Megosztás a következőn keresztül:

Azure Disk Encryption-forgatókönyvek Windows rendszerű virtuális gépekhez

A következőkre vonatkozik: ✔️ Windows rendszerű virtuális gépek rugalmas méretezési ✔️ csoportjai

A Windows rendszerű virtuális gépekhez készült Azure Disk Encryption a Windows BitLocker funkciójával biztosítja az operációs rendszer és az adatlemez teljes lemeztitkosítását. Ezenkívül az ideiglenes lemez titkosítását is biztosítja, amikor a VolumeType paraméter All értékű.

Az Azure Disk Encryption integrálva van az Azure Key Vaulttal , így szabályozhatja és kezelheti a lemeztitkosítási kulcsokat és titkos kulcsokat. A szolgáltatás áttekintéséért lásd: Windows rendszerű virtuális gépekhez készült Azure Disk Encryption.

Előfeltételek

Csak a támogatott virtuálisgép-méretű és operációs rendszerű virtuális gépekre alkalmazhat lemeztitkosítást. Emellett a következő előfeltételeknek is meg kell felelnie:

Korlátozások

Ha korábban az Azure Disk Encryption with Microsoft Entra ID-t használta egy VM titkosításához, akkor továbbra is ezt a lehetőséget kell használnia a VM titkosításához. Részletekért lásd az Azure Disk Encryption Microsoft Entra ID-vel (korábbi kiadás) témakört.

A lemezek titkosítása előtt készítenie kell egy pillanatképet és/vagy létre kell hoznia egy biztonsági másolatot. A biztonsági másolatok biztosítják, hogy a helyreállítás lehetséges legyen, ha váratlan hiba történne a titkosítás során. A felügyelt lemezekkel rendelkező virtuális gépeken biztonsági mentésre van szükség a titkosítás előtt. A biztonsági mentést követően a Set-AzVMDiskEncryptionExtension parancsmaggal titkosíthatja a felügyelt lemezeket a -skipVmBackup paraméter megadásával. Ha további tájékoztatásra van szüksége a titkosított virtuális gépek biztonsági mentéséről és visszaállításáról, olvassa el az Azure-beli virtuális gépek biztonsági mentéséről és visszaállításáról szóló szakaszt.

A titkosítás vagy a titkosítás letiltása a virtuális gép újraindítását okozhatja.

Az Azure Disk Encryption nem működik a következő forgatókönyvek, funkciók és technológiák esetén:

  • Az alapszintű virtuális gépek vagy a klasszikus virtuálisgép-létrehozási módszerrel létrehozott virtuális gépek titkosítása.
  • V6 sorozatú virtuális gépek titkosítása. További információkért tekintse meg az egyes virtuálisgép-méretek egyes lapjait az Azure-beli virtuális gépek méreteinek listájában
  • A BitLocker minden követelménye és korlátozása, például NTFS megkövetelése. További információ: BitLocker – áttekintés.
  • Szoftveralapú RAID-rendszerekkel konfigurált virtuális gépek titkosítása.
  • A Tárolóhelyek Direct (S2D) vagy a Windows Server olyan verzióival konfigurált virtuális gépek titkosítása, amelyek a 2016 előtti windowsos Tárolóhelyekkel vannak konfigurálva.
  • Integráció helyszíni kulcskezelési rendszerrel.
  • Azure Files (megosztott fájlrendszer).
  • Hálózati fájlrendszer (NFS).
  • Dinamikus kötetek.
  • Windows Server-tárolók, amelyek dinamikus köteteket hoznak létre az egyes tárolókhoz.
  • Rövid élettartamú operációsrendszer-lemezek.
  • iSCSI-lemezek.
  • Megosztott/elosztott fájlrendszerek, például (de nem kizárólagosan) DFS, GFS, DRDB és CephFS titkosítása.
  • Titkosított virtuális gép áthelyezése másik előfizetésbe vagy régióba.
  • Titkosított virtuális gép rendszerképének vagy pillanatképének létrehozása és használata további virtuális gépek üzembe helyezéséhez.
  • M sorozatú virtuális gépek írásgyorsító lemezekkel.
  • Az ADE alkalmazása olyan virtuális gépre, amelynek lemezei a gazdagépen történő titkosítással vagy kiszolgálóoldali titkosítással, amelyet ügyfél által felügyelt kulcsok használnak (SSE + CMK) vannak titkosítva. Az SSE + CMK alkalmazása adatlemezre, vagy az ADE-vel titkosított virtuális gépre konfigurált SSE + CMK-val rendelkező adatlemez hozzáadása szintén nem támogatott forgatókönyv.
  • Az ADE-vel titkosított vagy valaha ADE-vel titkosított virtuális gép migrálása gazdagépen történő titkosításra vagy kiszolgálóoldali titkosításra ügyfél által felügyelt kulcsokkal.
  • Feladatátvevő fürtökön lévő virtuális gépek titkosítása.
  • Azure ultralemezek titkosítása.
  • Prémium SSD v2-lemezek titkosítása.
  • Olyan előfizetésekben lévő virtuális gépek titkosítása, amelyekben a Secrets should have the specified maximum validity period házirend engedélyezve van a DENY effektussal.
  • Olyan előfizetések virtuális gépeinek titkosítása, amelyekben a Key Vault secrets should have an expiration date házirend engedélyezve van a DENY effektussal

Eszközök telepítése és csatlakozás az Azure-hoz

Az Azure Disk Encryption az Azure CLI és az Azure PowerShell használatával engedélyezhető és felügyelhető. Ehhez helyileg kell telepítenie az eszközöket, és csatlakoznia kell az Azure-előfizetéséhez.

Azure CLI

Az Azure CLI 2.0 egy parancssori eszköz az Azure-erőforrások kezeléséhez. A parancssori felület célja az adatok rugalmas lekérdezése, a hosszú ideig futó műveletek támogatása blokkolásmentes folyamatként, valamint a szkriptek egyszerűvé tétele. Telepítheti helyileg az Azure CLI telepítésének lépéseit követve.

Ha azure-fiókjába az Azure CLI-vel szeretne bejelentkezni, használja az az login parancsot.

az login

Ha ki szeretne választani egy bérlőt, amelybe szeretne bejelentkezni, használja a következőt:

az login --tenant <tenant>

Ha több előfizetéssel rendelkezik, és meg szeretne adni egy konkrétat, kérje le az előfizetési listát az az account list paranccsal, és adja meg az az account set paranccsal.

az account list
az account set --subscription "<subscription name or ID>"

További információ: Az Azure CLI 2.0 használatának első lépései.

Azure PowerShell

Az Azure PowerShell az modul olyan parancsmagokat biztosít, amelyek az Azure Resource Manager-modellt használják az Azure-erőforrások kezeléséhez. Használhatja a böngészőben az Azure Cloud Shell használatával, vagy telepítheti a helyi gépére az Azure PowerShell-modul telepítésének utasításaival.

Ha már telepítette helyileg, győződjön meg arról, hogy az Azure PowerShell SDK legújabb verzióját használja az Azure Disk Encryption konfigurálásához. Töltse le az Azure PowerShell-kiadás legújabb verzióját.

Az Azure PowerShell-lel való bejelentkezéshez használja a Connect-AzAccount parancsmagot.

Connect-AzAccount

Ha több előfizetéssel rendelkezik, és meg szeretne adni egyet, a Get-AzSubscription parancsmaggal listázhatja őket, majd a Set-AzContext parancsmaggal:

Set-AzContext -Subscription <SubscriptionId>

A Get-AzContext parancsmag futtatása ellenőrzi, hogy a megfelelő előfizetés van-e kiválasztva.

Az Azure Disk Encryption parancsmagok telepítésének megerősítéséhez használja a Get-command parancsmagot:

Get-command *diskencryption*

További információ: Az Azure PowerShell használatának első lépései.

Titkosítás engedélyezése meglévő vagy futó Windows rendszerű virtuális gépen

Ebben az esetben a titkosítást a Resource Manager-sablon, a PowerShell-parancsmagok vagy a CLI-parancsok használatával engedélyezheti. Ha sémainformációra van szüksége a virtuálisgép-bővítményhez, olvassa el a Windows-bővítményhez készült Azure Disk Encryption című cikket.

Titkosítás engedélyezése meglévő vagy futó virtuális gépeken az Azure PowerShell használatával

A Set-AzVMDiskEncryptionExtension parancsmaggal engedélyezheti a titkosítást egy futó IaaS virtuális gépen az Azure-ban.

  • Futó virtuális gép titkosítása: Az alábbi szkript inicializálja a változókat, és futtatja a Set-AzVMDiskEncryptionExtension parancsmagot. Az erőforráscsoportnak, a virtuális gépnek és a kulcstartó tárolónak már előfeltételként létre kellett volna lennie hozva. Cserélje le a MyKeyVaultResourceGroup, a MyVirtualMachineResourceGroup, a MySecureVM és a MySecureVault elemet a saját értékeikre.

     $KVRGname = 'MyKeyVaultResourceGroup';
 $VMRGName = 'MyVirtualMachineResourceGroup';
 $vmName = 'MySecureVM';
 $KeyVaultName = 'MySecureVault';
 $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
 $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
 $KeyVaultResourceId = $KeyVault.ResourceId;

 Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;

  • Futó virtuális gép titkosítása a KEK használatával:

    $KVRGname = 'MyKeyVaultResourceGroup';
$VMRGName = 'MyVirtualMachineResourceGroup';
$vmName = 'MyExtraSecureVM';
$KeyVaultName = 'MySecureVault';
$keyEncryptionKeyName = 'MyKeyEncryptionKey';
$KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
$diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
$KeyVaultResourceId = $KeyVault.ResourceId;
$keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;

Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;

    Feljegyzés

    A disk-encryption-keyvault paraméter értékének szintaxisa a teljes azonosító sztring: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
    A kulcstitkosítási kulcs paraméter értékének szintaxisa a KEK teljes URI-ja, mint a következőben: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

  • Ellenőrizze, hogy a lemezek titkosítva vannak-e: Az IaaS virtuális gépek titkosítási állapotának ellenőrzéséhez használja a Get-AzVmDiskEncryptionStatus parancsmagot.

    Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'

A titkosítás letiltásához lásd : Titkosítás letiltása és a titkosítási bővítmény eltávolítása.

Titkosítás engedélyezése meglévő vagy futó virtuális gépeken az Azure CLI-vel

Az az vm encryption enable paranccsal engedélyezheti a titkosítást egy futó IaaS virtuális gépen az Azure-ban.

  • Futó virtuális gép titkosítása:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]

  • Futó virtuális gép titkosítása a KEK használatával:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]

    Feljegyzés

    A disk-encryption-keyvault paraméter értékének szintaxisa a teljes azonosító sztring: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
    A kulcstitkosítási kulcs paraméter értékének szintaxisa a KEK teljes URI-ja, mint a következőben: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

  • Ellenőrizze, hogy a lemezek titkosítva vannak-e: Egy IaaS virtuális gép titkosítási állapotának ellenőrzéséhez használja az az vm encryption show parancsot.

    az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"

A titkosítás letiltásához lásd : Titkosítás letiltása és a titkosítási bővítmény eltávolítása.

Az Erőforráskezelő sablon használata

A meglévő vagy az Azure-ban futó IaaS Windows rendszerű virtuális gépek lemeztitkosítását a Resource Manager-sablonnal engedélyezheti egy futó Windows rendszerű virtuális gép titkosításához.

  1. Az Azure rövid útmutatósablonján kattintson az Üzembe helyezés az Azure-ban elemre.

  2. Válassza ki az előfizetést, az erőforráscsoportot, a helyet, a beállításokat, a jogi feltételeket és a szerződést. A Vásárlás gombra kattintva engedélyezheti a titkosítást a meglévő vagy futó IaaS virtuális gépen.

Az alábbi táblázat a meglévő vagy futó virtuális gépek Resource Manager-sablonparamétereit sorolja fel:

Paraméter Leírás
vmName A titkosítási művelet futtatásához használt virtuális gép neve.
keyVaultName Annak a kulcstartónak a neve, amelybe a BitLocker-kulcsot fel kell tölteni. A parancsmaggal (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname vagy az Azure CLI-paranccsal szerezheti be az keyvault list --resource-group "MyKeyVaultResourceGroup"
keyVaultResourceGroup A kulcstartót tartalmazó erőforráscsoport neve
kulcstitkosítási kulcs URL A kulcstitkosítási kulcs URL-címe https://< keyvault-name.vault.azure.net/key/>< key-name> formátumban. Ha nem szeretne KEK-t használni, hagyja üresen ezt a mezőt.
kötet típusa A titkosítási művelet által végrehajtott kötet típusa. Az érvényes értékek az operációs rendszer, az adatok és az összes.
forceUpdateTag Adjon meg egyedi értéket, például GUID-t minden alkalommal, amikor a műveletet kényszeríteni kell.
rendszerlemez átméretezése Ha az operációsrendszer-partíciót úgy kell átméretezni, hogy teljes operációsrendszer-VHD-t foglaljon el a rendszerkötet felosztása előtt.
hely Az összes erőforrás helye.

Titkosítás engedélyezése NVMe-lemezeken Lsv2 virtuális gépekhez

Ez a forgatókönyv az Azure Disk Encryption engedélyezését ismerteti NVMe-lemezeken Lsv2 sorozatú virtuális gépekhez. Az Lsv2 sorozat helyi NVMe-tárolót tartalmaz. A helyi NVMe-lemezek ideiglenesek, és az adatok elvesznek ezeken a lemezeken, ha leállítja/felszabadítja a virtuális gépet (lásd: Lsv2-sorozat).

A titkosítás engedélyezése NVMe-lemezeken:

  1. Inicializálja az NVMe-lemezeket, és hozzon létre NTFS-köteteket.
  2. Engedélyezze a titkosítást a virtuális gépen a VolumeType paraméter All értékre van állítva. Ez lehetővé teszi az összes operációs rendszer és adatlemez titkosítását, beleértve az NVMe-lemezek által támogatott köteteket is. További információ: Titkosítás engedélyezése meglévő vagy futó Windows rendszerű virtuális gépen.

A titkosítás a következő esetekben marad meg az NVMe-lemezeken:

  • Virtuális gép újraindítása
  • Virtuális gépméretezési csoport újrakepezés
  • Operációs rendszer felcserélése

Az NVMe-lemezek nem lesznek inicializálva a következő forgatókönyvekben:

  • Virtuális gép indítása a dealokálás után
  • Szolgáltatásgyógyítás
  • Biztonsági másolat

Ezekben az esetekben az NVMe-lemezeket a virtuális gép elindítása után inicializálni kell. Az NVMe-lemezek titkosításának engedélyezéséhez futtassa a parancsot az Azure Disk Encryption ismételt engedélyezésére az NVMe-lemezek inicializálása után.

A Korlátozások szakaszban felsorolt forgatókönyvek mellett az NVMe-lemezek titkosítása nem támogatott a következő esetekben:

Ügyfél által titkosított VHD-ből és titkosítási kulcsokból létrehozott új IaaS virtuális gépek

Ebben a forgatókönyvben egy előre titkosított VHD-ből és a hozzá tartozó titkosítási kulcsokból hozhat létre új virtuális gépet PowerShell-parancsmagok vagy PARANCSSOR-parancsok használatával.

Használja az előre titkosított Windows VHD előkészítése című témakör utasításait. A rendszerkép létrehozása után a következő szakaszban ismertetett lépésekkel létrehozhat egy titkosított Azure-beli virtuális gépet.

Virtuális gépek titkosítása előre titkosított virtuális merevlemezekkel az Azure PowerShell használatával

A titkosított VHD-n engedélyezheti a lemeztitkosítást a Set-AzVMOSDisk PowerShell-parancsmaggal. Az alábbi példa néhány gyakori paramétert mutat be.

$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"

Titkosítás engedélyezése újonnan hozzáadott adatlemezen

Új lemezt adhat hozzá egy Windows rendszerű virtuális géphez a PowerShell vagy az Azure-portál használatával.

Feljegyzés

Az újonnan hozzáadott adatlemeztitkosítást csak a PowerShell vagy a parancssori felület használatával lehet engedélyezni. Az Azure Portal jelenleg nem támogatja az új lemezek titkosításának engedélyezését.

Titkosítás engedélyezése újonnan hozzáadott lemezen az Azure PowerShell használatával

Ha a PowerShell használatával titkosít egy új lemezt Windows rendszerű virtuális gépekhez, új sorozatverziót kell megadni. A sorozatverziónak egyedinek kell lennie. Az alábbi szkript létrehoz egy GUID azonosítót a sorozatverzióhoz. Bizonyos esetekben előfordulhat, hogy az újonnan hozzáadott adatlemezeket az Azure Disk Encryption bővítmény automatikusan titkosítja. Az automatikus titkosítás általában akkor fordul elő, ha a virtuális gép az új lemez online állapotba helyezése után újraindul. Ennek oka általában az, hogy a kötettípushoz "Minden" van megadva, amikor a lemeztitkosítás korábban a virtuális gépen futott. Ha az automatikus titkosítás egy újonnan hozzáadott adatlemezen történik, javasoljuk, hogy futtassa újra a Set-AzVmDiskEncryptionExtension parancsmagot új sorozatverzióval. Ha az új adatlemez automatikusan titkosítva van, és nem kívánja, hogy titkosítva legyen, először fejtse vissza az összes meghajtót, majd titkosítsa újra egy új sorozatverzióval, amely meghatározza a kötet típusának operációs rendszerét.

  • Futó virtuális gép titkosítása: Az alábbi szkript inicializálja a változókat, és futtatja a Set-AzVMDiskEncryptionExtension parancsmagot. Az erőforráscsoportot, a virtuális gépet és a kulcstartót már előfeltételként létre kellett hozni. Cserélje le a MyKeyVaultResourceGroup, a MyVirtualMachineResourceGroup, a MySecureVM és a MySecureVault elemet a saját értékeire. Ez a példa az "Összes" értéket használja a -VolumeType paraméterhez, amely az operációs rendszert és az adatköteteket is magában foglalja. Ha csak az operációsrendszer-kötetet szeretné titkosítani, használja az "OS" parancsot a -VolumeType paraméterhez.

     $KVRGname = 'MyKeyVaultResourceGroup';
 $VMRGName = 'MyVirtualMachineResourceGroup';
 $vmName = 'MySecureVM';
 $KeyVaultName = 'MySecureVault';
 $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
 $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
 $KeyVaultResourceId = $KeyVault.ResourceId;
 $sequenceVersion = [Guid]::NewGuid();

 Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;

  • Futó virtuális gép titkosítása a KEK használatával: Ez a példa a -VolumeType paraméter "All" paraméterét használja, amely operációs rendszert és adatköteteket is tartalmaz. Ha csak az operációsrendszer-kötetet szeretné titkosítani, használja az "OS" parancsot a -VolumeType paraméterhez.

    $KVRGname = 'MyKeyVaultResourceGroup';
$VMRGName = 'MyVirtualMachineResourceGroup';
$vmName = 'MyExtraSecureVM';
$KeyVaultName = 'MySecureVault';
$keyEncryptionKeyName = 'MyKeyEncryptionKey';
$KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
$diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
$KeyVaultResourceId = $KeyVault.ResourceId;
$keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
$sequenceVersion = [Guid]::NewGuid();

Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;

    Feljegyzés

    A disk-encryption-keyvault paraméter értékének szintaxisa a teljes azonosító sztring: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
    A kulcstitkosítási kulcs paraméter értékének szintaxisa a KEK teljes URI-ja, mint a következőben: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

Titkosítás engedélyezése újonnan hozzáadott lemezen az Azure CLI-vel

Az Azure CLI-parancs automatikusan új sorozatverziót biztosít a parancs futtatásakor a titkosítás engedélyezéséhez. A példa az "Összes" értéket használja a kötettípus paraméterhez. Előfordulhat, hogy a kötettípus-paramétert operációs rendszerre kell módosítania, ha csak az operációs rendszer lemezét titkosítja. A PowerShell-szintaxissal ellentétben a parancssori felület nem követeli meg, hogy a felhasználó egyedi sorozatverziót adjon meg a titkosítás engedélyezésekor. A parancssori felület automatikusan létrehozza és felhasználja a saját egyedi sorozatverzió-értékét.

  • Futó virtuális gép titkosítása:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "All"

  • Futó virtuális gép titkosítása a KEK használatával:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "All"

Titkosítás letiltása és a titkosítási bővítmény eltávolítása

Letilthatja az Azure lemeztitkosítási bővítményt, és eltávolíthatja az Azure lemeztitkosítási bővítményt. Ez két különböző művelet.

Az ADE eltávolításához javasoljuk, hogy először tiltsa le a titkosítást, majd távolítsa el a bővítményt. Ha letiltás nélkül távolítja el a titkosítási bővítményt, a lemezek továbbra is titkosítva lesznek. Ha a bővítmény eltávolítása után letiltja a titkosítást, a bővítmény újra lesz telepítve (a visszafejtési művelet végrehajtásához), és másodszor el kell távolítani.

Titkosítás letiltása

Letilthatja a titkosítást az Azure PowerShell, az Azure CLI vagy egy Resource Manager-sablon használatával. A titkosítás letiltása nem távolítja el a bővítményt (lásd: A titkosítási bővítmény eltávolítása).

Figyelmeztetés

Az adatlemez titkosításának letiltása, ha az operációs rendszer és az adatlemezek titkosítása is megtörtént, váratlan eredményekhez vezethet. Tiltsa le a titkosítást az összes lemezen.

A titkosítás letiltása elindítja a BitLocker háttérfolyamatát a lemezek visszafejtéséhez. Ennek a folyamatnak elegendő időt kell biztosítani a titkosítás újbóli engedélyezésének megkísérlése előtt.

  • Lemeztitkosítás letiltása az Azure PowerShell használatával: A titkosítás letiltásához használja a Disable-AzVMDiskEncryption parancsmagot.

    Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "all"

  • Titkosítás letiltása az Azure CLI-vel: A titkosítás letiltásához használja az az vm encryption disable parancsot.

    az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "all"

  • Titkosítás letiltása Resource Manager-sablonnal:

    1. A Futó Windows VM lemeztitkosításának letiltása sablonban kattintson az Azure-ba való üzembe helyezés elemre.
    2. Válassza ki az előfizetést, az erőforráscsoportot, a helyet, a virtuális gépet, a kötet típusát, a jogi feltételeket és a szerződést.
    3. A Vásárlás gombra kattintva letilthatja a lemeztitkosítást egy futó Windows rendszerű virtuális gépen.

A titkosítási bővítmény eltávolítása

Ha vissza szeretné fejteni a lemezeket, és el szeretné távolítani a titkosítási bővítményt, a bővítmény eltávolítása előtt le kell tiltania a titkosítást. Lásd: titkosítás letiltása.

A titkosítási bővítményt az Azure PowerShell vagy az Azure CLI használatával távolíthatja el.

  • Lemeztitkosítás letiltása az Azure PowerShell használatával: A titkosítás eltávolításához használja a Remove-AzVMDiskEncryptionExtension parancsmagot.

    Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"

  • Titkosítás letiltása az Azure CLI-vel: A titkosítás eltávolításához használja az az vm extension delete parancsot.

    az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryption"

Következő lépések