Scénarios Azure Disk Encryption sur les machines virtuelles Windows

S’applique à : ✔️ Machines virtuelles Windows ✔️ Groupes identiques flexibles

Le service Azure Disk Encryption pour machines virtuelles Windows utilise la fonctionnalité BitLocker de Windows pour effectuer un chiffrement complet des disques de système d’exploitation et du disques de données. Il assure en outre le chiffrement du disque temporaire lorsque le paramètre VolumeType est défini sur Tous.

Azure Disk Encryption est intégré à Azure Key Vault pour faciliter le contrôle et la gestion des clés et des secrets de chiffrement des disques. Pour obtenir une vue d’ensemble du service, consultez Azure Disk Encryption pour les machines virtuelles Windows.

Prérequis

Vous pouvez appliquer le chiffrement de disque uniquement aux machines virtuelles dont la taille et le système d’exploitation sont pris en charge. Vous devez également satisfaire les prérequis suivants :

• Exigences réseau
• Exigences de stratégies de groupe
• Exigences liées au stockage des clés de chiffrement

Restrictions

Si vous avez déjà utilisé Azure Disk Encryption avec Microsoft Entra ID pour chiffrer une machine virtuelle, vous devez continuer à utiliser cette option pour chiffrer votre machine virtuelle. Si vous souhaitez en savoir plus, veuillez consulter la rubrique Azure Disk Encryption avec Microsoft Entra ID (version précédente).

Vous devez prendre un instantané et/ou créer une sauvegarde avant le chiffrement des disques. Les sauvegardes vous garantissent une possibilité de récupération en cas de défaillance inattendue lors du chiffrement. Les machines virtuelles avec des disques managés imposent une sauvegarde avant que le chiffrement soit effectué. Une fois la sauvegarde effectuée, vous pouvez utiliser la cmdlet Set-AzVMDiskEncryptionExtension pour chiffrer des disques managés en spécifiant le paramètre -skipVmBackup. Pour plus d’informations sur la façon de sauvegarder et de restaurer des machines virtuelles chiffrées, consultez l’article Sauvegarder et restaurer une machine virtuelle Azure chiffrée.

Le chiffrement ou la désactivation du chiffrement peut entraîner le redémarrage d’une machine virtuelle.

Azure Disk Encryption ne fonctionne pas pour les scénarios, fonctionnalités et technologies suivants :

• Chiffrement de machines virtuelles de niveau de base ou de machines virtuelles créées par le biais de la méthode de création de machine virtuelle classique
• Chiffrement de machines virtuelles configurées avec des systèmes RAID logiciels
• Chiffrement de machines virtuelles configurées avec des espaces de stockage direct (S2D) ou des versions de Windows Server antérieures à 2016 configurées avec des espaces de stockage Windows.
• Intégration à un système de gestion de clés local
• Azure Files (système de fichiers partagés).
• NFS (système de gestion de fichiers en réseau).
• Volumes dynamiques.
• Conteneurs Windows Server qui créent des volumes dynamiques pour chaque conteneur.
• Disques de système d’exploitation éphémères.
• Disques iSCSI.
• Chiffrement de systèmes de fichiers partagés/distribués comme DFS, GFS, DRDB, etc.
• Déplacement d’une machine virtuelle chiffrée vers un autre abonnement.
• Création d’une image ou d’une capture instantanée d’une machine virtuelle chiffrée et utilisation de celle-ci pour déployer des machines virtuelles supplémentaires.
• Machines virtuelles de la série M avec des disques Accélérateur d’écriture.
• Application d’ADE à une machine virtuelle qui possède des disques chiffrés avec un chiffrement sur l’hôte ou un chiffrement côté serveur avec des clés gérées par le client (SSE + CMK). L’application de SSE + CMK à un disque de données ou l’ajout d’un disque de données avec SSE + CMK configuré à une machine virtuelle chiffrée avec ADE est également un scénario non pris en charge.
• Migration d’une machine virtuelle chiffrée avec ADE ou qui n’a jamais été chiffrée avec ADE, pour un chiffrement sur l’hôte ou un chiffrement côté serveur avec clés gérées par le client.
• Chiffrement des machines virtuelles dans les clusters de basculement.
• Chiffrement des disques Ultra Azure.
• Chiffrement des disques SSD Premium v2.
• Chiffrement des machines virtuelles dans les abonnements dont la stratégie Secrets should have the specified maximum validity period est activée avec l’effet DENY.
• Chiffrement des machines virtuelles dans les abonnements dont la stratégie Key Vault secrets should have an expiration date est activée avec l’effet DENY

Installer les outils et se connecter à Azure

Vous pouvez activer et gérer Azure Disk Encryption par le biais d’Azure CLI et d’Azure PowerShell. Pour ce faire, vous devez installer les outils localement et vous connecter à votre abonnement Azure.

Azure CLI

Azure CLI 2.0 est un outil en ligne de commande pour la gestion des ressources Azure. L’interface CLI est conçue pour interroger les données de manière flexible, pour prendre en charge les opérations de longue durée en tant que processus non bloquants et pour simplifier l’écriture de scripts. Vous pouvez l’installer localement en effectuant les étapes décrites dans Installer Azure CLI.

Pour vous connecter à votre compte Azure avec Azure CLI, utilisez la commande az login.

az login

Si vous voulez sélectionner un locataire sous lequel vous connecter, utilisez :

az login --tenant <tenant>

Si vous avez plusieurs abonnements et que vous voulez spécifier un de ceux-ci, récupérez la liste de vos abonnements avec az account list et spécifiez le compte avec az account set.

az account list
az account set --subscription "<subscription name or ID>"

Pour plus d’informations, consultez Bien démarrer avec Azure CLI 2.0.

Azure PowerShell

Le module az Azure PowerShell fournit un ensemble de cmdlets qui utilise le modèle Azure Resource Manager pour gérer vos ressources Azure. Vous pouvez l’utiliser dans votre navigateur avec Azure Cloud Shell, ou vous pouvez l’installer sur votre ordinateur local à l’aide des instructions fournies dans Installer le module Azure PowerShell.

Si vous l’avez déjà installé localement, veillez à utiliser la dernière version du Kit de développement logiciel (SDK) Azure PowerShell pour configurer Azure Disk Encryption. Téléchargez la dernière version d’Azure PowerShell.

Pour vous connecter à votre compte Azure avec Azure PowerShell, utilisez la cmdlet Connect-AzAccount.

Connect-AzAccount

Si vous avez plusieurs abonnements et que vous souhaitez en spécifier un, utilisez la cmdlet Get-AzSubscription pour les lister, puis la cmdlet Set-AzContext :

Set-AzContext -Subscription <SubscriptionId>

L’exécution de la cmdlet Get-AzContext permet de vérifier que l’abonnement approprié a été sélectionné.

Pour vérifier que les cmdlets Azure Disk Encryption sont installées, utilisez la cmdlet Get-command :

Get-command *diskencryption*

Pour plus d’informations, consultez Bien démarrer avec Azure PowerShell.

Activer le chiffrement sur une machine virtuelle Windows existante ou en cours d’exécution

Dans ce scénario, vous pouvez activer le chiffrement en utilisant le modèle Resource Manager, des applets de commande PowerShell ou des commandes CLI. Si vous avez besoin d’informations de schéma pour l’extension de machine virtuelle, consultez l’article Azure Disk Encryption pour extension Windows.

Activer le chiffrement sur des machines virtuelles existantes ou en cours d’exécution avec Azure PowerShell

Utilisez la cmdlet Set-AzVMDiskEncryptionExtension pour activer le chiffrement sur une machine virtuelle IaaS en cours d’exécution dans Azure.

• Chiffrer une machine virtuelle en cours d’exécution : Le script ci-dessous initialise vos variables et exécute la cmdlet Set-AzVMDiskEncryptionExtension. Les prérequis que sont le groupe de ressources, la machine virtuelle et le coffre de clés doivent déjà avoir été créés. Remplacez MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM et MySecureVault par vos valeurs.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;
  

• Chiffrer une machine virtuelle en cours d’exécution avec la clé KEK :

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MyExtraSecureVM';
  $KeyVaultName = 'MySecureVault';
  $keyEncryptionKeyName = 'MyKeyEncryptionKey';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;
  
  

  Notes

  La syntaxe de la valeur du paramètre disk-encryption-keyvault correspond à la chaîne d’identificateur complète : /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  La syntaxe de la valeur du paramètre key-encryption-key correspond à l’URI complet de la clé KEK comme dans : https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Vérifier que les disques sont chiffrés : Pour vérifier l’état du chiffrement d’une machine virtuelle IaaS, utilisez la cmdlet Get-AzVmDiskEncryptionStatus.

  Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
  

Pour désactiver le chiffrement, consultez Désactiver le chiffrement et supprimer l’extension de chiffrement.

Activer le chiffrement sur des machines virtuelles existantes ou en cours d’exécution avec Azure CLI

Utilisez la commande az vm encryption enable pour activer le chiffrement sur une machine virtuelle IaaS en cours d’exécution dans Azure.

• Chiffrer une machine virtuelle en cours d’exécution :

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]
  

• Chiffrer une machine virtuelle en cours d’exécution avec la clé KEK :

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
  

  Notes

  La syntaxe de la valeur du paramètre disk-encryption-keyvault correspond à la chaîne d’identificateur complète : /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  La syntaxe de la valeur du paramètre key-encryption-key correspond à l’URI complet de la clé KEK comme dans : https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Vérifier que les disques sont chiffrés : Pour vérifier l’état du chiffrement d’une machine virtuelle IaaS, utilisez la commande az vm encryption show.

  az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
  

Pour désactiver le chiffrement, consultez Désactiver le chiffrement et supprimer l’extension de chiffrement.

Utilisation du modèle Resource Manager

Vous pouvez activer le chiffrement de disque sur des machines virtuelles Windows IaaS existantes ou en cours d’exécution dans Azure en utilisant le modèle Resource Manager pour chiffrer une machine virtuelle Windows en cours d’exécution.

1. Dans le modèle de démarrage rapide Azure, cliquez sur Déployer sur Azure.

2. Sélectionnez l’abonnement, le groupe de ressources, l’emplacement, les paramètres, les conditions juridiques et le contrat. Cliquez sur Acheter pour activer le chiffrement sur la machine virtuelle IaaS existante ou en cours d’exécution.

Le tableau suivant répertorie les paramètres du modèle Resource Manager pour les machines virtuelles existantes ou en cours d’exécution :

Paramètre	Description
vmName	Nom de la machine virtuelle d’exécution de l’opération de chiffrement.
keyVaultName	Nom du coffre de clés dans lequel la clé BitLocker doit être téléchargée. Vous pouvez l’obtenir avec la cmdlet (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname ou la commande Azure CLI az keyvault list --resource-group "MyKeyVaultResourceGroup"
keyVaultResourceGroup	Nom du groupe de ressources qui contient le coffre de clés
keyEncryptionKeyURL	URL de la clé de chiffrement principale au format https://<nom-coffre-clés>.vault.azure.net/key/<nom-clé>. Si vous ne souhaitez pas utiliser de clé de chiffrement principale, laissez ce champ vide.
volumeType	Type de volume sur lequel l’opération de chiffrement est effectuée. Les valeurs valides sont Système d’exploitation, Données et Tous.
forceUpdateTag	Passez à une valeur unique comme un GUID chaque fois que l’opération doit être exécutée de force.
resizeOSDisk	Si la partition du système d’exploitation doit être redimensionnée pour occuper tout le disque dur virtuel du système d’exploitation avant de fractionner le volume système.
location	Emplacement pour toutes les ressources.

Activer le chiffrement sur des disques NVMe pour machines virtuelles Lsv2

Ce scénario décrit l’activation de Azure Disk Encryption sur des disques NVMe pour les machines virtuelles de la série Lsv2. La série Lsv2 est dotée d’un stockage NVMe local. Les disques NVMe locaux sont temporaire. Les données présentes sur ces disques seront perdues si vous arrêtez/libérez votre machine virtuelle (voir Série Lsv2).

Pour activer le chiffrement sur les disques NVMe :

1. Initialisez les disques NVMe et créez des volumes NTFS.
2. Activez le chiffrement sur la machine virtuelle avec le paramètre VolumeType défini sur All. Cela active le chiffrement pour tous les disques de système de système d’exploitation et de données, y compris les volumes basés sur des disques NVMe. Pour plus d’informations, consultez Activer le chiffrement sur une machine virtuelle Windows existante ou en cours d’exécution.

Le chiffrement est conservé sur les disques NVMe dans les scénarios suivants :

• Redémarrage de machine virtuelle
• Réinitialiser des groupes de machines virtuelles identiques
• Permutation de système d’exploitation

Les disques NVMe ne seront pas initialisés dans les scénarios suivants :

• Démarrage de machine virtuelle après désallocation/libération
• Réparation de service
• Sauvegarde

Dans ces scénarios, les disques NVMe doivent être initialisés après le démarrage de la machine virtuelle. Pour activer le chiffrement sur les disques NVMe, exécutez la commande pour réactiver Azure Disk Encryption après l’initialisation des disques NVMe.

Outre les scénarios énumérés dans la section Restrictions, le chiffrement des disques NVMe n’est pas pris en charge pour les ressources suivantes :

• Machines virtuelles chiffrées via Azure Disk Encryption avec Microsoft Entra ID (version précédente)
• Disques NVMe avec espaces de stockage
• Azure Site Recovery de références (SKU) avec des disques NVMe (consultez Prendre en charge la matrice de la récupération d’urgence de machines virtuelles Azure entre les régions Azure : Machines répliquées – Stockage).

Nouvelles machines virtuelles IaaS créées à partir d’un disque dur virtuel chiffré par le client et de clés de chiffrement

Dans le cadre de ce scénario, vous pouvez créer une machine virtuelle à partir d’un disque dur virtuel préchiffré et des clés de chiffrement associées à l’aide de cmdlets PowerShell ou de commandes CLI.

Suivez les instructions de la section Préparer un disque dur virtuel Windows préchiffré. Une fois l’image créée, vous pouvez suivre la procédure décrite dans la section suivante pour créer une machine virtuelle Azure chiffrée.

Chiffrer des machines virtuelles avec des disques durs virtuels préchiffrés à l’aide d’Azure PowerShell

Vous pouvez activer le chiffrement de disque sur votre disque dur virtuel chiffré avec la cmdlet PowerShell Set-AzVMOSDisk. L’exemple ci-dessous vous montre certains paramètres courants.

$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"

Activer le chiffrement sur un disque de données nouvellement ajouté

Vous pouvez ajouter un nouveau disque à une machine virtuelle Windows avec PowerShell ou via le portail Azure.

Notes

Le chiffrement de disque de données nouvellement ajouté doit être activé via PowerShell ou l’interface CLI uniquement. Actuellement, le portail Azure ne prend pas en charge l’activation du chiffrement sur les nouveaux disques.

Activer le chiffrement sur un disque nouvellement ajouté avec Azure PowerShell

Quand vous utilisez PowerShell pour chiffrer un nouveau disque de machines virtuelles Windows, vous devez spécifier une nouvelle version de la séquence. La version de la séquence doit être unique. Le script ci-dessous génère un GUID pour la version de la séquence. Dans certains cas, un disque de données nouvellement ajouté peut être chiffré automatiquement par l’extension Azure Disk Encryption. Le chiffrement automatique se produit généralement quand la machine virtuelle redémarre après la mise en ligne du nouveau disque. Cela est généralement dû au fait que « Tous » était spécifié pour le type de volume quand le chiffrement de disque a été précédemment exécuté sur la machine virtuelle. Si le chiffrement automatique se produit sur un disque de données nouvellement ajouté, nous recommandons de réexécuter l’applet de commande Set-AzVmDiskEncryptionExtension avec la nouvelle version de la séquence. Si votre nouveau disque de données est automatiquement chiffré et que vous ne voulez pas qu’il le soit, déchiffrez d’abord tous les lecteurs, puis chiffrez-les à nouveau avec une nouvelle version de séquence spécifiant le système d’exploitation pour le type de volume.

• Chiffrer une machine virtuelle en cours d’exécution : Le script ci-dessous initialise vos variables et exécute la cmdlet Set-AzVMDiskEncryptionExtension. Les prérequis que sont le groupe de ressources, la machine virtuelle et le coffre de clés doivent déjà avoir été créés. Remplacez MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM et MySecureVault par vos valeurs. Cet exemple utilise « All » pour le paramètre VolumeType, qui inclut les volumes de données et de systèmes d’exploitation. Si vous souhaitez uniquement chiffrer le volume de systèmes d’exploitation, utilisez « OS » pour le paramètre VolumeType.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
   $sequenceVersion = [Guid]::NewGuid();
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
  

• Chiffrer une machine virtuelle en cours d’exécution avec la clé KEK : Cet exemple utilise « All » pour le paramètre VolumeType, qui inclut les volumes de données et de systèmes d’exploitation. Si vous souhaitez uniquement chiffrer le volume de systèmes d’exploitation, utilisez « OS » pour le paramètre VolumeType.

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MyExtraSecureVM';
  $KeyVaultName = 'MySecureVault';
  $keyEncryptionKeyName = 'MyKeyEncryptionKey';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
  $sequenceVersion = [Guid]::NewGuid();
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
  
  

  Notes

  La syntaxe de la valeur du paramètre disk-encryption-keyvault correspond à la chaîne d’identificateur complète : /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  La syntaxe de la valeur du paramètre key-encryption-key correspond à l’URI complet de la clé KEK comme dans : https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

Activer le chiffrement sur un disque nouvellement ajouté avec Azure CLI

La commande Azure CLI vous propose automatiquement une nouvelle version de la séquence quand vous exécutez la commande pour activer le chiffrement. L’exemple utilise « All » pour le paramètre volume-type. Vous devrez peut-être remplacer le paramètre volume-type par « OS » si vous ne chiffrez que le disque du système d’exploitation. Contrairement à la syntaxe de PowerShell, l’interface CLI ne nécessite pas que l’utilisateur fournisse une version de séquence unique lors de l’activation du chiffrement. L’interface CLI génère automatiquement et utilise sa propre valeur de version de séquence unique.

• Chiffrer une machine virtuelle en cours d’exécution :

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "All"
  

• Chiffrer une machine virtuelle en cours d’exécution avec la clé KEK :

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "All"
  

Désactiver le chiffrement et supprimer l’extension de chiffrement

Vous pouvez désactiver l’extension Azure Disk Encryption et vous pouvez également la supprimer. Il s’agit de deux opérations distinctes.

Pour supprimer ADE, il est recommandé de désactiver d’abord le chiffrement, puis de supprimer l’extension. Si vous supprimez l’extension de chiffrement sans la désactiver, les disques seront toujours chiffrés. Si vous désactivez le chiffrement après la suppression de l’extension, l’extension sera réinstallée (pour effectuer l’opération de déchiffrement) et devra être supprimée une deuxième fois.

Désactiver le chiffrement

Vous pouvez désactiver le chiffrement avec Azure PowerShell, Azure CLI ou un modèle Resource Manager. Le fait de désactiver le chiffrement ne supprime pas l’extension (voir Supprimer l’extension de chiffrement).

Avertissement

La désactivation du chiffrement de disque de données lorsque les disques de système d’exploitation et de données ont été chiffrés peut avoir des résultats inattendus. Désactivez plutôt le chiffrement sur tous les disques.

La désactivation du chiffrement entraîne le démarrage d’un processus en arrière-plan de BitLocker pour déchiffrer les disques. Le délai d’exécution de ce processus doit être suffisant avant d’essayer de réactiver le chiffrement.

• Désactiver le chiffrement de disque avec Azure PowerShell : Pour désactiver le chiffrement, utilisez la cmdlet Disable-AzVMDiskEncryption.

  Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "all"
  

• Désactiver le chiffrement avec Azure CLI : pour désactiver le chiffrement, utilisez la commande az vm encryption disable.

  az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "all"
  

• Désactiver le chiffrement avec un modèle Resource Manager :

  1. Cliquez sur Déployer sur Azure dans le modèle Désactiver le chiffrement de disque sur une machine virtuelle Windows en cours d’exécution.
  2. Sélectionnez l’abonnement, le groupe de ressources, l’emplacement, la machine virtuelle, le type de volume, les conditions juridiques et le contrat.
  3. Cliquez sur Acheter pour désactiver le chiffrement de disque sur une machine virtuelle Windows en cours d’exécution.

Supprimer l’extension de chiffrement

Si vous souhaitez déchiffrer vos disques et supprimer l’extension de chiffrement, vous devez désactiver le chiffrement avant de supprimer extension (voir Désactiver le chiffrement).

Vous pouvez supprimer l’extension de chiffrement à l’aide d’Azure PowerShell ou d’Azure CLI.

• Désactiver le chiffrement de disque avec Azure PowerShell : pour supprimer le chiffrement, utilisez l’applet de commande Remove-AzVMDiskEncryptionExtension.

  Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"
  

• Désactiver le chiffrement avec Azure CLI : pour supprimer le chiffrement, utilisez la commande az vm extension delete.

  az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryption"
  

Étapes suivantes

• Vue d’ensemble d’Azure Disk Encryption
• Exemples de scripts Azure Disk Encryption
• Résolution des problèmes liés à Azure Disk Encryption