Microsoft Entra ID 的 Azure 磁碟加密 (適用於 Windows VM) (舊版)

適用於：✔️ Windows VM

新版的 Azure 磁碟加密不需要提供 Microsoft Entra 應用程式參數，即可啟用 VM 磁碟加密。 若使用新版本，您就無須在啟用加密步驟期間提供 Microsoft Entra 認證。 若使用新版本，所有新的 VM 必須經過加密，而不需要 Microsoft Entra 應用程式參數。 若要檢視使用新版本來啟用 VM 磁碟加密的指示，請參閱適用於 Windows VM 的 Azure 磁碟加密。 已經使用 Microsoft Entra 應用程式參數進行加密的 VM 仍然受支援，且應該繼續使用 Microsoft Entra 語法進行維護。

您可以啟用許多磁碟加密案例，步驟可能會因案例而有所不同。 下列各節涵蓋更詳細的 Windows IaaS VM 案例。 您必須先完成 Azure 磁碟加密必要條件，才能您使用磁碟加密。

重要

• 您應該先建立快照集和/或建立備份再將磁碟加密。 擁有備份可確保在加密期間發生任何非預期的失敗時，能有復原選項可供選擇。 具有受控磁碟的 VM 需要有備份，才能進行加密。 在建立備份後，您可以使用 Set-AzVMDiskEncryptionExtension Cmdlet 並指定 -skipVmBackup 參數來加密受控磁碟。 如需如何備份和還原已加密 VM 的詳細資訊，請參閱備份和還原加密的 Azure VM。

• 加密或停用加密功能，可能會導致 VM 重新啟動。

在透過 Marketplace 建立的新 IaaS VM 上啟用加密

您可以使用 Resource Manager 範本，透過 Azure 中的 Marketplace 在新 IaaS Windows VM 上啟用磁碟加密。 此範本會使用 Windows Server 2012 的資源庫映像來建立新的加密 Windows VM。

1. 在 Resource Manager 範本上，按一下 [部署至 Azure]。

2. 選取訂用帳戶、資源群組、資源群組位置、參數、法律條款及合約。 按一下 [採購] 來部署已啟用加密的新 IaaS VM。

3. 在您部署此範本之後，請使用您慣用的方法來確認 VM 加密狀態：

   • 使用 az vm encryption show 命令，透過 Azure CLI 驗證。

     az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
     

   • 使用 Get-AzVmDiskEncryptionStatus Cmdlet，透過 Azure PowerShell 驗證。

     Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
     

   • 選取 VM，然後按一下 [設定] 標題之下的 [磁碟]，以在入口網站中驗證加密狀態。 在圖中的 [加密] 之下，您會看到它是否已啟用。

針對透過 Marketplace 案例使用 Microsoft Entra 用戶端識別碼的新 VM，以下資料表列出其 Resource Manager 範本參數：

參數	描述
adminUserName	虛擬機器的系統管理使用者名稱。
adminPassword	虛擬機器的系統管理使用者密碼。
newStorageAccountName	要儲存作業系統和資料 VHD 的儲存體帳戶名稱。
vmSize	VM 的大小。 目前僅支援標準的 A、D 和 G 系列。
virtualNetworkName	VM NIC 應該隸屬的 VNet 名稱。
subnetName	VM NIC 應該隸屬的 VNet 中子網路的名稱。
AADClientID	具有權限可將密碼寫入金鑰保存庫的 Microsoft Entra 應用程式用戶端識別碼。
AADClientSecret	具有權限可將密碼寫入金鑰保存庫的 Microsoft Entra 應用程式用戶端密碼。
keyVaultURL	應上傳 BitLocker 金鑰的金鑰保存庫 URL。 您可以使用 Cmdlet (Get-AzKeyVault -VaultName "MyKeyVault" -ResourceGroupName "MyKeyVaultResourceGroupName").VaultURI 或 Azure CLI az keyvault show --name "MySecureVault" --query properties.vaultUri 來取得它
keyEncryptionKeyURL	用來加密所產生 BitLocker 金鑰的金鑰加密金鑰 URL (選擇性)。 KeyEncryptionKeyURL 是選擇性參數。 您可以使用自己的 KEK，在金鑰保存庫中進一步保護資料加密金鑰 (複雜密碼)。
keyVaultResourceGroup	金鑰保存庫的資源群組。
vmName	要執行加密作業所在 VM 的名稱。

在現有或執行中的 IaaS Windows VM 上啟用加密

在這個案例中，您可以使用範本、PowerShell Cmdlet 或 CLI 命令啟用加密。 下列各節將更加詳細地說明如何啟用 Azure 磁碟加密。

透過 Azure PowerShell 在現有或執行中的 VM 上啟用加密

在 Azure 中使用 Set-AzVMDiskEncryptionExtension Cmdlet 以在執行 IaaS 的虛擬機器上啟用加密。 如需使用 PowerShell Cmdlet 以 Azure 磁碟加密來啟用加密的相關資訊，請參閱部落格文章探索使用 Azure PowerShell 的 Azure 磁碟加密 - 第 1 部分和探索使用 Azure PowerShell 的 Azure 磁碟加密 - 第 2 部分。

• 使用用戶端祕密來加密執行中的 VM：下面指令碼會初始化您的變數並執行 Set-AzVMDiskEncryptionExtension Cmdlet。 資源群組、VM、金鑰保存庫、Microsoft Entra 應用程式和用戶端密碼應該已經建立為必要條件。 使用您的值取代 MyKeyVaultResourceGroup、MyVirtualMachineResourceGroup、MySecureVM、MySecureVault、My-AAD-client-ID 和 My-AAD-client-secret。

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $aadClientID = 'My-AAD-client-ID';
   $aadClientSecret = 'My-AAD-client-secret';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;
  

• 使用 KEK 來加密執行中的 VM 以包裝用戶端祕密：Azure 磁碟加密可讓您指定您金鑰保存庫中的現有金鑰，以包裝在啟用加密時所產生的磁碟加密祕密。 若指定了金鑰加密金鑰，Azure 磁碟加密會先使用該金鑰包裝加密祕密，再寫入 Key Vault。

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MyExtraSecureVM';
  $aadClientID = 'My-AAD-client-ID';
  $aadClientSecret = 'My-AAD-client-secret';
  $KeyVaultName = 'MySecureVault';
  $keyEncryptionKeyName = 'MyKeyEncryptionKey';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;
  
  

  注意

  disk-encryption-keyvault 的語法是完整的識別碼字串：/subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  key-encryption-key 參數值的語法，是 KEK 的完整 URI，如： https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• 確認磁碟已加密： 若要檢查 IaaS VM 的加密狀態，請使用 Get-AzVmDiskEncryptionStatus Cmdlet。

  Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
  

• 停用磁碟加密：若要停用加密，請使用 Disable-AzureRmVMDisk​Encryption Cmdlet。

  Disable-AzVMDiskEncryption -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
  

透過 Azure CLI 在現有或執行中的 VM 上啟用加密

在 Azure 中使用 az vm encryption enable 命令以在執行中的 IaaS 虛擬機器上啟用加密。

• 使用用戶端祕密來加密執行中的 VM：

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --aad-client-id "<my spn created with CLI/my Azure AD ClientID>"  --aad-client-secret "My-AAD-client-secret" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]
  

• 使用 KEK 來加密執行中的 VM 以包裝用戶端祕密：

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --aad-client-id "<my spn created with CLI which is the Azure AD ClientID>"  --aad-client-secret "My-AAD-client-secret" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
  

  注意

  disk-encryption-keyvault 的語法是完整的識別碼字串：/subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  key-encryption-key 參數值的語法，是 KEK 的完整 URI，如： https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• 確認磁碟已加密：若要檢查 IaaS VM 的加密狀態，請使用 az vm encryption show 命令。

  az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
  

• 停用加密：若要停用加密，請使用 az vm encryption disable 命令。

  az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type [ALL, DATA, OS]
  

使用 Resource Manager 範本

您可以使用 Resource Manager 範本來加密執行中的 Windows VM，以在 Azure 中現有或執行中的 IaaS Windows VM 上啟用磁碟加密。

1. 在 Azure 快速入門範本中，按一下 [部署至 Azure]。

2. 選取訂用帳戶、資源群組、資源群組位置、參數、法律條款及合約。 按一下 [購買]，以在現有或執行中的 IaaS VM 上啟用加密。

針對使用 Microsoft Entra 用戶端識別碼的現有或執行中 VM，以下資料表列出其 Resource Manager 範本參數：

參數	描述
AADClientID	具有權限可將密碼寫入金鑰保存庫的 Microsoft Entra 應用程式用戶端識別碼。
AADClientSecret	具有權限可將密碼寫入金鑰保存庫的 Microsoft Entra 應用程式用戶端密碼。
keyVaultName	應上傳 BitLocker 金鑰的金鑰保存庫名稱。 您可以使用 Cmdlet (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname 或 Azure CLI 命令 az keyvault list --resource-group "MySecureGroup" 來取得
keyEncryptionKeyURL	用來加密所產生 BitLocker 金鑰的金鑰加密金鑰 URL。 如果您在 UseExistingKek 下拉式清單中選取 [nokek]，此參數是選擇性的。 如果您在 UseExistingKek 下拉式清單中選取 [kek]，您必須輸入 keyEncryptionKeyURL 值。
volumeType	執行加密作業所在磁碟區的類型。 有效值為 OS、Data 和 All。
sequenceVersion	BitLocker 作業的順序版本。 每當在相同的 VM 上執行磁碟加密作業時便遞增此版本號碼。
vmName	要執行加密作業所在 VM 的名稱。

透過客戶加密的 VHD 和加密金鑰建立的新 IaaS VM

在這個案例中，您可以使用 Resource Manager 範本、PowerShell Cmdlet 或 CLI 命令啟用加密。 下列各節將更加詳細地說明 Resource Manager 範本和 CLI 命令。

使用附錄中的指示來準備可用於 Azure 的預先加密映像。 映像建立之後，您可以使用下一節的步驟來建立加密的 Azure VM。

• 準備已預先加密的 Windows VHD

透過 Azure PowerShell 加密包含預先加密 VHD 的 VM

您可以使用 PowerShell Cmdlet Set-AzVMOSDisk 在加密的 VHD 上啟用磁碟加密。 下列範例會提供一些常見的參數。

$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"

在新增的資料磁碟上啟用加密

您可以使用 PowerShell 或透過 Azure 入口網站，將新的磁碟新增至 Windows VM。

透過 Azure PowerShell 在新增的磁碟上啟用加密

使用 PowerShell 來加密 Windows VM 的新磁碟時，應指定新的序列版本。 序列版本必須是唯一的。 下列指令碼會產生序列版本的 GUID。 在某些情況下，Azure 磁碟加密擴充功能可能會自動加密新增的資料磁碟。 當 VM 在新磁碟上線後重新開機時，通常會發生自動加密。 原因通常是磁碟加密之前在 VM 上執行時，將磁碟區類型指定為 "All"。 如果剛剛新增的資料磁碟上發生自動加密，建議使用新的序列版本再次執行 Set-AzVmDiskEncryptionExtension Cmdlet。 如果新的資料磁碟自動加密，但您不想要加密，請先將所有磁碟機解密，再以磁碟區類型指定為 OS 的新序列版本重新加密。

• 使用用戶端祕密來加密執行中的 VM：下面指令碼會初始化您的變數並執行 Set-AzVMDiskEncryptionExtension Cmdlet。 資源群組、VM、金鑰保存庫、Microsoft Entra 應用程式和用戶端密碼應該已經建立為必要條件。 使用您的值取代 MyKeyVaultResourceGroup、MyVirtualMachineResourceGroup、MySecureVM、MySecureVault、My-AAD-client-ID 和 My-AAD-client-secret。 此範例會對 -VolumeType 參數使用 "All"，其同時包含 OS 和資料磁碟區。 如果您只想要加密 OS 磁碟區，則請對 -VolumeType 參數使用 "OS"。

   $sequenceVersion = [Guid]::NewGuid();
   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $aadClientID = 'My-AAD-client-ID';
   $aadClientSecret = 'My-AAD-client-secret';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType 'all' –SequenceVersion $sequenceVersion;
  

• 使用 KEK 來加密執行中的 VM 以包裝用戶端祕密：Azure 磁碟加密可讓您指定您金鑰保存庫中的現有金鑰，以包裝在啟用加密時所產生的磁碟加密祕密。 若指定了金鑰加密金鑰，Azure 磁碟加密會先使用該金鑰包裝加密祕密，再寫入 Key Vault。 此範例會對 -VolumeType 參數使用 "All"，其同時包含 OS 和資料磁碟區。 如果您只想要加密 OS 磁碟區，則請對 -VolumeType 參數使用 "OS"。

  $sequenceVersion = [Guid]::NewGuid();
  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MyExtraSecureVM';
  $aadClientID = 'My-AAD-client-ID';
  $aadClientSecret = 'My-AAD-client-secret';
  $KeyVaultName = 'MySecureVault';
  $keyEncryptionKeyName = 'MyKeyEncryptionKey';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType 'all' –SequenceVersion $sequenceVersion;
  
  

  注意

  disk-encryption-keyvault 的語法是完整的識別碼字串：/subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  key-encryption-key 參數值的語法，是 KEK 的完整 URI，如： https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

透過 Azure CLI 在新增的磁碟上啟用加密

當您執行命令來啟用加密時，Azure CLI 命令會自動為您提供新的序列版本。 volume-yype 參數可使用之值有 All、OS 及 Data。 如果您只要加密 VM 的一種磁碟類型，則可能需要將 volume-type 參數變更為 OS 或 Data。 此範例會對 volume-type 參數使用 "All"。

• 使用用戶端祕密來加密執行中的 VM：

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --aad-client-id "<my spn created with CLI/my Azure AD ClientID>"  --aad-client-secret "My-AAD-client-secret" --disk-encryption-keyvault "MySecureVault" --volume-type "All"
  

• 使用 KEK 來加密執行中的 VM 以包裝用戶端祕密：

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --aad-client-id "<my spn created with CLI which is the Azure AD ClientID>"  --aad-client-secret "My-AAD-client-secret" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "all"
  

使用 Microsoft Entra 用戶端憑證式驗證來啟用加密。

您可以使用用戶端憑證驗證 (不管是否搭配 KEK)。 使用 PowerShell 指令碼之前，您應該已經有上傳至金鑰保存庫並部署到 VM 的憑證。 如果您也使用 KEK，KEK 應已存在。 如需詳細資訊，請參閱必要條件一文的 Microsoft Entra ID 的憑證式驗證一節。

透過 Azure PowerShell 使用憑證式驗證來啟用加密

## Fill in 'MyVirtualMachineResourceGroup', 'MyKeyVaultResourceGroup', 'My-AAD-client-ID', 'MySecureVault, and 'MySecureVM'.

$VMRGName = 'MyVirtualMachineResourceGroup'
$KVRGname = 'MyKeyVaultResourceGroup';
$AADClientID ='My-AAD-client-ID';
$KeyVaultName = 'MySecureVault';
$VMName = 'MySecureVM';
$KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
$diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
$KeyVaultResourceId = $KeyVault.ResourceId;

# Fill in the certificate path and the password so the thumbprint can be set as a variable. 

$certPath = '$CertPath = "C:\certificates\mycert.pfx';
$CertPassword ='Password'
$Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($CertPath, $CertPassword)
$aadClientCertThumbprint = $cert.Thumbprint;

# Enable disk encryption using the client certificate thumbprint

Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $VMName -AadClientID $AADClientID -AadClientCertThumbprint $AADClientCertThumbprint -DiskEncryptionKeyVaultUrl $DiskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId

透過 Azure PowerShell 使用憑證式驗證和 KEK 來啟用加密

# Fill in 'MyVirtualMachineResourceGroup', 'MyKeyVaultResourceGroup', 'My-AAD-client-ID', 'MySecureVault,, 'MySecureVM', and "KEKName.

$VMRGName = 'MyVirtualMachineResourceGroup';
$KVRGname = 'MyKeyVaultResourceGroup';
$AADClientID ='My-AAD-client-ID';
$KeyVaultName = 'MySecureVault';
$VMName = 'MySecureVM';
$keyEncryptionKeyName ='KEKName';
$KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
$diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
$KeyVaultResourceId = $KeyVault.ResourceId;
$keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;

## Fill in the certificate path and the password so the thumbprint can be read and set as a variable.

$certPath = '$CertPath = "C:\certificates\mycert.pfx';
$CertPassword ='Password'
$Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($CertPath, $CertPassword)
$aadClientCertThumbprint = $cert.Thumbprint;

# Enable disk encryption using the client certificate thumbprint and a KEK

Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $VMName -AadClientID $AADClientID -AadClientCertThumbprint $AADClientCertThumbprint -DiskEncryptionKeyVaultUrl $DiskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId

停用加密

您可以使用 Azure PowerShell、Azure CLI 或 Resource Manager 範本來停用加密。

• 透過 Azure PowerShell 停用磁碟加密：若要停用加密，請使用 Disable-AzureRmVMDisk​Encryption Cmdlet。

  Disable-AzVMDiskEncryption -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
  

• 透過 Azure CLI 停用加密：若要停用加密，請使用 az vm encryption disable 命令。

  az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type [ALL, DATA, OS]
  

• 透過 Resource Manager 範本停用加密：

  1. 從在執行中的 Windows VM 上停用磁碟加密範本，按一下 [部署至 Azure]。
  2. 選取訂用帳戶、資源群組、位置、VM、法律條款及合約。
  3. 按一下 [購買] 以在執行中的 Windows VM 上停用磁碟加密。

下一步

Azure 磁碟加密概觀