Azure Disk Encryption a Microsoft Entra ID-val Windows rendszerű virtuális gépekhez (korábbi kiadás)
A következőkre vonatkozik: ✔️ Windows rendszerű virtuális gépek
Az Azure Disk Encryption új kiadása szükségtelenné teszi a Microsoft Entra alkalmazásparaméter biztosítását a virtuálisgép-lemez titkosításának engedélyezéséhez. Az új kiadással már nem kell megadnia a Microsoft Entra hitelesítő adatait az engedélyezési titkosítási lépés során. Az új kiadással minden új virtuális gépet titkosítani kell a Microsoft Entra alkalmazásparaméterei nélkül. A virtuálisgép-lemeztitkosítás új kiadással való engedélyezésére vonatkozó utasításokat a Windows rendszerű virtuális gépek Azure Disk Encryption című témakörben tekintheti meg. A Microsoft Entra alkalmazásparaméterekkel már titkosított virtuális gépek továbbra is támogatottak, és továbbra is a Microsoft Entra szintaxissal kell fenntartani őket.
Számos lemeztitkosítási forgatókönyvet engedélyezhet, és a lépések a forgatókönyvtől függően változhatnak. Az alábbi szakaszok részletesebben ismertetik a Windows IaaS rendszerű virtuális gépek forgatókönyveit. A lemeztitkosítás használata előtt be kell fejezni az Azure Disk Encryption előfeltételeit .
Fontos
A lemezek titkosítása előtt készítenie kell egy pillanatképet és/vagy létre kell hoznia egy biztonsági másolatot. A biztonsági mentések biztosítják, hogy lehetséges legyen a helyreállítási lehetőség, ha váratlan hiba történik a titkosítás során. A felügyelt lemezekkel rendelkező virtuális gépeken biztonsági mentésre van szükség a titkosítás előtt. A biztonsági mentést követően a Set-AzVMDiskEncryptionExtension parancsmaggal titkosíthatja a felügyelt lemezeket a -skipVmBackup paraméter megadásával. Ha további tájékoztatásra van szüksége a titkosított virtuális gépek biztonsági mentéséről és visszaállításáról, olvassa el az Azure-beli virtuális gépek biztonsági mentéséről és visszaállításáról szóló szakaszt.
A titkosítás vagy a titkosítás letiltása a virtuális gép újraindítását okozhatja.
Titkosítás engedélyezése a Marketplace-ről létrehozott új IaaS virtuális gépeken
Resource Manager-sablonnal engedélyezheti a lemeztitkosítást az új IaaS Windows rendszerű virtuális gépeken az Azure Marketplace-en. A sablon egy új titkosított Windows rendszerű virtuális gépet hoz létre a Windows Server 2012 katalógusképével.
A Resource Manager-sablonban kattintson az Üzembe helyezés az Azure-ban elemre.
Válassza ki az előfizetést, az erőforráscsoportot, az erőforráscsoport helyét, a paramétereket, a jogi feltételeket és a szerződést. Kattintson a Vásárlás gombra egy új IaaS virtuális gép üzembe helyezéséhez, ahol engedélyezve van a titkosítás.
A sablon üzembe helyezése után ellenőrizze a virtuális gép titkosítási állapotát az előnyben részesített módszerrel:
Ellenőrizze az Azure CLI-vel az az vm encryption show paranccsal.
az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"Ellenőrizze az Azure PowerShell-lel a Get-AzVmDiskEncryptionStatus parancsmaggal.
Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'Válassza ki a virtuális gépet, majd kattintson a Lemezek elemre a Beállítások fejléc alatt a titkosítás állapotának ellenőrzéséhez a portálon. A Titkosítás alatti diagramon láthatja, hogy engedélyezve van-e.
Az alábbi táblázat az új virtuális gépek Resource Manager-sablonparamétereit sorolja fel a Marketplace-forgatókönyvből a Microsoft Entra ügyfélazonosítójával:
| Paraméter | Leírás |
|---|---|
| adminUserName | A virtuális gép rendszergazdai felhasználóneve. |
| adminPassword | A virtuális gép rendszergazdai felhasználói jelszava. |
| newStorageAccountName | Az operációs rendszer és az adat virtuális merevlemezek tárolására szolgáló tárfiók neve. |
| vmSize | A virtuális gép mérete. Jelenleg csak a Standard A, D és G sorozat támogatott. |
| virtualNetworkName | Annak a virtuális hálózatnak a neve, amelyhez a virtuális gép hálózati adapterének tartoznia kell. |
| alhálózatnév | Annak a virtuális hálózatnak az alhálózata, amelyhez a virtuálisgép-hálózati adapternek tartoznia kell. |
| AADClientID | Annak a Microsoft Entra-alkalmazásnak az ügyfélazonosítója, amely rendelkezik titkos kulcsok kulcstartóba írására vonatkozó engedélyekkel. |
| AADClientSecret | A Titkos kulcsok kulcstartóba írására jogosult Microsoft Entra-alkalmazás ügyféltitkai. |
| keyVaultURL | Annak a kulcstartónak az URL-címe, amelybe a BitLocker-kulcsot fel kell tölteni. A parancsmaggal (Get-AzKeyVault -VaultName "MyKeyVault" -ResourceGroupName "MyKeyVaultResourceGroupName").VaultURI vagy az Azure CLI-vel szerezheti be az keyvault show --name "MySecureVault" --query properties.vaultUri |
| keyEncryptionKeyURL | A generált BitLocker-kulcs titkosításához használt kulcstitkosítási kulcs URL-címe (nem kötelező). A KeyEncryptionKeyURL nem kötelező paraméter. Saját KEK-t is használhat a kulcstartóban található adattitkosítási kulcs (Jelszókulcs) további védelméhez. |
| keyVaultResourceGroup | A kulcstartó erőforráscsoportja. |
| vmName | Annak a virtuális gépnek a neve, amelyen a titkosítási műveletet végre kell hajtani. |
Titkosítás engedélyezése meglévő vagy futó IaaS Windows rendszerű virtuális gépeken
Ebben a forgatókönyvben a titkosítást sablon, PowerShell-parancsmagok vagy CLI-parancsok használatával engedélyezheti. Az alábbi szakaszok részletesebben ismertetik az Azure Disk Encryption engedélyezésének módját.
Titkosítás engedélyezése meglévő vagy futó virtuális gépeken az Azure PowerShell használatával
A Set-AzVMDiskEncryptionExtension parancsmaggal engedélyezheti a titkosítást egy futó IaaS virtuális gépen az Azure-ban. Az Azure Disk Encryption és a PowerShell-parancsmagok használatával történő titkosítás engedélyezéséről további információt az Azure Disk Encryption felfedezése az Azure PowerShell-lel – 1 . rész és az Azure Disk Encryption felfedezése az Azure PowerShell-lel – 2. rész.
Futó virtuális gép titkosítása ügyfélkód használatával: Az alábbi szkript inicializálja a változókat, és futtatja a Set-AzVMDiskEncryptionExtension parancsmagot. Az erőforráscsoportnak, a virtuális gépnek, a key vaultnak, a Microsoft Entra alkalmazásnak és az ügyfél titkos kódjának már előfeltételként létre kellett volna hoznia. Cserélje le a MyKeyVaultResourceGroup, a MyVirtualMachineResourceGroup, a MySecureVM, a MySecureVault, a My-AAD-client-ID és a My-AAD-client-secret értéket az értékeire.
$KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MySecureVM'; $aadClientID = 'My-AAD-client-ID'; $aadClientSecret = 'My-AAD-client-secret'; $KeyVaultName = 'MySecureVault'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;Futó virtuális gép titkosítása a KEK használatával az ügyfél titkos kódjának körbefuttatásához: Az Azure Disk Encryption lehetővé teszi egy meglévő kulcs megadását a kulcstartóban a titkosítás engedélyezése során létrehozott lemeztitkosítási titkos kulcsok burkolásához. Kulcstitkosítási kulcs megadásakor az Azure Disk Encryption ezzel a kulccsal csomagolja be a titkosítási titkos kulcsokat, mielőtt a Key Vaultba ír.
$KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MyExtraSecureVM'; $aadClientID = 'My-AAD-client-ID'; $aadClientSecret = 'My-AAD-client-secret'; $KeyVaultName = 'MySecureVault'; $keyEncryptionKeyName = 'MyKeyEncryptionKey'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid; Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;Feljegyzés
A disk-encryption-keyvault paraméter értékének szintaxisa a teljes azonosító sztring: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
A kulcstitkosítási kulcs paraméter értékének szintaxisa a KEK teljes URI-ja, mint a következőben: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]Ellenőrizze, hogy a lemezek titkosítva vannak-e: Az IaaS virtuális gépek titkosítási állapotának ellenőrzéséhez használja a Get-AzVmDiskEncryptionStatus parancsmagot.
Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'Lemeztitkosítás letiltása: A titkosítás letiltásához használja a Disable-AzureRmVMDiskEncryption parancsmagot.
Disable-AzVMDiskEncryption -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
Titkosítás engedélyezése meglévő vagy futó virtuális gépeken az Azure CLI-vel
Az az vm encryption enable paranccsal engedélyezheti a titkosítást egy futó IaaS virtuális gépen az Azure-ban.
Futó virtuális gép titkosítása ügyfélkód használatával:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --aad-client-id "<my spn created with CLI/my Azure AD ClientID>" --aad-client-secret "My-AAD-client-secret" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]Futó virtuális gép titkosítása a KEK használatával az ügyfél titkos kódjának körbefuttatásához:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --aad-client-id "<my spn created with CLI which is the Azure AD ClientID>" --aad-client-secret "My-AAD-client-secret" --disk-encryption-keyvault "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]Feljegyzés
A disk-encryption-keyvault paraméter értékének szintaxisa a teljes azonosító sztring: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
A kulcstitkosítási kulcs paraméter értékének szintaxisa a KEK teljes URI-ja, mint a következőben: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]Ellenőrizze, hogy a lemezek titkosítva vannak-e: Egy IaaS virtuális gép titkosítási állapotának ellenőrzéséhez használja az az vm encryption show parancsot.
az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"Titkosítás letiltása: A titkosítás letiltásához használja az az vm encryption disable parancsot.
az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type [ALL, DATA, OS]
A Resource Manager-sablon használata
A meglévő vagy az Azure-ban futó IaaS Windows rendszerű virtuális gépek lemeztitkosítását a Resource Manager-sablonnal engedélyezheti egy futó Windows rendszerű virtuális gép titkosításához.
Az Azure rövid útmutatósablonján kattintson az Üzembe helyezés az Azure-ban elemre.
Válassza ki az előfizetést, az erőforráscsoportot, az erőforráscsoport helyét, a paramétereket, a jogi feltételeket és a szerződést. A Vásárlás gombra kattintva engedélyezheti a titkosítást a meglévő vagy futó IaaS virtuális gépen.
Az alábbi táblázat a Microsoft Entra ügyfélazonosítót használó meglévő vagy futó virtuális gépek Resource Manager-sablonparamétereit sorolja fel:
| Paraméter | Leírás |
|---|---|
| AADClientID | Annak a Microsoft Entra-alkalmazásnak az ügyfélazonosítója, amely rendelkezik titkos kulcsok kulcstartóba írására vonatkozó engedélyekkel. |
| AADClientSecret | A Titkos kulcsok kulcstartóba írására jogosult Microsoft Entra-alkalmazás ügyféltitkai. |
| keyVaultName | Annak a kulcstartónak a neve, amelybe a BitLocker-kulcsot fel kell tölteni. A parancsmaggal (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname vagy az Azure CLI-paranccsal szerezheti be az keyvault list --resource-group "MySecureGroup" |
| keyEncryptionKeyURL | A generált BitLocker-kulcs titkosításához használt kulcstitkosítási kulcs URL-címe. Ez a paraméter nem kötelező, ha a UseExistingKek legördülő listában a nokek lehetőséget választja. Ha a UseExistingKek legördülő listában a kek értéket választja, meg kell adnia a keyEncryptionKeyURL értéket. |
| volumeType | A titkosítási művelet által végrehajtott kötet típusa. Az érvényes értékek az operációs rendszer, az adatok és az összes. |
| sequenceVersion | A BitLocker művelet sorozatverziója. Növelje ezt a verziószámot minden alkalommal, amikor lemeztitkosítási műveletet hajt végre ugyanazon a virtuális gépen. |
| vmName | Annak a virtuális gépnek a neve, amelyen a titkosítási műveletet végre kell hajtani. |
Ügyfél által titkosított VHD-ből és titkosítási kulcsokból létrehozott új IaaS virtuális gépek
Ebben a forgatókönyvben engedélyezheti a titkosítást a Resource Manager-sablon, a PowerShell-parancsmagok vagy a CLI-parancsok használatával. A következő szakaszok részletesebben ismertetik a Resource Manager-sablont és a parancssori felület parancsait.
Az Azure-ban használható előre titkosított rendszerképek előkészítéséhez használja a függelékben található utasításokat. A rendszerkép létrehozása után a következő szakaszban ismertetett lépésekkel létrehozhat egy titkosított Azure-beli virtuális gépet.
Virtuális gépek titkosítása előre titkosított virtuális merevlemezekkel az Azure PowerShell használatával
A titkosított VHD-n engedélyezheti a lemeztitkosítást a Set-AzVMOSDisk PowerShell-parancsmaggal. Az alábbi példa néhány gyakori paramétert mutat be.
$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"
Titkosítás engedélyezése újonnan hozzáadott adatlemezen
Új lemezt a PowerShell vagy az Azure Portal használatával adhat hozzá Egy Windows rendszerű virtuális géphez.
Titkosítás engedélyezése újonnan hozzáadott lemezen az Azure PowerShell használatával
Ha a PowerShell használatával titkosít egy új lemezt Windows rendszerű virtuális gépekhez, új sorozatverziót kell megadni. A sorozatverziónak egyedinek kell lennie. Az alábbi szkript létrehoz egy GUID azonosítót a sorozatverzióhoz. Bizonyos esetekben előfordulhat, hogy az újonnan hozzáadott adatlemezeket az Azure Disk Encryption bővítmény automatikusan titkosítja. Az automatikus titkosítás általában akkor fordul elő, ha a virtuális gép az új lemez online állapotba helyezése után újraindul. Ennek oka általában az, hogy a kötettípushoz "Minden" van megadva, amikor a lemeztitkosítás korábban a virtuális gépen futott. Ha az automatikus titkosítás egy újonnan hozzáadott adatlemezen történik, javasoljuk, hogy futtassa újra a Set-AzVmDiskEncryptionExtension parancsmagot új sorozatverzióval. Ha az új adatlemez automatikusan titkosítva van, és nem szeretné, hogy titkosítva legyen, először fejtse vissza az összes meghajtót, majd egy új sorozatverzióval, amely megadja a kötettípus operációs rendszerét.
Futó virtuális gép titkosítása ügyfélkód használatával: Az alábbi szkript inicializálja a változókat, és futtatja a Set-AzVMDiskEncryptionExtension parancsmagot. Az erőforráscsoportnak, a virtuális gépnek, a key vaultnak, a Microsoft Entra alkalmazásnak és az ügyfél titkos kódjának már előfeltételként létre kellett volna hoznia. Cserélje le a MyKeyVaultResourceGroup, a MyVirtualMachineResourceGroup, a MySecureVM, a MySecureVault, a My-AAD-client-ID és a My-AAD-client-secret értéket az értékeire. Ez a példa az "Összes" értéket használja a -VolumeType paraméterhez, amely az operációs rendszert és az adatköteteket is magában foglalja. Ha csak az operációsrendszer-kötetet szeretné titkosítani, használja az "OS" parancsot a -VolumeType paraméterhez.
$sequenceVersion = [Guid]::NewGuid(); $KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MySecureVM'; $aadClientID = 'My-AAD-client-ID'; $aadClientSecret = 'My-AAD-client-secret'; $KeyVaultName = 'MySecureVault'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType 'all' –SequenceVersion $sequenceVersion;Futó virtuális gép titkosítása a KEK használatával az ügyfél titkos kódjának körbefuttatásához: Az Azure Disk Encryption lehetővé teszi egy meglévő kulcs megadását a kulcstartóban a titkosítás engedélyezése során létrehozott lemeztitkosítási titkos kulcsok burkolásához. Kulcstitkosítási kulcs megadásakor az Azure Disk Encryption ezzel a kulccsal csomagolja be a titkosítási titkos kulcsokat, mielőtt a Key Vaultba ír. Ez a példa az "Összes" értéket használja a -VolumeType paraméterhez, amely az operációs rendszert és az adatköteteket is magában foglalja. Ha csak az operációsrendszer-kötetet szeretné titkosítani, használja az "OS" parancsot a -VolumeType paraméterhez.
$sequenceVersion = [Guid]::NewGuid(); $KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MyExtraSecureVM'; $aadClientID = 'My-AAD-client-ID'; $aadClientSecret = 'My-AAD-client-secret'; $KeyVaultName = 'MySecureVault'; $keyEncryptionKeyName = 'MyKeyEncryptionKey'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid; Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType 'all' –SequenceVersion $sequenceVersion;Feljegyzés
A disk-encryption-keyvault paraméter értékének szintaxisa a teljes azonosító sztring: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
A kulcstitkosítási kulcs paraméter értékének szintaxisa a KEK teljes URI-ja, mint a következőben: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]
Titkosítás engedélyezése újonnan hozzáadott lemezen az Azure CLI-vel
Az Azure CLI-parancs automatikusan új sorozatverziót biztosít a parancs futtatásakor a titkosítás engedélyezéséhez. A kötet-yype paraméter elfogadható értékei az Összes, az Operációs rendszer és az Adatok. Előfordulhat, hogy a kötettípus paraméterét operációs rendszerre vagy adatokra kell módosítania, ha csak egy lemeztípust titkosít a virtuális géphez. A példák az "Összes" értéket használják a kötettípus paraméterhez.
Futó virtuális gép titkosítása ügyfélkód használatával:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --aad-client-id "<my spn created with CLI/my Azure AD ClientID>" --aad-client-secret "My-AAD-client-secret" --disk-encryption-keyvault "MySecureVault" --volume-type "All"Futó virtuális gép titkosítása a KEK használatával az ügyfél titkos kódjának körbefuttatásához:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --aad-client-id "<my spn created with CLI which is the Azure AD ClientID>" --aad-client-secret "My-AAD-client-secret" --disk-encryption-keyvault "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "all"
Titkosítás engedélyezése a Microsoft Entra ügyféltanúsítvány-alapú hitelesítéssel.
Az ügyféltanúsítvány-hitelesítés kEK-vel vagy anélkül is használható. A PowerShell-szkriptek használata előtt már fel kell töltenie a tanúsítványt a kulcstartóba, és üzembe kell helyeznie a virtuális gépen. Ha a KEK-t is használja, a KEK-nek már léteznie kell. További információ: A Microsoft Entra ID tanúsítványalapú hitelesítése az előfeltételekről szóló cikk szakaszában.
Titkosítás engedélyezése tanúsítványalapú hitelesítéssel az Azure PowerShell-lel
## Fill in 'MyVirtualMachineResourceGroup', 'MyKeyVaultResourceGroup', 'My-AAD-client-ID', 'MySecureVault, and 'MySecureVM'.
$VMRGName = 'MyVirtualMachineResourceGroup'
$KVRGname = 'MyKeyVaultResourceGroup';
$AADClientID ='My-AAD-client-ID';
$KeyVaultName = 'MySecureVault';
$VMName = 'MySecureVM';
$KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
$diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
$KeyVaultResourceId = $KeyVault.ResourceId;
# Fill in the certificate path and the password so the thumbprint can be set as a variable.
$certPath = '$CertPath = "C:\certificates\mycert.pfx';
$CertPassword ='Password'
$Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($CertPath, $CertPassword)
$aadClientCertThumbprint = $cert.Thumbprint;
# Enable disk encryption using the client certificate thumbprint
Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $VMName -AadClientID $AADClientID -AadClientCertThumbprint $AADClientCertThumbprint -DiskEncryptionKeyVaultUrl $DiskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId
Titkosítás engedélyezése tanúsítványalapú hitelesítés és KEK használatával az Azure PowerShell használatával
# Fill in 'MyVirtualMachineResourceGroup', 'MyKeyVaultResourceGroup', 'My-AAD-client-ID', 'MySecureVault,, 'MySecureVM', and "KEKName.
$VMRGName = 'MyVirtualMachineResourceGroup';
$KVRGname = 'MyKeyVaultResourceGroup';
$AADClientID ='My-AAD-client-ID';
$KeyVaultName = 'MySecureVault';
$VMName = 'MySecureVM';
$keyEncryptionKeyName ='KEKName';
$KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
$diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
$KeyVaultResourceId = $KeyVault.ResourceId;
$keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
## Fill in the certificate path and the password so the thumbprint can be read and set as a variable.
$certPath = '$CertPath = "C:\certificates\mycert.pfx';
$CertPassword ='Password'
$Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($CertPath, $CertPassword)
$aadClientCertThumbprint = $cert.Thumbprint;
# Enable disk encryption using the client certificate thumbprint and a KEK
Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $VMName -AadClientID $AADClientID -AadClientCertThumbprint $AADClientCertThumbprint -DiskEncryptionKeyVaultUrl $DiskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId
Titkosítás letiltása
Letilthatja a titkosítást az Azure PowerShell, az Azure CLI vagy egy Resource Manager-sablon használatával.
Lemeztitkosítás letiltása az Azure PowerShell használatával: A titkosítás letiltásához használja a Disable-AzureRmVMDiskEncryption parancsmagot.
Disable-AzVMDiskEncryption -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'Titkosítás letiltása az Azure CLI-vel: A titkosítás letiltásához használja az az vm encryption disable parancsot.
az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type [ALL, DATA, OS]Titkosítás letiltása Resource Manager-sablonnal:
- A Windows rendszerű virtuálisgép-sablon lemeztitkosításának letiltása című témakörben kattintson az Üzembe helyezés az Azure-ba elemre.
- Válassza ki az előfizetést, az erőforráscsoportot, a helyet, a virtuális gépet, a jogi feltételeket és a szerződést.
- A Vásárlás gombra kattintva letilthatja a lemeztitkosítást egy futó Windows rendszerű virtuális gépen.