Scenari di crittografia dischi di Azure per macchine virtuali Windows

Si applica a: ✔️ Set di scalabilità flessibili di macchine virtuali ✔️ Windows

Crittografia dischi di Azure per macchine virtuali Windows usa la funzionalità BitLocker di Windows per offrire la crittografia completa del disco del sistema operativo e dei dischi dati. Offre inoltre la crittografia del disco temporaneo quando il parametro VolumeType è All.

Crittografia dischi di Azure è integrato con Azure Key Vault per consentire il controllo e la gestione dei segreti e delle chiavi di crittografia dei dischi. Per una panoramica del servizio, vedere Crittografia dischi di Azure per macchine virtuali Windows.

Prerequisiti

È possibile applicare la crittografia del disco solo alle macchine virtuali con dimensioni e sistemi operativi supportati. È anche necessario soddisfare i prerequisiti seguenti:

• Requisiti di rete
• Requisiti di Criteri di gruppo
• Requisiti di archiviazione delle chiavi di crittografia

Restrizioni

Se in precedenza è stata usata la funzionalità Crittografia dischi di Azure con Microsoft Entra ID per crittografare una macchina virtuale, sarà necessario continuare a usare questa opzione per crittografarla. Per altre informazioni, vedere Crittografia dischi di Azure con Microsoft Entra ID (versione precedente).

In tutti i casi, è consigliabile creare uno snapshot e/o un backup prima che i dischi vengano crittografati. I backup garantiscono la disponibilità di un'opzione di ripristino nel caso si verifichi un errore imprevisto durante la crittografia. Le macchine virtuali con dischi gestiti richiedono il backup prima della crittografia. Dopo aver eseguito un backup, è possibile usare il cmdlet Set-AzVMDiskEncryptionExtension per crittografare i dischi gestiti specificando il parametro -skipVmBackup. Per altre informazioni su come eseguire il backup e il ripristino di macchine virtuali crittografate, vedere Eseguire il backup e ripristinare una macchina virtuale di Azure crittografata.

La crittografia o la disabilitazione della crittografia può causare il riavvio di una macchina virtuale.

Crittografia dischi di Azure non funziona per gli scenari, le funzionalità e la tecnologia seguenti:

• Crittografia di una macchina virtuale o di macchine virtuali di livello Basic create tramite il metodo di creazione classico.
• Crittografia delle macchine virtuali configurate con sistemi RAID basati su software.
• Crittografia delle macchine virtuali configurate con Spazi di archiviazione diretta (S2D) o versioni di Windows Server precedenti alla versione 2016 configurata con Windows Archiviazione Spaces.
• Integrazione con un sistema di gestione delle chiavi locale.
• File di Azure (file system condiviso).
• NFS (Network File System).
• Volumi dinamici.
• Contenitori di Windows Server, che creano volumi dinamici per ogni contenitore.
• Dischi del sistema operativo temporanei.
• Dischi iSCSI.
• Crittografia di file system condivisi/distribuiti, ad esempio DFS, GFS, DRDB e CephFS.
• Spostamento di una macchina virtuale crittografata in un'altra sottoscrizione o area.
• Creazione di un'immagine o di uno snapshot di una macchina virtuale crittografata e di usarla per distribuire macchine virtuali aggiuntive.
• Macchine virtuali serie M con dischi dell'acceleratore di scrittura.
• Applicazione di Active Directory a una macchina virtuale con dischi crittografati con crittografia in host o crittografia lato server con chiavi gestite dal cliente (S edizione Standard + CMK). L'applicazione di S edizione Standard + CMK a un disco dati o l'aggiunta di un disco dati con S edizione Standard + CMK configurato per una macchina virtuale crittografata con AdE è anche uno scenario non supportato.
• Migrazione di una macchina virtuale crittografata con ADE o mai crittografata con AdE, alla crittografia in host o crittografia lato server con chiavi gestite dal cliente.
• Crittografia delle macchine virtuali nei cluster di failover.
• Crittografia dei dischi Ultra di Azure.
• Crittografia dei dischi SSD Premium v2.
• Crittografia delle macchine virtuali nelle sottoscrizioni con i Secrets should have the specified maximum validity period criteri abilitati con l'effetto DENY.
• Crittografia delle macchine virtuali nelle sottoscrizioni con i Key Vault secrets should have an expiration date criteri abilitati con l'effetto DENY

Installare gli strumenti e connettersi ad Azure

La funzionalità Crittografia dischi di Azure può essere abilitata e gestita tramite l'interfaccia della riga di comando di Azure e Azure PowerShell. A tale scopo, è necessario installare gli strumenti localmente e connettersi alla sottoscrizione di Azure.

Interfaccia della riga di comando di Azure

L'interfaccia della riga di comando di Azure 2.0 è uno strumento da riga di comando per la gestione delle risorse di Azure. L'interfaccia della riga di comando è progettata per eseguire query sui dati in modo flessibile, supportare operazioni a esecuzione prolungata come processi non bloccanti e semplificare la creazione di script. È possibile installarla in locale seguendo i passaggi descritti in Installare l'interfaccia della riga di comando di Azure..

Per accedere all'account di Azure con l'interfaccia della riga di comando di Azure, usare il comando az login.

az login

Per selezionare un tenant per l'accesso, usare:

az login --tenant <tenant>

In caso di più sottoscrizioni, per specificarne una in particolare è necessario ottenere l'elenco di sottoscrizioni tramite az account list (elenco account di accesso di AZ) e specificarla da az account set (imposta account di accesso di AZ).

az account list
az account set --subscription "<subscription name or ID>"

Per altre informazioni, vedere Azure Service Fabric e interfaccia della riga di comando di Azure 2.0.

Azure PowerShell

Il modulo az di Azure PowerShell offre un set di cmdlet che usano il modello Azure Resource Manager per la gestione delle risorse di Azure. È possibile usarlo nel browser con Azure Cloud Shell oppure installarlo nel computer locale seguendo le istruzioni disponibili in Installare il modulo Azure PowerShell.

Se è già installato in locale, assicurarsi di usare la versione più recente di Azure PowerShell SDK per configurare Crittografia dischi di Azure. Scaricare la versione più recente di Azure PowerShell.

Per accedere all'account di Azure con Azure PowerShell, usare il cmdlet Connect-AzAccount.

Connect-AzAccount

Se si hanno più sottoscrizioni e si vuole specificarne una, usare il cmdlet Get-AzSubscription per elencarle, seguito dal cmdlet Set-AzContext:

Set-AzContext -Subscription <SubscriptionId>

L'esecuzione del cmdlet Get-AzContext verifica la selezione della sottoscrizione corretta.

Per controllare che i cmdlet di Crittografia dischi di Azure siano installati, usare il cmdlet Get-command:

Get-command *diskencryption*

Per altre informazioni, vedere Introduzione ad Azure PowerShell.

Abilitare la crittografia in una macchina virtuale Windows esistente o in esecuzione

In questo scenario è possibile abilitare la crittografia usando il modello di Resource Manager, i cmdlet di PowerShell o i comandi dell'interfaccia della riga di comando. Per informazioni relative allo schema dell'estensione della macchina virtuale, leggere l'articolo Crittografia dischi di Azure per Windows.

Abilitare la crittografia in macchine virtuali esistenti o in esecuzione con Azure PowerShell

Usare il cmdlet Set-AzVMDiskEncryptionExtension per abilitare la crittografia in una macchina virtuale IaaS in esecuzione in Azure.

• Crittografare una macchina virtuale in esecuzione: lo script seguente inizializza le variabili ed esegue il cmdlet Set-AzVMDiskEncryptionExtension. Il gruppo di risorse, la macchina virtuale e l'insieme di credenziali delle chiavi dovrebbero essere già stati creati come prerequisiti. Sostituire MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM e MySecureVault con i valori specificati.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;
  

• Crittografare una macchina virtuale in esecuzione usando una chiave di crittografia della chiave:

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MyExtraSecureVM';
  $KeyVaultName = 'MySecureVault';
  $keyEncryptionKeyName = 'MyKeyEncryptionKey';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;
  
  

  Nota

  La sintassi per il valore del parametro disk-encryption-keyvault è la stringa di identificatore completa: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  La sintassi per il valore del parametro key-encryption-key è l'URI completo della chiave kek come in: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Verificare che i dischi siano crittografati: per verificare lo stato di crittografia di una macchina virtuale IaaS, usare il cmdlet Get-AzVmDiskEncryptionStatus .

  Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
  

Per disabilitare la crittografia, vedere Disabilitare la crittografia e rimuovere l'estensione di crittografia.

Abilitare la crittografia nelle macchine virtuali esistenti o in esecuzione con l'interfaccia della riga di comando di Azure

Usare il comando az vm encryption enable per abilitare la crittografia in una macchina virtuale IaaS in esecuzione in Azure.

• Crittografare una macchina virtuale in esecuzione:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]
  

• Crittografare una macchina virtuale in esecuzione usando una chiave di crittografia della chiave:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
  

  Nota

  La sintassi per il valore del parametro disk-encryption-keyvault è la stringa di identificatore completa: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  La sintassi per il valore del parametro key-encryption-key è l'URI completo della chiave kek come in: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Verificare che i dischi siano crittografati: per controllare lo stato di crittografia di una macchina virtuale IaaS, usare il comando az vm encryption show .

  az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
  

Per disabilitare la crittografia, vedere Disabilitare la crittografia e rimuovere l'estensione di crittografia.

Uso del modello di Resource Manager

È possibile abilitare la crittografia dei dischi nelle macchine virtuali IaaS Windows esistenti o in esecuzione in Azure usando il modello di Resource Manager per crittografare una macchina virtuale Windows in esecuzione.

1. Nel modello di avvio rapido di Azure fare clic su Deploy to Azure.

2. Selezionare la sottoscrizione, il gruppo di risorse, la posizione, le impostazioni, i termini legali e il contratto. Fare clic su Acquista per abilitare la crittografia in una macchina IaaS esistente o in esecuzione.

La tabella seguente elenca i parametri del modello di Resource Manager per macchine virtuali esistenti o in esecuzione:

Parametro	Descrizione
vmName	Nome della macchina virtuale per eseguire l'operazione di crittografia.
keyVaultName	Nome dell'insieme di credenziali delle chiavi in cui dovrà essere caricata la chiave BitLocker. È possibile ottenerlo usando il cmdlet (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname o il comando dell'interfaccia della riga di comando di Azure az keyvault list --resource-group "MyKeyVaultResourceGroup"
keyVaultResourceGroup	Nome del gruppo di risorse che contiene l'insieme di credenziali delle chiavi.
keyEncryptionKeyURL	URL della chiave di crittografia della chiave nel formato https:// keyvault-name.vault.azure.net/key/< key-name>>.< Se non si vuole usare una chiave kek, lasciare vuoto questo campo.
volumeType	Tipo del volume in cui viene eseguita l'operazione di crittografia. I valori validi sono OS, Data e All.
forceUpdateTag	Ogni volta che è necessario forzare l'esecuzione dell'operazione, passare un valore univoco, ad esempio un GUID.
resizeOSDisk	La partizione del sistema operativo deve essere ridimensionata in modo da occupare il disco rigido virtuale completo del sistema operativo prima della divisione del volume di sistema.
posizione	Località per tutte le risorse.

Abilitare la crittografia nei dischi NVMe per le macchine virtuali Lsv2

Questo scenario descrive l'abilitazione delle Crittografia dischi di Azure nei dischi NVMe per le macchine virtuali serie Lsv2. La serie Lsv2 include l'archiviazione NVMe locale. I dischi NVMe locali sono temporanei e i dati andranno persi in questi dischi se si arresta o dealloca la macchina virtuale (vedere: Serie Lsv2).

Per abilitare la crittografia nei dischi NVMe:

1. Inizializzare i dischi NVMe e creare volumi NTFS.
2. Abilitare la crittografia nella macchina virtuale con il parametro VolumeType impostato su All. In questo modo verrà abilitata la crittografia per tutti i dischi del sistema operativo e dei dati, inclusi i volumi supportati da dischi NVMe. Per informazioni, vedere Abilitare la crittografia in una macchina virtuale Windows esistente o in esecuzione.

La crittografia verrà mantenuta nei dischi NVMe negli scenari seguenti:

• Riavvio VM
• Ricreazione dell'immagine del set di scalabilità di macchine virtuali
• Scambia sistema operativo

I dischi NVMe non verranno inizializzati negli scenari seguenti:

• Avviare la macchina virtuale dopo la deallocazione
• Correzione del servizio
• Backup

In questi scenari, i dischi NVMe devono essere inizializzati dopo l'avvio della macchina virtuale. Per abilitare la crittografia nei dischi NVMe, eseguire il comando per abilitare di nuovo Crittografia dischi di Azure dopo l'inizializzazione dei dischi NVMe.

Oltre agli scenari elencati nella sezione Restrizioni , la crittografia dei dischi NVMe non è supportata per:

• Macchine virtuali crittografate con Crittografia dischi di Azure con MICROSOFT Entra ID (versione precedente)
• Dischi NVMe con spazi di archiviazione
• Azure Site Recovery degli SKU con dischi NVMe (vedere Matrice di supporto per il ripristino di emergenza di macchine virtuali di Azure tra aree di Azure: computer replicati - archiviazione).

Nuove macchine virtuali IaaS create da chiavi di crittografia e disco rigido virtuale crittografato dal cliente

In questo scenario è possibile creare una nuova macchina virtuale da un disco rigido virtuale pre-crittografato e dalle chiavi di crittografia associate usando i cmdlet di PowerShell o i comandi dell'interfaccia della riga di comando.

Usare le istruzioni in Preparare un disco rigido virtuale Windows pre-crittografato. Dopo aver creato l'immagine, è possibile usare i passaggi della sezione successiva per creare una VM di Azure crittografata.

Crittografare le macchine virtuali con dischi rigidi virtuali pre-crittografati con Azure PowerShell

È possibile abilitare la crittografia del disco nel disco rigido virtuale crittografato usando il cmdlet Set-AzVMOSDisk di PowerShell. L'esempio seguente offre alcuni parametri comuni.

$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"

Abilitare la crittografia in un disco dati appena aggiunto

È possibile aggiungere un nuovo disco a una macchina virtuale Windows con PowerShell o tramite il portale di Azure.

Nota

La crittografia del disco dati appena aggiunta deve essere abilitata solo tramite PowerShell o l'interfaccia della riga di comando. Attualmente, il portale di Azure non supporta l'abilitazione della crittografia nei nuovi dischi.

Abilitare la crittografia in un disco appena aggiunto con Azure PowerShell

Quando si usa PowerShell per crittografare un nuovo disco per le macchine virtuali Windows, è necessario specificare una nuova versione della sequenza. La versione della sequenza deve essere univoca. Lo script seguente genera un GUID per la versione della sequenza. In alcuni casi un disco dati appena aggiunto potrebbe essere crittografato automaticamente dall'estensione di Crittografia dischi di Azure. La crittografia automatica viene in genere eseguita quando la macchina virtuale viene riavviata dopo che il nuovo disco viene portato online. Ciò è solitamente dovuto al fatto che è stata specificata l'opzione corrispondente a tutti i tipi di volume quando la crittografia dei dischi è stata eseguita in precedenza nella macchina virtuale. Se la crittografia automatica si verifica in un disco dati appena aggiunto, è consigliabile eseguire nuovamente il cmdlet Set-AzVmDiskEncryptionExtension con una nuova versione della sequenza. Se il nuovo disco dati viene crittografato automaticamente ma non si vuole che sia crittografato, decrittografare prima tutte le unità e quindi rieseguire la crittografia con una nuova versione della sequenza specificando il sistema operativo per il tipo di volume.

• Crittografare una macchina virtuale in esecuzione: lo script seguente inizializza le variabili ed esegue il cmdlet Set-AzVMDiskEncryptionExtension. Il gruppo di risorse, la macchina virtuale e l'insieme di credenziali delle chiavi dovrebbero essere già stati creati come prerequisiti. Sostituire MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM e MySecureVault con i valori specificati. Questo esempio usa "All" per il parametro -VolumeType, che include i volumi dei dati e del sistema operativo. Se si vuole crittografare solo il volume del sistema operativo, usare "OS" per il parametro -VolumeType.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
   $sequenceVersion = [Guid]::NewGuid();
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
  

• Crittografare una macchina virtuale in esecuzione tramite la chiave di crittografia della chiave: questo esempio usa "All" per il parametro -VolumeType, che include i volumi dei dati e del sistema operativo. Se si vuole crittografare solo il volume del sistema operativo, usare "OS" per il parametro -VolumeType.

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MyExtraSecureVM';
  $KeyVaultName = 'MySecureVault';
  $keyEncryptionKeyName = 'MyKeyEncryptionKey';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
  $sequenceVersion = [Guid]::NewGuid();
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
  
  

  Nota

  La sintassi per il valore del parametro disk-encryption-keyvault è la stringa di identificatore completa: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  La sintassi per il valore del parametro key-encryption-key è l'URI completo della chiave kek come in: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

Abilitare la crittografia in un disco appena aggiunto con l'interfaccia della riga di comando di Azure

Il comando dell'interfaccia della riga di comando di Azure fornisce automaticamente una nuova versione della sequenza quando si esegue il comando per abilitare la crittografia. L'esempio usa "All" per il parametro volume-type. Può essere necessario impostare il parametro volume-type su OS se si sta crittografando solo il disco del sistema operativo. A differenza della sintassi di PowerShell, l'interfaccia della riga di comando non richiede all'utente di specificare una versione di sequenza univoca quando si abilita la crittografia. L'interfaccia della riga di comando genera e usa automaticamente uno specifico valore di versione di sequenza univoco.

• Crittografare una macchina virtuale in esecuzione:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "All"
  

• Crittografare una macchina virtuale in esecuzione usando una chiave di crittografia della chiave:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "All"
  

Disabilitare la crittografia e rimuovere l'estensione di crittografia

È possibile disabilitare l'estensione crittografia dischi di Azure ed è possibile rimuovere l'estensione di crittografia dischi di Azure. Si tratta di due operazioni distinte.

Per rimuovere Ade, è consigliabile disabilitare prima la crittografia e quindi rimuovere l'estensione. Se si rimuove l'estensione di crittografia senza disabilitarla, i dischi verranno comunque crittografati. Se si disabilita la crittografia dopo la rimozione dell'estensione, l'estensione verrà reinstallata (per eseguire l'operazione di decrittografia) e dovrà essere rimossa una seconda volta.

Disabilitare la crittografia

È possibile disabilitare la crittografia usando Azure PowerShell, l'interfaccia della riga di comando di Azure oppure un modello di Resource Manager. La disabilitazione della crittografia non rimuove l'estensione (vedere Rimuovere l'estensione di crittografia).

Avviso

La disabilitazione della crittografia del disco dati quando sia il sistema operativo che i dischi dati sono stati crittografati possono avere risultati imprevisti. Disabilitare la crittografia in tutti i dischi.

La disabilitazione della crittografia avvierà un processo in background di BitLocker per decrittografare i dischi. Il completamento di questo processo deve essere sufficiente prima di tentare di riabilitare la crittografia.

• Disabilitare la crittografia del disco con Azure PowerShell: per disabilitare la crittografia, usare il cmdlet Disable-AzVMDiskEncryption .

  Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "all"
  

• Disabilitare la crittografia con l'interfaccia della riga di comando di Azure: per disabilitare la crittografia, usare il comando az vm encryption disable.

  az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "all"
  

• Disabilitare la crittografia con un modello di Resource Manager:

  1. Fare clic su Deploy to Azure (Distribuisci in Azure) dal modello per disabilitare la crittografia dischi in una macchina virtuale Windows in esecuzione.
  2. Selezionare la sottoscrizione, il gruppo di risorse, la posizione, la macchina virtuale, il tipo di volume, i termini legali e il contratto.
  3. Fare clic su Acquista per disabilitare la crittografia dischi in una macchina virtuale Windows in esecuzione.

Rimuovere l'estensione di crittografia

Per decrittografare i dischi e rimuovere l'estensione di crittografia, è necessario disabilitare la crittografia prima di rimuovere l'estensione. Vedere Disabilitare la crittografia.

È possibile rimuovere l'estensione di crittografia usando Azure PowerShell o l'interfaccia della riga di comando di Azure.

• Disabilitare la crittografia del disco con Azure PowerShell: per rimuovere la crittografia, usare il cmdlet Remove-AzVMDiskEncryptionExtension .

  Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"
  

• Disabilitare la crittografia con l'interfaccia della riga di comando di Azure: per rimuovere la crittografia, usare il comando az vm extension delete .

  az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryption"
  

Passaggi successivi

• Informazioni su Crittografia dischi di Azure
• Script di esempio per la crittografia dischi di Azure
• Guida alla risoluzione dei problemi di crittografia dischi di Azure