei Azure PowerShell. W tym celu należy zainstalować narzędzia lokalnie i połączyć się z subskrypcją platformy Azure.

Interfejs wiersza polecenia platformy Azure

Interfejs wiersza polecenia platformy Azure 2.0 to narzędzie wiersza polecenia do zarządzania zasobami platformy Azure. Interfejs wiersza polecenia został zaprojektowany w celu elastycznego wykonywania zapytań o dane, obsługi długotrwałych operacji jako procesów nieblokowania i ułatwiania wykonywania skryptów. Możesz zainstalować go lokalnie, korzystając z kroków instalowania interfejsu wiersza polecenia platformy Azure.

Aby zalogować się do konta platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure, użyj polecenia az login .

az login

Jeśli chcesz wybrać dzierżawę, w ramach których chcesz się zalogować, użyj:

az login --tenant <tenant>

Jeśli masz wiele subskrypcji i chcesz określić określoną subskrypcję, pobierz listę subskrypcji za pomocą az account list i określ za pomocą az account set.

az account list
az account set --subscription "<subscription name or ID>"

Aby uzyskać więcej informacji, zobacz Rozpoczynanie pracy z interfejsem wiersza polecenia platformy Azure w wersji 2.0.

Azure PowerShell

Moduł Azure PowerShell az zawiera zestaw polecenia cmdlet, które Azure Resource Manager modelu zarządzania zasobami platformy Azure. Możesz go użyć w przeglądarce z Azure Cloud Shell lub zainstalować go na komputerze lokalnym, korzystając z instrukcji w temacie Instalowanie Azure PowerShell modułu.

Jeśli masz już zainstalowane lokalnie, upewnij się, że używasz najnowszej wersji zestawu AZURE POWERSHELL SDK, aby skonfigurować Azure Disk Encryption. Pobierz najnowszą wersję Azure PowerShell wersji.

Aby zalogować się do konta platformy Azure przy użyciu Azure PowerShell, użyj Połączenie cmdlet Połączenie-AzAccount.

Connect-AzAccount

Jeśli masz wiele subskrypcji i chcesz określić jedną z nich, użyj polecenia cmdlet Get-AzSubscription , aby je wyświetlić, a następnie polecenia cmdlet Set-AzContext :

Set-AzContext -Subscription <SubscriptionId>

Uruchomienie polecenia cmdlet Get-AzContext spowoduje sprawdzenie, czy wybrano poprawną subskrypcję.

Aby sprawdzić, Azure Disk Encryption polecenia cmdlet są zainstalowane, użyj polecenia cmdlet Get-command :

Get-command *diskencryption*

Aby uzyskać więcej informacji, zobacz Wprowadzenie do Azure PowerShell.

Włączanie szyfrowania na istniejącej lub uruchomionej Windows wirtualnej

W tym scenariuszu można włączyć szyfrowanie przy użyciu szablonu Resource Manager, poleceń cmdlet programu PowerShell lub poleceń interfejsu wiersza polecenia. Jeśli potrzebujesz informacji o schemacie dla rozszerzenia maszyny wirtualnej, zobacz artykuł Azure Disk Encryption dla Windows rozszerzenia.

Włączanie szyfrowania istniejących lub uruchomionych maszyn wirtualnych za pomocą Azure PowerShell

Użyj polecenia cmdlet Set-AzVMDiskEncryptionExtension , aby włączyć szyfrowanie na uruchomionej maszynie wirtualnej IaaS na platformie Azure.

  • Szyfrowanie uruchomionej maszyny wirtualnej: Poniższy skrypt inicjuje zmienne i uruchamia Set-AzVMDiskEncryptionExtension cmdlet. Grupa zasobów, maszyna wirtualna i magazyn kluczy powinny już zostać utworzone jako wymagania wstępne. Zastąp wartości MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM i MySecureVault swoimi wartościami.

     $KVRGname = 'MyKeyVaultResourceGroup';
     $VMRGName = 'MyVirtualMachineResourceGroup';
     $vmName = 'MySecureVM';
     $KeyVaultName = 'MySecureVault';
     $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
     $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
     $KeyVaultResourceId = $KeyVault.ResourceId;
    
     Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;
    
  • Szyfrowanie uruchomionej maszyny wirtualnej przy użyciu klucza szyfrowania klucza:

    $KVRGname = 'MyKeyVaultResourceGroup';
    $VMRGName = 'MyVirtualMachineResourceGroup';
    $vmName = 'MyExtraSecureVM';
    $KeyVaultName = 'MySecureVault';
    $keyEncryptionKeyName = 'MyKeyEncryptionKey';
    $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
    $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
    $KeyVaultResourceId = $KeyVault.ResourceId;
    $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
    
    Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;
    
    

    Uwaga

    Składnia wartości parametru disk-encryption-keyvault to ciąg pełnego identyfikatora: /subscriptions/[subscription-id-guid]/resourceGroups/[nazwa grupy zasobów]/providers/Microsoft.KeyVault/vaults/[nazwa magazynu kluczy]
    Składnia wartości parametru key-encryption-key to pełny identyfikator URI klucza szyfrowania klucza, jak w: https://[nazwa_magazynu_kluczy].vault.azure.net/keys/[kekname]/[kek-unique-id]

  • Sprawdź, czy dyski są szyfrowane: Aby sprawdzić stan szyfrowania maszyny wirtualnej IaaS, użyj polecenia cmdlet Get-AzVmDiskEncryptionStatus .

    Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
    

Aby wyłączyć szyfrowanie, zobacz Wyłączanie szyfrowania i usuwanie rozszerzenia szyfrowania.

Włączanie szyfrowania na istniejących lub uruchomionych maszyn wirtualnych za pomocą interfejsu wiersza polecenia platformy Azure

Użyj polecenia az vm encryption enable , aby włączyć szyfrowanie na uruchomionej maszynie wirtualnej IaaS na platformie Azure.

  • Szyfrowanie uruchomionej maszyny wirtualnej:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]
    
  • Szyfrowanie uruchomionej maszyny wirtualnej przy użyciu klucza szyfrowania klucza:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
    

    Uwaga

    Składnia wartości parametru disk-encryption-keyvault to ciąg pełnego identyfikatora: /subscriptions/[subscription-id-guid]/resourceGroups/[nazwa grupy zasobów]/providers/Microsoft.KeyVault/vaults/[nazwa magazynu kluczy]
    Składnia wartości parametru key-encryption-key to pełny identyfikator URI klucza szyfrowania klucza, jak w: https://[nazwa_magazynu_kluczy].vault.azure.net/keys/[kekname]/[kek-unique-id]

  • Sprawdź, czy dyski są szyfrowane: Aby sprawdzić stan szyfrowania maszyny wirtualnej IaaS, użyj polecenia az vm encryption show .

    az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
    

Aby wyłączyć szyfrowanie, zobacz Wyłączanie szyfrowania i usuwanie rozszerzenia szyfrowania.

Korzystanie z Resource Manager szablonu

Szyfrowanie dysków można włączyć na istniejących lub uruchomionych maszynach wirtualnych IaaS Windows na platformie Azure przy użyciu szablonu Resource Manager w celu zaszyfrowania uruchomionej maszyny Windows wirtualnej.

  1. W szablonie Szybkiego startu platformy Azure kliknij pozycję Wd wdrażaj na platformie Azure.

  2. Wybierz subskrypcję, grupę zasobów, lokalizację, ustawienia, postanowienia prawne i umowę. Kliknij pozycję Kup , aby włączyć szyfrowanie na istniejącej lub uruchomionej maszynie wirtualnej IaaS.

W poniższej tabeli wymieniono Resource Manager szablonu dla istniejących lub uruchomionych maszyn wirtualnych:

Parametr Opis
vmName Nazwa maszyny wirtualnej do uruchomienia operacji szyfrowania.
keyVaultName Nazwa magazynu kluczy, do których ma zostać przekazany klucz funkcji BitLocker. Możesz go uzyskać za pomocą polecenia cmdlet (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname lub polecenia interfejsu wiersza polecenia platformy Azure az keyvault list --resource-group "MyKeyVaultResourceGroup"
keyVaultResourceGroup Nazwa grupy zasobów zawierającej magazyn kluczy
keyEncryptionKeyURL Adres URL klucza szyfrowania klucza w formacie https://< keyvault-name.vault.azure.net/key/>< key-name>. Jeśli nie chcesz używać KEK, pozostaw to pole puste.
typ woluminu Typ woluminu, na który jest wykonywana operacja szyfrowania. Prawidłowe wartości to System operacyjny, Dane i Wszystkie.
forceUpdateTag Przekaż unikatową wartość, np. identyfikator GUID, za każdym razem, gdy operacja musi zostać wymuś uruchomienie.
resizeOSDisk Należy zmienić rozmiar partycji systemu operacyjnego tak, aby zajmowała pełny wirtualny dysk twardy systemu operacyjnego przed podziałem woluminu systemowego.
location Lokalizacja dla wszystkich zasobów.

Włączanie szyfrowania dysków NVMe dla maszyn wirtualnych Lsv2

W tym scenariuszu opisano włączanie Azure Disk Encryption na dyskach NVMe dla maszyn wirtualnych serii Lsv2. Seria Lsv2 zawiera lokalny magazyn NVMe. Lokalne dyski NVMe są tymczasowe, a dane zostaną utracone na tych dyskach po zatrzymaniu/cofniu alokacji maszyny wirtualnej (zobacz: seria Lsv2).

Aby włączyć szyfrowanie na dyskach NVMe:

  1. Zaimicjuj dyski NVMe i utwórz woluminy NTFS.
  2. Włącz szyfrowanie na maszynie wirtualnej z parametrem VolumeType ustawionym na Wszystkie. Umożliwi to szyfrowanie wszystkich dysków systemu operacyjnego i danych, w tym woluminów z dyskami NVMe. Aby uzyskać informacje, zobacz Włączanie szyfrowania na istniejącej lub uruchomionej Windows wirtualnej.

Szyfrowanie zostanie utrwalone na dyskach NVMe w następujących scenariuszach:

  • Ponowne uruchamianie maszyny wirtualnej
  • Odtwarzanie zestawu skalowania maszyn wirtualnych z obrazu
  • Zamień system operacyjny

Dyski NVMe zostaną niezainicjowane w następujących scenariuszach:

  • Uruchamianie maszyny wirtualnej po co deallokacji
  • Service healing (Service healing)
  • Backup

W tych scenariuszach dyski NVMe muszą zostać zainicjowane po uruchamianiu maszyny wirtualnej. Aby włączyć szyfrowanie na dyskach NVMe, uruchom polecenie , aby Azure Disk Encryption ponownie po zainicjowaniu dysków NVMe.

Oprócz scenariuszy wymienionych w sekcji Nieobsługiwane scenariusze szyfrowanie dysków NVMe nie jest obsługiwane w przypadku:

  • Maszyny wirtualne zaszyfrowane za pomocą Azure Disk Encryption za pomocą AAD (poprzednia wersja)
  • Dyski NVMe z miejscami do magazynowania
  • Azure Site Recovery jednostki SKU z dyskami NVMe (zobacz Tabela obsługi odzyskiwania po awarii maszyny wirtualnej platformy Azure między regionami platformy Azure: Replikowane maszyny — magazyn).

Nowe maszyny wirtualne IaaS utworzone na podstawie zaszyfrowanego przez klienta wirtualnego dysku twardego i kluczy szyfrowania

W tym scenariuszu można utworzyć nową maszynę wirtualną z wstępnie zaszyfrowanego wirtualnego dysku twardego i skojarzonych kluczy szyfrowania przy użyciu poleceń cmdlet programu PowerShell lub poleceń interfejsu wiersza polecenia.

Skorzystaj z instrukcji z tematu Prepare a pre-encrypted Windows VHD (Przygotowywanie wstępnie zaszyfrowanego Windows VHD). Po utworzeniu obrazu możesz wykonać kroki opisane w następnej sekcji, aby utworzyć zaszyfrowaną maszynę wirtualną platformy Azure.

Szyfrowanie maszyn wirtualnych za pomocą wstępnie zaszyfrowanych dysków VHD za pomocą Azure PowerShell

Szyfrowanie dysków na zaszyfrowanym dysku VHD można włączyć za pomocą polecenia cmdlet programu PowerShell Set-AzVMOSDisk. Poniższy przykład zawiera kilka typowych parametrów.

$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"

Włączanie szyfrowania na nowo dodanym dysku danych

Nowy dysk można dodać do maszyny wirtualnej Windows za pomocą programu PowerShell lub za pośrednictwem Azure Portal.

Włączanie szyfrowania na nowo dodanym dysku przy użyciu Azure PowerShell

W przypadku używania programu PowerShell do szyfrowania nowego dysku Windows maszyn wirtualnych należy określić nową wersję sekwencji. Wersja sekwencji musi być unikatowa. Poniższy skrypt generuje identyfikator GUID dla wersji sekwencji. W niektórych przypadkach nowo dodany dysk danych może zostać automatycznie zaszyfrowany przez rozszerzenie Azure Disk Encryption danych. Automatyczne szyfrowanie zwykle występuje, gdy maszyna wirtualna jest uruchamiana ponownie, gdy nowy dysk jest w trybie online. Jest to zwykle spowodowane tym, że dla typu woluminu określono wartość "Wszystkie", gdy wcześniej na maszynie wirtualnej było stosowane szyfrowanie dysków. Jeśli automatyczne szyfrowanie występuje na nowo dodanym dysku danych, zalecamy uruchomienie polecenia cmdlet Set-AzVmDiskEncryptionExtension ponownie z nową wersją sekwencji. Jeśli nowy dysk danych jest automatycznie szyfrowany i nie chcesz go szyfrować, najpierw odszyfruj wszystkie dyski, a następnie ponownie zaszyfruj przy użyciu nowej wersji sekwencji, określając system operacyjny dla typu woluminu.

  • Szyfrowanie uruchomionej maszyny wirtualnej: Poniższy skrypt inicjuje zmienne i uruchamia Set-AzVMDiskEncryptionExtension cmdlet. Grupa zasobów, maszyna wirtualna i magazyn kluczy powinny już zostać utworzone jako wymagania wstępne. Zastąp wartości MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM i MySecureVault swoimi wartościami. W tym przykładzie użyto wartości "All" dla parametru -VolumeType, który obejmuje woluminy systemu operacyjnego i danych. Jeśli chcesz zaszyfrować tylko wolumin systemu operacyjnego, użyj wartości "OS" dla parametru -VolumeType.

     $KVRGname = 'MyKeyVaultResourceGroup';
     $VMRGName = 'MyVirtualMachineResourceGroup';
     $vmName = 'MySecureVM';
     $KeyVaultName = 'MySecureVault';
     $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
     $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
     $KeyVaultResourceId = $KeyVault.ResourceId;
     $sequenceVersion = [Guid]::NewGuid();
    
     Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
    
  • Szyfrowanie uruchomionej maszyny wirtualnej przy użyciu klucza szyfrowania klucza: W tym przykładzie użyto wartości "All" dla parametru -VolumeType, który obejmuje woluminy systemu operacyjnego i danych. Jeśli chcesz zaszyfrować tylko wolumin systemu operacyjnego, użyj wartości "OS" dla parametru -VolumeType.

    $KVRGname = 'MyKeyVaultResourceGroup';
    $VMRGName = 'MyVirtualMachineResourceGroup';
    $vmName = 'MyExtraSecureVM';
    $KeyVaultName = 'MySecureVault';
    $keyEncryptionKeyName = 'MyKeyEncryptionKey';
    $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
    $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
    $KeyVaultResourceId = $KeyVault.ResourceId;
    $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
    $sequenceVersion = [Guid]::NewGuid();
    
    Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
    
    

    Uwaga

    Składnia wartości parametru disk-encryption-keyvault to ciąg pełnego identyfikatora: /subscriptions/[subscription-id-guid]/resourceGroups/[nazwa grupy zasobów]/providers/Microsoft.KeyVault/vaults/[nazwa magazynu kluczy]
    Składnia wartości parametru key-encryption-key to pełny identyfikator URI klucza szyfrowania klucza, jak w: https://[nazwa_magazynu_kluczy].vault.azure.net/keys/[kekname]/[kek-unique-id]

Włączanie szyfrowania na nowo dodanym dysku przy użyciu interfejsu wiersza polecenia platformy Azure

Polecenie interfejsu wiersza polecenia platformy Azure automatycznie udostępni nową wersję sekwencji po uruchomieniu polecenia w celu włączenia szyfrowania. W przykładzie użyto wartości "All" dla parametru typu woluminu. W przypadku szyfrowania dysku systemu operacyjnego może być konieczne zmiana parametru typu woluminu na system operacyjny. W przeciwieństwie do składni programu PowerShell interfejs wiersza polecenia nie wymaga od użytkownika podania unikatowej wersji sekwencji podczas włączania szyfrowania. Interfejs wiersza polecenia automatycznie generuje i używa własnej unikatowej wartości wersji sekwencji.

  • Szyfrowanie uruchomionej maszyny wirtualnej:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "All"
    
  • Szyfrowanie uruchomionej maszyny wirtualnej przy użyciu klucza szyfrowania klucza:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "All"
    

Wyłączanie szyfrowania i usuwanie rozszerzenia szyfrowania

Możesz wyłączyć rozszerzenie usługi Azure Disk Encryption i usunąć rozszerzenie azure disk encryption. Są to dwie odrębne operacje.

Aby usunąć usługę ADE, zaleca się najpierw wyłączenie szyfrowania, a następnie usunięcie rozszerzenia. Jeśli usuniesz rozszerzenie szyfrowania bez wyłączania go, dyski będą nadal szyfrowane. Jeśli wyłączysz szyfrowanie po usunięciu rozszerzenia, rozszerzenie zostanie ponownie zainstalowane (w celu wykonania operacji odszyfrowywania) i będzie trzeba je usunąć po raz drugi.

Wyłączanie szyfrowania

Szyfrowanie można wyłączyć przy użyciu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub Resource Manager szablonu. Wyłączenie szyfrowania nie powoduje usunięcia rozszerzenia (zobacz Usuwanie rozszerzenia szyfrowania).

Ostrzeżenie

Wyłączenie szyfrowania dysków danych w przypadku zaszyfrowania dysków systemu operacyjnego i danych może mieć nieoczekiwane wyniki. Zamiast tego wyłącz szyfrowanie na wszystkich dyskach.

Wyłączenie szyfrowania spowoduje rozpoczęcie procesu funkcji BitLocker w tle w celu odszyfrowania dysków. Przed podjęciem próby ponownego włączenia szyfrowania należy zapewnić wystarczający czas na ukończenie tego procesu.

  • Wyłącz szyfrowanie dysków za Azure PowerShell: aby wyłączyć szyfrowanie, użyj polecenia cmdlet Disable-AzVMDiskEncryption.

    Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "all"
    
  • Wyłącz szyfrowanie za pomocą interfejsu wiersza polecenia platformy Azure: Aby wyłączyć szyfrowanie, użyj polecenia az vm encryption disable .

    az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "all"
    
  • Wyłącz szyfrowanie za pomocą Resource Manager szablonu:

    1. Kliknij pozycję Deploy to Azure (Wd wdrażaj na platformie Azure) w szablonie Disable disk encryption on running Windows VM (Wyłącz szyfrowanie dysków przy Windows maszyny wirtualnej).
    2. Wybierz subskrypcję, grupę zasobów, lokalizację, maszynę wirtualną, typ woluminu, postanowienia prawne i umowę.
    3. Kliknij pozycję Kup, aby wyłączyć szyfrowanie dysków na uruchomionej Windows wirtualnej.

Usuwanie rozszerzenia szyfrowania

Jeśli chcesz odszyfrować dyski i usunąć rozszerzenie szyfrowania, musisz wyłączyć szyfrowanie przed usunięciem rozszerzenia. zobacz Wyłączanie szyfrowania.

Rozszerzenie szyfrowania można usunąć przy użyciu Azure PowerShell wiersza polecenia platformy Azure.

  • Wyłącz szyfrowanie dysków za Azure PowerShell: aby usunąć szyfrowanie, użyj polecenia cmdlet Remove-AzVMDiskEncryptionExtension.

    Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"
    
  • Wyłącz szyfrowanie za pomocą interfejsu wiersza polecenia platformy Azure: Aby usunąć szyfrowanie, użyj polecenia az vm extension delete .

    az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryptionForWindows"
    

Nieobsługiwane scenariusze

Azure Disk Encryption nie działa w przypadku następujących scenariuszy, funkcji i technologii:

  • Szyfrowanie podstawowej warstwy maszyny wirtualnej lub maszyn wirtualnych utworzonych za pomocą klasycznej metody tworzenia maszyny wirtualnej.
  • Szyfrowanie maszyn wirtualnych skonfigurowanych przy użyciu oprogramowania opartego na systemach RAID.
  • Szyfrowanie maszyn wirtualnych skonfigurowanych przy użyciu usługi Miejsca do magazynowania Direct (S2D) lub Windows Server przed 2016 r. skonfigurowanymi przy użyciu Windows Miejsca do magazynowania.
  • Integracja z lokalnym systemem zarządzania kluczami.
  • Azure Files (udostępniony system plików).
  • Sieciowy system plików (NFS).
  • Woluminy dynamiczne.
  • Windows Server, które tworzą woluminy dynamiczne dla każdego kontenera.
  • Efemeralne dyski systemu operacyjnego.
  • Szyfrowanie udostępnionych/rozproszonych systemów plików, takich jak (ale nie tylko) DFS, GFS, DRDB i CephFS.
  • Przenoszenie zaszyfrowanej maszyny wirtualnej do innej subskrypcji lub regionu.
  • Tworzenie obrazu lub migawki zaszyfrowanej maszyny wirtualnej i używanie jej do wdrażania dodatkowych maszyn wirtualnych.
  • Maszyny wirtualne serii M z akcelerator zapisu dyskami.
  • Stosowanie usługi ADE do maszyny wirtualnej z dyskami zaszyfrowanymi za pomocą szyfrowania po stronie serwera przy użyciu kluczy zarządzanych przez klienta (SSE + CMK). Zastosowanie szyfrowania SSE + cmk do dysku danych na maszynie wirtualnej zaszyfrowanej za pomocą usługi ADE również nie jest obsługiwanym scenariuszem.
  • Migrowanie maszyny wirtualnej zaszyfrowanej za pomocą usługi ADE lub kiedykolwiek zaszyfrowanej za pomocą programu ADE do szyfrowania po stronie serwera przy użyciu kluczy zarządzanych przez klienta.
  • Szyfrowanie maszyn wirtualnych w klastrach trybu failover.
  • Szyfrowanie dysków w warstwie Ultra platformy Azure.

Następne kroki