Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Importante
O Azure Disk Encryption está programado para ser descontinuado a 15 de setembro de 2028. Até essa data, pode continuar a usar o Azure Disk Encryption sem interrupções. A 15 de setembro de 2028, cargas de trabalho com ADE continuarão a funcionar, mas os discos encriptados não conseguirão desbloquear após o reinício da VM, resultando em interrupção do serviço.
Use encriptação no host para novas VMs. Todas as VMs habilitadas por ADE (incluindo backups) devem migrar para encriptação no host antes da data de desativação para evitar interrupções do serviço. Consulte Migrar de Encriptação de Disco Azure para Encriptação no Host para mais detalhes.
A primeira versão do Azure Disk Encryption (ADE) dependia do Microsoft Entra ID para autenticação; a versão atual não. Encorajamos vivamente a utilização da versão mais recente.
Determinar a versão do ADE
As versões do ADE no escopo da migração são:
- Windows: 1.1.* (ADE na VM deve ser atualizado para 2.2)
- Linux: 0.1.* (ADE na VM deve ser atualizado para 1.2)
Você pode determinar a versão do ADE com a qual uma VM foi criptografada por meio da CLI do Azure, do Azure PowerShell ou do portal do Azure.
Para determinar a versão do ADE, execute o comando Azure CLI az vm get-instance-view .
az vm get-instance-view --resource-group <ResourceGroupName> --name <VMName>
Localize a extensão AzureDiskEncryption na saída e identifique o número da versão no campo "TypeHandlerVersion" na saída.
Como migrar
A migração do Azure Disk Encryption (com Microsoft Entra ID) para o Azure Disk Encryption (sem Microsoft Entra ID) só está disponível através do Azure PowerShell. Verifique se você tem a versão mais recente do Azure PowerShell e, pelo menos, o módulo Az do Azure PowerShell versão 5.9.0 instalado.
Para atualizar da Criptografia de Disco do Azure (com a ID do Microsoft Entra) para a Criptografia de Disco do Azure (sem a ID do Microsoft Entra), use o cmdlet Set-AzVMDiskEncryptionExtension PowerShell.
Advertência
O cmdlet Set-AzVMDiskEncryptionExtension só deve ser usado em VMs criptografadas com o Azure Disk Encryption (com ID do Microsoft Entra). A tentativa de migrar uma VM não criptografada ou uma VM criptografada com o Azure Disk Encryption (sem a ID do Microsoft Entra) resultará em um erro de terminal.
Set-AzVMDiskEncryptionExtension -ResourceGroupName <resourceGroupName> -VMName <vmName> -Migrate
Quando o cmdlet solicitar a confirmação, introduza "Y". A versão do ADE é atualizada e a VM reinicializada. A saída é semelhante à seguinte:
Update AzureDiskEncryption version?
This cmdlet updates Azure Disk Encryption version to single pass (Azure Disk Encryption without Azure AD). This may reboot
the machine and takes 10-15 minutes to finish. Are you sure you want to continue?
[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y
Azure Disk Encryption Extension Public Settings
"KeyVaultResourceId": /subscriptions/ea500758-3163-4849-bd2c-3e50f06efa7a/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/myKeyVault
"SequenceVersion":
"MigrateFlag": Migrate
"KeyVaultURL": https://myKeyVault.vault.azure.net/
"Azure ADClientID": 00001111-aaaa-2222-bbbb-3333cccc4444
"KeyEncryptionKeyURL":
"KekVaultResourceId":
"EncryptionOperation": EnableEncryption
"Azure ADClientCertThumbprint":
"VolumeType":
"KeyEncryptionAlgorithm":
Running ADE extension (with Azure AD) for -Migrate..
ADE extension (with Azure AD) is now complete. Updating VM model..
Running ADE extension (without Azure AD) for -Migrate..
ADE extension (without Azure AD) is now complete. Clearing VM model..
RequestId IsSuccessStatusCode StatusCode ReasonPhrase
--------- ------------------- ---------- ------------
True OK OK
Importante
A atualização leva pelo menos 10 a 15 minutos para ser concluída. Não cancele o cmdlet enquanto a atualização estiver em andamento. Isso coloca a saúde da VM em risco.