Azure Disk Encryption-Szenarien auf virtuellen Windows-Computern

Gilt für: ✔️ Windows-VMs ✔️ Flexible Skalierungsgruppen

Azure Disk Encryption für virtuelle Windows-Computer (VMs) bietet mithilfe des BitLocker-Features von Windows eine vollständige Datenträgerverschlüsselung des Betriebssystemdatenträgers und des Datenträgers für Daten. Darüber hinaus wird die Verschlüsselung des temporären Datenträgers bereitgestellt, wenn der VolumeType-Parameter auf „All“ festgelegt ist.

Azure Disk Encryption ist mit Azure Key Vault integriert, um Ihnen die Steuerung und Verwaltung der Datenträger-Verschlüsselungsschlüssel und -geheimnisse zu erleichtern. Eine Übersicht über den Dienst finden Sie unter Azure Disk Encryption für virtuelle Windows-Computer.

Voraussetzungen

Sie können Datenträgerverschlüsselung nur auf virtuelle Computer mit unterstützten VM-Größen und Betriebssystemen anwenden. Außerdem müssen die folgenden Voraussetzungen erfüllt sein:

Beschränkungen

Wenn Sie zuvor Azure Disk Encryption mit Microsoft Entra ID zum Verschlüsseln einer VM verwendet haben, müssen Sie diese Option auch weiterhin zum Verschlüsseln Ihrer VM verwenden. Weitere Informationen finden Sie unter Azure Disk Encryption mit Microsoft Entra ID (vorheriges Release).

In allen Fällen sollten Sie eine Momentaufnahme oder eine Sicherung erstellen, bevor Datenträger verschlüsselt werden. Durch Sicherungen wird sichergestellt, dass eine Wiederherstellungsoption verfügbar ist, falls während der Verschlüsselung ein unerwarteter Fehler auftritt. Für VMs mit verwalteten Datenträgern ist eine Sicherung erforderlich, bevor die Verschlüsselung durchgeführt wird. Nach dem Erstellen einer Sicherung können Sie das Cmdlet Set-AzVMDiskEncryptionExtension verwenden, um verwaltete Datenträger durch das Angeben des Parameters „-skipVmBackup“ zu verschlüsseln. Weitere Informationen zum Sichern und Wiederherstellen von verschlüsselten VMs finden Sie unter Sichern und Wiederherstellen eines verschlüsselten virtuellen Azure-Computers.

Beim Verschlüsseln oder Deaktivieren der Verschlüsselung kann eine VM neu gestartet werden.

Die folgenden Szenarios, Features und Technologien werden von Azure Disk Encryption nicht unterstützt:

  • Verschlüsseln von virtuellen Computern der Ebene „Standard“ und von virtuellen Computern, die mithilfe der klassischen Erstellungsmethode für virtuelle Computer erstellt wurden
  • Verschlüsseln virtueller Computer, die mit softwarebasierten RAID-Systemen konfiguriert sind
  • Verschlüsselung virtueller Computer, die mit Storage Spaces Direct (S2D) konfiguriert wurden, oder von Windows Server-Versionen vor 2016, die mit Windows-Speicherplätzen konfiguriert wurden.
  • Integration mit einem lokalen Schlüsselverwaltungssystem
  • Azure Files (freigegebenes Dateisystem)
  • Network File System (NFS)
  • Dynamische Volumes
  • Windows Server-Container, die dynamische Volumes für jeden Container erstellen.
  • Kurzlebige Betriebssystemdatenträger
  • iSCSI-Datenträger.
  • Verschlüsselung freigegebener/verteilter Dateisysteme, einschließlich u. a. DFS, GFS, DRDB, und CephFS.
  • Verschieben eines verschlüsselten virtuellen Computers in ein anderes Abonnement oder in eine andere Region
  • Erstellen eines Images oder einer Momentaufnahme einer verschlüsselten VM und dessen oder deren Verwendung zum Bereitstellen weiterer VMs
  • VMs der M-Serie mit Datenträgern mit Schreibbeschleunigung
  • Anwenden von ADE auf eine VM, die mit Verschlüsselung auf dem Host oder serverseitiger Verschlüsselung mit kundenseitig verwalteten Schlüsseln (SSE und CMK) verschlüsselte Datenträger aufweist. Das Anwenden von SSE und CMK auf einen Datenträger oder das Hinzufügen eines Datenträgers mit SSE und CMK, der für eine mit ADE verschlüsselte VM konfiguriert ist, ist ebenfalls ein nicht unterstütztes Szenario.
  • Migrieren einer VM, die mit ADE verschlüsselt ist oder jemals mit ADE verschlüsselt war, zur Verschlüsselung auf dem Host oder serverseitigen Verschlüsselung mit kundenseitig verwalteten Schlüsseln.
  • Verschlüsseln von VMs in Failoverclustern.
  • Verschlüsselung von Azure Ultra-Datenträgern
  • Verschlüsselung von SSD Premium v2-Datenträgern.
  • Verschlüsselung für VMs in Abonnements, für die die Richtlinie Secrets should have the specified maximum validity period mit dem DENY-Effekt aktiviert ist
  • Verschlüsselung für VMs in Abonnements, für die die Richtlinie Key Vault secrets should have an expiration date mit dem DENY-Effekt aktiviert ist

Installieren von Tools und Herstellen einer Verbindung mit Azure

Azure Disk Encryption kann über die Azure CLI und Azure PowerShell aktiviert und verwaltet werden. Zu diesem Zweck müssen Sie die Tools lokal installieren und eine Verbindung mit Ihrem Azure-Abonnement herstellen.

Azure CLI

Die Azure CLI 2.0 ist ein Befehlszeilentool zum Verwalten von Azure-Ressourcen. Sie wurde entwickelt, um Daten flexible abzufragen, Vorgänge mit langer Ausführungsdauer als nicht blockierende Prozesse zu unterstützen und das Erstellen von Skripts zu vereinfachen. Sie können sie lokal installieren, indem Sie die Schritte unter Installieren der Azure CLI ausführen.

Um sich bei Ihrem Azure-Konto mit der Azure CLI anzumelden, verwenden Sie den Befehl az login.

az login

Verwenden Sie Folgendes, falls Sie für die Anmeldung einen Mandanten auswählen möchten:

az login --tenant <tenant>

Wenn Sie über mehrere Abonnements verfügen und ein bestimmtes Abonnement angeben möchten, können Sie Ihre Abonnementliste mit az account list abrufen und den Befehl az account set zum Angeben verwenden.

az account list
az account set --subscription "<subscription name or ID>"

Weitere Informationen finden Sie unter Erste Schritte mit Azure CLI 2.0.

Azure PowerShell

Das az-Modul von Azure PowerShell bietet eine Reihe von Cmdlets, die das Azure Resource Manager-Modell für die Verwaltung von Azure-Ressourcen verwenden. Azure PowerShell kann mit Azure Cloud Shell im Browser verwendet oder auf dem lokalen Computer mithilfe der Anleitungen unter Installieren des Azure PowerShell-Moduls installiert werden.

Falls Sie die lokale Installation bereits durchgeführt haben, verwenden Sie die neueste Version des Azure PowerShell SDKs, um Azure Disk Encryption zu konfigurieren. Laden Sie die neueste Version von Azure PowerShell herunter.

Um sich mit Azure PowerShell bei Ihrem Azure-Konto anzumelden, verwenden Sie das Cmdlet Connect-AzAccount.

Connect-AzAccount

Wenn Sie über mehrere Abonnements verfügen und eines davon angeben möchten, verwenden Sie das Cmdlet Get-AzSubscription, um die Abonnements aufzulisten, gefolgt vom Cmdlet Set-AzContext:

Set-AzContext -Subscription <SubscriptionId>

Wenn Sie das Cmdlet Get-AzContext ausführen, wird überprüft, ob das richtige Abonnement ausgewählt wurde.

Um zu bestätigen, dass die Azure Disk Encryption-Cmdlets installiert sind, verwenden Sie das Cmdlet Get-Command:

Get-command *diskencryption*

Weitere Informationen finden Sie unter Erste Schritte mit Azure PowerShell.

Aktivieren der Verschlüsselung auf einem vorhandenen oder ausgeführten virtuellen Windows-Computer

In diesem Szenario können Sie die Verschlüsselung aktivieren, indem Sie die Resource Manager-Vorlage, PowerShell-Cmdlets oder CLI-Befehle verwenden. Wenn Sie Schemainformationen für die Erweiterung des virtuellen Computers benötigen, finden Sie diese im Artikel Azure Disk Encryption für Windows.

Aktivieren der Verschlüsselung auf vorhandenen oder ausgeführten VMs mit Azure PowerShell

Verwenden Sie das Cmdlet Set-AzVMDiskEncryptionExtension, um die Verschlüsselung auf einem ausgeführten virtuellen IaaS-Computer in Azure zu aktivieren.

  • Verschlüsseln eines ausgeführten virtuellen Computers: Das folgende Skript initialisiert Ihre Variablen und führt das Cmdlet „Set-AzVMDiskEncryptionExtension“ aus. Die Ressourcengruppe, der virtuelle Computer und der Schlüsseltresor wurden bereits bei der Vorbereitung erstellt. Ersetzen Sie „MyKeyVaultResourceGroup“, „MyVirtualMachineResourceGroup“, „MySecureVM“ und „MySecureVault“ durch Ihre eigenen Werte.

     $KVRGname = 'MyKeyVaultResourceGroup';
     $VMRGName = 'MyVirtualMachineResourceGroup';
     $vmName = 'MySecureVM';
     $KeyVaultName = 'MySecureVault';
     $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
     $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
     $KeyVaultResourceId = $KeyVault.ResourceId;
    
     Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;
    
  • Verschlüsseln eines ausgeführten virtuellen Computers mit KEK:

    $KVRGname = 'MyKeyVaultResourceGroup';
    $VMRGName = 'MyVirtualMachineResourceGroup';
    $vmName = 'MyExtraSecureVM';
    $KeyVaultName = 'MySecureVault';
    $keyEncryptionKeyName = 'MyKeyEncryptionKey';
    $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
    $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
    $KeyVaultResourceId = $KeyVault.ResourceId;
    $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
    
    Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;
    
    

    Hinweis

    Die Syntax für den Wert des Parameters „disk-encryption-keyvault“ ist die vollständige Bezeichnerzeichenfolge: /subscriptions/[Abonnement-ID-GUID]/resourceGroups/[Ressourcengruppenname]/providers/Microsoft.KeyVault/vaults/[Schlüsseltresorname].
    Die Syntax für den Wert des Parameters „key-encryption-key“ ist der vollständige URI für den KEK wie in: https://[Schlüsseltresorname].vault.azure.net/keys/[KEK-Name]/[eindeutige-KEK-ID].

  • Überprüfen der Datenträgerverschlüsselung: Verwenden Sie das Cmdlet Get-AzVmDiskEncryptionStatus, um den Verschlüsselungsstatus eines virtuellen IaaS-Computers zu überprüfen.

    Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
    

Informationen zum Deaktivieren der Verschlüsselung finden Sie unter Deaktivieren der Verschlüsselung und Entfernen der Verschlüsselungserweiterung.

Aktivieren der Verschlüsselung auf vorhandenen oder ausgeführten VMs mit der Azure-Befehlszeilenschnittstelle

Verwenden Sie den Befehl az vm encryption enable, um die Verschlüsselung auf einem ausgeführten virtuellen IaaS-Computer in Azure zu aktivieren.

  • Verschlüsseln eines ausgeführten virtuellen Computers:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]
    
  • Verschlüsseln eines ausgeführten virtuellen Computers mit KEK:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
    

    Hinweis

    Die Syntax für den Wert des Parameters „disk-encryption-keyvault“ ist die vollständige Bezeichnerzeichenfolge: /subscriptions/[Abonnement-ID-GUID]/resourceGroups/[Ressourcengruppenname]/providers/Microsoft.KeyVault/vaults/[Schlüsseltresorname].
    Die Syntax für den Wert des Parameters „key-encryption-key“ ist der vollständige URI für den KEK wie in: https://[Schlüsseltresorname].vault.azure.net/keys/[KEK-Name]/[eindeutige-KEK-ID].

  • Überprüfen der Datenträgerverschlüsselung: Verwenden Sie den Befehl az vm encryption show, um den Verschlüsselungsstatus eines virtuellen IaaS-Computers zu überprüfen.

    az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
    

Informationen zum Deaktivieren der Verschlüsselung finden Sie unter Deaktivieren der Verschlüsselung und Entfernen der Verschlüsselungserweiterung.

Erstellen der Resource Manager-Vorlage

Sie können die Datenträgerverschlüsselung auf vorhandenen oder ausgeführten virtuellen IaaS-Windows-VMs in Azure aktivieren, indem Sie die Resource Manager-Vorlage zum Verschlüsseln eines ausgeführten virtuellen Windows-Computers verwenden.

  1. Klicken Sie in der Azure-Schnellstartvorlage auf Deploy to Azure (In Azure bereitstellen).

  2. Wählen Sie das Abonnement, die Ressourcengruppe, den Standort, die Einstellungen, die rechtlichen Bedingungen und die Vereinbarung aus. Klicken Sie auf Kaufen, um die Verschlüsselung auf dem vorhandenen oder ausgeführten virtuellen IaaS-Computer zu aktivieren.

Die folgende Tabelle enthält die Resource Manager-Vorlagenparameter für vorhandene oder ausgeführte virtuelle Computer:

Parameter BESCHREIBUNG
vmName Der Name des virtuellen Computers, der den Verschlüsselungsvorgang ausführt.
keyVaultName Der Name des Schlüsseltresors, in den der BitLocker-Schlüssel hochgeladen werden soll. Sie können ihn abrufen, indem Sie das Cmdlet (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname oder den Azure CLI-Befehl az keyvault list --resource-group "MyKeyVaultResourceGroup" verwenden.
keyVaultResourceGroup Der Name der Ressourcengruppe mit dem Schlüsseltresor
keyEncryptionKeyURL Die URL des Schlüsselverschlüsselungsschlüssels im Format „https://<keyvault-name>.vault.azure.net/key/<key-name>. Wenn Sie keinen Schlüsselverschlüsselungsschlüssels verwenden möchten, lassen Sie dieses Feld leer.
volumeType Der Typ des Volumes, auf dem der Verschlüsselungsvorgang durchgeführt wird. Gültige Werte sind OS, Data und All.
forceUpdateTag Dient zum Übergeben eines eindeutigen Werts (beispielsweise einer GUID), wenn die Ausführung des Vorgangs erzwungen werden muss.
resizeOSDisk Gibt an, ob die Größe der Betriebssystempartition angepasst werden soll, um die gesamte Betriebssystem-VHD einzunehmen, bevor das Systemvolume aufgeteilt wird.
location Der Standort für alle Ressourcen.

Aktivieren der Verschlüsselung auf NVMe-Datenträgern für Lsv2-VMs

In diesem Szenario wird die Aktivierung von Azure Disk Encryption auf NVMe-Datenträgern für virtuelle Computer der Lsv2-Serie beschrieben. Die Lsv2-Serie unterstützt lokalen NVMe-Speicher. Lokale NVMe-Datenträger sind temporär und die Daten auf diesen Datenträgern gehen verloren, wenn Sie den virtuellen Computer beenden oder seine Zuordnung aufheben (Siehe: LSv2-Serie).

So aktivieren Sie die Verschlüsselung auf NVMe-Datenträgern

  1. Initialisieren Sie die NVMe-Datenträger, und erstellen Sie NTFS-Volumes.
  2. Aktivieren Sie die Verschlüsselung auf dem virtuellen Computer mit dem VolumeType-Parameter, der auf „All“ festgelegt ist. Dadurch wird die Verschlüsselung für alle Datenträger für Betriebssysteme und Daten ermöglicht, einschließlich der von NVMe-Datenträgern gesicherten Volumes. Weitere Informationen finden Sie unter Aktivieren der Verschlüsselung auf einem vorhandenen oder ausgeführten virtuellen Windows-Computer.

In den folgenden Szenarien bleibt die Verschlüsselung auf den NVMe-Datenträgern bestehen:

  • VM-Neustart
  • Durchführen des Reimagings für VM-Skalierungsgruppen
  • Wechsel des Betriebssystems

NVMe-Datenträger werden in den folgenden Szenarien nicht initialisiert:

  • Starten der VM nach Belegungsfreigabe
  • Dienstreparatur
  • Backup

In diesen Szenarien müssen die NVMe-Datenträger nach dem Start der VM initialisiert werden. Führen Sie zum Aktivieren der Verschlüsselung auf den NVMe-Datenträgern den Befehl zum erneuten Aktivieren von Azure Disk Encryption aus, nachdem die NVMe-Datenträger initialisiert wurden.

Zusätzlich zu den im Abschnitt Beschränkungen aufgeführten Szenarien wird die Verschlüsselung von NVMe-Datenträgern für Folgendes nicht unterstützt:

Neue virtuelle IaaS-Computer, die aus einer vom Kunden verschlüsselten VHD und mit Verschlüsselungsschlüsseln erstellt wurden

In diesem Szenario können Sie mithilfe von PowerShell-Cmdlets oder CLI-Befehlen eine neue VM aus einer vorverschlüsselten VHD und den zugehörigen Verschlüsselungsschlüsseln erstellen.

Befolgen Sie die Anweisungen unter Vorbereiten einer vorverschlüsselten Windows-VHD. Nach dem Erstellen des Images können Sie die Schritte im nächsten Abschnitt ausführen, um eine verschlüsselte Azure-VM zu erstellen.

Verschlüsseln von VMs mit vorverschlüsselten VHDs mithilfe von Azure PowerShell

Sie können die Datenträgerverschlüsselung auf einer verschlüsselten VHD aktivieren, indem Sie das PowerShell-Cmdlet Set-AzVMOSDisk verwenden. Im folgenden Beispiel sind einige häufig verwendete Parameter angegeben.

$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"

Aktivieren der Verschlüsselung auf einem neu hinzugefügten Datenträger

Sie können einer Windows-VM einen neuen Datenträger mit PowerShell oder über das Azure-Portal hinzufügen.

Hinweis

Die neu hinzugefügte Datenträgerverschlüsselung muss nur über Powershell oder die CLI aktiviert werden. Derzeit unterstützt das Azure-Portal die Aktivierung der Verschlüsselung für neue Datenträger nicht.

Aktivieren der Verschlüsselung für einen neu hinzugefügten Datenträger mit Azure PowerShell

Bei Verwendung von PowerShell zum Verschlüsseln eines neuen Datenträgers für Windows-VMs sollte eine neue Sequenzversion angegeben werden. Die Sequenzversion muss eindeutig sein. Mit dem unten angegebenen Skript wird eine GUID für die Sequenzversion generiert. In einigen Fällen kann ein neu hinzugefügter Datenträger ggf. automatisch über die Azure Disk Encryption-Erweiterung verschlüsselt werden. Die automatische Verschlüsselung tritt normalerweise auf, wenn der virtuelle Computer neu gestartet wird, nachdem die neue Festplatte online ist. Dies wird in der Regel dadurch verursacht, dass für den Datenträgertyp „Alle“ angegeben wurde, wenn die Festplattenverschlüsselung zuvor auf dem virtuellen Computer ausgeführt wurde. Wenn die automatische Verschlüsselung auf einem neu hinzugefügten Datenträger auftritt, wird empfohlen, das Cmdlet „Set-AzVmDiskEncryptionExtension“ erneut mit der neuen Sequenzversion auszuführen. Wenn Ihr neuer Datenträger automatisch verschlüsselt ist und Sie diese Verschlüsselung nicht wünschen, entschlüsseln Sie zuerst alle Laufwerke und verschlüsseln Sie dann mit einer neuen Sequenzversion, die das Betriebssystem für den Datenträgertyp angibt.

  • Verschlüsseln eines ausgeführten virtuellen Computers: Das folgende Skript initialisiert Ihre Variablen und führt das Cmdlet „Set-AzVMDiskEncryptionExtension“ aus. Die Ressourcengruppe, der virtuelle Computer und der Schlüsseltresor wurden bereits bei der Vorbereitung erstellt. Ersetzen Sie „MyKeyVaultResourceGroup“, „MyVirtualMachineResourceGroup“, „MySecureVM“ und „MySecureVault“ durch Ihre eigenen Werte. In diesem Beispiel wird „All“ für den Parameter „-VolumeType“ verwendet, wodurch Betriebssystem- und Datenvolumes enthalten sind. Wenn Sie nur das Betriebssystemvolume verschlüsseln möchten, verwenden Sie „OS“ für den Parameter „-VolumeType“.

     $KVRGname = 'MyKeyVaultResourceGroup';
     $VMRGName = 'MyVirtualMachineResourceGroup';
     $vmName = 'MySecureVM';
     $KeyVaultName = 'MySecureVault';
     $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
     $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
     $KeyVaultResourceId = $KeyVault.ResourceId;
     $sequenceVersion = [Guid]::NewGuid();
    
     Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
    
  • Verschlüsseln eines ausgeführten virtuellen Computers mit KEK: In diesem Beispiel wird „All“ für den Parameter „-VolumeType“ verwendet, wodurch Betriebssystem- und Datenvolumes enthalten sind. Wenn Sie nur das Betriebssystemvolume verschlüsseln möchten, verwenden Sie „OS“ für den Parameter „-VolumeType“.

    $KVRGname = 'MyKeyVaultResourceGroup';
    $VMRGName = 'MyVirtualMachineResourceGroup';
    $vmName = 'MyExtraSecureVM';
    $KeyVaultName = 'MySecureVault';
    $keyEncryptionKeyName = 'MyKeyEncryptionKey';
    $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
    $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
    $KeyVaultResourceId = $KeyVault.ResourceId;
    $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
    $sequenceVersion = [Guid]::NewGuid();
    
    Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
    
    

    Hinweis

    Die Syntax für den Wert des Parameters „disk-encryption-keyvault“ ist die vollständige Bezeichnerzeichenfolge: /subscriptions/[Abonnement-ID-GUID]/resourceGroups/[Ressourcengruppenname]/providers/Microsoft.KeyVault/vaults/[Schlüsseltresorname].
    Die Syntax für den Wert des Parameters „key-encryption-key“ ist der vollständige URI für den KEK wie in: https://[Schlüsseltresorname].vault.azure.net/keys/[KEK-Name]/[eindeutige-KEK-ID].

Aktivieren der Verschlüsselung für einen neu hinzugefügten Datenträger per Azure CLI

Mit dem Azure CLI-Befehl wird automatisch eine neue Sequenzversion für Sie bereitgestellt, wenn Sie den Befehl zum Aktivieren der Verschlüsselung ausführen. Im Beispiel wird „All“ für den Parameter „-VolumeType“ verwendet. Möglicherweise müssen Sie den Parameter „-VolumeType“ in „OS“ ändern, wenn Sie nur den Betriebssystemdatenträger verschlüsseln. Im Gegensatz zur PowerShell-Syntax erfordert die Befehlszeilenschnittstelle vom Benutzer keine Angabe einer eindeutigen Sequenzversion beim Aktivieren der Verschlüsselung. Die Befehlszeilenschnittstelle wird automatisch generiert und verwendet einen eigenen eindeutigen Sequenzversionswert.

  • Verschlüsseln eines ausgeführten virtuellen Computers:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "All"
    
  • Verschlüsseln eines ausgeführten virtuellen Computers mit KEK:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "All"
    

Deaktivieren der Verschlüsselung und Entfernen der Verschlüsselungserweiterung

Sie können die Azure Disk Encryption-Erweiterung deaktivieren und Sie können die Azure Disk Encryption-Erweiterung entfernen. Dies sind zwei unterschiedliche Vorgänge.

Um ADE zu entfernen, wird empfohlen, zuerst die Verschlüsselung zu deaktivieren und dann die Erweiterung zu entfernen. Wenn Sie die Verschlüsselungserweiterung entfernen, ohne sie zu deaktivieren, werden die Datenträger weiterhin verschlüsselt. Wenn Sie die Verschlüsselung nach dem Entfernen der Erweiterung deaktivieren, wird die Erweiterung neu installiert (um den Entschlüsselungsvorgang auszuführen) und muss ein zweites Mal entfernt werden.

Deaktivieren der Verschlüsselung

Sie können die Verschlüsselung mit Azure PowerShell, der Azure CLI oder einer Resource Manager-Vorlage deaktivieren. Wenn Sie die Verschlüsselung deaktivieren, wird die Erweiterung nicht entfernt (weitere Informationen finden Sie unter Entfernen der Verschlüsselungserweiterung).

Warnung

Das Deaktivieren der Datenträgerverschlüsselung, wenn sowohl das Betriebssystem als auch die Datenträger verschlüsselt wurden, kann zu unerwarteten Ergebnissen führen. Deaktivieren Sie stattdessen die Verschlüsselung auf allen Datenträgern.

Durch das Deaktivieren der Verschlüsselung wird ein Hintergrundprozess von BitLocker zum Entschlüsseln der Datenträger gestartet. Diesem Prozess sollte ausreichend Zeit eingeräumt werden, bevor versucht wird, die Verschlüsselung erneut zu aktivieren.

  • Deaktivieren der Datenträgerverschlüsselung mit Azure PowerShell: Verwenden Sie das Cmdlet Disable-AzVMDiskEncryption, um die Verschlüsselung zu deaktivieren.

    Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "all"
    
  • Deaktivieren der Verschlüsselung mit der Azure CLI: Verwenden Sie den Befehl az vm encryption disable, um die Verschlüsselung zu deaktivieren.

    az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "all"
    
  • Deaktivieren der Verschlüsselung mit einer Resource Manager-Vorlage:

    1. Klicken Sie in der Vorlage unter Disable disk encryption on running Windows VM (Deaktivieren der Datenträgerverschlüsselung auf einer ausgeführten Windows-VM) auf Deploy to Azure (In Azure bereitstellen).
    2. Wählen Sie das Abonnement, die Ressourcengruppe, den Standort, die VM, den Volumetyp, die rechtlichen Bedingungen und die Vereinbarung aus.
    3. Klicken Sie auf Kaufen, um die Datenträgerverschlüsselung auf einer ausgeführten Windows-VM zu deaktivieren.

Entfernen der Verschlüsselungserweiterung

Wenn Sie Ihre Datenträger entschlüsseln und die Verschlüsselungserweiterung entfernen möchten, müssen Sie die Verschlüsselung deaktivieren, bevor Sie die Erweiterung entfernen; siehe Verschlüsselung deaktivieren.

Sie können die Verschlüsselungserweiterung mit Azure PowerShell oder der Azure CLI entfernen.

  • Deaktivieren der Datenträgerverschlüsselung mit Azure PowerShell: Verwenden Sie das Cmdlet Remove-AzVMDiskEncryptionExtension, um die Verschlüsselung zu entfernen.

    Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"
    
  • Deaktivieren der Verschlüsselung mit der Azure CLI: Verwenden Sie den Befehl az vm extension delete, um die Verschlüsselung zu entfernen.

    az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryption"
    

Nächste Schritte