Olvasás angol nyelven

Megosztás a következőn keresztül:


Azure Disk Encryption-forgatókönyvek Windows rendszerű virtuális gépekhez

A következőkre vonatkozik: ✔️ Windows rendszerű virtuális gépek rugalmas méretezési ✔️ csoportjai

A Windows rendszerű virtuális gépekhez készült Azure Disk Encryption a Windows BitLocker funkciójával biztosítja az operációs rendszer és az adatlemez teljes lemeztitkosítását. Ezenkívül az ideiglenes lemez titkosítását is biztosítja, amikor a VolumeType paraméter All értékű.

Az Azure Disk Encryption integrálva van az Azure Key Vaulttal , így szabályozhatja és kezelheti a lemeztitkosítási kulcsokat és titkos kulcsokat. A szolgáltatás áttekintéséért lásd: Windows rendszerű virtuális gépekhez készült Azure Disk Encryption.

Előfeltételek

Csak a támogatott virtuálisgép-méretű és operációs rendszerű virtuális gépekre alkalmazhat lemeztitkosítást. Emellett a következő előfeltételeknek is meg kell felelnie:

Korlátozások

Ha korábban az Azure Disk Encryption with Microsoft Entra ID-t használta egy VM titkosításához, akkor továbbra is ezt a lehetőséget kell használnia a VM titkosításához. Részletekért lásd az Azure Disk Encryption Microsoft Entra ID-vel (korábbi kiadás) témakört.

A lemezek titkosítása előtt készítenie kell egy pillanatképet és/vagy létre kell hoznia egy biztonsági másolatot. A biztonsági másolatok biztosítják, hogy a helyreállítás lehetséges legyen, ha váratlan hiba történne a titkosítás során. A felügyelt lemezekkel rendelkező virtuális gépeken biztonsági mentésre van szükség a titkosítás előtt. A biztonsági mentést követően a Set-AzVMDiskEncryptionExtension parancsmaggal titkosíthatja a felügyelt lemezeket a -skipVmBackup paraméter megadásával. Ha további tájékoztatásra van szüksége a titkosított virtuális gépek biztonsági mentéséről és visszaállításáról, olvassa el az Azure-beli virtuális gépek biztonsági mentéséről és visszaállításáról szóló szakaszt.

A titkosítás vagy a titkosítás letiltása a virtuális gép újraindítását okozhatja.

Az Azure Disk Encryption nem működik a következő forgatókönyvek, funkciók és technológiák esetén:

  • Az alapszintű virtuális gépek vagy a klasszikus virtuálisgép-létrehozási módszerrel létrehozott virtuális gépek titkosítása.
  • V6-sorozatú virtuális gépek (Ddsv6, Dldsv6, Edsv6, Dadsv6, Daldsv6, Eadsv6, Dpdsv6, Dpldsv6 vagy Epdsv6) titkosítása. További információkért tekintse meg az egyes virtuálisgép-méretek egyes lapjait az Azure-beli virtuális gépek méreteinek listájában
  • A BitLocker minden követelménye és korlátozása, például NTFS megkövetelése. További információ: BitLocker – áttekintés.
  • Szoftveralapú RAID-rendszerekkel konfigurált virtuális gépek titkosítása.
  • A Tárolóhelyek Direct (S2D) vagy a Windows Server 2016 előtt windowsos Tárolóhelyek konfigurált verzióival konfigurált virtuális gépek titkosítása.
  • Integráció helyszíni kulcskezelési rendszerrel.
  • Azure Files (megosztott fájlrendszer).
  • Hálózati fájlrendszer (NFS).
  • Dinamikus kötetek.
  • Windows Server-tárolók, amelyek dinamikus köteteket hoznak létre az egyes tárolókhoz.
  • Rövid élettartamú operációsrendszer-lemezek.
  • iSCSI-lemezek.
  • Megosztott/elosztott fájlrendszerek, például (de nem kizárólagosan) DFS, GFS, DRDB és CephFS titkosítása.
  • Titkosított virtuális gép áthelyezése másik előfizetésbe vagy régióba.
  • Titkosított virtuális gép rendszerképének vagy pillanatképének létrehozása és használata további virtuális gépek üzembe helyezéséhez.
  • M sorozatú virtuális gépek írásgyorsító lemezekkel.
  • Az ADE alkalmazása olyan virtuális gépre, amelynek lemezei titkosítással vannak titkosítva a gazdagépen , vagy kiszolgálóoldali titkosítás ügyfél által felügyelt kulcsokkal (SSE + CMK). Az SSE + CMK alkalmazása adatlemezre, vagy az ADE-vel titkosított virtuális gépre konfigurált SSE + CMK-val rendelkező adatlemez hozzáadása szintén nem támogatott forgatókönyv.
  • Az ADE-vel titkosított vagy valaha ADE-vel titkosított virtuális gép migrálása gazdagépen történő titkosításra vagy kiszolgálóoldali titkosításra ügyfél által felügyelt kulcsokkal.
  • Feladatátvevő fürtökön lévő virtuális gépek titkosítása.
  • Azure ultralemezek titkosítása.
  • Prémium SSD v2-lemezek titkosítása.
  • Olyan előfizetésekben lévő virtuális gépek titkosítása, amelyekben a Secrets should have the specified maximum validity period házirend engedélyezve van a DENY effektussal.
  • Olyan előfizetések virtuális gépeinek titkosítása, amelyekben a Key Vault secrets should have an expiration date házirend engedélyezve van a DENY effektussal

Eszközök telepítése és csatlakozás az Azure-hoz

Az Azure Disk Encryption az Azure CLI és az Azure PowerShell használatával engedélyezhető és felügyelhető. Ehhez helyileg kell telepítenie az eszközöket, és csatlakoznia kell az Azure-előfizetéséhez.

Azure CLI

Az Azure CLI 2.0 egy parancssori eszköz az Azure-erőforrások kezeléséhez. A parancssori felület célja az adatok rugalmas lekérdezése, a hosszú ideig futó műveletek támogatása blokkolásmentes folyamatként, valamint a szkriptek egyszerűvé tétele. Telepítheti helyileg az Azure CLI telepítésének lépéseit követve.

Ha azure-fiókjába az Azure CLI-vel szeretne bejelentkezni, használja az az login parancsot.

az login

Ha ki szeretne választani egy bérlőt, amely alá szeretne bejelentkezni, használja a következőt:

az login --tenant <tenant>

Ha több előfizetéssel rendelkezik, és meg szeretne adni egy konkrétat, kérje le az előfizetési listát az az account listával, és adja meg az az fiókkészlettel.

az account list
az account set --subscription "<subscription name or ID>"

További információ: Az Azure CLI 2.0 használatának első lépései.

Azure PowerShell

Az Azure PowerShell az modul olyan parancsmagokat biztosít, amelyek az Azure Resource Manager-modellt használják az Azure-erőforrások kezeléséhez. Használhatja a böngészőben az Azure Cloud Shell használatával, vagy telepítheti a helyi gépére az Azure PowerShell-modul telepítésének utasításaival.

Ha már telepítette helyileg, győződjön meg arról, hogy az Azure PowerShell SDK legújabb verzióját használja az Azure Disk Encryption konfigurálásához. Töltse le az Azure PowerShell-kiadás legújabb verzióját.

Az Azure PowerShell-lel való bejelentkezéshez használja a Connect-AzAccount parancsmagot.

Connect-AzAccount

Ha több előfizetéssel rendelkezik, és meg szeretne adni egyet, a Get-AzSubscription parancsmaggal listázhatja őket, majd a Set-AzContext parancsmaggal:

Set-AzContext -Subscription <SubscriptionId>

A Get-AzContext parancsmag futtatása ellenőrzi, hogy a megfelelő előfizetés van-e kiválasztva.

Az Azure Disk Encryption parancsmagok telepítésének megerősítéséhez használja a Get-command parancsmagot:

Get-command *diskencryption*

További információ: Az Azure PowerShell használatának első lépései.

Titkosítás engedélyezése meglévő vagy futó Windows rendszerű virtuális gépen

Ebben az esetben a titkosítást a Resource Manager-sablon, a PowerShell-parancsmagok vagy a CLI-parancsok használatával engedélyezheti. Ha sémainformációra van szüksége a virtuálisgép-bővítményhez, olvassa el a Windows-bővítményhez készült Azure Disk Encryption című cikket.

Titkosítás engedélyezése meglévő vagy futó virtuális gépeken az Azure PowerShell használatával

A Set-AzVMDiskEncryptionExtension parancsmaggal engedélyezheti a titkosítást egy futó IaaS virtuális gépen az Azure-ban.

  • Futó virtuális gép titkosítása: Az alábbi szkript inicializálja a változókat, és futtatja a Set-AzVMDiskEncryptionExtension parancsmagot. Az erőforráscsoportnak, a virtuális gépnek és a kulcstartónak már előfeltételként létre kellett volna hoznia. Cserélje le a MyKeyVaultResourceGroup, a MyVirtualMachineResourceGroup, a MySecureVM és a MySecureVault elemet az értékekre.

     $KVRGname = 'MyKeyVaultResourceGroup';
     $VMRGName = 'MyVirtualMachineResourceGroup';
     $vmName = 'MySecureVM';
     $KeyVaultName = 'MySecureVault';
     $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
     $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
     $KeyVaultResourceId = $KeyVault.ResourceId;
    
     Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;
    
  • Futó virtuális gép titkosítása a KEK használatával:

    $KVRGname = 'MyKeyVaultResourceGroup';
    $VMRGName = 'MyVirtualMachineResourceGroup';
    $vmName = 'MyExtraSecureVM';
    $KeyVaultName = 'MySecureVault';
    $keyEncryptionKeyName = 'MyKeyEncryptionKey';
    $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
    $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
    $KeyVaultResourceId = $KeyVault.ResourceId;
    $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
    
    Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;
    
    

    Megjegyzés

    A disk-encryption-keyvault paraméter értékének szintaxisa a teljes azonosító sztring: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
    A kulcstitkosítási kulcs paraméter értékének szintaxisa a KEK teljes URI-ja, mint a következőben: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

  • Ellenőrizze, hogy a lemezek titkosítva vannak-e: Az IaaS virtuális gépek titkosítási állapotának ellenőrzéséhez használja a Get-AzVmDiskEncryptionStatus parancsmagot.

    Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
    

A titkosítás letiltásához lásd : Titkosítás letiltása és a titkosítási bővítmény eltávolítása.

Titkosítás engedélyezése meglévő vagy futó virtuális gépeken az Azure CLI-vel

Az az vm encryption enable paranccsal engedélyezheti a titkosítást egy futó IaaS virtuális gépen az Azure-ban.

  • Futó virtuális gép titkosítása:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]
    
  • Futó virtuális gép titkosítása a KEK használatával:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
    

    Megjegyzés

    A disk-encryption-keyvault paraméter értékének szintaxisa a teljes azonosító sztring: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
    A kulcstitkosítási kulcs paraméter értékének szintaxisa a KEK teljes URI-ja, mint a következőben: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

  • Ellenőrizze, hogy a lemezek titkosítva vannak-e: Egy IaaS virtuális gép titkosítási állapotának ellenőrzéséhez használja az az vm encryption show parancsot.

    az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
    

A titkosítás letiltásához lásd : Titkosítás letiltása és a titkosítási bővítmény eltávolítása.

A Resource Manager-sablon használata

A meglévő vagy az Azure-ban futó IaaS Windows rendszerű virtuális gépek lemeztitkosítását a Resource Manager-sablonnal engedélyezheti egy futó Windows rendszerű virtuális gép titkosításához.

  1. Az Azure rövid útmutatósablonján kattintson az Üzembe helyezés az Azure-ban elemre.

  2. Válassza ki az előfizetést, az erőforráscsoportot, a helyet, a beállításokat, a jogi feltételeket és a szerződést. A Vásárlás gombra kattintva engedélyezheti a titkosítást a meglévő vagy futó IaaS virtuális gépen.

Az alábbi táblázat a meglévő vagy futó virtuális gépek Resource Manager-sablonparamétereit sorolja fel:

Paraméter Leírás
vmName A titkosítási művelet futtatásához használt virtuális gép neve.
keyVaultName Annak a kulcstartónak a neve, amelybe a BitLocker-kulcsot fel kell tölteni. A parancsmaggal (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname vagy az Azure CLI-paranccsal szerezheti be az keyvault list --resource-group "MyKeyVaultResourceGroup"
keyVaultResourceGroup A kulcstartót tartalmazó erőforráscsoport neve
keyEncryptionKeyURL A kulcstitkosítási kulcs URL-címe https://< keyvault-name.vault.azure.net/key/>< key-name> formátumban. Ha nem szeretne KEK-t használni, hagyja üresen ezt a mezőt.
volumeType A titkosítási művelet által végrehajtott kötet típusa. Az érvényes értékek az operációs rendszer, az adatok és az összes.
forceUpdateTag Adjon meg egyedi értéket, például GUID-t minden alkalommal, amikor a műveletet kényszeríteni kell.
resizeOSDisk Ha az operációsrendszer-partíciót úgy kell átméretezni, hogy teljes operációsrendszer-VHD-t foglaljon el a rendszerkötet felosztása előtt.
hely Az összes erőforrás helyei.

Titkosítás engedélyezése NVMe-lemezeken Lsv2 virtuális gépekhez

Ez a forgatókönyv az Azure Disk Encryption engedélyezését ismerteti NVMe-lemezeken Lsv2 sorozatú virtuális gépekhez. Az Lsv2 sorozat helyi NVMe-tárolót tartalmaz. A helyi NVMe-lemezek ideiglenesek, és az adatok elvesznek ezeken a lemezeken, ha leállítja/felszabadítja a virtuális gépet (lásd: Lsv2-sorozat).

A titkosítás engedélyezése NVMe-lemezeken:

  1. Inicializálja az NVMe-lemezeket, és hozzon létre NTFS-köteteket.
  2. Engedélyezze a titkosítást a virtuális gépen a VolumeType paraméter All értékre van állítva. Ez lehetővé teszi az összes operációs rendszer és adatlemez titkosítását, beleértve az NVMe-lemezek által támogatott köteteket is. További információ: Titkosítás engedélyezése meglévő vagy futó Windows rendszerű virtuális gépen.

A titkosítás a következő esetekben marad meg az NVMe-lemezeken:

  • Virtuális gép újraindítása
  • Virtuálisgép-méretezési csoport újraimage
  • Operációs rendszer felcserélése

Az NVMe-lemezek nem lesznek inicializálva a következő forgatókönyvekben:

  • Virtuális gép indítása a felszabadítás után
  • Szolgáltatásjavítás
  • Backup

Ezekben az esetekben az NVMe-lemezeket a virtuális gép elindítása után inicializálni kell. Az NVMe-lemezek titkosításának engedélyezéséhez futtassa a parancsot az Azure Disk Encryption engedélyezéséhez az NVMe-lemezek inicializálása után.

A Korlátozások szakaszban felsorolt forgatókönyvek mellett az NVMe-lemezek titkosítása nem támogatott a következő esetekben:

Ügyfél által titkosított VHD-ből és titkosítási kulcsokból létrehozott új IaaS virtuális gépek

Ebben a forgatókönyvben egy előre titkosított VHD-ből és a hozzá tartozó titkosítási kulcsokból hozhat létre új virtuális gépet PowerShell-parancsmagok vagy PARANCSSOR-parancsok használatával.

Használja az előre titkosított Windows VHD előkészítése című témakör utasításait. A rendszerkép létrehozása után a következő szakaszban ismertetett lépésekkel létrehozhat egy titkosított Azure-beli virtuális gépet.

Virtuális gépek titkosítása előre titkosított virtuális merevlemezekkel az Azure PowerShell használatával

A titkosított VHD-n engedélyezheti a lemeztitkosítást a Set-AzVMOSDisk PowerShell-parancsmaggal. Az alábbi példa néhány gyakori paramétert mutat be.

$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"

Titkosítás engedélyezése újonnan hozzáadott adatlemezen

Új lemezt a PowerShell vagy az Azure Portal használatával adhat hozzá Egy Windows rendszerű virtuális géphez.

Megjegyzés

Az újonnan hozzáadott adatlemeztitkosítást csak a PowerShell vagy a parancssori felület használatával lehet engedélyezni. Az Azure Portal jelenleg nem támogatja az új lemezek titkosításának engedélyezését.

Titkosítás engedélyezése újonnan hozzáadott lemezen az Azure PowerShell használatával

Ha a PowerShell használatával titkosít egy új lemezt Windows rendszerű virtuális gépekhez, új sorozatverziót kell megadni. A sorozatverziónak egyedinek kell lennie. Az alábbi szkript létrehoz egy GUID azonosítót a sorozatverzióhoz. Bizonyos esetekben előfordulhat, hogy az újonnan hozzáadott adatlemezeket az Azure Disk Encryption bővítmény automatikusan titkosítja. Az automatikus titkosítás általában akkor fordul elő, ha a virtuális gép az új lemez online állapotba helyezése után újraindul. Ennek oka általában az, hogy a kötettípushoz "Minden" van megadva, amikor a lemeztitkosítás korábban a virtuális gépen futott. Ha az automatikus titkosítás egy újonnan hozzáadott adatlemezen történik, javasoljuk, hogy futtassa újra a Set-AzVmDiskEncryptionExtension parancsmagot új sorozatverzióval. Ha az új adatlemez automatikusan titkosítva van, és nem szeretné, hogy titkosítva legyen, először fejtse vissza az összes meghajtót, majd egy új sorozatverzióval, amely megadja a kötettípus operációs rendszerét.

  • Futó virtuális gép titkosítása: Az alábbi szkript inicializálja a változókat, és futtatja a Set-AzVMDiskEncryptionExtension parancsmagot. Az erőforráscsoportnak, a virtuális gépnek és a kulcstartónak már előfeltételként létre kellett volna hoznia. Cserélje le a MyKeyVaultResourceGroup, a MyVirtualMachineResourceGroup, a MySecureVM és a MySecureVault elemet az értékekre. Ez a példa az "Összes" értéket használja a -VolumeType paraméterhez, amely az operációs rendszert és az adatköteteket is magában foglalja. Ha csak az operációsrendszer-kötetet szeretné titkosítani, használja az "OS" parancsot a -VolumeType paraméterhez.

     $KVRGname = 'MyKeyVaultResourceGroup';
     $VMRGName = 'MyVirtualMachineResourceGroup';
     $vmName = 'MySecureVM';
     $KeyVaultName = 'MySecureVault';
     $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
     $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
     $KeyVaultResourceId = $KeyVault.ResourceId;
     $sequenceVersion = [Guid]::NewGuid();
    
     Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
    
  • Futó virtuális gép titkosítása a KEK használatával: Ez a példa a -VolumeType paraméter "All" paraméterét használja, amely operációs rendszert és adatköteteket is tartalmaz. Ha csak az operációsrendszer-kötetet szeretné titkosítani, használja az "OS" parancsot a -VolumeType paraméterhez.

    $KVRGname = 'MyKeyVaultResourceGroup';
    $VMRGName = 'MyVirtualMachineResourceGroup';
    $vmName = 'MyExtraSecureVM';
    $KeyVaultName = 'MySecureVault';
    $keyEncryptionKeyName = 'MyKeyEncryptionKey';
    $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
    $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
    $KeyVaultResourceId = $KeyVault.ResourceId;
    $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
    $sequenceVersion = [Guid]::NewGuid();
    
    Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
    
    

    Megjegyzés

    A disk-encryption-keyvault paraméter értékének szintaxisa a teljes azonosító sztring: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
    A kulcstitkosítási kulcs paraméter értékének szintaxisa a KEK teljes URI-ja, mint a következőben: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

Titkosítás engedélyezése újonnan hozzáadott lemezen az Azure CLI-vel

Az Azure CLI-parancs automatikusan új sorozatverziót biztosít a parancs futtatásakor a titkosítás engedélyezéséhez. A példa az "Összes" értéket használja a kötettípus paraméterhez. Előfordulhat, hogy a kötettípus paraméterét operációs rendszerre kell módosítania, ha csak az operációsrendszer-lemezt titkosítja. A PowerShell-szintaxissal ellentétben a parancssori felület nem követeli meg, hogy a felhasználó egyedi sorozatverziót adjon meg a titkosítás engedélyezésekor. A parancssori felület automatikusan létrehozza és felhasználja a saját egyedi sorozatverzió-értékét.

  • Futó virtuális gép titkosítása:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "All"
    
  • Futó virtuális gép titkosítása a KEK használatával:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "All"
    

Titkosítás letiltása és a titkosítási bővítmény eltávolítása

Letilthatja az Azure lemeztitkosítási bővítményt, és eltávolíthatja az Azure lemeztitkosítási bővítményt. Ez két különböző művelet.

Az ADE eltávolításához javasoljuk, hogy először tiltsa le a titkosítást, majd távolítsa el a bővítményt. Ha letiltás nélkül távolítja el a titkosítási bővítményt, a lemezek továbbra is titkosítva lesznek. Ha a bővítmény eltávolítása után letiltja a titkosítást, a bővítmény újra lesz telepítve (a visszafejtési művelet végrehajtásához), és másodszor el kell távolítani.

Titkosítás letiltása

Letilthatja a titkosítást az Azure PowerShell, az Azure CLI vagy egy Resource Manager-sablon használatával. A titkosítás letiltása nem távolítja el a bővítményt (lásd: A titkosítási bővítmény eltávolítása).

Figyelmeztetés

Az adatlemez titkosításának letiltása, ha az operációs rendszer és az adatlemezek titkosítása is megtörtént, váratlan eredményekhez vezethet. Tiltsa le a titkosítást az összes lemezen.

A titkosítás letiltása elindítja a BitLocker háttérfolyamatát a lemezek visszafejtéséhez. Ennek a folyamatnak elegendő időt kell biztosítani a titkosítás újbóli engedélyezésének megkísérlése előtt.

  • Lemeztitkosítás letiltása az Azure PowerShell használatával: A titkosítás letiltásához használja a Disable-AzVMDiskEncryption parancsmagot.

    Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "all"
    
  • Titkosítás letiltása az Azure CLI-vel: A titkosítás letiltásához használja az az vm encryption disable parancsot.

    az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "all"
    
  • Titkosítás letiltása Resource Manager-sablonnal:

    1. A Windows rendszerű virtuálisgép-sablon lemeztitkosításának letiltása című témakörben kattintson az Üzembe helyezés az Azure-ba elemre.
    2. Válassza ki az előfizetést, az erőforráscsoportot, a helyet, a virtuális gépet, a kötet típusát, a jogi feltételeket és a szerződést.
    3. A Vásárlás gombra kattintva letilthatja a lemeztitkosítást egy futó Windows rendszerű virtuális gépen.

A titkosítási bővítmény eltávolítása

Ha vissza szeretné fejteni a lemezeket, és el szeretné távolítani a titkosítási bővítményt, a bővítmény eltávolítása előtt le kell tiltania a titkosítást. Lásd: titkosítás letiltása.

A titkosítási bővítményt az Azure PowerShell vagy az Azure CLI használatával távolíthatja el.

  • Lemeztitkosítás letiltása az Azure PowerShell használatával: A titkosítás eltávolításához használja a Remove-AzVMDiskEncryptionExtension parancsmagot.

    Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"
    
  • Titkosítás letiltása az Azure CLI-vel: A titkosítás eltávolításához használja az az vm extension delete parancsot.

    az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryption"
    

Következő lépések