Azure Disk Encryption s Microsoft Entra ID pro virtuální počítače s Windows (předchozí verze)

Důležité

15. září 2028 je naplánované vyřazení služby Azure Disk Encryption. Do tohoto data můžete dál používat Službu Azure Disk Encryption bez přerušení. 15. září 2028 se úlohy s podporou ADE budou dál spouštět, ale šifrované disky se po restartování virtuálního počítače nepodaří odemknout, což vede k přerušení služeb.

Pro nové virtuální počítače používejte šifrování na hostiteli nebo zvažte velikosti důvěrných virtuálních počítačů s šifrováním disku s operačním systémem pro důvěrné výpočetní úlohy. Všechny virtuální počítače s podporou ADE (včetně záloh) se musí migrovat na šifrování na hostiteli před datem vyřazení, aby nedošlo k přerušení služeb. Podrobnosti najdete v tématu Migrace ze služby Azure Disk Encryption na šifrování na hostiteli .

Platí pro: ✔️ Virtuální počítače s Windows

Nová verze služby Azure Disk Encryption eliminuje požadavek na poskytnutí parametru aplikace Microsoft Entra pro povolení šifrování disků virtuálního počítače. V nové verzi už během kroku povolení šifrování nemusíte zadávat přihlašovací údaje Microsoft Entra. Všechny nové virtuální počítače musí být šifrované bez parametrů aplikace Microsoft Entra pomocí nové verze. Pokyny k povolení šifrování disků virtuálního počítače pomocí nové verze najdete v tématu Azure Disk Encryption pro virtuální počítače s Windows. Virtuální počítače, které už byly zašifrované pomocí parametrů aplikace Microsoft Entra, se stále podporují a měly by se dál udržovat pomocí syntaxe Microsoft Entra. Můžete povolit mnoho scénářů šifrování disku a postup se může lišit podle scénáře. Následující části obsahují podrobnější popis scénářů pro virtuální počítače IaaS s Windows. Před použitím šifrování disků je potřeba dokončit požadavky služby Azure Disk Encryption .

Důležité

• Před šifrováním disků byste měli pořídit snímek a/nebo vytvořit zálohu. Pokud máte zálohu a při šifrování dojde nečekaně k chybě, bude možné virtuální počítač obnovit. Virtuální počítače se spravovanými disky vyžadují před šifrováním zálohu. Po vytvoření zálohy můžete pomocí rutinySet-AzVMDiskEncryptionExtension zašifrovat spravované disky zadáním parametru -skipVmBackup. Další informace o zálohování a obnovení šifrovaných virtuálních počítačů najdete v tématu o zálohování a obnovení šifrovaného virtuálního počítače Azure.

• Při šifrování nebo zákazu šifrování může dojít k restartování virtuálního počítače.

Povolení šifrování na nových virtuálních počítačích IaaS vytvořených z Marketplace

Šifrování disků můžete povolit na novém virtuálním počítači IaaS s Windows z Marketplace v Azure pomocí šablony Resource Manageru. Šablona vytvoří nový šifrovaný virtuální počítač Windows pomocí obrazu galerie Windows Server 2012.

1. V šabloně Resource Manageru klikněte na Nasadit do Azure.

2. Vyberte předplatné, skupinu prostředků, umístění skupiny prostředků, parametry, právní podmínky a smlouvu. Kliknutím na Koupit nasadíte nový virtuální počítač IaaS, kde je povolené šifrování.

3. Po nasazení šablony pomocí upřednostňované metody ověřte stav šifrování virtuálního počítače:

   • Pomocí příkazu az vm encryption show ověřte pomocí Azure CLI.

     az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
     

   • Pomocí Azure PowerShellu ověřte pomocí rutiny Get-AzVmDiskEncryptionStatus .

     Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
     

   • Vyberte virtuální počítač a potom kliknutím na Disky pod nadpisem Nastavení ověřte stav šifrování na portálu. V grafu v části Šifrování uvidíte, jestli je povolený.

Následující tabulka uvádí parametry šablony Resource Manageru pro nové virtuální počítače ze scénáře Marketplace pomocí ID klienta Microsoft Entra:

Parameter	Popis
adminUserName	Uživatelské jméno správce virtuálního počítače
heslo administrátora	Heslo uživatele správce pro virtuální počítač.
novýNázevÚčtuÚložiště	Název účtu úložiště pro ukládání virtuálních pevných disků s operačním systémem a daty
vmSize	Velikost virtuálního počítače V současné době se podporují pouze řady Standard A, D a G.
názevVirtuálníSítě	Název virtuální sítě, do které by měla patřit síťová karta virtuálního počítače.
název podsítě	Název podsítě ve virtuální síti, do které má síťové rozhraní virtuálního počítače patřit.
AADClientID	ID klienta aplikace Microsoft Entra, která má oprávnění k zápisu tajných kódů do vašeho trezoru klíčů.
AADClientSecret	Tajný klíč klienta aplikace Microsoft Entra, která má oprávnění k zápisu tajných kódů do vašeho trezoru klíčů.
keyVaultURL	Adresa URL trezoru klíčů, do kterého se má klíč BitLockeru nahrát. Můžete ho získat pomocí rutiny (Get-AzKeyVault -VaultName "MyKeyVault" -ResourceGroupName "MyKeyVaultResourceGroupName").VaultURI nebo Azure CLI. az keyvault show --name "MySecureVault" --query properties.vaultUri
keyEncryptionKeyURL	Adresa URL klíče pro šifrování klíče, který se používá k zašifrování vygenerovaného klíče BitLocker (volitelné). KeyEncryptionKeyURL je volitelný parametr. Vlastní klíč KEK můžete použít k dalšímu zabezpečení šifrovacího klíče dat (tajný klíč přístupového hesla) ve vašem trezoru klíčů.
keyVaultResourceGroup	Skupina prostředků úložiště klíčů
vmName	Název virtuálního počítače, na který se má provést operace šifrování.

Povolení šifrování u existujících nebo spuštěných virtuálních počítačů IaaS s Windows

V tomto scénáři můžete šifrování povolit pomocí šablony, rutin PowerShellu nebo příkazů rozhraní příkazového řádku. V následujících částech najdete podrobnější vysvětlení povolení služby Azure Disk Encryption.

Povolení šifrování u existujících nebo spuštěných virtuálních počítačů pomocí Azure PowerShellu

Pomocí rutiny Set-AzVMDiskEncryptionExtension povolte šifrování na spuštěném virtuálním počítači IaaS v Azure. Informace o povolení šifrování pomocí služby Azure Disk Encryption pomocí rutin PowerShellu najdete v blogových příspěvcích Prozkoumání služby Azure Disk Encryption pomocí Azure PowerShellu – část 1 a Prozkoumání služby Azure Disk Encryption pomocí Azure PowerShellu – část 2.

• Šifrování spuštěného virtuálního počítače pomocí tajného klíče klienta: Následující skript inicializuje proměnné a spustí rutinu Set-AzVMDiskEncryptionExtension. Skupina prostředků, virtuální počítač, trezor klíčů, aplikace Microsoft Entra a klientské tajemství by již měly být vytvořeny jako předpoklady. Nahraďte MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM, MySecureVault, My-AAD-client-ID a My-AAD-client-secret hodnotami.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $aadClientID = 'My-AAD-client-ID';
   $aadClientSecret = 'My-AAD-client-secret';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;
  

• Zašifrujte spuštěný virtuální počítač pomocí klíče KEK a zabalte tajný klíč klienta: Azure Disk Encryption umožňuje zadat existující klíč v trezoru klíčů pro zabalení tajných kódů šifrování disků generovaných při povolování šifrování. Když je zadán šifrovací klíč pro klíče, Azure Disk Encryption tento klíč použije k zabezpečení šifrovacích tajných kódů před zápisem do služby Key Vault.

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MyExtraSecureVM';
  $aadClientID = 'My-AAD-client-ID';
  $aadClientSecret = 'My-AAD-client-secret';
  $KeyVaultName = 'MySecureVault';
  $keyEncryptionKeyName = 'MyKeyEncryptionKey';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;
  
  

  Poznámka

  Syntaxe pro hodnotu parametru disk-encryption-keyvault je řetězec úplného identifikátoru: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  Syntaxe pro hodnotu parametru key-encryption-key je úplný identifikátor URI ke klíči KEK jako v: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Ověřte, že jsou disky šifrované: Pokud chcete zkontrolovat stav šifrování virtuálního počítače IaaS, použijte rutinu Get-AzVmDiskEncryptionStatus .

  Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
  

• Zakázání šifrování disku: Pokud chcete šifrování zakázat, použijte rutinu Disable-AzureRmVMDiskEncryption .

  Disable-AzVMDiskEncryption -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
  

Povolení šifrování u existujících nebo spuštěných virtuálních počítačů pomocí Azure CLI

Příkazem az vm encryption enable zapněte šifrování na spuštěném virtuálním počítači IaaS v Azure.

• Šifrování spuštěného virtuálního počítače pomocí tajného klíče klienta:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --aad-client-id "<my spn created with CLI/my Azure AD ClientID>"  --aad-client-secret "My-AAD-client-secret" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]
  

• Zašifrujte spuštěný virtuální počítač pomocí klíče KEK a zabalte tajný klíč klienta:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --aad-client-id "<my spn created with CLI which is the Azure AD ClientID>"  --aad-client-secret "My-AAD-client-secret" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
  

  Poznámka

  Syntaxe pro hodnotu parametru disk-encryption-keyvault je řetězec úplného identifikátoru: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  Syntaxe pro hodnotu parametru key-encryption-key je úplný URI ke klíči KEK, například: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Ověřte, že jsou disky šifrované: Pokud chcete zkontrolovat stav šifrování virtuálního počítače IaaS, použijte příkaz az vm encryption show .

  az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
  

• Zakázat šifrování: Pokud chcete šifrování zakázat, použijte příkaz az vm encryption disable .

  az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type [ALL, DATA, OS]
  

Použití šablony Resource Manageru

Šifrování disků můžete povolit u existujících nebo spuštěných virtuálních počítačů IaaS s Windows v Azure pomocí šablony Resource Manageru k šifrování spuštěného virtuálního počítače s Windows.

1. V šabloně Rychlého startu Azure klikněte na Nasadit do Azure.

2. Vyberte předplatné, skupinu prostředků, umístění skupiny prostředků, parametry, právní podmínky a smlouvu. Kliknutím na Tlačítko Koupit povolíte šifrování na existujícím nebo spuštěném virtuálním počítači IaaS.

Následující tabulka uvádí parametry šablony Resource Manageru pro existující nebo spuštěné virtuální počítače, které používají ID klienta Microsoft Entra:

Parameter	Popis
AADClientID	ID klienta aplikace Microsoft Entra, která má oprávnění k zápisu tajných kódů do trezoru klíčů.
AADClientSecret	Tajný klíč klienta aplikace Microsoft Entra, která má oprávnění k zápisu tajných kódů do trezoru klíčů.
keyVaultName	Název trezoru klíčů, do kterého se má klíč BitLockeru nahrát. Můžete ho získat pomocí rutiny (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname nebo příkazu Azure CLI. az keyvault list --resource-group "MySecureGroup"
keyEncryptionKeyURL	Adresa URL šifrovacího klíče používaná k šifrování vygenerovaného klíče BitLocker. Tento parametr je volitelný, pokud v rozevíracím seznamu UseExistingKek vyberete nokek . Pokud v rozevíracím seznamu UseExistingKek vyberete kek , musíte zadat hodnotu keyEncryptionKeyURL .
volumeType	Typ svazku, na který se provádí operace šifrování. Platné hodnoty jsou operační systém, data a vše.
verze sekvence	Sekvenční verze operace BitLockeru Zvýší toto číslo verze při každé operaci šifrování disku na stejném virtuálním počítači.
vmName	Název virtuálního počítače, na který se má provést operace šifrování.

Nové virtuální počítače IaaS vytvořené z šifrovaného virtuálního pevného disku zákazníka a šifrovacích klíčů

V tomto scénáři můžete šifrování povolit pomocí šablony Resource Manageru, rutin PowerShellu nebo příkazů rozhraní příkazového řádku. Následující části popisují podrobněji šablonu Resource Manageru a příkazy rozhraní příkazového řádku.

Pokyny v dodatku použijte k přípravě předšifrovaných imagí, které je možné použít v Azure. Po vytvoření image můžete pomocí kroků v další části vytvořit šifrovaný virtuální počítač Azure.

• Příprava předšifrovaného virtuálního pevného disku s Windows

Šifrování virtuálních počítačů pomocí předšifrovaných virtuálních pevných disků pomocí Azure PowerShellu

Šifrování disku na šifrovaném virtuálním pevném disku můžete povolit pomocí rutiny PowerShell Set-AzVMOSDisk. Následující příklad obsahuje některé běžné parametry.

$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"

Povolení šifrování na nově přidaném datovém disku

K virtuálnímu počítači s Windows můžete přidat nový disk pomocí PowerShellu nebo webu Azure Portal.

Povolení šifrování na nově přidaném disku pomocí Azure PowerShellu

Při použití PowerShellu k šifrování nového disku pro virtuální počítače s Windows by se měla zadat nová sekvenční verze. Verze sekvence musí být jedinečná. Následující skript vygeneruje identifikátor GUID pro verzovou sekvenci. V některých případech může nově přidaný datový disk automaticky zašifrovat rozšíření Azure Disk Encryption. K automatickému šifrování obvykle dochází, když se virtuální počítač restartuje po připojení nového disku do režimu online. Důvodem je obvykle to, že pro typ svazku byla zadána možnost Vše, když na virtuálním počítači dříve běželo šifrování disku. Pokud na nově přidaném datovém disku dojde k automatickému šifrování, doporučujeme znovu spustit rutinu Set-AzVmDiskEncryptionExtension s novou verzí sekvence. Pokud je nový datový disk automaticky šifrovaný a nechcete, aby byl šifrován, nejprve dešifrujte všechny jednotky a pak je znovu zašifrujte pomocí nové verze sekvence specifikující OS pro typ diskového oddílu.

• Šifrování spuštěného virtuálního počítače pomocí tajného klíče klienta: Následující skript inicializuje proměnné a spustí rutinu Set-AzVMDiskEncryptionExtension. Skupina prostředků, virtuální počítač, trezor klíčů, aplikace Microsoft Entra a klientské tajemství by již měly být vytvořeny jako předpoklady. Nahraďte MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM, MySecureVault, My-AAD-client-ID a My-AAD-client-secret hodnotami. Tento příklad používá pro parametr -VolumeType "All", který zahrnuje svazky operačního systému i dat. Pokud chcete šifrovat jenom svazek operačního systému, použijte pro -VolumeType parametr "OS".

   $sequenceVersion = [Guid]::NewGuid();
   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $aadClientID = 'My-AAD-client-ID';
   $aadClientSecret = 'My-AAD-client-secret';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType 'all' –SequenceVersion $sequenceVersion;
  

• Zašifrujte spuštěný virtuální počítač pomocí klíče KEK a zabalte tajný klíč klienta: Azure Disk Encryption umožňuje zadat existující klíč v trezoru klíčů pro zabalení tajných kódů šifrování disků generovaných při povolování šifrování. Když je zadán šifrovací klíč pro klíče, Azure Disk Encryption tento klíč použije k zabezpečení šifrovacích tajných kódů před zápisem do služby Key Vault. Tento příklad používá pro parametr -VolumeType "All", který zahrnuje svazky operačního systému i dat. Pokud chcete šifrovat jenom svazek operačního systému, použijte pro -VolumeType parametr "OS".

  $sequenceVersion = [Guid]::NewGuid();
  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MyExtraSecureVM';
  $aadClientID = 'My-AAD-client-ID';
  $aadClientSecret = 'My-AAD-client-secret';
  $KeyVaultName = 'MySecureVault';
  $keyEncryptionKeyName = 'MyKeyEncryptionKey';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType 'all' –SequenceVersion $sequenceVersion;
  
  

  Poznámka

  Syntaxe pro hodnotu parametru disk-encryption-keyvault je řetězec úplného identifikátoru: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  Syntaxe pro hodnotu parametru key-encryption-key je úplný identifikátor URI ke klíči KEK jako v: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

Povolení šifrování na nově přidaném disku pomocí Azure CLI

Příkaz Azure CLI vám při spuštění příkazu pro povolení šifrování automaticky poskytne novou sekvenční verzi. Přijatelné hodnoty pro parametr volume-ype jsou All, OS a Data. Parametr typu svazku možná budete muset změnit na operační systém nebo data, pokud pro virtuální počítač šifrujete jenom jeden typ disku. Příklady používají parametr typu svazku "All".

• Šifrování spuštěného virtuálního počítače pomocí tajného klíče klienta:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --aad-client-id "<my spn created with CLI/my Azure AD ClientID>"  --aad-client-secret "My-AAD-client-secret" --disk-encryption-keyvault "MySecureVault" --volume-type "All"
  

• Zašifrujte spuštěný virtuální počítač pomocí klíče KEK a zabalte tajný klíč klienta:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --aad-client-id "<my spn created with CLI which is the Azure AD ClientID>"  --aad-client-secret "My-AAD-client-secret" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "all"
  

Povolte šifrování pomocí ověřování na základě klientského certifikátu Microsoft Entra.

Ověřování klientským certifikátem můžete použít s využitím klíče KEK nebo bez. Před použitím skriptů PowerShellu byste už měli mít certifikát nahraný do trezoru klíčů a nasadit ho do virtuálního počítače. Pokud používáte KEK, KEK by měl již existovat. Další informace najdete v části Ověřování založené na certifikátech pro ID Microsoft Entra v článku s požadavky.

Povolení šifrování pomocí ověřování na základě certifikátů pomocí Azure PowerShellu

## Fill in 'MyVirtualMachineResourceGroup', 'MyKeyVaultResourceGroup', 'My-AAD-client-ID', 'MySecureVault, and 'MySecureVM'.

$VMRGName = 'MyVirtualMachineResourceGroup'
$KVRGname = 'MyKeyVaultResourceGroup';
$AADClientID ='My-AAD-client-ID';
$KeyVaultName = 'MySecureVault';
$VMName = 'MySecureVM';
$KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
$diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
$KeyVaultResourceId = $KeyVault.ResourceId;

# Fill in the certificate path and the password so the thumbprint can be set as a variable. 

$certPath = '$CertPath = "C:\certificates\mycert.pfx';
$CertPassword ='Password'
$Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($CertPath, $CertPassword)
$aadClientCertThumbprint = $cert.Thumbprint;

# Enable disk encryption using the client certificate thumbprint

Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $VMName -AadClientID $AADClientID -AadClientCertThumbprint $AADClientCertThumbprint -DiskEncryptionKeyVaultUrl $DiskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId

Povolení šifrování pomocí ověřování na základě certifikátů a klíče KEK pomocí Azure PowerShellu

# Fill in 'MyVirtualMachineResourceGroup', 'MyKeyVaultResourceGroup', 'My-AAD-client-ID', 'MySecureVault,, 'MySecureVM', and "KEKName.

$VMRGName = 'MyVirtualMachineResourceGroup';
$KVRGname = 'MyKeyVaultResourceGroup';
$AADClientID ='My-AAD-client-ID';
$KeyVaultName = 'MySecureVault';
$VMName = 'MySecureVM';
$keyEncryptionKeyName ='KEKName';
$KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
$diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
$KeyVaultResourceId = $KeyVault.ResourceId;
$keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;

## Fill in the certificate path and the password so the thumbprint can be read and set as a variable.

$certPath = '$CertPath = "C:\certificates\mycert.pfx';
$CertPassword ='Password'
$Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($CertPath, $CertPassword)
$aadClientCertThumbprint = $cert.Thumbprint;

# Enable disk encryption using the client certificate thumbprint and a KEK

Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $VMName -AadClientID $AADClientID -AadClientCertThumbprint $AADClientCertThumbprint -DiskEncryptionKeyVaultUrl $DiskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId

Zakázání šifrování

Šifrování můžete zakázat pomocí Azure PowerShellu, Azure CLI nebo šablony Resource Manageru.

• Zakázání šifrování disků pomocí Azure PowerShellu: Pokud chcete šifrování zakázat, použijte rutinu Disable-AzureRmVMDiskEncryption .

  Disable-AzVMDiskEncryption -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
  

• Zákaz šifrování pomocí Azure CLI: Pokud chcete zakázat šifrování, použijte příkaz az vm encryption disable .

  az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type [ALL, DATA, OS]
  

• Zakázání šifrování pomocí šablony Resource Manageru:

  1. V šabloně virtuálního počítače s Windows klikněte na Nasadit do Azure z možnosti Zakázat šifrování disků .
  2. Vyberte předplatné, skupinu prostředků, umístění, virtuální počítač, právní podmínky a smlouvu.
  3. Kliknutím na tlačítko Koupit zakážete šifrování disků na spuštěném virtuálním počítači s Windows.

Další kroky

Přehled služby Azure Disk Encryption