Azure Disk Encryption para VMs IaaS Windows e LinuxAzure Disk Encryption for Windows and Linux IaaS VMs

O Microsoft Azure tem o compromisso sério de garantir a privacidade e a soberania dos seus dados e permite que você controle os dados hospedados no Azure usando uma variedade de tecnologias para criptografar, controlar e gerenciar chaves de criptografia, bem como auditar e controlar o acesso aos dados.Microsoft Azure is strongly committed to ensuring your data privacy, data sovereignty and enables you to control your Azure hosted data through a range of advanced technologies to encrypt, control and manage encryption keys, control & audit access of data. Isso permite que os clientes do Azure tenham a flexibilidade de escolher a solução que melhor atenda às necessidades de negócios.This provides Azure customers the flexibility to choose the solution that best meets their business needs. Neste artigo, apresentaremos a você uma nova solução de tecnologia, "Azure Disk Encryption para VMs IaaS Windows e Linux" para ajudá-lo a proteger seus dados e atender às obrigações de conformidade e segurança da organização.In this paper, we will introduce you to a new technology solution “Azure Disk Encryption for Windows and Linux IaaS VM’s” to help protect and safeguard your data to meet your organizational security and compliance commitments. O documento fornece orientações detalhadas sobre como usar os recursos de criptografia de disco do Azure, incluindo os cenários com suporte e as experiências de usuário.The paper provides detailed guidance on how to use the Azure disk encryption features including the supported scenarios and the user experiences.

Observação

Determinadas recomendações podem aumentar o uso de recursos de dados, rede ou computação, resultando em custos adicionais de licença ou inscrição.Certain recommendations might increase data, network, or compute resource usage, resulting in additional license or subscription costs.

Visão geralOverview

o Azure Disk Encryption é um novo recurso que ajuda a criptografar os discos de suas máquinas virtuais IaaS Windows e Linux.Azure Disk Encryption is a new capability that helps you encrypt your Windows and Linux IaaS virtual machine disks. A Azure Disk Encryption aproveita o recurso padrão da indústria BitLocker do Windows e o recurso DM-Crypt do Linux para fornecer criptografia de volume para o SO e os discos de dados.Azure Disk Encryption leverages the industry standard BitLocker feature of Windows and the DM-Crypt feature of Linux to provide volume encryption for the OS and the data disks. A solução é integrada ao Azure Key Vault para ajudá-lo a controlar e gerenciar as chaves de criptografia de disco e os segredos em sua assinatura de cofre de chaves.The solution is integrated with Azure Key Vault to help you control and manage the disk-encryption keys and secrets in your key vault subscription. A solução também garante que todos os dados em discos da máquina virtual sejam criptografados em repouso no armazenamento do Azure.The solution also ensures that all data on the virtual machine disks are encrypted at rest in your Azure storage.

O Azure Disk Encryption para VMs IaaS do Windows e Linux agora está em Disponibilidade Geral em todas as regiões públicas do Azure e AzureGov para VMs Standard e VMs com armazenamento premium.Azure disk encryption for Windows and Linux IaaS VMs is now in General Availability in all Azure public regions and AzureGov regions for Standard VMs and VMs with premium storage.

Cenários de criptografiaEncryption scenarios

A solução Azure Disk Encryption dá suporte aos seguintes cenários do cliente:The Azure Disk Encryption solution supports the following customer scenarios:

  • Habilitar a criptografia em novas VMs IaaS criadas com base em VHD pré-criptografado e chaves de criptografiaEnable encryption on new IaaS VMs created from pre-encrypted VHD and encryption keys
  • Habilitar criptografia em novas VMs de IaaS criadas a partir das imagens da Galeria do Azure com suporteEnable encryption on new IaaS VMs created from the supported Azure Gallery images
  • Habilitar a criptografia em VMs IaaS existentes em execução no AzureEnable encryption on existing IaaS VMs running in Azure
  • Desabilitar a criptografia em VMs IaaS do WindowsDisable encryption on Windows IaaS VMs
  • Desabilitar a criptografia em unidades de dados para VMs IaaS do LinuxDisable encryption on data drives for Linux IaaS VMs
  • Ativar criptografia de VMs de disco gerenciadoEnable encryption of managed disk VMs
  • Atualizar configurações de criptografia de uma VM de armazenamento criptografada premium e não premium existenteUpdate encryption settings of an existing encrypted premium and non-premium storage VM
  • Fazer backup e restauração de VMs criptografadasBackup and restore of encrypted VMs

A solução dá suporte aos seguintes cenários para VMs IaaS quando habilitados no Microsoft Azure:The solution supports the following scenarios for IaaS VMs when they are enabled in Microsoft Azure:

  • Integração com o Cofre da Chave do AzureIntegration with Azure Key Vault
  • VMs de camada padrão: A, D, DS, G, GS, F e VMs IaaS Standard tier VMs: A, D, DS, G, GS, F, and so forth series IaaS VMs
  • Habilitar criptografia em VMs de IaaS do Windows e Linux e VMs do disco gerenciado a partir das imagens da Galeria do Azure com suporteEnable encryption on Windows and Linux IaaS VMs and managed disk VMs from the supported Azure Gallery images
  • Desativar criptografia no SO e nas unidades de dados para VMs da IaaS do Windows e VMs de disco gerenciadoDisable encryption on OS and data drives for Windows IaaS VMs and managed disk VMs
  • Desativar criptografia em unidades de dados para Linux Iaas VMs e VMs de disco gerenciadoDisable encryption on data drives for Linux IaaS VMs and managed disk VMs
  • Habilitar a criptografia em VMs IaaS executando o sistema operacional Windows ClientEnable encryption on IaaS VMs running Windows Client OS
  • Habilitar a criptografia em volumes com caminhos de montagemEnable encryption on volumes with mount paths
  • Habilitar criptografia em VMs do Linux configuradas com disk striping (RAID) usando mdadmEnable encryption on Linux VMs configured with disk striping (RAID) using mdadm
  • Habilitar criptografia no Linux VMs utilizando LVM para discos de dadosEnable encryption on Linux VMs using LVM for data disks
  • Habilitar criptografia no Linux LVM 7.3 para discos de dados e do sistema operacionalEnable encryption on Linux LVM 7.3 for OS and data disks
  • Habilitar a criptografia em VMs do Windows configuradas com os Espaços de ArmazenamentoEnable encryption on Windows VMs configured with Storage Spaces
  • Atualizar configurações de criptografia de uma VM de armazenamento criptografada premium e não premium existenteUpdate encryption settings of an existing encrypted premium and non-premium storage VM
  • Fazer backup e restauração de VMs criptografada para cenários KEK e não KEK (KEK – Chave de Criptografia de Chaves)Backup and restore of encrypted VMs, for both no-KEK and KEK scenarios (KEK - Key Encryption Key)
  • Para todas as regiões do Público do Azure e AzureGov há suporteAll Azure Public and AzureGov regions are supported

A solução não oferece suporte para seguintes cenários, recursos e tecnologia:The solution does not support the following scenarios, features, and technology:

  • VMs IaaS da camada BásicaBasic tier IaaS VMs
  • Como desabilitar a criptografia em unidades do sistema operacional para VMs IaaS do LinuxDisabling encryption on an OS drive for Linux IaaS VMs
  • Desabilitar criptografia em uma unidade de dados se a unidade do SO estiver criptografada para VMs de IaaS do LinuxDisabling encryption on a data drive if the OS drive is encrypted for Linux Iaas VMs
  • VMs de IaaS que são criadas usando o método de criação de VM clássicoIaaS VMs that are created by using the classic VM creation method
  • Habilitar criptografia em imagens personalizadas do cliente de VMs de IaaS do Linux e Windows NÃO tem suporte.Enable encryption on Windows and Linux IaaS VMs customer custom images is NOT supported.
  • Integração com o Serviço de Gerenciamento de Chaves no localIntegration with your on-premises Key Management Service
  • Arquivos do Azure (sistema de arquivos compartilhados), NFS (Network File System), volumes dinâmicos e VMs do Windows configuradas com Sistemas RAID baseados em softwareAzure Files (shared file system), Network File System (NFS), dynamic volumes, and Windows VMs that are configured with software-based RAID systems

Recursos de criptografiaEncryption features

Quando você habilita e a implanta o Azure Disk Encryption para VMs IaaS do Azure, os seguintes recursos são habilitados, dependendo da configuração fornecida:When you enable and deploy Azure Disk Encryption for Azure IaaS VMs, the following capabilities are enabled, depending on the configuration provided:

  • Criptografia do volume do sistema operacional para proteger o volume de inicialização em repouso no armazenamentoEncryption of the OS volume to protect the boot volume at rest in your storage
  • Criptografia de volumes de dados para proteger os volumes de dados em repouso no armazenamentoEncryption of data volumes to protect the data volumes at rest in your storage
  • Como desabilitar a criptografia em unidades do sistema operacional e de dados para VMs IaaS do WindowsDisabling encryption on the OS and data drives for Windows IaaS VMs
  • Desabilitar criptografia nas unidades de dados para VMs de IaaS do Linux (somente se a unidade do SO NÃO ESTIVER criptografada)Disabling encryption on the data drives for Linux IaaS VMs (only if OS drive IS NOT encrypted)
  • Proteger as chaves de criptografia e segredos em sua assinatura de cofre de chavesSafeguarding the encryption keys and secrets in your key vault subscription
  • Comunicando o status de criptografia da VM IaaS criptografadaReporting the encryption status of the encrypted IaaS VM
  • Remoção de definições de configuração de criptografia de disco da máquina virtual IaaSRemoval of disk-encryption configuration settings from the IaaS virtual machine
  • Backup e restauração de VMs criptografadas usando o serviço de Backup do AzureBackup and restore of encrypted VMs by using the Azure Backup service

o Azure Disk Encryption para VMS IaaS para a solução Windows e Linux inclui:Azure Disk Encryption for IaaS VMS for Windows and Linux solution includes:

  • A extensão de criptografia de disco para Windows.The disk-encryption extension for Windows.
  • A extensão de criptografia de disco para Linux.The disk-encryption extension for Linux.
  • Os cmdlets do PowerShell de criptografia de disco.The disk-encryption PowerShell cmdlets.
  • Os cmdlets da CLI (interface de linha de comando) do Azure para criptografia de disco.The disk-encryption Azure command-line interface (CLI) cmdlets.
  • Os modelos do Azure Resource Manager de criptografia de disco.The disk-encryption Azure Resource Manager templates.

Há suporte para a solução de Azure Disk Encryption em VMs IaaS executando o Windows ou o sistema operacional Linux.The Azure Disk Encryption solution is supported on IaaS VMs that are running Windows or Linux OS. Para obter mais informações sobre os sistemas operacionais com suporte, confira a seção "Pré-requisitos".For more information about the supported operating systems, see the "Prerequisites" section.

Observação

Não são cobradas taxas adicionais para a criptografia de discos de VM com o Azure Disk Encryption.There is no additional charge for encrypting VM disks with Azure Disk Encryption.

Proposta de valorValue proposition

Ao aplicar a solução de gerenciamento de Azure Disk Encryption, você pode atender às seguintes necessidades de negócios:When you apply the Azure Disk Encryption-management solution, you can satisfy the following business needs:

  • As VMs IaaS ficam protegidas em repouso, pois você pode usar a tecnologia de criptografia padrão da indústria para tratar da segurança organizacional e de requisitos de conformidade.IaaS VMs are secured at rest, because you can use industry-standard encryption technology to address organizational security and compliance requirements.
  • As VMs IaaS são inicializadas por meio de políticas e chaves controladas pelo cliente, e você pode auditar seu uso no cofre de chaves.IaaS VMs boot under customer-controlled keys and policies, and you can audit their usage in your key vault.

Fluxo de trabalho de criptografiaEncryption workflow

Para habilitar a criptografia de disco para VMs do Windows e Linux, faça o seguinte:To enable disk encryption for Windows and Linux VMs, do the following:

  1. Escolha um cenário de criptografia entre os cenários de criptografia anteriores.Choose an encryption scenario from among the preceding encryption scenarios.
  2. Opte por habilitar a criptografia de disco por meio do modelo do Gerenciador de Recursos de Azure Disk Encryption, cmdlets do PowerShell ou comando da CLI e especifique a configuração de criptografia.Opt in to enabling disk encryption via the Azure Disk Encryption Resource Manager template, PowerShell cmdlets, or CLI command, and specify the encryption configuration.

    • Para o cenário do VHD criptografado pelo cliente, carregue o VHD criptografado para sua conta de armazenamento e o material de chave de criptografia para o cofre de chaves.For the customer-encrypted VHD scenario, upload the encrypted VHD to your storage account and the encryption key material to your key vault. Em seguida, forneça a configuração de criptografia para habilitar a criptografia em uma nova VM IaaS.Then, provide the encryption configuration to enable encryption on a new IaaS VM.
    • Para novas VMs que são criadas com base no Marketplace e VMs existentes que já estão em execução no Azure, forneça a configuração de criptografia para habilitar a criptografia na VM IaaS.For new VMs that are created from the Marketplace and existing VMs that are already running in Azure, provide the encryption configuration to enable encryption on the IaaS VM.
  3. Conceda acesso à plataforma Azure para ler o material de chave de criptografia (chaves de criptografia BitLocker para sistemas Windows e frase secreta para Linux) de seu cofre de chaves para habilitar a criptografia na VM IaaS.Grant access to the Azure platform to read the encryption-key material (BitLocker encryption keys for Windows systems and Passphrase for Linux) from your key vault to enable encryption on the IaaS VM.

  4. Forneça a identidade de aplicativo Azure AD (Azure Active Directory) para gravar o material de chave de criptografia no cofre de chaves.Provide the Azure Active Directory (Azure AD) application identity to write the encryption key material to your key vault. Isso permite a criptografia na VM IaaS para os cenários mencionados na etapa 2.Doing so enables encryption on the IaaS VM for the scenarios mentioned in step 2.

  5. O Azure atualiza o modelo de serviço de VM com a configuração do cofre de chaves e a criptografia e define sua VM criptografada.Azure updates the VM service model with encryption and the key vault configuration, and sets up your encrypted VM.

    Microsoft Antimalware no Azure

Fluxo de trabalho de descriptografiaDecryption workflow

Para desabilitar a criptografia de disco para VMs IaaS, conclua as seguintes etapas de alto nível:To disable disk encryption for IaaS VMs, complete the following high-level steps:

  1. Opte por desabilitar a criptografia (descriptografia) em uma VM IaaS em execução no Azure por meio do modelo do Resource Manager do Azure Disk Encryption ou de cmdlets do PowerShell e especifique a configuração da descriptografia.Choose to disable encryption (decryption) on a running IaaS VM in Azure via the Azure Disk Encryption Resource Manager template or PowerShell cmdlets, and specify the decryption configuration.

    Esta etapa desabilitará a criptografia do sistema operacional ou o volume de dados ou ambos na VM IaaS do Windows em execução.This step disables encryption of the OS or the data volume or both on the running Windows IaaS VM. No entanto, como mencionado na seção anterior, não há suporte para desabilitar a criptografia de disco do sistema operacional para Linux.However, as mentioned in the previous section, disabling OS disk encryption for Linux is not supported. A etapa de descriptografia é permitida apenas para unidades de dados em VMs do Linux, desde que o disco do SO não esteja criptografado.The decryption step is allowed only for data drives on Linux VMs as long as the OS disk is not encrypted.

  2. O Azure atualiza o modelo de serviço da VM e a VM IaaS é marcada como descriptografada.Azure updates the VM service model, and the IaaS VM is marked decrypted. O conteúdo da VM não está criptografado em repouso.The contents of the VM are no longer encrypted at rest.

Observação

A operação de desabilitação da criptografia não exclui seu cofre de chaves nem o material da chave de criptografia (chaves de criptografia do BitLocker para sistemas Windows ou a Frase secreta para Linux).The disable-encryption operation does not delete your key vault and the encryption key material (BitLocker encryption keys for Windows systems or Passphrase for Linux). Não há suporte para desativação de criptografia de disco de OS para Linux.Disabling OS disk encryption for Linux is not supported. A etapa de descriptografia é permitida somente para unidades de dados em VMs Linux.The decryption step is allowed only for data drives on Linux VMs. Desabilitar criptografia do disco de dados para Linux não tem suporte se a unidade do SO estiver criptografada.Disabling data disk encryption for Linux is not supported if the OS drive is encrypted.

pré-requisitosPrerequisites

Antes de habilitar o Azure Disk Encryption em VMs IaaS do Azure para os cenários com suporte que foram discutidos na seção "Visão geral", confira os seguintes pré-requisitos:Before you enable Azure Disk Encryption on Azure IaaS VMs for the supported scenarios that were discussed in the "Overview" section, see the following prerequisites:

  • Você deve ter uma assinatura ativa válida do Azure para criar recursos no Azure nas regiões com suporte.You must have a valid active Azure subscription to create resources in Azure in the supported regions.
  • A Azure Disk Encryption tem suporte nas seguintes versões do Windows Server: Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 e Windows Server 2016.Azure Disk Encryption is supported on the following Windows Server versions: Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, and Windows Server 2016.
  • O Azure Disk Encryption tem suporte nas seguintes versões de cliente Windows: cliente Windows 8 e cliente Windows 10.Azure Disk Encryption is supported on the following Windows client versions: Windows 8 client and Windows 10 client.

Observação

Para o Windows Server 2008 R2, você deve ter o .NET Framework 4.5 instalado antes de habilitar a criptografia no Azure.For Windows Server 2008 R2, you must have .NET Framework 4.5 installed before you enable encryption in Azure. Você pode instalá-lo com o Windows Update, instalando a atualização opcional Microsoft .NET Framework 4.5.2 para sistemas Windows Server 2008 R2 baseados em x64 (KB2901983).You can install it from Windows Update by installing the optional update Microsoft .NET Framework 4.5.2 for Windows Server 2008 R2 x64-based systems (KB2901983).

  • O Azure Disk Encryption tem suporte somente em distribuições e versões específicas do servidor Linux baseado na Galeria do Azure.Azure Disk Encryption is only supported on specific Azure Gallery based Linux server distributions and versions. Para obter a lista de versões com suporte atualmente, consulte as Perguntas frequentes do Azure Disk Encryption.For the list of currently supported versions, please refer to the Azure Disk Encryption FAQ.

  • O Azure Disk Encryption exige que seu cofre de chaves e as VMs residam na mesma região e assinatura do Azure.Azure Disk Encryption requires that your key vault and VMs reside in the same Azure region and subscription.

Observação

Configurá os recursos em regiões separadas causa uma falha na habilitação do recurso de Azure Disk Encryption.Configuring the resources in separate regions causes a failure in enabling the Azure Disk Encryption feature.

  • Para instalar e configurar o cofre de chaves para o Azure Disk Encryption, consulte a seção Definir e configurar o cofre de chaves para o Azure Disk Encryption na seção Pré-requisitos deste artigo.To set up and configure your key vault for Azure Disk Encryption, see section Set up and configure your key vault for Azure Disk Encryption in the Prerequisites section of this article.
  • Para instalar e configurar o aplicativo Azure AD no Azure Active Directory para Azure Disk Encryption, consulte a seção Configurar o aplicativo Azure AD no Azure Active Directory na seção de Pré-requisitos deste artigo.To set up and configure Azure AD application in Azure Active directory for Azure Disk Encryption, see section Set up the Azure AD application in Azure Active Directory in the Prerequisites section of this article.
  • Para instalar e configurar a política de acesso do cofre de chaves para o aplicativo Azure AD, consulte a seção Configurando a política de acesso ao cofre de chaves para o aplicativo Azure AD na seção de Pré-requisitos deste artigo.To set up and configure the key vault access policy for the Azure AD application, see section Set up the key vault access policy for the Azure AD application in the Prerequisites section of this article.
  • Para preparar um VHD do Windows criptografado previamente, consulte a seção Preparar um VHD do Windows criptografado previamente no Apêndice.To prepare a pre-encrypted Windows VHD, see section Prepare a pre-encrypted Windows VHD in the Appendix.
  • Para preparar um VHD do Linux criptografado previamente, consulte a seção Preparar um VHD do Linux criptografado previamente no Apêndice.To prepare a pre-encrypted Linux VHD, see section Prepare a pre-encrypted Linux VHD in the Appendix.
  • A plataforma Azure precisa acessar as chaves de criptografia ou os segredos no cofre de chaves para torná-los disponíveis para a máquina virtual quando ela for inicializada e descriptografar o volume de sistema operacional da máquina virtual.The Azure platform needs access to the encryption keys or secrets in your key vault to make them available to the virtual machine when it boots and decrypts the virtual machine OS volume. Para conceder permissões para a plataforma Windows Azure, defina a propriedade EnabledForDiskEncryption no cofre de chaves.To grant permissions to Azure platform, set the EnabledForDiskEncryption property in the key vault. Para obter mais infprmações, consulte Definir e configurar o cofre de chaves de Azure Disk Encryption no Apêndice.For more information, see Set up and configure your key vault for Azure Disk Encryption in the Appendix.
  • O segredo do cofre de chaves e as URLs KEK devem ter controle de versão.Your key vault secret and KEK URLs must be versioned. O Azure impõe essa restrição de controle de versão.Azure enforces this restriction of versioning. Para um segredo válido e URLs KEK, confira os seguintes exemplos:For valid secret and KEK URLs, see the following examples:

  • o Azure Disk Encryption não dá suporte à especificação de números de portas como parte de segredos do cofre de chaves e URLs KEK.Azure Disk Encryption does not support specifying port numbers as part of key vault secrets and KEK URLs. Para exemplos de URLs do Key Vault com e sem suporte, consulte:For examples of non-supported and supported key vault URLs, see the following:

  • Para habilitar o recurso de Azure Disk Encryption, as VMs IaaS devem atender aos seguintes requisitos de configuração do ponto de extremidade de rede:To enable the Azure Disk Encryption feature, the IaaS VMs must meet the following network endpoint configuration requirements:

    • Para obter um token para se conectar ao seu cofre de chaves, a VM IaaS deve ser capaz de se conectar a um ponto de extremidade do Azure Active Directory, [login.microsoftonline.com].To get a token to connect to your key vault, the IaaS VM must be able to connect to an Azure Active Directory endpoint, [login.microsoftonline.com].
    • Para gravar as chaves de criptografia no cofre de chaves, a VM IaaS deve ser capaz de se conectar ao ponto de extremidade do cofre de chaves.To write the encryption keys to your key vault, the IaaS VM must be able to connect to the key vault endpoint.
    • A VM IaaS deve ser capaz de se conectar a um ponto de extremidade do armazenamento do Azure que hospeda o repositório de extensão do Azure e uma conta de armazenamento do Azure que hospeda os arquivos VHD.The IaaS VM must be able to connect to an Azure storage endpoint that hosts the Azure extension repository and an Azure storage account that hosts the VHD files.

    Observação

    Se a política de segurança limita o acesso de VMs do Azure à Internet, você pode resolver o URI anterior e configurar uma regra específica para permitir a conectividade de saída para os IPs.If your security policy limits access from Azure VMs to the Internet, you can resolve the preceding URI and configure a specific rule to allow outbound connectivity to the IPs.

    Para configurar e acessar o Azure Key Vault por trás de um firewall(https://docs.microsoft.com/azure/key-vault/key-vault-access-behind-firewall)To configure and access Azure Key Vault behind a firewall(https://docs.microsoft.com/azure/key-vault/key-vault-access-behind-firewall)

  • Use a versão mais recente do SDK do Azure PowerShell para configurar o Azure Disk Encryption.Use the latest version of Azure PowerShell SDK version to configure Azure Disk Encryption. Baixe a última versão do Azure PowerShellDownload the latest version of Azure PowerShell release

    Observação

    Não há suporte para o Azure Disk Encryption no SDK do Azure PowerShell versão 1.1.0.Azure Disk Encryption is not supported on Azure PowerShell SDK version 1.1.0. Se estiver recebendo um erro relacionado ao uso do PowerShell 1.1.0, confira Erro do Azure Disk Encryption relacionado ao Azure PowerShell 1.1.0.If you are receiving an error related to using Azure PowerShell 1.1.0, see Azure Disk Encryption Error Related to Azure PowerShell 1.1.0.

  • Para executar qualquer comando da CLI do Azure e associá-lo à sua assinatura do Azure, primeiro você deve instalar a CLI do Azure:To run any Azure CLI command and associate it with your Azure subscription, you must first install Azure CLI:

  • Ao criptografar um disco gerenciado, é um pré-requisito obrigatório tirar um instantâneo do disco gerenciado ou então fazer um backup do disco fora do Azure Disk Encryption antes de habilitar a criptografia.When encrypting a managed disk, it is mandatory prerequisite to take a snapshot of the managed disk or a backup of the disk outside of Azure Disk Encryption prior to enabling encryption. Sem um backup em vigor, qualquer falha inesperada durante a criptografia pode tornar o disco e a VM inacessíveis e sem uma opção de recuperação.Without a backup in place, any unexpected failure during encryption may render the disk and VM inaccessible without a recovery option. Set-AzureRmVMDiskEncryptionExtension atualmente não faz backup de Managed Disks e gerará um erro se usado em um disco gerenciado, a menos que o parâmetro -skipVmBackup tenha sido especificado.Set-AzureRmVMDiskEncryptionExtension does not currently back up managed disks and will error if used against a managed disk unless the -skipVmBackup parameter has been specified. O uso desse parâmetro não é seguro, a menos que um backup já tenha sido feito fora do Azure Disk Encryption.This parameter is unsafe to use unless a backup has already been made outside of Azure Disk Encryption. Quando o parâmetro -skipVmBackup é especificado, o cmdlet não faz um backup do disco gerenciado antes da criptografia.When the -skipVmBackup parameter is specified, the cmdlet will not make a backup of the managed disk prior to encryption. Por esse motivo, ele é considerado um pré-requisito obrigatório para verificar se de um backup da VM com disco gerenciado está em vigor antes de habilitar o Azure Disk Encryption, caso uma recuperação posterior seja necessária.For this reason, it is considered a mandatory prerequisite to make sure a backup of the managed disk VM is in place prior to enabling Azure Disk Encryption in case recovery is later needed.

    Observação

    O parâmetro -skipVmBackup nunca deve ser usado, a menos que um instantâneo ou backup já tenham sido feitos fora do Azure Disk Encryption.The -skipVmBackup parameter should never be used unless a snapshot or backup has already been made outside of Azure Disk Encryption.

  • A solução de Azure Disk Encryption usa o protetor de chave externa BitLocker para VMs IaaS do Windows.The Azure Disk Encryption solution uses the BitLocker external key protector for Windows IaaS VMs. Para VMs ingressadas no domínio, NÃO envie nenhuma política de grupo que imponha protetores de TPM.For domain joined VMs, DO NOT push any group policies that enforce TPM protectors. Para obter informações sobre a política de grupo "Permitir BitLocker sem um TPM compatível", confira Referência de política de grupo do BitLocker.For information about the group policy for “Allow BitLocker without a compatible TPM,” see BitLocker Group Policy Reference.

  • A política do BitLocker para máquinas virtuais ingressadas no domínio com a política de grupo personalizado deve incluir a seguinte configuração: Configure user storage of bitlocker recovery information -> Allow 256-bit recovery key o Azure Disk Encryption falhará quando as configurações de política de grupo personalizadas para o Bitlocker forem incompatíveis.Bitlocker policy on domain joined virtual machines with custom group policy must include the following setting: Configure user storage of bitlocker recovery information -> Allow 256-bit recovery key Azure Disk Encryption will fail when custom group policy settings for Bitlocker are incompatible. Em computadores que não tinham a configuração de política correta, pode ser necessário aplicar a nova política, forçar a atualização da nova política (gpupdate.exe /force) e, em seguida, reiniciar.On machines that did not have the correct policy setting, applying the new policy, forcing the new policy to update (gpupdate.exe /force), and then restarting may be required.
  • Para criar um aplicativo Azure AD, criar um cofre de chaves ou configurar um cofre de chaves existente e habilitar a criptografia, confira o script do PowerShell de pré-requisito de Azure Disk Encryption.To create an Azure AD application, create a key vault, or set up an existing key vault and enable encryption, see the Azure Disk Encryption prerequisite PowerShell script.
  • Para configurar os pré-requisitos de criptografia de disco usando a CLI do Azure, confira este script Bash.To configure disk-encryption prerequisites using the Azure CLI, see this Bash script.
  • Para usar o serviço de Backup do Azure para fazer backup e restaurar VMs criptografadas quando a criptografia estiver habilitada com o Azure Disk Encryption, criptografe as VMs usando a configuração da chave de Azure Disk Encryption.To use the Azure Backup service to back up and restore encrypted VMs, when encryption is enabled with Azure Disk Encryption, encrypt your VMs by using the Azure Disk Encryption key configuration. O serviço de Backup dá suporte a VMs que são criptografadas usando configurações KEK ou não KEK.The Backup service supports VMs that are encrypted using no-KEK or KEK configurations. Consulte Como fazer backup e restaurar máquinas virtuais criptografadas com criptografia do Backup do Azure .See How to back up and restore encrypted virtual machines with Azure Backup encryption.

  • Ao criptografar um volume do sistema operacional Linux, observe que atualmente uma reinicialização de VM é necessária no final do processo.When encrypting a Linux OS volume, note that a VM restart is currently required at the end of the process. Isso pode ser feito por meio do portal, do PowerShell ou da CLI.This can be done via the portal, powershell, or CLI. Para acompanhar o progresso da criptografia, confira periodicamente a mensagem de status retornada por Get-AzureRmVMDiskEncryptionStatus https://docs.microsoft.com/powershell/module/azurerm.compute/get-azurermvmdiskencryptionstatus.To track the progress of encryption, periodically poll the status message returned by Get-AzureRmVMDiskEncryptionStatus https://docs.microsoft.com/powershell/module/azurerm.compute/get-azurermvmdiskencryptionstatus. Uma vez concluída a criptografia, a mensagem de status retornada por este comando indicará isso.Once encryption is complete, the status message returned by this command will indicate this. Por exemplo, "ProgressMessage: disco do sistema operacional criptografado com êxito, reinicialize a VM", Nesse ponto, a VM pode ser reiniciada e usada.For example, "ProgressMessage: OS disk successfully encrypted, please reboot the VM" At this point the VM can be restarted and used.

  • O Azure Disk Encryption para Linux requer que os discos de dados tenham um sistema de arquivos montado em Linux antes da criptografiaAzure Disk Encryption for Linux requires data disks to have a mounted file system in Linux prior to encryption

  • Discos de dados montados recursivamente não têm suporte pelo Azure Disk Encryption para Linux.Recursively mounted data disks are not supported by the Azure Disk Encryption for Linux. Por exemplo, se o sistema de destino tiver montado um disco em foo/bar e, em seguida, outro em /foo/bar/baz, a criptografia de /foo/bar/baz terá êxito, mas haverá falha na criptografia de foo/bar.For example, if the target system has mounted a disk on /foo/bar and then another on /foo/bar/baz, the encryption of /foo/bar/baz will succeed, but encryption of /foo/bar will fail.

  • Somente haverá suporte para o Azure Disk Encryption nas imagens com suporte da galeria do Azure que atenderem aos pré-requisitos acima mencionados.Azure Disk Encryption is only supported on Azure gallery supported images that meet the aforementioned prerequisites. Imagens personalizadas do cliente não têm suporte devido a esquemas de partição personalizados e comportamentos de processo que podem existir nessas imagens.Customer custom images are not supported due to custom partition schemes and process behaviors that may exist on these images. Além disso, até mesmo VMs baseadas em imagem de galeria que inicialmente atendiam aos pré-requisitos, mas que foram modificadas após a criação, podem ser incompatíveis.Further, even gallery image based VM's that initially met prerequisites but have been modified after creation may be incompatible. Por esse motivo, o procedimento sugerido para criptografar uma VM Linux é iniciar de uma imagem da galeria limpa, criptografar a VM e, em seguida, adicionar software personalizado ou dados à VM conforme necessário.For that reason, the suggested procedure for encrypting a Linux VM is to start from a clean gallery image, encrypt the VM, and then add custom software or data to the VM as needed.

  • Azure Disk Encryption e volume de dados local – Volume Bek para Windows e /mnt/azure_bek_disk para VMs IaaS do Linux para guardar a chave de criptografia com segurança.Azure Disk Encryption and local data volume - Bek Volume for Windows and /mnt/azure_bek_disk for Linux IaaS VMs to securely hold the encryption key. Não exclua ou edite nenhum conteúdo neste disco.Do not delete or edit any contents in this disk. Não desmonte o disco, uma vez que a presença da chave de criptografia é necessária para operações de criptografia na VM IaaS.Do not unmount the disk since the encryption key presence is needed for any encryption operations on the IaaS VM. O arquivo LEIAME incluído no volume contém detalhes adicionais.README file included in the volume contains additional details.

Configurar o aplicativo Azure AD no Azure Active DirectorySet up the Azure AD application in Azure Active Directory

Quando você precisa habilitar a criptografia em uma VM em execução no Azure, o Azure Disk Encryption gera e grava as chaves de criptografia no cofre de chaves.When you need encryption to be enabled on a running VM in Azure, Azure Disk Encryption generates and writes the encryption keys to your key vault. O gerenciamento de chaves de criptografia no cofre de chaves requer a autenticação do Azure AD.Managing encryption keys in your key vault requires Azure AD authentication.

Para essa finalidade, crie um aplicativo Azure AD.For this purpose, create an Azure AD application. Você pode encontrar etapas detalhadas para registrar um aplicativo na seção "Obter uma identidade para o aplicativo" da postagem de blog Azure Key Vault - passo a passo.You can find detailed steps for registering an application in the “Get an Identity for the Application” section of the blog post Azure Key Vault - Step by Step. Esta postagem também contém vários exemplos úteis para configurar o cofre de chaves.This post also contains a number of helpful examples for setting up and configuring your key vault. Para fins de autenticação, você pode usar a autenticação baseada em segredo do cliente ou a autenticação Azure AD baseada em certificado do cliente.For authentication purposes, you can use either client secret-based authentication or client certificate-based Azure AD authentication.

Autenticação do Azure AD baseada em segredo do clienteClient secret-based authentication for Azure AD

As seções a seguir podem ajudá-lo a configurar uma autenticação baseada em segredo do cliente para o Azure AD.The sections that follow can help you configure a client secret-based authentication for Azure AD.

Criar um aplicativo Azure AD usando o Azure PowerShellCreate an Azure AD application by using Azure PowerShell

Use o seguinte cmdlet do PowerShell para criar um aplicativo Azure AD:Use the following PowerShell cmdlet to create an Azure AD application:

$aadClientSecret = "yourSecret"
$azureAdApplication = New-AzureRmADApplication -DisplayName "<Your Application Display Name>" -HomePage "<https://YourApplicationHomePage>" -IdentifierUris "<https://YouApplicationUri>" -Password $aadClientSecret
$servicePrincipal = New-AzureRmADServicePrincipal –ApplicationId $azureAdApplication.ApplicationId

Observação

$azureAdApplication.ApplicationId é o ClientID do Azure AD e $aadClientSecret é o segredo do cliente que deve ser usado posteriormente para habilitar o Azure Disk Encryption.$azureAdApplication.ApplicationId is the Azure AD ClientID and $aadClientSecret is the client secret that you should use later to enable Azure Disk Encryption. Proteja adequadamente o segredo do cliente no Azure AD.Safeguard the Azure AD client secret appropriately.

Configuração da ID do cliente do Azure AD e do segredo do portal do AzureSetting up the Azure AD client ID and secret from the Azure portal

Você também pode configurar a ID de cliente do Azure AD e o segredo usando o Portal do Azure.You can also set up your Azure AD client ID and secret by using the Azure Portal. Para executar essa tarefa, faça o seguinte:To perform this task, do the following:

  1. Selecione Todos os serviços > Azure Active DirectorySelect All Services > Azure Active Directory

    Azure Disk Encryption

  2. Selecione Registros de aplicativo > Novo registro de aplicativoSelect App registrations > New application registration

    Azure Disk Encryption

  3. Forneça as informações solicitadas e crie o aplicativo:Provide the requested information, and create the application:

    Azure Disk Encryption

  4. Selecione o aplicativo recém-criado para exibir suas propriedades, incluindo a ID do aplicativo.Select the newly created application to view its properties, including Application ID. Para criar uma chave para o aplicativo, selecione Configurações > Chaves, adicione uma descrição e a validade para a chave e clique em SalvarTo create a key for the application, select Settings > Keys, add a description and expiration for the key, and click Save

    Azure Disk Encryption

  5. Copie o valor de segredo gerado e guarde-o adequadamente.Copy the generated secret value and safeguard it appropriately.

    Azure Disk Encryption

Usar um aplicativo existenteUse an existing application

Para executar os seguintes comandos, obtenha e use o módulo do Azure AD PowerShell.To execute the following commands, obtain and use the Azure AD PowerShell module.

Observação

Os comandos a seguir devem ser executados em uma nova janela do PowerShell.The following commands must be executed from a new PowerShell window. Não use o Azure PowerShell ou a janela do Azure Resource Manager para executar os comandos.Do not use Azure PowerShell or the Azure Resource Manager window to execute the commands. Recomendamos essa abordagem porque esses cmdlets estão no módulo MSOnline ou no Azure PowerShell AD.We recommend this approach because these cmdlets are in the MSOnline module or Azure AD PowerShell.

$clientSecret = ‘<yourAadClientSecret>’
$aadClientID = '<Client ID of your Azure AD application>'
connect-msolservice
New-MsolServicePrincipalCredential -AppPrincipalId $aadClientID -Type password -Value $clientSecret

Autenticação baseada em certificado do Azure ADCertificate-based authentication for Azure AD

Observação

No momento, não há suporte para a autenticação baseada em certificado do Azure AD em VMs do Linux.Azure AD certificate-based authentication is currently not supported on Linux VMs.

As seções a seguir mostram como configurar uma autenticação baseada em certificado para o Azure AD.The sections that follow show how to configure a certificate-based authentication for Azure AD.

Criar um aplicativo Azure ADCreate an Azure AD application

Para criar um aplicativo Azure AD, execute os seguintes cmdlets do PowerShell:To create an Azure AD application, execute the following PowerShell cmdlets:

Observação

Substitua a cadeia de caracteres yourpassword a seguir por sua senha segura e proteja a senha.Replace the following yourpassword string with your secure password, and safeguard the password.

$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate("C:\certificates\examplecert.pfx", "yourpassword")
$keyValue = [System.Convert]::ToBase64String($cert.GetRawCertData())
$azureAdApplication = New-AzureRmADApplication -DisplayName "<Your Application Display Name>" -HomePage "<https://YourApplicationHomePage>" -IdentifierUris "<https://YouApplicationUri>" -KeyValue $keyValue -KeyType AsymmetricX509Cert
$servicePrincipal = New-AzureRmADServicePrincipal –ApplicationId $azureAdApplication.ApplicationId

Depois de concluir essa etapa, carregue um arquivo PFX no cofre de chaves e habilite a política de acesso necessária para implantar esse certificado em uma máquina virtual.After you finish this step, upload a PFX file to your key vault and enable the access policy needed to deploy that certificate to a VM.

Usar um aplicativo existente do Azure ADUse an existing Azure AD application

Se estiver configurando a autenticação baseada em certificado para um aplicativo existente, use os cmdlets do PowerShell mostrados aqui.If you are configuring certificate-based authentication for an existing application, use the PowerShell cmdlets shown here. Execute-os em uma nova janela do PowerShell.Be sure to execute them from a new PowerShell window.

$certLocalPath = 'C:\certs\myaadapp.cer'
$aadClientID = '<Client ID of your Azure AD application>'
connect-msolservice
$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate
$cer.Import($certLocalPath)
$binCert = $cer.GetRawCertData()
$credValue = [System.Convert]::ToBase64String($binCert);
New-MsolServicePrincipalCredential -AppPrincipalId $aadClientID -Type asymmetric -Value $credValue -Usage verify

Depois de concluir esta etapa, carregue um arquivo PFX para o cofre de chaves e habilite a política de acesso necessária para implantar o certificado em uma VM.After you finish this step, upload a PFX file to your key vault and enable the access policy that's needed to deploy the certificate to a VM.

Carregar um arquivo PFX no cofre de chavesUpload a PFX file to your key vault

Para obter uma explicação detalhada desse processo, confira o Blog oficial da equipe do Azure Key Vault.For a detailed explanation of this process, see The Official Azure Key Vault Team Blog. No entanto, os seguintes cmdlets do PowerShell são tudo de que você precisa para a tarefa.However, the following PowerShell cmdlets are all you need for the task. Execute-os no console do Azure PowerShell.Be sure to execute them from Azure PowerShell console.

Observação

Substitua a cadeia de caracteres yourpassword a seguir por sua senha segura e proteja a senha.Replace the following yourpassword string with your secure password, and safeguard the password.

$certLocalPath = 'C:\certs\myaadapp.pfx'
$certPassword = "yourpassword"
$resourceGroupName = ‘yourResourceGroup’
$keyVaultName = ‘yourKeyVaultName’
$keyVaultSecretName = ‘yourAadCertSecretName’

$fileContentBytes = get-content $certLocalPath -Encoding Byte
$fileContentEncoded = [System.Convert]::ToBase64String($fileContentBytes)

$jsonObject = @"
{
"data": "$filecontentencoded",
"dataType" :"pfx",
"password": "$certPassword"
}
"@

$jsonObjectBytes = [System.Text.Encoding]::UTF8.GetBytes($jsonObject)
$jsonEncoded = [System.Convert]::ToBase64String($jsonObjectBytes)

Switch-AzureMode -Name AzureResourceManager
$secret = ConvertTo-SecureString -String $jsonEncoded -AsPlainText -Force
Set-AzureKeyVaultSecret -VaultName $keyVaultName -Name $keyVaultSecretName -SecretValue $secret
Set-AzureRmKeyVaultAccessPolicy -VaultName $keyVaultName -ResourceGroupName $resourceGroupName –EnabledForDeployment
Implante um certificado no cofre de chaves em uma VM existenteDeploy a certificate in your key vault to an existing VM

Depois de terminar de carregar o PFX, implante um certificado no cofre de chaves em uma VM existente com o seguinte:After you finish uploading the PFX, deploy a certificate in the key vault to an existing VM with the following:

   $resourceGroupName = ‘yourResourceGroup’
   $keyVaultName = ‘yourKeyVaultName’
   $keyVaultSecretName = ‘yourAadCertSecretName’
   $vmName = ‘yourVMName’
   $certUrl = (Get-AzureKeyVaultSecret -VaultName $keyVaultName -Name $keyVaultSecretName).Id
   $sourceVaultId = (Get-AzureRmKeyVault -VaultName $keyVaultName -ResourceGroupName $resourceGroupName).ResourceId
   $vm = Get-AzureRmVM -ResourceGroupName $resourceGroupName -Name $vmName
   $vm = Add-AzureRmVMSecret -VM $vm -SourceVaultId $sourceVaultId -CertificateStore "My" -CertificateUrl $certUrl
   Update-AzureRmVM -VM $vm  -ResourceGroupName $resourceGroupName

Configurar a política de acesso do cofre de chaves para o aplicativo Azure ADSet up the key vault access policy for the Azure AD application

Seu aplicativo Azure AD precisa de direitos para acessar as chaves ou os segredos no cofre.Your Azure AD application needs rights to access the keys or secrets in the vault. Use o cmdlet Set-AzureKeyVaultAccessPolicy para conceder permissões para o aplicativo usando a ID do cliente (que foi gerada quando o aplicativo foi registrado) como o valor do parâmetro –ServicePrincipalName.Use the Set-AzureKeyVaultAccessPolicy cmdlet to grant permissions to the application, using the client ID (which was generated when the application was registered) as the –ServicePrincipalName parameter value. Para saber mais, confira a postagem de blog Azure Key Vault - passo a passo.To learn more, see the blog post Azure Key Vault - Step by Step. Aqui está um exemplo de como executar essa tarefa por meio do PowerShell:Here is an example of how to perform this task via PowerShell:

$keyVaultName = '<yourKeyVaultName>'
$aadClientID = '<yourAadAppClientID>'
$rgname = '<yourResourceGroup>'
Set-AzureRmKeyVaultAccessPolicy -VaultName $keyVaultName -ServicePrincipalName $aadClientID -PermissionsToKeys 'WrapKey' -PermissionsToSecrets 'Set' -ResourceGroupName $rgname

Observação

o Azure Disk Encryption exige que você configure as seguintes políticas de acesso ao aplicativo de cliente do Azure AD: permissões WrapKey e Set.Azure Disk Encryption requires you to configure the following access policies to your Azure AD client application: WrapKey and Set permissions.

TerminologiaTerminology

Para entender alguns dos termos comuns usados por essa tecnologia, use a seguinte tabela de terminologia:To understand some of the common terms used by this technology, use the following terminology table:

TerminologiaTerminology DefiniçãoDefinition
AD do AzureAzure AD Azure AD significa Azure Active Directory.Azure AD is Azure Active Directory. Uma conta do Azure AD é um pré-requisito para autenticar, armazenar e recuperar segredos do cofre de chaves.An Azure AD account is a prerequisite for authenticating, storing, and retrieving secrets from a key vault.
Cofre da Chave do AzureAzure Key Vault O Key Vault é um serviço de gerenciamento de chaves criptográfico baseado em módulos de segurança de hardware validados pelo FIPS (Federal Information Processing Standards), que ajuda a proteger as chaves criptográficas e os segredos confidenciais.Key Vault is a cryptographic, key management service that's based on Federal Information Processing Standards (FIPS)-validated hardware security modules, which help safeguard your cryptographic keys and sensitive secrets. Para obter mais informações, confira a documentação do Key Vault.For more information, see Key Vault documentation.
ARMARM Gerenciador de Recursos do AzureAzure Resource Manager
BitLockerBitLocker O BitLocker é uma tecnologia de criptografia de volume do Windows reconhecida pela indústria e usada para habilitar a criptografia de disco em VMs de IaaS do Windows.BitLocker is an industry-recognized Windows volume encryption technology that's used to enable disk encryption on Windows IaaS VMs.
BEKBEK As chaves de criptografia do BitLocker são usadas para criptografar o volume de inicialização do sistema operacional e os volumes de dados.BitLocker encryption keys are used to encrypt the OS boot volume and data volumes. As chaves do BitLocker são protegidas em um cofre de chaves como segredos.The BitLocker keys are safeguarded in a key vault as secrets.
CLICLI Confira Interface de linha de comando do Azure.See Azure command-line interface.
DM-CryptDM-Crypt DM-Crypt é o subsistema de criptografia de disco transparente baseado em Linux usado para habilitar a criptografia de disco nas VMs de IaaS do Linux.DM-Crypt is the Linux-based, transparent disk-encryption subsystem that's used to enable disk encryption on Linux IaaS VMs.
KEKKEK A criptografia de chave é a chave assimétrica (RSA 2048) que pode ser usada para proteger ou encapsular o segredo.Key encryption key is the asymmetric key (RSA 2048) that you can use to protect or wrap the secret. Você pode fornecer uma chave protegida por HSM (módulos de segurança de hardware) ou uma chave protegida por software.You can provide a hardware security modules (HSM)-protected key or software-protected key. Para obter mais detalhes, confira a documentação do Azure Key Vault.For more details, see Azure Key Vault documentation.
Cmdlets de DNSPS cmdlets Confira Cmdlets do Azure PowerShell.See Azure PowerShell cmdlets.

Instalar e configurar o cofre de chaves de Azure Disk EncryptionSet up and configure your key vault for Azure Disk Encryption

o Azure Disk Encryption ajuda a proteger as chaves e os segredos da criptografia de disco no cofre de chaves.Azure Disk Encryption helps safeguard the disk-encryption keys and secrets in your key vault. Para configurar o cofre de chaves para o Azure Disk Encryption, conclua as etapas em cada uma das seções a seguir.To set up your key vault for Azure Disk Encryption, complete the steps in each of the following sections.

Criar um cofre de chaveCreate a key vault

Para criar um cofre de chaves, use uma das seguintes opções:To create a key vault, use one of the following options:

Observação

Se já tiver configurado um cofre de chaves para sua assinatura, vá para a próxima seção.If you have already set up a key vault for your subscription, skip to the next section.

Cofre da Chave do Azure

Configurar uma chave de criptografia de chave (opcional)Set up a key encryption key (optional)

Se quiser usar um KEK para uma camada adicional de segurança para as chaves de criptografia do BitLocker, adicione o KEK ao cofre de chaves.If you want to use a KEK for an additional layer of security for the BitLocker encryption keys, add a KEK to your key vault. Use o cmdlet Add-AzureKeyVaultKey para criar uma chave de criptografia de chave no cofre de chaves.Use the Add-AzureKeyVaultKey cmdlet to create a key encryption key in the key vault. Você também pode importar a KEK do HSM do gerenciamento de chaves local.You can also import a KEK from your on-premises key management HSM. Para obter mais detalhes, confira a Documentação do Key Vault.For more details, see Key Vault Documentation.

Add-AzureKeyVaultKey [-VaultName] <string> [-Name] <string> -Destination <string> {HSM | Software}

Você pode adicionar o KEK indo para o Azure Resource Manager ou usando a interface do cofre de chaves.You can add the KEK by going to Azure Resource Manager or by using your key vault interface.

Cofre da Chave do Azure

Definir permissões de cofre de chavesSet key vault permissions

A plataforma Azure precisa acessar as chaves de criptografia ou os segredos no cofre de chaves para disponibilizá-los para a máquina virtual para inicialização e descriptografar os volumes.The Azure platform needs access to the encryption keys or secrets in your key vault to make them available to the VM for booting and decrypting the volumes. Para conceder permissões para a plataforma Windows Azure, defina a propriedade EnabledForDiskEncryption no cofre de chaves usando o cmdlet do PowerShell do cofre de chaves:To grant permissions to the Azure platform, set the EnabledForDiskEncryption property in the key vault by using the key vault PowerShell cmdlet:

Set-AzureRmKeyVaultAccessPolicy -VaultName <yourVaultName> -ResourceGroupName <yourResourceGroup> -EnabledForDiskEncryption

Você também pode definir a propriedade EnabledForDiskEncryption acessando o Explorador de Recursos do Azure.You can also set the EnabledForDiskEncryption property by visiting the Azure Resource Explorer.

Como mencionado anteriormente, você deve definir a propriedade EnabledForDiskEncryption em seu cofre de chaves.As mentioned earlier, you must set the EnabledForDiskEncryption property on your key vault. Caso contrário, a implantação falhará.Otherwise, the deployment will fail.

Você pode configurar políticas de acesso para o aplicativo Azure AD na interface do cofre de chaves, como mostrado aqui:You can set up access policies for your Azure AD application from the key vault interface, as shown here:

Cofre da Chave do Azure

Cofre da Chave do Azure

Na guia Políticas de acesso avançado, verifique se o cofre de chaves está habilitado para o Azure Disk Encryption:On the Advanced access policies tab, make sure that your key vault is enabled for Azure Disk Encryption:

Cofre de chaves do Azure

Cenários de implantação de criptografia de disco e experiências de usuárioDisk-encryption deployment scenarios and user experiences

Você pode habilitar muitos cenários de criptografia de disco, e as etapas podem variar de acordo com o cenário.You can enable many disk-encryption scenarios, and the steps may vary according to the scenario. As seções a seguir abordam os cenários mais detalhadamente.The following sections cover the scenarios in greater detail.

Habilitar a criptografia em novas VMs IaaS criadas por meio do MarketplaceEnable encryption on new IaaS VMs that are created from the Marketplace

Você pode habilitar a criptografia de disco em uma nova VM IaaS Windows por meio do Marketplace no Azure usando o modelo do Gerenciador de Recursos.You can enable disk encryption on new IaaS Windows VM from the Marketplace in Azure by using the Resource Manager template.

  1. No modelo de início rápido do Azure, clique em Implantar no Azure, insira a configuração de criptografia na folha Parâmetros e clique em OK.On the Azure quick-start template, click Deploy to Azure, enter the encryption configuration on the Parameters blade, and then click OK.

  2. Selecione a assinatura, o grupo de recursos, o local do grupo de recursos, os termos legais e o contrato e clique em Criar para habilitar a criptografia na VM IaaS nova.Select the subscription, resource group, resource group location, legal terms, and agreement, and then click Create to enable encryption on a new IaaS VM.

Observação

Esse modelo cria uma nova VM do Windows criptografada que usa a imagem de galeria do Windows Server 2012.This template creates a new encrypted Windows VM that uses the Windows Server 2012 gallery image.

Você pode habilitar a criptografia de disco em uma nova VM IaaS do RedHat Linux 7.2 com uma matriz RAID 0 de 200 GB usando esse modelo do Gerenciador de Recursos.You can enable disk encryption on a new IaaS RedHat Linux 7.2 VM with a 200-GB RAID-0 array by using this Resource Manager template. Após implantar o modelo, verifique o status de criptografia da VM usando o cmdlet Get-AzureRmVmDiskEncryptionStatus, conforme descrito em Criptografando unidade do SO em uma VM do Linux em execução.After you deploy the template, verify the VM encryption status by using the Get-AzureRmVmDiskEncryptionStatus cmdlet, as described in Encrypting OS drive on a running Linux VM. Quando o computador retornar um status VMRestartPending, reinicie a VM.When the machine returns a status of VMRestartPending, restart the VM.

A tabela a seguir lista os parâmetros de modelo do Gerenciador de Recursos para novas VMs do cenário do Marketplace usando a ID de cliente do Azure AD:The following table lists the Resource Manager template parameters for new VMs from the Marketplace scenario using Azure AD client ID:

ParâmetroParameter DESCRIÇÃODescription
adminUserNameadminUserName Especifique um nome de usuário para a máquina virtual.Admin user name for the virtual machine.
adminPasswordadminPassword Senha de usuário administrador para a máquina virtual.Admin user password for the virtual machine.
newStorageAccountNamenewStorageAccountName Nome da conta de armazenamento para armazenar VHDs do sistema operacional e de dados.Name of the storage account to store OS and data VHDs.
vmSizevmSize O tamanho da VM.Size of the VM. Atualmente, há suporte somente para séries Standard A, D e G.Currently, only Standard A, D, and G series are supported.
virtualNetworkNamevirtualNetworkName Nome da VNet à qual a NIC da VM deve pertencer.Name of the VNet that the VM NIC should belong to.
subnetNamesubnetName Nome da sub-rede na VNet à qual a NIC da VM deve pertencer.Name of the subnet in the VNet that the VM NIC should belong to.
AADClientIDAADClientID A ID do cliente do aplicativo Azure AD que tem permissões para gravar segredos no cofre de chaves.Client ID of the Azure AD application that has permissions to write secrets to your key vault.
AADClientSecretAADClientSecret Segredo do cliente do aplicativo AD do Azure que tem permissões para gravar segredos para o cofre de chaves.Client secret of the Azure AD application that has permissions to write secrets to your key vault.
keyVaultURLkeyVaultURL URL do cofre de chaves no qual a chave do BitLocker deve ser carregada.URL of the key vault that the BitLocker key should be uploaded to. Você pode obtê-lo usando o cmdlet (Get-AzureRmKeyVault -VaultName,-ResourceGroupName ).VaultURI.You can get it by using the cmdlet (Get-AzureRmKeyVault -VaultName,-ResourceGroupName ).VaultURI.
keyEncryptionKeyURLkeyEncryptionKeyURL URL da chave de criptografia de chave que é usada para criptografar a chave gerada do BitLocker (opcional).URL of the key encryption key that's used to encrypt the generated BitLocker key (optional).
keyVaultResourceGroupkeyVaultResourceGroup Grupo de recursos do cofre de chaves.Resource group of the key vault.
vmNamevmName Nome da VM em que a operação de criptografia deve ser executada.Name of the VM that the encryption operation is to be performed on.

Observação

KeyEncryptionKeyURL é um parâmetro opcional.KeyEncryptionKeyURL is an optional parameter. Você pode usar seu próprio KEK para proteger ainda mais a chave de criptografia de dados (frase secreta) no cofre de chaves.You can bring your own KEK to further safeguard the data encryption key (Passphrase secret) in your key vault.

Habilite a criptografia na nova VM IaaS criada usando VHD criptografado pelo cliente e chaves de criptografiaEnable encryption on new IaaS VMs that are created from customer-encrypted VHD and encryption keys

Nesse cenário, você pode habilitar a criptografia usando o modelo do Resource Manager, cmdlets do PowerShell ou comandos da CLI.In this scenario, you can enable encrypting by using the Resource Manager template, PowerShell cmdlets, or CLI commands. As seções a seguir explicam detalhadamente o modelo do Gerenciador de Recursos e comandos da CLI.The following sections explain in greater detail the Resource Manager template and CLI commands.

Siga as instruções em uma dessas seções para preparar as imagens pré-criptografadas que podem ser usadas no Azure.Follow the instructions from one of these sections for preparing pre-encrypted images that can be used in Azure. Depois que a imagem for criada, você poderá usar as etapas na próxima seção para criar uma VM do Azure criptografada.After the image is created, you can use the steps in the next section to create an encrypted Azure VM.

Usando o modelo do Gerenciador de RecursosUsing the Resource Manager template

Você pode habilitar a criptografia de disco em seu VHD criptografado usando o modelo do Gerenciador de Recursos.You can enable disk encryption on your encrypted VHD by using the Resource Manager template.

  1. No modelo de início rápido do Azure, clique em Implantar no Azure, insira a configuração de criptografia na folha Parâmetros e clique em OK.On the Azure quick-start template, click Deploy to Azure, enter the encryption configuration on the Parameters blade, and then click OK.

  2. Selecione a assinatura, o grupo de recursos, o local do grupo de recursos, os termos legais e o contrato e clique no botão Criar para habilitar a criptografia na VM IaaS nova.Select the subscription, resource group, resource group location, legal terms, and agreement, and then click Create to enable encryption on the new IaaS VM.

A tabela a seguir lista os parâmetros de modelo do Gerenciador de Recursos para seu VHD criptografado:The following table lists the Resource Manager template parameters for your encrypted VHD:

ParâmetroParameter DESCRIÇÃODescription
newStorageAccountNamenewStorageAccountName Nome da conta de armazenamento para armazenar o VHD de sistema operacional.Name of the storage account to store the encrypted OS VHD. Esta conta de armazenamento já deve ter sido criada no mesmo grupo de recursos e no mesmo local da VM.This storage account should already have been created in the same resource group and same location as the VM.
osVhdUriosVhdUri URI do VHD do sistema operacional da conta de armazenamento.URI of the OS VHD from the storage account.
osTypeosType Tipo de produto do sistema operacional (Windows/Linux).OS product type (Windows/Linux).
virtualNetworkNamevirtualNetworkName Nome da VNet à qual a NIC da VM deve pertencer.Name of the VNet that the VM NIC should belong to. O nome já deve ter sido criado no mesmo grupo de recursos e no mesmo local que a VM.The name should already have been created in the same resource group and same location as the VM.
subnetNamesubnetName O nome da sub-rede na VNet à qual a VM NIC deve pertencer.Name of the subnet on the VNet that the VM NIC should belong to.
vmSizevmSize O tamanho da VM.Size of the VM. Atualmente, há suporte somente para séries Standard A, D e G.Currently, only Standard A, D, and G series are supported.
keyVaultResourceIDkeyVaultResourceID O ResourceID que identifica o recurso de cofre de chaves no Azure Resource Manager.The ResourceID that identifies the key vault resource in Azure Resource Manager. Você pode obtê-lo usando o cmdlet do PowerShell (Get-AzureRmKeyVault -VaultName &lt;yourKeyVaultName&gt; -ResourceGroupName &lt;yourResourceGroupName&gt;).ResourceId.You can get it by using the PowerShell cmdlet (Get-AzureRmKeyVault -VaultName &lt;yourKeyVaultName&gt; -ResourceGroupName &lt;yourResourceGroupName&gt;).ResourceId.
keyVaultSecretUrlkeyVaultSecretUrl URL da chave de criptografia de disco que é configurada no cofre de chaves.URL of the disk-encryption key that's set up in the key vault.
keyVaultKekUrlkeyVaultKekUrl URL da chave de criptografia de chave para criptografar a chave de criptografia de disco gerada.URL of the key encryption key for encrypting the generated disk-encryption key.
vmNamevmName Nome da VM IaaS.Name of the IaaS VM.

Usando os cmdlets do PowerShellUsing PowerShell cmdlets

Você pode habilitar a criptografia de disco em seu VHD criptografado usando o cmdlet do PowerShell Set-AzureRmVMOSDisk.You can enable disk encryption on your encrypted VHD by using the PowerShell cmdlet Set-AzureRmVMOSDisk.

Usando comandos da CLIUsing CLI commands

Para habilitar a criptografia de disco para esse cenário usando os comandos da CLI, faça o seguinte:To enable disk encryption for this scenario by using CLI commands, do the following:

  1. Definir políticas de acesso no cofre de chaves:Set access policies in your key vault:

    • Defina o sinalizador EnabledForDiskEncryption:Set the EnabledForDiskEncryption flag:

      azure keyvault set-policy --vault-name <keyVaultName> --enabled-for-disk-encryption true

    • Defina permissões para o aplicativo Azure AD para gravar segredos no cofre de chaves:Set permissions to Azure AD application to write secrets to your key vault:

      azure keyvault set-policy --vault-name <keyVaultName> --spn <aadClientID> --perms-to-keys '["wrapKey"]' --perms-to-secrets '["set"]'

  2. Para habilitar a criptografia em uma VM existente/em execução, digite:To enable encryption on an existing or running VM, type:

    azure vm enable-disk-encryption --resource-group <resourceGroupName> --name <vmName> --aad-client-id <aadClientId> --aad-client-secret <aadClientSecret> --disk-encryption-key-vault-url <keyVaultURL> --disk-encryption-key-vault-id <keyVaultResourceId> --volume-type [All|OS|Data]

  3. Obtenha o status de criptografia:Get encryption status:

    azure vm show-disk-encryption-status --resource-group <resourceGroupName> --name <vmName> --json

  4. Para habilitar a criptografia em uma nova VM de seu VHD criptografado, use os seguintes parâmetros com o comando azure vm create:To enable encryption on a new VM from your encrypted VHD, use the following parameters with the azure vm create command:

    * disk-encryption-key-vault-id <disk-encryption-key-vault-id>
    * disk-encryption-key-url <disk-encryption-key-url>
    * key-encryption-key-vault-id <key-encryption-key-vault-id>
    * key-encryption-key-url <key-encryption-key-url>
    

Habilitar a criptografia na VM IaaS do Windows existente ou em execução no AzureEnable encryption on existing or running IaaS Windows VM in Azure

Nesse cenário, você pode habilitar a criptografia usando o modelo do Resource Manager, cmdlets do PowerShell ou comandos da CLI.In this scenario, you can enable encrypting by using the Resource Manager template, PowerShell cmdlets, or CLI commands. As seções a seguir explicam detalhadamente como habilitá-lo usando o modelo do Gerenciador de Recursos e comandos da CLI.The following sections explain in greater detail how to enable it by using the Resource Manager template and CLI commands.

Usando o modelo do Gerenciador de RecursosUsing the Resource Manager template

Você pode habilitar a criptografia de disco em VMs Windows IaaS existentes ou em execução no Azure usando o modelo do Gerenciador de Recursos.You can enable disk encryption on existing or running IaaS Windows VMs in Azure by using the Resource Manager template.

  1. No modelo de início rápido do Azure, clique em Implantar no Azure, insira a configuração de criptografia na folha Parâmetros e clique em OK.On the Azure quick-start template, click Deploy to Azure, enter the encryption configuration on the Parameters blade, and then click OK.

  2. Selecione a assinatura, o grupo de recursos, o local do grupo de recursos, os termos legais e o contrato e clique em Criar para habilitar a criptografia em VM IaaS existente ou em execução.Select the subscription, resource group, resource group location, legal terms, and agreement, and then click Create to enable encryption on the existing or running IaaS VM.

A tabela a seguir lista os parâmetros de modelo do Gerenciador de Recursos existente ou VMs em execução que usam uma ID de cliente do Azure AD:The following table lists the Resource Manager template parameters for existing or running VMs that use an Azure AD client ID:

ParâmetroParameter DESCRIÇÃODescription
AADClientIDAADClientID ID do cliente do aplicativo Azure AD que tem permissões para gravar segredos no cofre de chaves.Client ID of the Azure AD application that has permissions to write secrets to the key vault.
AADClientSecretAADClientSecret Segredo do cliente do aplicativo Azure AD que tem permissões para gravar segredos no cofre de chaves.Client secret of the Azure AD application that has permissions to write secrets to the key vault.
keyVaultNamekeyVaultName Nome do cofre de chaves no qual a chave do BitLocker deve ser carregada.Name of the key vault that the BitLocker key should be uploaded to. Você pode obtê-lo usando o cmdlet (Get-AzureRmKeyVault -ResourceGroupName <yourResourceGroupName>). Vaultname.You can get it by using the cmdlet (Get-AzureRmKeyVault -ResourceGroupName <yourResourceGroupName>). Vaultname.
keyEncryptionKeyURLkeyEncryptionKeyURL URL da chave de criptografia de chaves que é usada para criptografar a chave gerada do BitLocker.URL of the key encryption key that's used to encrypt the generated BitLocker key. Esse parâmetro será opcional se você selecionar nokek na lista suspensa UseExistingKek.This parameter is optional if you select nokek in the UseExistingKek drop-down list. Se selecionar kek na lista suspensa UseExistingKek, você deverá inserir o valor keyEncryptionKeyURL.If you select kek in the UseExistingKek drop-down list, you must enter the keyEncryptionKeyURL value.
volumeTypevolumeType Tipo de volume em que a operação de criptografia é executada.Type of volume that the encryption operation is performed on. Os valores válidos são OS, Data e All.Valid values are OS, Data, and All.
sequenceVersionsequenceVersion Versão de sequência da operação de BitLocker.Sequence version of the BitLocker operation. Aumente esse número de versão sempre que uma operação de criptografia de disco for executada na mesma VM.Increment this version number every time a disk-encryption operation is performed on the same VM.
vmNamevmName Nome da VM em que a operação de criptografia deve ser executada.Name of the VM that the encryption operation is to be performed on.

Observação

KeyEncryptionKeyURL é um parâmetro opcional.KeyEncryptionKeyURL is an optional parameter. Você pode usar seu próprio KEK para proteger ainda mais a chave de criptografia de dados (segredo de criptografia BitLocker) no cofre de chaves.You can bring your own KEK to further safeguard the data encryption key (BitLocker encryption secret) in the key vault.

Usando os cmdlets do PowerShellUsing PowerShell cmdlets

Para obter informações sobre como habilitar a criptografia com o Azure Disk Encryption usando cmdlets do PowerShell, confira as postagens de blog Explorar Azure Disk Encryption com o Azure PowerShell - parte 1 e Explorar Azure Disk Encryption com o Azure PowerShell - parte 2.For information about enabling encryption with Azure Disk Encryption by using PowerShell cmdlets, see the blog posts Explore Azure Disk Encryption with Azure PowerShell - Part 1 and Explore Azure Disk Encryption with Azure PowerShell - Part 2.

Usando comandos da CLIUsing CLI commands

Para habilitar a criptografia em uma VM IaaS do Windows existente ou em execução no Azure usando os comandos da CLI, faça o seguinte:To enable encryption on existing or running IaaS Windows VM in Azure using CLI commands, do the following:

  1. Para definir políticas de acesso no cofre de chaves:To set access policies in the key vault:

    • Defina o sinalizador EnabledForDiskEncryption:Set the EnabledForDiskEncryption flag:

      azure keyvault set-policy --vault-name <keyVaultName> --enabled-for-disk-encryption true

    • Defina permissões para o aplicativo Azure AD para gravar segredos no cofre de chaves:Set permissions to Azure AD application to write secrets to your key vault:

      azure keyvault set-policy --vault-name <keyVaultName> --spn <aadClientID> --perms-to-keys '["wrapKey"]' --perms-to-secrets '["set"]'

  2. Para habilitar a criptografia em uma VM existente ou em execução:To enable encryption on an existing or running VM:

    azure vm enable-disk-encryption --resource-group <resourceGroupName> --name <vmName> --aad-client-id <aadClientId> --aad-client-secret <aadClientSecret> --disk-encryption-key-vault-url <keyVaultURL> --disk-encryption-key-vault-id <keyVaultResourceId> --volume-type [All|OS|Data]

  3. Para obter o status de criptografia:To get encryption status:

    azure vm show-disk-encryption-status --resource-group <resourceGroupName> --name <vmName> --json

  4. Para habilitar a criptografia em uma nova VM de seu VHD criptografado, use os seguintes parâmetros com o comando azure vm create:To enable encryption on a new VM from your encrypted VHD, use the following parameters with the azure vm create command:

    * disk-encryption-key-vault-id <disk-encryption-key-vault-id>
    * disk-encryption-key-url <disk-encryption-key-url>
    * key-encryption-key-vault-id <key-encryption-key-vault-id>
    * key-encryption-key-url <key-encryption-key-url>
    

Habilitar a criptografia em uma VM IaaS do Linux existente ou em execução no AzureEnable encryption on an existing or running IaaS Linux VM in Azure

Você pode habilitar a criptografia de disco em uma VM Linux IaaS existente ou em execução no Azure usando o modelo do Gerenciador de Recursos.You can enable disk encryption on an existing or running IaaS Linux VM in Azure by using the Resource Manager template.

  1. Clique em Implantar no Azure no modelo de início rápido do Azure, insira a configuração de criptografia na folha Parâmetros e clique em OK.Click Deploy to Azure on the Azure quick-start template, enter the encryption configuration on the Parameters blade, and then click OK.

  2. Selecione a assinatura, o grupo de recursos, o local do grupo de recursos, os termos legais e o contrato e clique em Criar para habilitar a criptografia em VM IaaS existente ou em execução.Select the subscription, resource group, resource group location, legal terms, and agreement, and then click Create to enable encryption on the existing or running IaaS VM.

A tabela a seguir lista os parâmetros de modelo do Gerenciador de Recursos existente ou VMs em execução que usam uma ID de cliente do Azure AD:The following table lists Resource Manager template parameters for existing or running VMs that use an Azure AD client ID:

ParâmetroParameter DESCRIÇÃODescription
AADClientIDAADClientID ID do cliente do aplicativo Azure AD que tem permissões para gravar segredos no cofre de chaves.Client ID of the Azure AD application that has permissions to write secrets to the key vault.
AADClientSecretAADClientSecret Segredo do cliente do aplicativo AD do Azure que tem permissões para gravar segredos para o cofre de chaves.Client secret of the Azure AD application that has permissions to write secrets to your key vault.
keyVaultNamekeyVaultName Nome do cofre de chaves no qual a chave do BitLocker deve ser carregada.Name of the key vault that the BitLocker key should be uploaded to. Você pode obtê-lo usando o cmdlet (Get-AzureRmKeyVault -ResourceGroupName <yourResourceGroupName>). Vaultname.You can get it by using the cmdlet (Get-AzureRmKeyVault -ResourceGroupName <yourResourceGroupName>). Vaultname.
keyEncryptionKeyURLkeyEncryptionKeyURL URL da chave de criptografia de chaves que é usada para criptografar a chave gerada do BitLocker.URL of the key encryption key that's used to encrypt the generated BitLocker key. Esse parâmetro será opcional se você selecionar nokek na lista suspensa UseExistingKek.This parameter is optional if you select nokek in the UseExistingKek drop-down list. Se selecionar kek na lista suspensa UseExistingKek, você deverá inserir o valor keyEncryptionKeyURL.If you select kek in the UseExistingKek drop-down list, you must enter the keyEncryptionKeyURL value.
volumeTypevolumeType Tipo de volume em que a operação de criptografia é executada.Type of volume that the encryption operation is performed on. Os valores válidos com suporte são OS ou Tudo (consulte o suporte em distribuições de Linux, suas versões de sistema operacional e os discos de dados na seção de pré-requisitos anterior).Valid supported values are OS or All (see supported Linux distros and their versions for OS and data disks in prerequisiteis section earlier).
sequenceVersionsequenceVersion Versão de sequência da operação de BitLocker.Sequence version of the BitLocker operation. Aumente esse número de versão sempre que uma operação de criptografia de disco for executada na mesma VM.Increment this version number every time a disk-encryption operation is performed on the same VM.
vmNamevmName Nome da VM em que a operação de criptografia deve ser executada.Name of the VM that the encryption operation is to be performed on.
SenhapassPhrase Digite uma frase secreta forte como chave de criptografia de dados.Type a strong passphrase as the data encryption key.

Observação

KeyEncryptionKeyURL é um parâmetro opcional.KeyEncryptionKeyURL is an optional parameter. Você pode usar seu próprio KEK para proteger ainda mais a chave de criptografia de dados (frase secreta) no cofre de chaves.You can bring your own KEK to further safeguard the data encryption key (passphrase secret) in your key vault.

Comandos de CLICLI commands

Você pode habilitar a criptografia de disco em seu VHD criptografado instalando e usando o comando da CLI.You can enable disk encryption on your encrypted VHD by installing and using the CLI command. Para habilitar a criptografia em VMs IaaS Linux existentes ou em execução no Azure usando os comandos da CLI, faça o seguinte:To enable encryption on existing or running IaaS Linux VMs in Azure by using CLI commands, do the following:

  1. Definir políticas de acesso no cofre de chaves:Set access policies in the key vault:

    • Defina o sinalizador EnabledForDiskEncryption:Set the EnabledForDiskEncryption flag:

      azure keyvault set-policy --vault-name <keyVaultName> --enabled-for-disk-encryption true

    • Defina permissões para o aplicativo Azure AD para gravar segredos no cofre de chaves:Set permissions to Azure AD application to write secrets to your key vault:

      azure keyvault set-policy --vault-name <keyVaultName> --spn <aadClientID> --perms-to-keys '["wrapKey"]' --perms-to-secrets '["set"]'

  2. Para habilitar a criptografia em uma VM existente ou em execução:To enable encryption on an existing or running VM:

    azure vm enable-disk-encryption --resource-group <resourceGroupName> --name <vmName> --aad-client-id <aadClientId> --aad-client-secret <aadClientSecret> --disk-encryption-key-vault-url <keyVaultURL> --disk-encryption-key-vault-id <keyVaultResourceId> --volume-type [All|OS|Data]

  3. Obtenha o status de criptografia:Get encryption status:

    azure vm show-disk-encryption-status --resource-group <resourceGroupName> --name <vmName> --json

  4. Para habilitar a criptografia em uma nova VM de seu VHD criptografado, use os seguintes parâmetros com o comando azure vm create:To enable encryption on a new VM from your encrypted VHD, use the following parameters with the azure vm create command:

    * disk-encryption-key-vault-id <disk-encryption-key-vault-id>
    * disk-encryption-key-url <disk-encryption-key-url>
    * key-encryption-key-vault-id <key-encryption-key-vault-id>
    * key-encryption-key-url <key-encryption-key-url>
    

Obter o status da criptografia de uma VM IaaS criptografadaGet the encryption status of an encrypted IaaS VM

É possível obter o status da criptografia usando o Azure Resource Manager, cmdlets do PowerShell ou comandos da CLI.You can get the encryption status by using Azure Resource Manager, PowerShell cmdlets, or CLI commands. As seções a seguir explicam como usar o Portal do Azure e os comandos da CLI para obter o status de criptografia.The following sections explain how to use the Azure Portal and CLI commands to get the encryption status.

Obter o status da criptografia de uma VM do Windows criptografada usando o Azure Resource ManagerGet the encryption status of an encrypted Windows VM by using Azure Resource Manager

Você pode obter o status de criptografia da VM IaaS do Azure Resource Manager fazendo o seguinte:You can get the encryption status of the IaaS VM from Azure Resource Manager by doing the following:

  1. Entre no Portal do Azure e clique em Máquinas virtuais no painel esquerdo para ver uma exibição resumida das máquinas virtuais em sua assinatura.Sign in to the Azure Portal, and then click Virtual machines in the left pane to see a summary view of the virtual machines in your subscription. Você pode filtrar a exibição de máquinas virtuais selecionando o nome da assinatura na lista suspensa Assinatura.You can filter the virtual machines view by selecting the subscription name in the Subscription drop-down list.

  2. Na parte superior da página Máquinas virtuais, clique em Colunas.At the top of the Virtual machines page, click Columns.

  3. Na folha Escolher coluna, selecione Criptografia de Discoe clique em Atualizar.On the Choose column blade, select Disk Encryption, and then click Update. Você deve ver a coluna de criptografia de disco mostrando o estado de criptografia Habilitado ou Desabilitado para cada VM conforme mostrado na seguinte figura:You should see the disk-encryption column showing the encryption state Enabled or Not Enabled for each VM, as shown in the following figure:

    Microsoft Antimalware no Azure

Obter o status de criptografia de uma VM IaaS (Windows/Linux) criptografada usando o cmdlet do PowerShell de criptografia de discoGet the encryption status of an encrypted (Windows/Linux) IaaS VM by using the disk-encryption PowerShell cmdlet

Você pode obter o status de criptografia da VM IaaS por meio do cmdlet do PowerShell de criptografia de disco Get-AzureRmVMDiskEncryptionStatus.You can get the encryption status of the IaaS VM from the disk-encryption PowerShell cmdlet Get-AzureRmVMDiskEncryptionStatus. Para obter as configurações de criptografia para sua VM, digite o seguinte:To get the encryption settings for your VM, enter the following:

C:\> Get-AzureRmVmDiskEncryptionStatus  -ResourceGroupName $ResourceGroupName -VMName $VMName
-ExtensionName $ExtensionName

OsVolumeEncrypted          : NotEncrypted
DataVolumesEncrypted       : Encrypted
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage            : https://rheltest1keyvault.vault.azure.net/secrets/bdb6bfb1-5431-4c28-af46-b18d0025ef2a/abebacb83d864a5fa729508315020f8a

Você pode inspecionar a saída de Get-AzureRmVMDiskEncryptionStatus para obter URLs de criptografia de chave.You can inspect the output of Get-AzureRmVMDiskEncryptionStatus for encryption key URLs.

C:\> $status = Get-AzureRmVmDiskEncryptionStatus  -ResourceGroupName $ResourceGroupName -VMName
e $VMName -ExtensionName $ExtensionName
C:\> $status.OsVolumeEncryptionSettings

DiskEncryptionKey                                                 KeyEncryptionKey                                               Enabled
-----------------                                                 ----------------                                               -------
Microsoft.Azure.Management.Compute.Models.KeyVaultSecretReference Microsoft.Azure.Management.Compute.Models.KeyVaultKeyReference    True


C:\> $status.OsVolumeEncryptionSettings.DiskEncryptionKey.SecretUrl
https://rheltest1keyvault.vault.azure.net/secrets/bdb6bfb1-5431-4c28-af46-b18d0025ef2a/abebacb83d864a5fa729508315020f8a
C:\> $status.OsVolumeEncryptionSettings.DiskEncryptionKey

SecretUrl                                                                                                               SourceVault
---------                                                                                                               -----------
https://rheltest1keyvault.vault.azure.net/secrets/bdb6bfb1-5431-4c28-af46-b18d0025ef2a/abebacb83d864a5fa729508315020f8a Microsoft.Azure.Management....

O valor das configurações OSVolumeEncrypted e DataVolumesEncrypted é definido como Encrypted, mostrando que ambos os volumes são criptografados com o Azure Disk Encryption.The OSVolumeEncrypted and DataVolumesEncrypted settings values are set to Encrypted, which shows that both volumes are encrypted using Azure Disk Encryption. Para obter informações sobre como habilitar a criptografia com o Azure Disk Encryption usando cmdlets do PowerShell, confira as postagens de blog Explorar Azure Disk Encryption com o Azure PowerShell - parte 1 e Explorar Azure Disk Encryption com o Azure PowerShell - parte 2.For information about enabling encryption with Azure Disk Encryption by using PowerShell cmdlets, see the blog posts Explore Azure Disk Encryption with Azure PowerShell - Part 1 and Explore Azure Disk Encryption with Azure PowerShell - Part 2.

Observação

Em VMs Linux, leva três ou quatro minutos para que o cmdlet Get-AzureRmVMDiskEncryptionStatus relate o status de criptografia.On Linux VMs, it takes three to four minutes for the Get-AzureRmVMDiskEncryptionStatus cmdlet to report the encryption status.

Obter status da criptografia da VM IaaS do comando CLI de criptografia de discoGet the encryption status of the IaaS VM from the disk-encryption CLI command

Você pode obter o status de criptografia da VM IaaS usando o comando da CLI de criptografia de disco azure vm show-disk-encryption-status.You can get the encryption status of the IaaS VM by using the disk-encryption CLI command azure vm show-disk-encryption-status. Para obter as configurações de criptografia de sua VM, digite na sessão do Azure CLI:To get the encryption settings for your VM, enter your Azure CLI session:

azure vm show-disk-encryption-status --resource-group <yourResourceGroupName> --name <yourVMName> --json  

Desabilitar a criptografia em VMs IaaS do Windows em execuçãoDisable encryption on running Windows IaaS VM

Você pode desabilitar a criptografia em uma VM IaaS do Windows ou Linux em execução por meio do modelo do Resource Manager do Azure Disk Encryption ou de cmdlets do PowerShell e especificar a configuração da descriptografia.You can disable encryption on a running Windows or Linux IaaS VM via the Azure Disk Encryption Resource Manager template or PowerShell cmdlets and specify the decryption configuration.

VM WindowsWindows VM

A etapa de desabilitar a criptografia desabilita a criptografia do sistema operacional ou volume de dados na VM IaaS do Windows em execução.The disable-encryption step disables encryption of the OS, the data volume, or both on the running Windows IaaS VM. Você não pode desabilitar o volume do sistema operacional e deixar o volume de dados criptografado.You cannot disable the OS volume and leave the data volume encrypted. Quando a etapa de desabilitação da criptografia for executada, o modelo de implantação clássico do Azure atualizará o modelo de serviço da VM e a VM IaaS do Windows é marcada como descriptografada.When the disable-encryption step is performed, the Azure classic deployment model updates the VM service model, and the Windows IaaS VM is marked decrypted. O conteúdo da VM não está criptografado em repouso.The contents of the VM are no longer encrypted at rest. A descriptografia não exclui o cofre de chaves e o material da chave de criptografia (chaves de criptografia do BitLocker para Windows e frase secreta para Linux).The decryption does not delete your key vault and the encryption key material (BitLocker encryption keys for Windows and Passphrase for Linux).

VM LinuxLinux VM

A etapa de desabilitação da criptografia desabilita a criptografia do volume de dados na VM IaaS do Linux em execução.The disable-encryption step disables encryption of the data volume on the running Linux IaaS VM. Esta etapa somente funciona se o disco do OS não estiver criptografado.This step only works if the OS disk is not encrypted.

Observação

Não é permitido desabilitar a criptografia no disco do sistema operacional em VMs do Linux.Disabling encryption on the OS disk is not allowed on Linux VMs.

Desabilitar a criptografia em uma VM IaaS existente ou em execuçãoDisable encryption on an existing or running IaaS VM

Você pode desabilitar a criptografia de disco em VMs IaaS do Windows em execução usando o modelo do Gerenciador de Recursos.You can disable disk encryption on running Windows IaaS VMs by using the Resource Manager template.

  1. No modelo de início rápido do Azure, clique em Implantar no Azure, insira a configuração de descriptografia na folha Parâmetros e clique em OK.On the Azure quick-start template, click Deploy to Azure, enter the decryption configuration on the Parameters blade, and then click OK.

  2. Selecione a assinatura, o grupo de recursos, o local do grupo de recursos, os termos legais e o contrato e clique em Criar para habilitar a criptografia na VM IaaS nova.Select the subscription, resource group, resource group location, legal terms, and agreement, and then click Create to enable encryption on a new IaaS VM.

Para VMs do Linux, você pode desabilitar a criptografia usando o modelo Desabilitar a criptografia em uma VM do Linux em execução.For Linux VMs, you can disable encryption by using the Disable encryption on a running Linux VM template.

A tabela a seguir lista os parâmetros de modelo do Gerenciador de Recursos para desabilitar a criptografia em uma VM IaaS em execução:The following table lists Resource Manager template parameters for disabling encryption on a running IaaS VM:

ParâmetroParameter DESCRIÇÃODescription
vmNamevmName Nome da VM em que a operação de criptografia deve ser executada.Name of the VM that the encryption operation is to be performed on.
volumeTypevolumeType Tipo de volume em que uma operação de descriptografia é executada.Type of volume that a decryption operation is performed on. Os valores válidos são OS, Data e All.Valid values are OS, Data, and All. Não é possível desabilitar a criptografia no volume de inicialização/sistema operacional da VM IaaS do Windows em execução sem desabilitar a criptografia no volume Data.You cannot disable encryption on running Windows IaaS VM OS/boot volume without disabling encryption on the Data volume. Observe também que não é permitido desabilitar a criptografia no disco do sistema operacional em VMs Linux.Also note that disabling encryption on the OS disk is not allowed on Linux VMs.
sequenceVersionsequenceVersion Versão de sequência da operação de BitLocker.Sequence version of the BitLocker operation. Aumente esse número de versão cada vez que uma operação de descriptografia de disco for executada na mesma VM.Increment this version number every time a disk decryption operation is performed on the same VM.
Desabilitar a criptografia em uma VM IaaS existente ou em execuçãoDisable encryption on an existing or running IaaS VM

Para desabilitar a criptografia em uma VM IaaS existente ou em execução usando o cmdlet do PowerShell, confira Disable-AzureRmVMDiskEncryption.To disable encryption on an existing or running IaaS VM by using the PowerShell cmdlet, see Disable-AzureRmVMDiskEncryption. Esse cmdlet dá suporte a VMs do Linux e do Windows.This cmdlet supports both Windows and Linux VMs. Para desabilitar a criptografia, ele instala uma extensão na máquina virtual.To disable encryption, it installs an extension on the virtual machine. Se o parâmetro Name não for especificado, será criada uma extensão com o nome padrão AzureDiskEncryption for Windows VMs.If the Name parameter is not specified, an extension with the default name AzureDiskEncryption for Windows VMs is created.

Em VMs do Linux, a extensão AzureDiskEncryptionForLinux é usada.On Linux VMs, the AzureDiskEncryptionForLinux extension is used.

Observação

Este cmdlet reinicia a máquina virtual.This cmdlet reboots the virtual machine.

Habilitar criptografia na VM da IaaS criptografada previamente com o Azure Managed DiskEnable encryption on pre-encrypted IaaS VM with Azure Managed Disk

Use o modelo ARM do Azure Managed Disk para criar uma VM criptografada a partir de um VHD criptografado previamente usando o modelo ARM localizado emUse the Azure Managed Disk ARM template to create a encrypted VM from a pre-encrypted VHD using the ARM template located at
Criar um novo disco de gerenciado criptografado de um blob de armazenamento/VHD previamente criptografadoCreate a new encrypted managed disk from a pre-encrypted VHD/storage blob

Habilitar criptografia em uma nova VM de IaaS Linux com o Azure Managed DiskEnable encryption on a new Linux IaaS VM with Azure Managed Disk

Use o modelo ARM do Azure Managed para criar uma nova VM de IaaS Linux criptografada usando o modelo ARM localizado emUse the Azure Managed Disk ARM template to create a new encrypted Linux IaaS VM using the ARM template located at
Implantação do RHEL 7.2 com criptografia de disco completoDeployment of RHEL 7.2 with full disk encryption

Habilitar criptografia em uma nova VM de IaaS do Windows com o Azure Managed DiskEnable encryption on a new Windows IaaS VM with Azure Managed Disk

Use o modelo ARM do Azure Managed para criar uma nova VM de IaaS Linux criptografada usando o modelo ARM localizado emUse the Azure Managed Disk ARM template to create a new encrypted Linux IaaS VM using the ARM template located at
Criar uma nova VM criptografada de disco gerenciado de IaaS do Windows pela galeria de imagensCreate a new encrypted Windows IaaS Managed Disk VM from gallery image

Observação

É obrigatório criar um instantâneo e/ou fazer backup de uma instância VM baseada em disco gerenciado fora do Azure Disk Encryption e antes de habilitá-lo.It is mandatory to snapshot and/or backup a managed disk based VM instance outside of and prior to enabling Azure Disk Encryption. Um instantâneo do disco gerenciado pode ser criado do portal ou usando o Backup do Azure.A snapshot of the managed disk can be taken from the portal, or Azure Backup can be used. Backups asseguram que uma opção de recuperação é possível no caso de qualquer falha inesperada durante a criptografia.Backups ensure that a recovery option is possible in the case of any unexpected failure during encryption. Depois que um backup é feito, o cmdlet Set-AzureRmVMDiskEncryptionExtension pode ser usado para criptografar Managed Disks especificando o parâmetro -skipVmBackup.Once a backup is made, the Set-AzureRmVMDiskEncryptionExtension cmdlet can be used to encrypt managed disks by specifying the -skipVmBackup parameter. Este comando falhará em VMs baseadas em disco gerenciado até que um backup tenha sido feito e esse parâmetro tenha sido especificado.This command will fail against managed disk based VM's until a backup has been made and this parameter has been specified.

Atualizar configurações de criptografia de uma VM de armazenamento não premium criptografada existenteUpdate encryption settings of an existing encrypted non-premium VM

Use interfaces com suporte de criptografia de disco do Azure existentes para executar VM [modelos ARM, PS cmdlets ou CLI] para atualizar as configurações de criptografia como segredo/ID de cliente AAD, chave de criptografia chave [KEK], chave de criptografia BitLocker para VM do Windows ou frase secreta para VM do Linux, etc. Há suporte para a configuração de criptografia de atualização em VMs de armazenamento premium e não premium.Use the existing Azure disk encryption supported interfaces for running VM [PS cmdlets, CLI or ARM templates] to update the encryption settings like AAD client ID/secret, Key encryption key [KEK], BitLocker encryption key for Windows VM or Passphrase for Linux VM etc. The update encryption setting is supported for both premium and non-premium storage VMs.

ApêndiceAppendix

Conecte-se as suas assinaturasConnect to your subscription

Antes de prosseguir, revise a seção Pré-requisitos neste artigo.Before you proceed, review the Prerequisites section in this article. Depois de garantir que todos os pré-requisitos foram atendidos, conecte-se à sua assinatura fazendo o seguinte:After you ensure that all prerequisites have been met, connect to your subscription by doing the following:

  1. Inicie uma sessão do Azure PowerShell e entre em sua conta do Azure com o seguinte comando:Start an Azure PowerShell session, and sign in to your Azure account with the following command:

    Connect-AzureRmAccount

  2. Se tiver várias assinaturas e quiser especificar uma a ser usada, digite o seguinte para ver as assinaturas da sua conta:If you have multiple subscriptions and want to specify one to use, type the following to see the subscriptions for your account:

    Get-AzureRmSubscription

  3. Para especificar a assinatura que você quer usar, digite:To specify the subscription you want to use, type:

    Select-AzureRmSubscription -SubscriptionName <Yoursubscriptionname>

  4. Para verificar se a assinatura configurada está correta, digite:To verify that the subscription configured is correct, type:

    Get-AzureRmSubscription

  5. Para confirmar que os cmdlets de Azure Disk Encryption estão instalados, digite:To confirm the Azure Disk Encryption cmdlets are installed, type:

    Get-command *diskencryption*

  6. A saída a seguir confirma a instalação do PowerShell de Azure Disk Encryption:The following output confirms the Azure Disk Encryption PowerShell installation:

    PS C:\Windows\System32\WindowsPowerShell\v1.0> get-command *diskencryption*
    CommandType  Name                                         Source                                                             
    Cmdlet       Get-AzureRmVMDiskEncryptionStatus            AzureRM.Compute                                                    
    Cmdlet       Disable-AzureRmVMDiskEncryption              AzureRM.Compute                                                    
    Cmdlet       Set-AzureRmVMDiskEncryptionExtension         AzureRM.Compute                                                     

Preparar um VHD do Windows previamente criptografadoPrepare a pre-encrypted Windows VHD

As seções a seguir são necessárias para preparar um VHD do Windows previamente criptografado para implantação como um VHD criptografado no Azure IaaS.The sections that follow are necessary to prepare a pre-encrypted Windows VHD for deployment as an encrypted VHD in Azure IaaS. Use as informações para preparar e inicializar uma nova VHD (VM do Windows) no Azure Site Recovery ou no Azure.Use the information to prepare and boot a fresh Windows VM (VHD) on Azure Site Recovery or Azure.

Atualizar a política de grupo para permitir não TPM na proteção do sistema operacionalUpdate group policy to allow non-TPM for OS protection

Configure a política de grupo do BitLocker Criptografia de Unidade de Disco BitLocker, que você encontrará em Política de Computador Local > Configuração do Computador > Modelos Administrativos > Componentes do Windows.Configure the BitLocker Group Policy setting BitLocker Drive Encryption, which you'll find under Local Computer Policy > Computer Configuration > Administrative Templates > Windows Components. Altere essa configuração para: Unidades do Sistema Operacional > Exigir autenticação adicional na inicialização > Permitir BitLocker sem TPM compatível, como mostrado na seguinte figura:Change this setting to Operating System Drives > Require additional authentication at startup > Allow BitLocker without a compatible TPM, as shown in the following figure:

Microsoft Antimalware no Azure

Instalar componentes de recursos do BitLockerInstall BitLocker feature components

Para o Windows Server 2012 e versões posteriores, use o seguinte comando:For Windows Server 2012 and later, use the following command:

dism /online /Enable-Feature /all /FeatureName:BitLocker /quiet /norestart

Para o Windows Server 2008 R2, use o seguinte comando:For Windows Server 2008 R2, use the following command:

ServerManagerCmd -install BitLockers

Preparar o volume do sistema operacional para o BitLocker usando bdehdcfgPrepare the OS volume for BitLocker by using bdehdcfg

Para compactar a partição do sistema operacional e preparar o computador para o BitLocker, execute o seguinte comando:To compress the OS partition and prepare the machine for BitLocker, execute the following command:

bdehdcfg -target c: shrink -quiet

Proteger o volume do sistema operacional usando o BitLockerProtect the OS volume by using BitLocker

Use o comando manage-bde para habilitar a criptografia no volume de inicialização usando um protetor de chave externo.Use the manage-bde command to enable encryption on the boot volume using an external key protector. Também coloque a chave externa (arquivo .bek) na unidade ou no volume.Also place the external key (.bek file) on the external drive or volume. A criptografia é habilitada no volume de inicialização/sistema após a próxima reinicialização.Encryption is enabled on the system/boot volume after the next reboot.

manage-bde -on %systemdrive% -sk [ExternalDriveOrVolume]
reboot

Observação

Prepare a VM com um VHD de dados/recursos separado para obter a chave externa usando o BitLocker.Prepare the VM with a separate data/resource VHD for getting the external key by using BitLocker.

Criptografando uma unidade do sistema operacional em uma VM do Linux em execuçãoEncrypting an OS drive on a running Linux VM

Pré-requisitos para a criptografia de disco do sistema operacionalPrerequisites for OS disk encryption
  • A VM deve estar usando uma distribuição compatível com a criptografia de disco de SO, conforme as Perguntas frequentes sobre o Azure Disk EncryptionThe VM must be using a distribution compatible with OS disk encryption as listed in the Azure Disk Encryption FAQ
  • A VM deve ser criada com base na imagem do Marketplace no Azure Resource Manager.The VM must be created from the Marketplace image in Azure Resource Manager.
  • VM do Azure com, no mínimo, 4 GB de RAM (o tamanho recomendável é de 7 GB).Azure VM with at least 4 GB of RAM (recommended size is 7 GB).
  • (Para RHEL e CentOS) Desabilite o SELinux.(For RHEL and CentOS) Disable SELinux. Para desabilitar SELinux, confira "4.4.2.To disable SELinux, see "4.4.2. Desabilitando o SELinux" no Guia do Administrador e Usuário do SELinux na VM.Disabling SELinux" in the SELinux User's and Administrator's Guide on the VM.
  • Depois de desabilitar o SELinux, reinicialize a VM pelo menos uma vez.After you disable SELinux, reboot the VM at least once.
EtapasSteps
  1. Crie uma VM usando uma das distribuições especificadas anteriormente.Create a VM by using one of the distributions specified previously.

    Para o CentOS 7.2, há suporte para a criptografia de disco do sistema operacional por meio de uma imagem especial.For CentOS 7.2, OS disk encryption is supported via a special image. Para usar essa imagem, especifique "7.2n" como o SKU quando você criar a VM:To use this image, specify "7.2n" as the SKU when you create the VM:

     Set-AzureRmVMSourceImage -VM $VirtualMachine -PublisherName "OpenLogic" -Offer "CentOS" -Skus "7.2n" -Version "latest"
    
  2. Configure a VM de acordo com suas necessidades.Configure the VM according to your needs. Se for criptografar todas as unidades (sistema operacional + dados), as unidades de dados precisarão ser especificadas e deverão ser montadas em /etc/fstab.If you are going to encrypt all the (OS + data) drives, the data drives need to be specified and mountable from /etc/fstab.

    Observação

    Use UUID=... para especificar unidades de dados em/etc/fstab em vez de especificar o nome do dispositivo de blocos (por exemplo, /dev/sdb1).Use UUID=... to specify data drives in /etc/fstab instead of specifying the block device name (for example, /dev/sdb1). Durante a criptografia, a ordem das é alterada na VM.During encryption, the order of drives changes on the VM. Se a VM se basear em uma ordem específica de dispositivos de blocos, ela não conseguirá montá-los após a criptografia.If your VM relies on a specific order of block devices, it will fail to mount them after encryption.

  3. Saia das sessões do SSH.Sign out of the SSH sessions.

  4. Para criptografar o sistema operacional, especifique volumeType como All ou OS ao habilitar a criptografia.To encrypt the OS, specify volumeType as All or OS when you enable encryption.

    Observação

    Todos os processos de espaço de usuário que não estão sendo executados como serviços systemd deverão ser encerrados com um SIGKILL.All user-space processes that are not running as systemd services should be killed with a SIGKILL. Reinicialize a VM.Reboot the VM. Ao habilitar a criptografia de disco do sistema operacional em uma VM em execução, planeje o tempo de inatividade da VM.When you enable OS disk encryption on a running VM, plan on VM downtime.

  5. Periodicamente, monitore o progresso da criptografia usando as instruções da próxima seção.Periodically monitor the progress of encryption by using the instructions in the next section.

  6. Depois que Get-AzureRmVmDiskEncryptionStatus mostrar "VMRestartPending", reinicie a VM entrando ou usando o portal, o PowerShell ou a CLI.After Get-AzureRmVmDiskEncryptionStatus shows "VMRestartPending," restart your VM either by signing in to it or by using the portal, PowerShell, or CLI.

    C:\> Get-AzureRmVmDiskEncryptionStatus  -ResourceGroupName $ResourceGroupName -VMName $VMName
    -ExtensionName $ExtensionName
    
    OsVolumeEncrypted          : VMRestartPending
    DataVolumesEncrypted       : NotMounted
    OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
    ProgressMessage            : OS disk successfully encrypted, reboot the VM
    

    Antes de reinicializar, recomendamos que você salve os diagnósticos de inicialização da VM.Before you reboot, we recommend that you save boot diagnostics of the VM.

Monitorando o progresso da criptografia do sistema operacionalMonitoring OS encryption progress

Você pode monitorar o progresso de criptografia do sistema operacional de três maneiras:You can monitor OS encryption progress in three ways:

  • Use o cmdlet Get-AzureRmVmDiskEncryptionStatus e verifique o campo ProgressMessage:Use the Get-AzureRmVmDiskEncryptionStatus cmdlet and inspect the ProgressMessage field:

    OsVolumeEncrypted          : EncryptionInProgress
    DataVolumesEncrypted       : NotMounted
    OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
    ProgressMessage            : OS disk encryption started
    

    Depois que a VM atingir "Criptografia de disco do sistema operacional iniciada", levará cerca de 40 a 50 minutos em uma VM com suporte do armazenamento Premium.After the VM reaches "OS disk encryption started," it takes about 40 to 50 minutes on a Premium-storage backed VM.

    Devido ao problema 388 no WALinuxAgent, OsVolumeEncrypted e DataVolumesEncrypted são mostrados como Unknown em algumas distribuições.Because of issue #388 in WALinuxAgent, OsVolumeEncrypted and DataVolumesEncrypted show up as Unknown in some distributions. Com a versão 2.1.5 WALinuxAgent e posterior, esse problema é corrigido automaticamente.With WALinuxAgent version 2.1.5 and later, this issue is fixed automatically. Caso você veja Unknown na saída, poderá verificar o status da criptografia de disco usando o Explorador de Recursos do Azure.If you see Unknown in the output, you can verify disk-encryption status by using the Azure Resource Explorer.

    Vá para Explorador de Recursos do Azure e expanda essa hierarquia no painel de seleção à esquerda:Go to Azure Resource Explorer, and then expand this hierarchy in the selection panel on left:

    |-- subscriptions
       |-- [Your subscription]
            |-- resourceGroups
                 |-- [Your resource group]
                      |-- providers
                           |-- Microsoft.Compute
                                |-- virtualMachines
                                     |-- [Your virtual machine]
                                          |-- InstanceView
    

    Em InstanceView, role a tela para baixo para ver o status da criptografia das unidades.In the InstanceView, scroll down to see the encryption status of your drives.

    Exibição de instância VM

  • Examine o diagnóstico de inicialização.Look at boot diagnostics. As mensagens da extensão ADE devem ser prefixadas com [AzureDiskEncryption].Messages from the ADE extension should be prefixed with [AzureDiskEncryption].

  • Entre na VM via SSH e obtenha o log de extensão de:Sign in to the VM via SSH, and get the extension log from:

    /var/log/azure/Microsoft.Azure.Security.AzureDiskEncryptionForLinux/var/log/azure/Microsoft.Azure.Security.AzureDiskEncryptionForLinux

    É recomendável que você não entre na máquina virtual enquanto a criptografia de sistema operacional estiver em andamento.We recommend that you do not sign in to the VM while OS encryption is in progress. Copie os logs apenas quando os outros dois métodos falharem.Copy the logs only when the other two methods have failed.

Preparar um VHD Linux previamente criptografadoPrepare a pre-encrypted Linux VHD

Ubuntu 16Ubuntu 16

Configure a criptografia durante a instalação da distribuição fazendo o seguinte:Configure encryption during the distribution installation by doing the following:

  1. Selecione Configurar volumes criptografados ao particionar os discos.Select Configure encrypted volumes when you partition the disks.

    Instalação do Ubuntu 16.04

  2. Crie uma unidade de inicialização separada que não deverá ser criptografada.Create a separate boot drive, which must not be encrypted. Criptografe a unidade de inicialização.Encrypt your root drive.

    Instalação do Ubuntu 16.04

  3. Forneça uma senha.Provide a passphrase. Essa é a frase secreta que você carrega no cofre de chaves.This is the passphrase that you upload to the key vault.

    Instalação do Ubuntu 16.04

  4. Conclua o particionamento.Finish partitioning.

    Instalação do Ubuntu 16.04

  5. Quando você inicializar a VM e precisar fornecer uma frase secreta, use a frase secreta que forneceu na etapa 3.When you boot the VM and are asked for a passphrase, use the passphrase you provided in step 3.

    Instalação do Ubuntu 16.04

  6. Prepare a VM para upload no Azure usando estas instruções.Prepare the VM for uploading into Azure using these instructions. Não execute a última etapa (desprovisionamento da VM) ainda.Do not run the last step (deprovisioning the VM) yet.

Configure a criptografia para trabalhar com o Azure fazendo o seguinte:Configure encryption to work with Azure by doing the following:

  1. Crie um arquivo em /usr/local/sbin/azure_crypt_key.sh com o conteúdo no script a seguir.Create a file under /usr/local/sbin/azure_crypt_key.sh, with the content in the following script. Preste atenção ao KeyFileName, pois ele é o nome do arquivo de frase secreta usado pelo Azure.Pay attention to the KeyFileName, because it is the passphrase file name used by Azure.

    #!/bin/sh
    MountPoint=/tmp-keydisk-mount
    KeyFileName=LinuxPassPhraseFileName
    echo "Trying to get the key from disks ..." >&2
    mkdir -p $MountPoint
    modprobe vfat >/dev/null 2>&1
    modprobe ntfs >/dev/null 2>&1
    sleep 2
    OPENED=0
    cd /sys/block
    for DEV in sd*; do
    
        echo "> Trying device: $DEV ..." >&2
        mount -t vfat -r /dev/${DEV}1 $MountPoint >/dev/null||
        mount -t ntfs -r /dev/${DEV}1 $MountPoint >/dev/null
        if [ -f $MountPoint/$KeyFileName ]; then
                cat $MountPoint/$KeyFileName
                umount $MountPoint 2>/dev/null
                OPENED=1
                break
        fi
        umount $MountPoint 2>/dev/null
    done
    
      if [ $OPENED -eq 0 ]; then
        echo "FAILED to find suitable passphrase file ..." >&2
        echo -n "Try to enter your password: " >&2
        read -s -r A </dev/console
        echo -n "$A"
     else
        echo "Success loading keyfile!" >&2
    fi
    
  2. Altere a configuração de criptografia em /etc/crypttab.Change the crypt config in /etc/crypttab. O resultado deve ser assim:It should look like this:

     xxx_crypt uuid=xxxxxxxxxxxxxxxxxxxxx none luks,discard,keyscript=/usr/local/sbin/azure_crypt_key.sh
    
  3. Se você estiver editando azure_crypt_key.sh no Windows e o tiver copiado para o Linux, execute dos2unix /usr/local/sbin/azure_crypt_key.sh.If you are editing azure_crypt_key.sh in Windows and you copied it to Linux, run dos2unix /usr/local/sbin/azure_crypt_key.sh.

  4. Adicione permissões executáveis ao script:Add executable permissions to the script:

     chmod +x /usr/local/sbin/azure_crypt_key.sh
    
  5. Edite /etc/initramfs-tools/modules acrescentando linha:Edit /etc/initramfs-tools/modules by appending lines: vfat ntfs nls_cp437 nls_utf8 nls_iso8859-1
  6. Execute update-initramfs -u -k all para atualizar o initramfs para fazer com que o keyscript entre em vigor.Run update-initramfs -u -k all to update the initramfs to make the keyscript take effect.

  7. Agora, você poderá desprovisionar a VM.Now you can deprovision the VM.

    Instalação do Ubuntu 16.04

  8. Continue na próxima etapa e carregue o VHD no Azure.Continue to the next step and upload your VHD into Azure.

openSUSE 13.2openSUSE 13.2

Para configurar a criptografia durante a instalação de distribuição, faça o seguinte:To configure encryption during the distribution installation, do the following:

  1. Ao particionar os discos, selecione Criptografar o Grupo de Volumes e digite uma senha.When you partition the disks, select Encrypt Volume Group, and then enter a password. Esta é a senha que você carregará no cofre de chaves.This is the password that you will upload to your key vault.

    Instalação do openSUSE 13.2

  2. Inicialize a VM usando uma senha.Boot the VM using your password.

    Instalação do openSUSE 13.2

  3. Prepare a VM para carregamento no Azure seguindo as instruções em Preparar uma máquina virtual do SLES ou openSUSE para o Azure.Prepare the VM for uploading to Azure by following the instructions in Prepare a SLES or openSUSE virtual machine for Azure. Não execute a última etapa (desprovisionamento da VM) ainda.Do not run the last step (deprovisioning the VM) yet.

Para configurar a criptografia para trabalhar com o Azure, faça o seguinte:To configure encryption to work with Azure, do the following:

  1. Edite o /etc/dracut.conf e adicione a seguinte linha:Edit the /etc/dracut.conf, and add the following line: add_drivers+=" vfat ntfs nls_cp437 nls_iso8859-1"
  2. Comente essas linhas ao final do arquivo /usr/lib/dracut/modules.d/90crypt/module-setup.sh:Comment out these lines by the end of the file /usr/lib/dracut/modules.d/90crypt/module-setup.sh:

     #        inst_multiple -o \
     #        $systemdutildir/system-generators/systemd-cryptsetup-generator \
     #        $systemdutildir/systemd-cryptsetup \
     #        $systemdsystemunitdir/systemd-ask-password-console.path \
     #        $systemdsystemunitdir/systemd-ask-password-console.service \
     #        $systemdsystemunitdir/cryptsetup.target \
     #        $systemdsystemunitdir/sysinit.target.wants/cryptsetup.target \
     #        systemd-ask-password systemd-tty-ask-password-agent
     #        inst_script "$moddir"/crypt-run-generator.sh /sbin/crypt-run-generator
    
  3. Acrescente a seguinte linha no início do arquivo /usr/lib/dracut/modules.d/90crypt/parse-crypt.sh:Append the following line at the beginning of the file /usr/lib/dracut/modules.d/90crypt/parse-crypt.sh:

     DRACUT_SYSTEMD=0
    

    E altere todas as ocorrências de:And change all occurrences of:

     if [ -z "$DRACUT_SYSTEMD" ]; then
    

    para:to:

     if [ 1 ]; then
    
  4. Edite /usr/lib/dracut/modules.d/90crypt/cryptroot-ask.sh e acrescente-o depois de “# Open LUKS device”:Edit /usr/lib/dracut/modules.d/90crypt/cryptroot-ask.sh and append it to “# Open LUKS device”:

    MountPoint=/tmp-keydisk-mount
    KeyFileName=LinuxPassPhraseFileName
    echo "Trying to get the key from disks ..." >&2
    mkdir -p $MountPoint >&2
    modprobe vfat >/dev/null >&2
    modprobe ntfs >/dev/null >&2
    for SFS in /dev/sd*; do
    echo "> Trying device:$SFS..." >&2
    mount ${SFS}1 $MountPoint -t vfat -r >&2 ||
    mount ${SFS}1 $MountPoint -t ntfs -r >&2
    if [ -f $MountPoint/$KeyFileName ]; then
        echo "> keyfile got..." >&2
        cp $MountPoint/$KeyFileName /tmp-keyfile >&2
        luksfile=/tmp-keyfile
        umount $MountPoint >&2
        break
    fi
    done
    
  5. Execute /usr/sbin/dracut -f -v para atualizar o initrd.Run /usr/sbin/dracut -f -v to update the initrd.

  6. Agora você pode desprovisionar a VM e carregar o VHD no Azure.Now you can deprovision the VM and upload your VHD into Azure.

CentOS 7CentOS 7

Para configurar a criptografia durante a instalação de distribuição, faça o seguinte:To configure encryption during the distribution installation, do the following:

  1. Selecione Criptografar meus dados ao particionar os discos.Select Encrypt my data when you partition disks.

    Instalação do CentOS 7

  2. Verifique se a opção Criptografar está selecionada para a partição raiz.Make sure Encrypt is selected for root partition.

    Instalação do CentOS 7

  3. Forneça uma frase secreta.Provide a passphrase. Essa é a frase secreta que você carregará no cofre de chaves.This is the passphrase that you will upload to your key vault.

    Instalação do CentOS 7

  4. Quando você inicializar a VM e precisar fornecer uma frase secreta, use a senha que forneceu na etapa 3.When you boot the VM and are asked for a passphrase, use the passphrase you provided in step 3.

    Instalação do CentOS 7

  5. Prepare a VM para carregamento no Azure usando as instruções de "CentOS 7.0+" em Preparar uma máquina virtual baseada em CentOS para o Azure.Prepare the VM for uploading into Azure by using the "CentOS 7.0+" instructions in Prepare a CentOS-based virtual machine for Azure. Não execute a última etapa (desprovisionamento da VM) ainda.Do not run the last step (deprovisioning the VM) yet.

  6. Agora você pode desprovisionar a VM e carregar o VHD no Azure.Now you can deprovision the VM and upload your VHD into Azure.

Para configurar a criptografia para trabalhar com o Azure, faça o seguinte:To configure encryption to work with Azure, do the following:

  1. Edite o /etc/dracut.conf e adicione a seguinte linha:Edit the /etc/dracut.conf, and add the following line:

    add_drivers+=" vfat ntfs nls_cp437 nls_iso8859-1"
    
  2. Comente essas linhas ao final do arquivo /usr/lib/dracut/modules.d/90crypt/module-setup.sh:Comment out these lines by the end of the file /usr/lib/dracut/modules.d/90crypt/module-setup.sh:

     #        inst_multiple -o \
     #        $systemdutildir/system-generators/systemd-cryptsetup-generator \
     #        $systemdutildir/systemd-cryptsetup \
     #        $systemdsystemunitdir/systemd-ask-password-console.path \
     #        $systemdsystemunitdir/systemd-ask-password-console.service \
     #        $systemdsystemunitdir/cryptsetup.target \
     #        $systemdsystemunitdir/sysinit.target.wants/cryptsetup.target \
     #        systemd-ask-password systemd-tty-ask-password-agent
     #        inst_script "$moddir"/crypt-run-generator.sh /sbin/crypt-run-generator
    
  3. Acrescente a seguinte linha no início do arquivo /usr/lib/dracut/modules.d/90crypt/parse-crypt.sh:Append the following line at the beginning of the file /usr/lib/dracut/modules.d/90crypt/parse-crypt.sh:

     DRACUT_SYSTEMD=0
    

    E altere todas as ocorrências de:And change all occurrences of:

     if [ -z "$DRACUT_SYSTEMD" ]; then
    

    parato

     if [ 1 ]; then
    
  4. Edite /usr/lib/dracut/modules.d/90crypt/cryptroot-ask.sh e acrescente-o depois de “# Open LUKS device”:Edit /usr/lib/dracut/modules.d/90crypt/cryptroot-ask.sh and append this after the “# Open LUKS device”: MountPoint=/tmp-keydisk-mount KeyFileName=LinuxPassPhraseFileName echo "Trying to get the key from disks ..." >&2 mkdir -p $MountPoint >&2 modprobe vfat >/dev/null >&2 modprobe ntfs >/dev/null >&2 for SFS in /dev/sd*; do echo "> Trying device:$SFS..." >&2 mount ${SFS}1 $MountPoint -t vfat -r >&2 || mount ${SFS}1 $MountPoint -t ntfs -r >&2 if [ -f $MountPoint/$KeyFileName ]; then echo "> keyfile got..." >&2 cp $MountPoint/$KeyFileName /tmp-keyfile >&2 luksfile=/tmp-keyfile umount $MountPoint >&2 break fi done
  5. Execute o “/usr/sbin/dracut -f -v” para atualizar o initrd.Run the “/usr/sbin/dracut -f -v” to update the initrd.

Instalação do CentOS 7

Carregue o VHD criptografado para uma conta de armazenamento do AzureUpload encrypted VHD to an Azure storage account

Depois que a criptografia BitLocker ou criptografia DM-Crypt estiver habilitada, o VHD criptografado local precisará ser carregado para a conta de armazenamento.After BitLocker encryption or DM-Crypt encryption is enabled, the local encrypted VHD needs to be uploaded to your storage account.

Add-AzureRmVhd [-Destination] <Uri> [-LocalFilePath] <FileInfo> [[-NumberOfUploaderThreads] <Int32> ] [[-BaseImageUriToPatch] <Uri> ] [[-OverWrite]] [ <CommonParameters>]

Carregar o segredo de criptografia de disco da VM previamente criptografada no cofre de chavesUpload the disk-encryption secret for the pre-encrypted VM to your key vault

O segredo de criptografia de disco que você obteve anteriormente deve ser carregado como um segredo no cofre de chaves.The disk-encryption secret that you obtained previously must be uploaded as a secret in your key vault. O cofre de chaves deve ter criptografia de disco e permissões habilitadas para o cliente do Azure AD.The key vault needs to have disk encryption and permissions enabled for your Azure AD client.

$AadClientId = "YourAADClientId"
$AadClientSecret = "YourAADClientSecret"

$key vault = New-AzureRmKeyVault -VaultName $KeyVaultName -ResourceGroupName $ResourceGroupName -Location $Location

Set-AzureRmKeyVaultAccessPolicy -VaultName $KeyVaultName -ResourceGroupName $ResourceGroupName -ServicePrincipalName $AadClientId -PermissionsToKeys all -PermissionsToSecrets all
Set-AzureRmKeyVaultAccessPolicy -VaultName $KeyVaultName -ResourceGroupName $ResourceGroupName -EnabledForDiskEncryption

Segredo de criptografia de disco não criptografado com uma KEKDisk encryption secret not encrypted with a KEK

Para configurar o segredo no cofre de chaves, use Set-AzureKeyVaultSecret.To set up the secret in your key vault, use Set-AzureKeyVaultSecret. Se você tem uma máquina virtual do Windows, o arquivo bek é codificado como uma cadeia de caracteres em base64 e carregado no cofre de chaves usando o cmdlet Set-AzureKeyVaultSecret.If you have a Windows virtual machine, the bek file is encoded as a base64 string and then uploaded to your key vault using the Set-AzureKeyVaultSecret cmdlet. Para o Linux, a frase secreta é codificada como uma cadeia de caracteres base64 e carregada para o cofre de chaves.For Linux, the passphrase is encoded as a base64 string and then uploaded to the key vault. Além disso, verifique se as seguintes marcas estão definidas ao criar o segredo no cofre de chaves.In addition, make sure that the following tags are set when you create the secret in the key vault.

# This is the passphrase that was provided for encryption during the distribution installation
$passphrase = "contoso-password"

$tags = @{"DiskEncryptionKeyEncryptionAlgorithm" = "RSA-OAEP"; "DiskEncryptionKeyFileName" = "LinuxPassPhraseFileName"}
$secretName = [guid]::NewGuid().ToString()
$secretValue = [Convert]::ToBase64String([System.Text.Encoding]::ASCII.GetBytes($passphrase))
$secureSecretValue = ConvertTo-SecureString $secretValue -AsPlainText -Force

$secret = Set-AzureKeyVaultSecret -VaultName $KeyVaultName -Name $secretName -SecretValue $secureSecretValue -tags $tags
$secretUrl = $secret.Id

Use o $secretUrl na próxima etapa para anexar o disco do sistema operacional sem usar KEK.Use the $secretUrl in the next step for attaching the OS disk without using KEK.

Segredo de criptografia de disco criptografado com uma KEKDisk encryption secret encrypted with a KEK

Antes de carregar o segredo no cofre de chaves, opcionalmente, você pode criptografá-lo usando uma chave de criptografia de chave.Before you upload the secret to the key vault, you can optionally encrypt it by using a key encryption key. Use a API de encapsulamento para primeiro criptografar o segredo usando a chave de criptografia de chave.Use the wrap API to first encrypt the secret using the key encryption key. A saída dessa operação wrap é uma cadeia de caracteres de URL codificada em base64, que você pode carregar como um segredo usando o cmdlet Set-AzureKeyVaultSecret.The output of this wrap operation is a base64 URL encoded string, which you can then upload as a secret by using the Set-AzureKeyVaultSecret cmdlet.

# This is the passphrase that was provided for encryption during the distribution installation
$passphrase = "contoso-password"

Add-AzureKeyVaultKey -VaultName $KeyVaultName -Name "keyencryptionkey" -Destination Software
$KeyEncryptionKey = Get-AzureKeyVaultKey -VaultName $KeyVault.OriginalVault.Name -Name "keyencryptionkey"

$apiversion = "2015-06-01"

##############################
# Get Auth URI
##############################

$uri = $KeyVault.VaultUri + "/keys"
$headers = @{}

$response = try { Invoke-RestMethod -Method GET -Uri $uri -Headers $headers } catch { $_.Exception.Response }

$authHeader = $response.Headers["www-authenticate"]
$authUri = [regex]::match($authHeader, 'authorization="(.*?)"').Groups[1].Value

Write-Host "Got Auth URI successfully"

##############################
# Get Auth Token
##############################

$uri = $authUri + "/oauth2/token"
$body = "grant_type=client_credentials"
$body += "&client_id=" + $AadClientId
$body += "&client_secret=" + [Uri]::EscapeDataString($AadClientSecret)
$body += "&resource=" + [Uri]::EscapeDataString("https://vault.azure.net")
$headers = @{}

$response = Invoke-RestMethod -Method POST -Uri $uri -Headers $headers -Body $body

$access_token = $response.access_token

Write-Host "Got Auth Token successfully"

##############################
# Get KEK info
##############################

$uri = $KeyEncryptionKey.Id + "?api-version=" + $apiversion
$headers = @{"Authorization" = "Bearer " + $access_token}

$response = Invoke-RestMethod -Method GET -Uri $uri -Headers $headers

$keyid = $response.key.kid

Write-Host "Got KEK info successfully"

##############################
# Encrypt passphrase using KEK
##############################

$passphraseB64 = [Convert]::ToBase64String([System.Text.Encoding]::ASCII.GetBytes($Passphrase))
$uri = $keyid + "/encrypt?api-version=" + $apiversion
$headers = @{"Authorization" = "Bearer " + $access_token; "Content-Type" = "application/json"}
$bodyObj = @{"alg" = "RSA-OAEP"; "value" = $passphraseB64}
$body = $bodyObj | ConvertTo-Json

$response = Invoke-RestMethod -Method POST -Uri $uri -Headers $headers -Body $body

$wrappedSecret = $response.value

Write-Host "Encrypted passphrase successfully"

##############################
# Store secret
##############################

$secretName = [guid]::NewGuid().ToString()
$uri = $KeyVault.VaultUri + "/secrets/" + $secretName + "?api-version=" + $apiversion
$secretAttributes = @{"enabled" = $true}
$secretTags = @{"DiskEncryptionKeyEncryptionAlgorithm" = "RSA-OAEP"; "DiskEncryptionKeyFileName" = "LinuxPassPhraseFileName"}
$headers = @{"Authorization" = "Bearer " + $access_token; "Content-Type" = "application/json"}
$bodyObj = @{"value" = $wrappedSecret; "attributes" = $secretAttributes; "tags" = $secretTags}
$body = $bodyObj | ConvertTo-Json

$response = Invoke-RestMethod -Method PUT -Uri $uri -Headers $headers -Body $body

Write-Host "Stored secret successfully"

$secretUrl = $response.id

Use $KeyEncryptionKey e $secretUrl na próxima etapa para anexar o disco do sistema operacional usando KEK.Use $KeyEncryptionKey and $secretUrl in the next step for attaching the OS disk using KEK.

Especificar uma URL secreta ao anexar um disco do sistema operacionalSpecify a secret URL when you attach an OS disk

Sem usar uma KEKWithout using a KEK

Ao anexar o disco do sistema operacional, você precisa passar $secretUrl.While you are attaching the OS disk, you need to pass $secretUrl. A URL foi gerada na seção "Segredo de criptografia de disco não criptografado com uma KEK".The URL was generated in the "Disk-encryption secret not encrypted with a KEK" section.

Set-AzureRmVMOSDisk `
        -VM $VirtualMachine `
        -Name $OSDiskName `
        -SourceImageUri $VhdUri `
        -VhdUri $OSDiskUri `
        -Linux `
        -CreateOption FromImage `
        -DiskEncryptionKeyVaultId $KeyVault.ResourceId `
        -DiskEncryptionKeyUrl $SecretUrl

Usando uma KEKUsing a KEK

Ao anexar o disco do sistema operacional, passe $KeyEncryptionKey e $secretUrl.When you attach the OS disk, pass $KeyEncryptionKey and $secretUrl. A URL foi gerada na seção "Segredo de criptografia de disco não criptografado com uma KEK".The URL was generated in the "Disk-encryption secret not encrypted with a KEK" section.

Set-AzureRmVMOSDisk `
        -VM $VirtualMachine `
        -Name $OSDiskName `
        -SourceImageUri $CopiedTemplateBlobUri `
        -VhdUri $OSDiskUri `
        -Linux `
        -CreateOption FromImage `
        -DiskEncryptionKeyVaultId $KeyVault.ResourceId `
        -DiskEncryptionKeyUrl $SecretUrl `
        -KeyEncryptionKeyVaultId $KeyVault.ResourceId `
        -KeyEncryptionKeyURL $KeyEncryptionKey.Id

Para obter mais informaçõesFor more information

Explorar a Azure Disk Encryption com o Azure PowerShell - Parte 1Explore Azure Disk Encryption with Azure PowerShell - Part 1
Explorar a Azure Disk Encryption com o Azure PowerShell - Parte 2Explore Azure Disk Encryption with Azure PowerShell - Part 2