Azure Disk Encryption-forgatókönyvek Windows rendszerű virtuális gépekhez
A következőkre vonatkozik: ✔️ Windows rendszerű virtuális gépek rugalmas méretezési ✔️ csoportjai
A Windows rendszerű virtuális gépekhez készült Azure Disk Encryption a Windows BitLocker funkciójával biztosítja az operációs rendszer és az adatlemez teljes lemeztitkosítását. Ezenkívül az ideiglenes lemez titkosítását is biztosítja, amikor a VolumeType paraméter All értékű.
Az Azure Disk Encryption integrálva van az Azure Key Vaulttal , így szabályozhatja és kezelheti a lemeztitkosítási kulcsokat és titkos kulcsokat. A szolgáltatás áttekintéséért lásd: Windows rendszerű virtuális gépekhez készült Azure Disk Encryption.
Csak a támogatott virtuálisgép-méretű és operációs rendszerű virtuális gépekre alkalmazhat lemeztitkosítást. Emellett a következő előfeltételeknek is meg kell felelnie:
- Hálózati követelmények
- Csoportházirend-követelmények
- A titkosítási kulcs tárhelyével kapcsolatos követelmények
Ha korábban az Azure Disk Encryption with Microsoft Entra ID-t használta egy VM titkosításához, akkor továbbra is ezt a lehetőséget kell használnia a VM titkosításához. Részletekért lásd az Azure Disk Encryption Microsoft Entra ID-vel (korábbi kiadás) témakört.
A lemezek titkosítása előtt készítenie kell egy pillanatképet és/vagy létre kell hoznia egy biztonsági másolatot. A biztonsági másolatok biztosítják, hogy a helyreállítás lehetséges legyen, ha váratlan hiba történne a titkosítás során. A felügyelt lemezekkel rendelkező virtuális gépeken biztonsági mentésre van szükség a titkosítás előtt. A biztonsági mentést követően a Set-AzVMDiskEncryptionExtension parancsmaggal titkosíthatja a felügyelt lemezeket a -skipVmBackup paraméter megadásával. Ha további tájékoztatásra van szüksége a titkosított virtuális gépek biztonsági mentéséről és visszaállításáról, olvassa el az Azure-beli virtuális gépek biztonsági mentéséről és visszaállításáról szóló szakaszt.
A titkosítás vagy a titkosítás letiltása a virtuális gép újraindítását okozhatja.
Az Azure Disk Encryption nem működik a következő forgatókönyvek, funkciók és technológiák esetén:
- Az alapszintű virtuális gépek vagy a klasszikus virtuálisgép-létrehozási módszerrel létrehozott virtuális gépek titkosítása.
- V6-sorozatú virtuális gépek (Ddsv6, Dldsv6, Edsv6, Dadsv6, Daldsv6, Eadsv6, Dpdsv6, Dpldsv6 vagy Epdsv6) titkosítása. További információkért tekintse meg az egyes virtuálisgép-méretek egyes lapjait az Azure-beli virtuális gépek méreteinek listájában
- A BitLocker minden követelménye és korlátozása, például NTFS megkövetelése. További információ: BitLocker – áttekintés.
- Szoftveralapú RAID-rendszerekkel konfigurált virtuális gépek titkosítása.
- A Tárolóhelyek Direct (S2D) vagy a Windows Server 2016 előtt windowsos Tárolóhelyek konfigurált verzióival konfigurált virtuális gépek titkosítása.
- Integráció helyszíni kulcskezelési rendszerrel.
- Azure Files (megosztott fájlrendszer).
- Hálózati fájlrendszer (NFS).
- Dinamikus kötetek.
- Windows Server-tárolók, amelyek dinamikus köteteket hoznak létre az egyes tárolókhoz.
- Rövid élettartamú operációsrendszer-lemezek.
- iSCSI-lemezek.
- Megosztott/elosztott fájlrendszerek, például (de nem kizárólagosan) DFS, GFS, DRDB és CephFS titkosítása.
- Titkosított virtuális gép áthelyezése másik előfizetésbe vagy régióba.
- Titkosított virtuális gép rendszerképének vagy pillanatképének létrehozása és használata további virtuális gépek üzembe helyezéséhez.
- M sorozatú virtuális gépek írásgyorsító lemezekkel.
- Az ADE alkalmazása olyan virtuális gépre, amelynek lemezei titkosítással vannak titkosítva a gazdagépen , vagy kiszolgálóoldali titkosítás ügyfél által felügyelt kulcsokkal (SSE + CMK). Az SSE + CMK alkalmazása adatlemezre, vagy az ADE-vel titkosított virtuális gépre konfigurált SSE + CMK-val rendelkező adatlemez hozzáadása szintén nem támogatott forgatókönyv.
- Az ADE-vel titkosított vagy valaha ADE-vel titkosított virtuális gép migrálása gazdagépen történő titkosításra vagy kiszolgálóoldali titkosításra ügyfél által felügyelt kulcsokkal.
- Feladatátvevő fürtökön lévő virtuális gépek titkosítása.
- Azure ultralemezek titkosítása.
- Prémium SSD v2-lemezek titkosítása.
- Olyan előfizetésekben lévő virtuális gépek titkosítása, amelyekben a
Secrets should have the specified maximum validity period
házirend engedélyezve van a DENY effektussal. - Olyan előfizetések virtuális gépeinek titkosítása, amelyekben a
Key Vault secrets should have an expiration date
házirend engedélyezve van a DENY effektussal
Az Azure Disk Encryption az Azure CLI és az Azure PowerShell használatával engedélyezhető és felügyelhető. Ehhez helyileg kell telepítenie az eszközöket, és csatlakoznia kell az Azure-előfizetéséhez.
Az Azure CLI 2.0 egy parancssori eszköz az Azure-erőforrások kezeléséhez. A parancssori felület célja az adatok rugalmas lekérdezése, a hosszú ideig futó műveletek támogatása blokkolásmentes folyamatként, valamint a szkriptek egyszerűvé tétele. Telepítheti helyileg az Azure CLI telepítésének lépéseit követve.
Ha azure-fiókjába az Azure CLI-vel szeretne bejelentkezni, használja az az login parancsot.
az login
Ha ki szeretne választani egy bérlőt, amely alá szeretne bejelentkezni, használja a következőt:
az login --tenant <tenant>
Ha több előfizetéssel rendelkezik, és meg szeretne adni egy konkrétat, kérje le az előfizetési listát az az account listával, és adja meg az az fiókkészlettel.
az account list
az account set --subscription "<subscription name or ID>"
További információ: Az Azure CLI 2.0 használatának első lépései.
Az Azure PowerShell az modul olyan parancsmagokat biztosít, amelyek az Azure Resource Manager-modellt használják az Azure-erőforrások kezeléséhez. Használhatja a böngészőben az Azure Cloud Shell használatával, vagy telepítheti a helyi gépére az Azure PowerShell-modul telepítésének utasításaival.
Ha már telepítette helyileg, győződjön meg arról, hogy az Azure PowerShell SDK legújabb verzióját használja az Azure Disk Encryption konfigurálásához. Töltse le az Azure PowerShell-kiadás legújabb verzióját.
Az Azure PowerShell-lel való bejelentkezéshez használja a Connect-AzAccount parancsmagot.
Connect-AzAccount
Ha több előfizetéssel rendelkezik, és meg szeretne adni egyet, a Get-AzSubscription parancsmaggal listázhatja őket, majd a Set-AzContext parancsmaggal:
Set-AzContext -Subscription <SubscriptionId>
A Get-AzContext parancsmag futtatása ellenőrzi, hogy a megfelelő előfizetés van-e kiválasztva.
Az Azure Disk Encryption parancsmagok telepítésének megerősítéséhez használja a Get-command parancsmagot:
Get-command *diskencryption*
További információ: Az Azure PowerShell használatának első lépései.
Ebben az esetben a titkosítást a Resource Manager-sablon, a PowerShell-parancsmagok vagy a CLI-parancsok használatával engedélyezheti. Ha sémainformációra van szüksége a virtuálisgép-bővítményhez, olvassa el a Windows-bővítményhez készült Azure Disk Encryption című cikket.
A Set-AzVMDiskEncryptionExtension parancsmaggal engedélyezheti a titkosítást egy futó IaaS virtuális gépen az Azure-ban.
Futó virtuális gép titkosítása: Az alábbi szkript inicializálja a változókat, és futtatja a Set-AzVMDiskEncryptionExtension parancsmagot. Az erőforráscsoportnak, a virtuális gépnek és a kulcstartónak már előfeltételként létre kellett volna hoznia. Cserélje le a MyKeyVaultResourceGroup, a MyVirtualMachineResourceGroup, a MySecureVM és a MySecureVault elemet az értékekre.
$KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MySecureVM'; $KeyVaultName = 'MySecureVault'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;
Futó virtuális gép titkosítása a KEK használatával:
$KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MyExtraSecureVM'; $KeyVaultName = 'MySecureVault'; $keyEncryptionKeyName = 'MyKeyEncryptionKey'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid; Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;
Megjegyzés
A disk-encryption-keyvault paraméter értékének szintaxisa a teljes azonosító sztring: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
A kulcstitkosítási kulcs paraméter értékének szintaxisa a KEK teljes URI-ja, mint a következőben: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]Ellenőrizze, hogy a lemezek titkosítva vannak-e: Az IaaS virtuális gépek titkosítási állapotának ellenőrzéséhez használja a Get-AzVmDiskEncryptionStatus parancsmagot.
Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
A titkosítás letiltásához lásd : Titkosítás letiltása és a titkosítási bővítmény eltávolítása.
Az az vm encryption enable paranccsal engedélyezheti a titkosítást egy futó IaaS virtuális gépen az Azure-ban.
Futó virtuális gép titkosítása:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]
Futó virtuális gép titkosítása a KEK használatával:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
Megjegyzés
A disk-encryption-keyvault paraméter értékének szintaxisa a teljes azonosító sztring: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
A kulcstitkosítási kulcs paraméter értékének szintaxisa a KEK teljes URI-ja, mint a következőben: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]Ellenőrizze, hogy a lemezek titkosítva vannak-e: Egy IaaS virtuális gép titkosítási állapotának ellenőrzéséhez használja az az vm encryption show parancsot.
az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
A titkosítás letiltásához lásd : Titkosítás letiltása és a titkosítási bővítmény eltávolítása.
A meglévő vagy az Azure-ban futó IaaS Windows rendszerű virtuális gépek lemeztitkosítását a Resource Manager-sablonnal engedélyezheti egy futó Windows rendszerű virtuális gép titkosításához.
Az Azure rövid útmutatósablonján kattintson az Üzembe helyezés az Azure-ban elemre.
Válassza ki az előfizetést, az erőforráscsoportot, a helyet, a beállításokat, a jogi feltételeket és a szerződést. A Vásárlás gombra kattintva engedélyezheti a titkosítást a meglévő vagy futó IaaS virtuális gépen.
Az alábbi táblázat a meglévő vagy futó virtuális gépek Resource Manager-sablonparamétereit sorolja fel:
Paraméter | Leírás |
---|---|
vmName | A titkosítási művelet futtatásához használt virtuális gép neve. |
keyVaultName | Annak a kulcstartónak a neve, amelybe a BitLocker-kulcsot fel kell tölteni. A parancsmaggal (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname vagy az Azure CLI-paranccsal szerezheti be az keyvault list --resource-group "MyKeyVaultResourceGroup" |
keyVaultResourceGroup | A kulcstartót tartalmazó erőforráscsoport neve |
keyEncryptionKeyURL | A kulcstitkosítási kulcs URL-címe https://< keyvault-name.vault.azure.net/key/>< key-name> formátumban. Ha nem szeretne KEK-t használni, hagyja üresen ezt a mezőt. |
volumeType | A titkosítási művelet által végrehajtott kötet típusa. Az érvényes értékek az operációs rendszer, az adatok és az összes. |
forceUpdateTag | Adjon meg egyedi értéket, például GUID-t minden alkalommal, amikor a műveletet kényszeríteni kell. |
resizeOSDisk | Ha az operációsrendszer-partíciót úgy kell átméretezni, hogy teljes operációsrendszer-VHD-t foglaljon el a rendszerkötet felosztása előtt. |
hely | Az összes erőforrás helyei. |
Ez a forgatókönyv az Azure Disk Encryption engedélyezését ismerteti NVMe-lemezeken Lsv2 sorozatú virtuális gépekhez. Az Lsv2 sorozat helyi NVMe-tárolót tartalmaz. A helyi NVMe-lemezek ideiglenesek, és az adatok elvesznek ezeken a lemezeken, ha leállítja/felszabadítja a virtuális gépet (lásd: Lsv2-sorozat).
A titkosítás engedélyezése NVMe-lemezeken:
- Inicializálja az NVMe-lemezeket, és hozzon létre NTFS-köteteket.
- Engedélyezze a titkosítást a virtuális gépen a VolumeType paraméter All értékre van állítva. Ez lehetővé teszi az összes operációs rendszer és adatlemez titkosítását, beleértve az NVMe-lemezek által támogatott köteteket is. További információ: Titkosítás engedélyezése meglévő vagy futó Windows rendszerű virtuális gépen.
A titkosítás a következő esetekben marad meg az NVMe-lemezeken:
- Virtuális gép újraindítása
- Virtuálisgép-méretezési csoport újraimage
- Operációs rendszer felcserélése
Az NVMe-lemezek nem lesznek inicializálva a következő forgatókönyvekben:
- Virtuális gép indítása a felszabadítás után
- Szolgáltatásjavítás
- Backup
Ezekben az esetekben az NVMe-lemezeket a virtuális gép elindítása után inicializálni kell. Az NVMe-lemezek titkosításának engedélyezéséhez futtassa a parancsot az Azure Disk Encryption engedélyezéséhez az NVMe-lemezek inicializálása után.
A Korlátozások szakaszban felsorolt forgatókönyvek mellett az NVMe-lemezek titkosítása nem támogatott a következő esetekben:
- Az Azure Disk Encryption és a Microsoft Entra ID azonosítóval titkosított virtuális gépek (korábbi kiadás)
- Tárolóhelyekkel rendelkező NVMe-lemezek
- SKU-k Azure Site Recoveryje NVMe-lemezekkel (lásd az Azure-beli virtuális gépek Azure-régiók közötti vészhelyreállításának támogatási mátrixát: Replikált gépek – tároló).
Ebben a forgatókönyvben egy előre titkosított VHD-ből és a hozzá tartozó titkosítási kulcsokból hozhat létre új virtuális gépet PowerShell-parancsmagok vagy PARANCSSOR-parancsok használatával.
Használja az előre titkosított Windows VHD előkészítése című témakör utasításait. A rendszerkép létrehozása után a következő szakaszban ismertetett lépésekkel létrehozhat egy titkosított Azure-beli virtuális gépet.
Virtuális gépek titkosítása előre titkosított virtuális merevlemezekkel az Azure PowerShell használatával
A titkosított VHD-n engedélyezheti a lemeztitkosítást a Set-AzVMOSDisk PowerShell-parancsmaggal. Az alábbi példa néhány gyakori paramétert mutat be.
$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"
Új lemezt a PowerShell vagy az Azure Portal használatával adhat hozzá Egy Windows rendszerű virtuális géphez.
Megjegyzés
Az újonnan hozzáadott adatlemeztitkosítást csak a PowerShell vagy a parancssori felület használatával lehet engedélyezni. Az Azure Portal jelenleg nem támogatja az új lemezek titkosításának engedélyezését.
Ha a PowerShell használatával titkosít egy új lemezt Windows rendszerű virtuális gépekhez, új sorozatverziót kell megadni. A sorozatverziónak egyedinek kell lennie. Az alábbi szkript létrehoz egy GUID azonosítót a sorozatverzióhoz. Bizonyos esetekben előfordulhat, hogy az újonnan hozzáadott adatlemezeket az Azure Disk Encryption bővítmény automatikusan titkosítja. Az automatikus titkosítás általában akkor fordul elő, ha a virtuális gép az új lemez online állapotba helyezése után újraindul. Ennek oka általában az, hogy a kötettípushoz "Minden" van megadva, amikor a lemeztitkosítás korábban a virtuális gépen futott. Ha az automatikus titkosítás egy újonnan hozzáadott adatlemezen történik, javasoljuk, hogy futtassa újra a Set-AzVmDiskEncryptionExtension parancsmagot új sorozatverzióval. Ha az új adatlemez automatikusan titkosítva van, és nem szeretné, hogy titkosítva legyen, először fejtse vissza az összes meghajtót, majd egy új sorozatverzióval, amely megadja a kötettípus operációs rendszerét.
Futó virtuális gép titkosítása: Az alábbi szkript inicializálja a változókat, és futtatja a Set-AzVMDiskEncryptionExtension parancsmagot. Az erőforráscsoportnak, a virtuális gépnek és a kulcstartónak már előfeltételként létre kellett volna hoznia. Cserélje le a MyKeyVaultResourceGroup, a MyVirtualMachineResourceGroup, a MySecureVM és a MySecureVault elemet az értékekre. Ez a példa az "Összes" értéket használja a -VolumeType paraméterhez, amely az operációs rendszert és az adatköteteket is magában foglalja. Ha csak az operációsrendszer-kötetet szeretné titkosítani, használja az "OS" parancsot a -VolumeType paraméterhez.
$KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MySecureVM'; $KeyVaultName = 'MySecureVault'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; $sequenceVersion = [Guid]::NewGuid(); Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
Futó virtuális gép titkosítása a KEK használatával: Ez a példa a -VolumeType paraméter "All" paraméterét használja, amely operációs rendszert és adatköteteket is tartalmaz. Ha csak az operációsrendszer-kötetet szeretné titkosítani, használja az "OS" parancsot a -VolumeType paraméterhez.
$KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MyExtraSecureVM'; $KeyVaultName = 'MySecureVault'; $keyEncryptionKeyName = 'MyKeyEncryptionKey'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid; $sequenceVersion = [Guid]::NewGuid(); Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
Megjegyzés
A disk-encryption-keyvault paraméter értékének szintaxisa a teljes azonosító sztring: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
A kulcstitkosítási kulcs paraméter értékének szintaxisa a KEK teljes URI-ja, mint a következőben: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]
Az Azure CLI-parancs automatikusan új sorozatverziót biztosít a parancs futtatásakor a titkosítás engedélyezéséhez. A példa az "Összes" értéket használja a kötettípus paraméterhez. Előfordulhat, hogy a kötettípus paraméterét operációs rendszerre kell módosítania, ha csak az operációsrendszer-lemezt titkosítja. A PowerShell-szintaxissal ellentétben a parancssori felület nem követeli meg, hogy a felhasználó egyedi sorozatverziót adjon meg a titkosítás engedélyezésekor. A parancssori felület automatikusan létrehozza és felhasználja a saját egyedi sorozatverzió-értékét.
Futó virtuális gép titkosítása:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "All"
Futó virtuális gép titkosítása a KEK használatával:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "All"
Letilthatja az Azure lemeztitkosítási bővítményt, és eltávolíthatja az Azure lemeztitkosítási bővítményt. Ez két különböző művelet.
Az ADE eltávolításához javasoljuk, hogy először tiltsa le a titkosítást, majd távolítsa el a bővítményt. Ha letiltás nélkül távolítja el a titkosítási bővítményt, a lemezek továbbra is titkosítva lesznek. Ha a bővítmény eltávolítása után letiltja a titkosítást, a bővítmény újra lesz telepítve (a visszafejtési művelet végrehajtásához), és másodszor el kell távolítani.
Letilthatja a titkosítást az Azure PowerShell, az Azure CLI vagy egy Resource Manager-sablon használatával. A titkosítás letiltása nem távolítja el a bővítményt (lásd: A titkosítási bővítmény eltávolítása).
Figyelmeztetés
Az adatlemez titkosításának letiltása, ha az operációs rendszer és az adatlemezek titkosítása is megtörtént, váratlan eredményekhez vezethet. Tiltsa le a titkosítást az összes lemezen.
A titkosítás letiltása elindítja a BitLocker háttérfolyamatát a lemezek visszafejtéséhez. Ennek a folyamatnak elegendő időt kell biztosítani a titkosítás újbóli engedélyezésének megkísérlése előtt.
Lemeztitkosítás letiltása az Azure PowerShell használatával: A titkosítás letiltásához használja a Disable-AzVMDiskEncryption parancsmagot.
Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "all"
Titkosítás letiltása az Azure CLI-vel: A titkosítás letiltásához használja az az vm encryption disable parancsot.
az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "all"
Titkosítás letiltása Resource Manager-sablonnal:
- A Windows rendszerű virtuálisgép-sablon lemeztitkosításának letiltása című témakörben kattintson az Üzembe helyezés az Azure-ba elemre.
- Válassza ki az előfizetést, az erőforráscsoportot, a helyet, a virtuális gépet, a kötet típusát, a jogi feltételeket és a szerződést.
- A Vásárlás gombra kattintva letilthatja a lemeztitkosítást egy futó Windows rendszerű virtuális gépen.
Ha vissza szeretné fejteni a lemezeket, és el szeretné távolítani a titkosítási bővítményt, a bővítmény eltávolítása előtt le kell tiltania a titkosítást. Lásd: titkosítás letiltása.
A titkosítási bővítményt az Azure PowerShell vagy az Azure CLI használatával távolíthatja el.
Lemeztitkosítás letiltása az Azure PowerShell használatával: A titkosítás eltávolításához használja a Remove-AzVMDiskEncryptionExtension parancsmagot.
Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"
Titkosítás letiltása az Azure CLI-vel: A titkosítás eltávolításához használja az az vm extension delete parancsot.
az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryption"