Partilhar via


Cenários do Azure Disk Encryption em VMs do Windows

Aplica-se a: ✔️ VMs ✔️ do Windows Conjuntos de escala flexíveis

O Azure Disk Encryption para máquinas virtuais (VMs) do Windows utiliza a funcionalidade BitLocker do Windows para proporciona encriptação completa do disco do SO e do disco de dados. Além disso, proporciona encriptação do disco temporário quando o parâmetro VolumeType é All.

O Azure Disk Encryption é integrado ao Azure Key Vault para ajudá-lo a controlar e gerenciar as chaves e segredos de criptografia de disco. Para obter uma descrição geral do serviço, veja Azure Disk Encryption para VMs do Windows.

Pré-requisitos

Só pode aplicar a encriptação de discos a máquinas virtuais de tamanhos e sistemas operativos de VM suportados. Também deve cumprir os seguintes pré-requisitos:

Restrições

Se já tiver utilizado o Azure Disk Encryption com o Microsoft Entra ID para encriptar uma VM, terá de continuar a utilizar esta opção para encriptar a VM. Para obter os detalhes, veja Azure Disk Encryption com o Microsoft Entra ID (versão anterior).

Deve criar um instantâneo e/ou criar uma cópia de segurança antes de os discos serem encriptados. Os backups garantem que uma opção de recuperação seja possível se ocorrer uma falha inesperada durante a criptografia. As VMs com discos geridos requerem uma cópia de segurança antes de ocorrer a encriptação. Depois que um backup for feito, você poderá usar o cmdlet Set-AzVMDiskEncryptionExtension para criptografar discos gerenciados especificando o parâmetro -skipVmBackup. Para obter mais informações sobre como criar a cópia de segurança e restaurar VMs encriptadas, veja Criar cópia de segurança e restaurar a VM do Azure encriptada.

Encriptar ou desativar a encriptação pode fazer com que a VM seja reiniciada.

O Azure Disk Encryption não funciona para os seguintes cenários, funcionalidades e tecnologia:

  • Encriptar VMs de camada básica ou VMs criadas pelo método clássico de criação de VMs.
  • Todos os requisitos e restrições do BitLocker, como exigir NTFS. Para obter mais informações, consulte Visão geral do BitLocker.
  • Criptografia de VMs configuradas com sistemas RAID baseados em software.
  • Criptografia de VMs configuradas com Espaços de Armazenamento Diretos (S2D) ou versões do Windows Server anteriores a 2016 configuradas com Espaços de Armazenamento do Windows.
  • Integração com um sistema de gestão de chaves no local.
  • Arquivos do Azure (sistema de arquivos compartilhado).
  • Sistema de arquivos de rede (NFS).
  • Volumes dinâmicos.
  • Contêineres do Windows Server, que criam volumes dinâmicos para cada contêiner.
  • Discos efémeros do SO.
  • Discos iSCSI.
  • Criptografia de sistemas de arquivos compartilhados/distribuídos como (mas não limitado a) DFS, GFS, DRDB e CephFS.
  • Mover uma VM encriptada para outra subscrição ou região.
  • Criar uma imagem ou instantâneo de uma VM encriptada e utilizar essa imagem ou instantâneo para implementar VMs adicionais.
  • VMs da série M com discos Write Accelerator.
  • Aplicação do ADE a uma VM que tenha discos criptografados com criptografia no host ou criptografia do lado do servidor com chaves gerenciadas pelo cliente (SSE + CMK). Aplicar SSE + CMK a um disco de dados ou adicionar um disco de dados com SSE + CMK configurado para uma VM criptografada com ADE também é um cenário sem suporte.
  • Migração de uma VM criptografada com ADE, ou que já foi criptografada com ADE, para criptografia no host ou criptografia do lado do servidor com chaves gerenciadas pelo cliente.
  • Criptografando VMs em clusters de failover.
  • Criptografia de discos ultra do Azure.
  • Encriptação de discos SSD Premium v2.
  • Criptografia de VMs em assinaturas que têm a Secrets should have the specified maximum validity period política habilitada com o efeito DENI.
  • Criptografia de VMs em assinaturas que têm a Key Vault secrets should have an expiration date política habilitada com o efeito DENY

Instalar ferramentas e conectar-se ao Azure

O Azure Disk Encryption pode ser habilitado e gerenciado por meio da CLI do Azure e do Azure PowerShell. Para fazer isso, você deve instalar as ferramentas localmente e conectar-se à sua assinatura do Azure.

CLI do Azure

A CLI 2.0 do Azure é uma ferramenta de linha de comando para gerenciar recursos do Azure. A CLI foi projetada para consultar dados de forma flexível, suportar operações de longa execução como processos sem bloqueio e facilitar o scripting. Você pode instalá-lo localmente seguindo as etapas em Instalar a CLI do Azure.

Para entrar na sua conta do Azure com a CLI do Azure, use o comando az login .

az login

Se pretender selecionar um inquilino para iniciar sessão, utilize:

az login --tenant <tenant>

Se você tiver várias assinaturas e quiser especificar uma específica, obtenha sua lista de assinaturas com a lista de contas az e especifique com o conjunto de contas az.

az account list
az account set --subscription "<subscription name or ID>"

Para obter mais informações, consulte Introdução à CLI 2.0 do Azure.

Azure PowerShell

O módulo az do Azure PowerShell fornece um conjunto de cmdlets que usa o modelo do Azure Resource Manager para gerenciar seus recursos do Azure. Você pode usá-lo em seu navegador com o Azure Cloud Shell ou instalá-lo em sua máquina local usando as instruções em Instalar o módulo do Azure PowerShell.

Se já o tiver instalado localmente, certifique-se de que utiliza a versão mais recente da versão do SDK do Azure PowerShell para configurar a Encriptação de Disco do Azure. Baixe a versão mais recente da versão do Azure PowerShell.

Para entrar na sua conta do Azure com o Azure PowerShell, use o cmdlet Connect-AzAccount .

Connect-AzAccount

Se você tiver várias assinaturas e quiser especificar uma, use o cmdlet Get-AzSubscription para listá-las, seguido pelo cmdlet Set-AzContext :

Set-AzContext -Subscription <SubscriptionId>

A execução do cmdlet Get-AzContext verificará se a assinatura correta foi selecionada.

Para confirmar se os cmdlets do Azure Disk Encryption estão instalados, use o cmdlet Get-command :

Get-command *diskencryption*

Para obter mais informações, consulte Introdução ao Azure PowerShell.

Habilitar a criptografia em uma VM do Windows existente ou em execução

Nesse cenário, você pode habilitar a criptografia usando o modelo do Gerenciador de Recursos, cmdlets do PowerShell ou comandos da CLI. Se você precisar de informações de esquema para a extensão de máquina virtual, consulte o artigo da extensão Azure Disk Encryption for Windows.

Habilitar a criptografia em VMs existentes ou em execução com o Azure PowerShell

Use o cmdlet Set-AzVMDiskEncryptionExtension para habilitar a criptografia em uma máquina virtual IaaS em execução no Azure.

  • Criptografar uma VM em execução: o script abaixo inicializa suas variáveis e executa o cmdlet Set-AzVMDiskEncryptionExtension. O grupo de recursos, a VM e o cofre de chaves já devem ter sido criados como pré-requisitos. Substitua MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM e MySecureVault pelos seus valores.

     $KVRGname = 'MyKeyVaultResourceGroup';
     $VMRGName = 'MyVirtualMachineResourceGroup';
     $vmName = 'MySecureVM';
     $KeyVaultName = 'MySecureVault';
     $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
     $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
     $KeyVaultResourceId = $KeyVault.ResourceId;
    
     Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;
    
  • Criptografe uma VM em execução usando o KEK:

    $KVRGname = 'MyKeyVaultResourceGroup';
    $VMRGName = 'MyVirtualMachineResourceGroup';
    $vmName = 'MyExtraSecureVM';
    $KeyVaultName = 'MySecureVault';
    $keyEncryptionKeyName = 'MyKeyEncryptionKey';
    $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
    $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
    $KeyVaultResourceId = $KeyVault.ResourceId;
    $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
    
    Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;
    
    

    Nota

    A sintaxe para o valor do parâmetro disk-encryption-keyvault é a cadeia de caracteres do identificador completo: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
    A sintaxe para o valor do parâmetro key-encryption-key é o URI completo para o KEK como em: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

  • Verifique se os discos estão criptografados: para verificar o status de criptografia de uma VM IaaS, use o cmdlet Get-AzVmDiskEncryptionStatus .

    Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
    

Para desativar a encriptação, consulte Desativar encriptação e remover a extensão de encriptação.

Habilitar a criptografia em VMs existentes ou em execução com a CLI do Azure

Use o comando az vm encryption enable para habilitar a criptografia em uma máquina virtual IaaS em execução no Azure.

  • Criptografar uma VM em execução:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]
    
  • Criptografe uma VM em execução usando o KEK:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
    

    Nota

    A sintaxe para o valor do parâmetro disk-encryption-keyvault é a cadeia de caracteres do identificador completo: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
    A sintaxe para o valor do parâmetro key-encryption-key é o URI completo para o KEK como em: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

  • Verifique se os discos estão criptografados: para verificar o status de criptografia de uma VM IaaS, use o comando az vm encryption show .

    az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
    

Para desativar a encriptação, consulte Desativar encriptação e remover a extensão de encriptação.

Usando o modelo do Gerenciador de Recursos

Você pode habilitar a criptografia de disco em VMs do Windows IaaS existentes ou em execução no Azure usando o modelo do Gerenciador de Recursos para criptografar uma VM do Windows em execução.

  1. No modelo de início rápido do Azure, clique em Implantar no Azure.

  2. Selecione a assinatura, o grupo de recursos, o local, as configurações, os termos legais e o contrato. Clique em Comprar para habilitar a criptografia na VM IaaS existente ou em execução.

A tabela a seguir lista os parâmetros de modelo do Gerenciador de Recursos para VMs existentes ou em execução:

Parâmetro Description
vmName Nome da VM para executar a operação de criptografia.
keyVaultName Nome do cofre de chaves para o qual a chave BitLocker deve ser carregada. Você pode obtê-lo usando o cmdlet (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname ou o comando da CLI do Azure az keyvault list --resource-group "MyKeyVaultResourceGroup"
keyVaultResourceGroup Nome do grupo de recursos que contém o cofre de chaves
keyEncryptionKeyURL O URL da chave de encriptação da chave, no formato https://< keyvault-name.vault.azure.net/key/>< key-name>. Se não desejar utilizar um KEK, deixe este campo em branco.
volumeType Tipo de volume em que a operação de encriptação é executada. Os valores válidos são OS, Data e All.
forceUpdateTag Passe um valor exclusivo como um GUID toda vez que a operação precisar ser executada à força.
resizeOSDisk Se a partição do SO for redimensionada para ocupar o VHD completo do SO antes de dividir o volume do sistema.
localização Localização de todos os recursos.

Habilite a criptografia em discos NVMe para VMs Lsv2

Este cenário descreve a habilitação da Criptografia de Disco do Azure em discos NVMe para VMs da série Lsv2. A série Lsv2 possui armazenamento NVMe local. Os discos NVMe locais são temporários e os dados serão perdidos nesses discos se você parar/desalocar sua VM (Consulte: Lsv2-series).

Para habilitar a criptografia em discos NVMe:

  1. Inicialize os discos NVMe e crie volumes NTFS.
  2. Habilite a criptografia na VM com o parâmetro VolumeType definido como All. Isso permitirá a criptografia para todos os sistemas operacionais e discos de dados, incluindo volumes suportados por discos NVMe. Para obter informações, consulte Habilitar a criptografia em uma VM do Windows existente ou em execução.

A criptografia persistirá nos discos NVMe nos seguintes cenários:

  • Reinicialização da VM
  • Reimagem do conjunto de dimensionamento de máquina virtual
  • Trocar SO

Os discos NVMe não serão inicializados nos seguintes cenários:

  • Iniciar VM após a desalocação
  • Serviço de cura
  • Backup

Nesses cenários, os discos NVMe precisam ser inicializados após o início da VM. Para habilitar a criptografia nos discos NVMe, execute o comando para habilitar a Criptografia de Disco do Azure novamente depois que os discos NVMe forem inicializados.

Além dos cenários listados na seção Restrições, a criptografia de discos NVMe não é suportada para:

Novas VMs IaaS criadas a partir de VHD criptografado pelo cliente e chaves de criptografia

Nesse cenário, você pode criar uma nova VM a partir de um VHD pré-criptografado e as chaves de criptografia associadas usando cmdlets do PowerShell ou comandos da CLI.

Use as instruções em Preparar um VHD do Windows pré-criptografado. Depois que a imagem for criada, você poderá usar as etapas na próxima seção para criar uma VM do Azure criptografada.

Criptografar VMs com VHDs pré-criptografados com o Azure PowerShell

Você pode habilitar a criptografia de disco em seu VHD criptografado usando o cmdlet do PowerShell Set-AzVMOSDisk. O exemplo abaixo fornece alguns parâmetros comuns.

$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"

Habilitar a criptografia em um disco de dados recém-adicionado

Você pode adicionar um novo disco a uma VM do Windows usando o PowerShell ou por meio do portal do Azure.

Nota

A criptografia de disco de dados recém-adicionada deve ser habilitada somente via Powershell ou CLI. Atualmente, o portal do Azure não oferece suporte à habilitação da criptografia em novos discos.

Habilitar a criptografia em um disco recém-adicionado com o Azure PowerShell

Ao usar o PowerShell para criptografar um novo disco para VMs do Windows, uma nova versão de sequência deve ser especificada. A versão sequencial tem de ser única. O script abaixo gera um GUID para a versão de sequência. Em alguns casos, um disco de dados recém-adicionado pode ser criptografado automaticamente pela extensão Azure Disk Encryption. A criptografia automática geralmente ocorre quando a VM é reinicializada depois que o novo disco fica online. Isso geralmente é causado porque "Todos" foi especificado para o tipo de volume quando a criptografia de disco foi executada anteriormente na VM. Se a criptografia automática ocorrer em um disco de dados recém-adicionado, recomendamos executar o cmdlet Set-AzVmDiskEncryptionExtension novamente com uma nova versão de sequência. Se o seu novo disco de dados for encriptado automaticamente e não desejar ser encriptado, desencriptar primeiro todas as unidades e, em seguida, voltar a encriptar com uma nova versão de sequência especificando o SO para o tipo de volume.

  • Criptografar uma VM em execução: o script abaixo inicializa suas variáveis e executa o cmdlet Set-AzVMDiskEncryptionExtension. O grupo de recursos, a VM e o cofre de chaves já devem ter sido criados como pré-requisitos. Substitua MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM e MySecureVault pelos seus valores. Este exemplo usa "All" para o parâmetro -VolumeType, que inclui os volumes OS e Data. Se você quiser apenas criptografar o volume do sistema operacional, use "OS" para o parâmetro -VolumeType.

     $KVRGname = 'MyKeyVaultResourceGroup';
     $VMRGName = 'MyVirtualMachineResourceGroup';
     $vmName = 'MySecureVM';
     $KeyVaultName = 'MySecureVault';
     $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
     $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
     $KeyVaultResourceId = $KeyVault.ResourceId;
     $sequenceVersion = [Guid]::NewGuid();
    
     Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
    
  • Criptografar uma VM em execução usando KEK: Este exemplo usa "All" para o parâmetro -VolumeType, que inclui volumes de SO e Dados. Se você quiser apenas criptografar o volume do sistema operacional, use "OS" para o parâmetro -VolumeType.

    $KVRGname = 'MyKeyVaultResourceGroup';
    $VMRGName = 'MyVirtualMachineResourceGroup';
    $vmName = 'MyExtraSecureVM';
    $KeyVaultName = 'MySecureVault';
    $keyEncryptionKeyName = 'MyKeyEncryptionKey';
    $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
    $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
    $KeyVaultResourceId = $KeyVault.ResourceId;
    $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
    $sequenceVersion = [Guid]::NewGuid();
    
    Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
    
    

    Nota

    A sintaxe para o valor do parâmetro disk-encryption-keyvault é a cadeia de caracteres do identificador completo: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
    A sintaxe para o valor do parâmetro key-encryption-key é o URI completo para o KEK como em: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

Habilitar a criptografia em um disco recém-adicionado com a CLI do Azure

O comando CLI do Azure fornecerá automaticamente uma nova versão de sequência para você quando você executar o comando para habilitar a criptografia. O exemplo usa "All" para o parâmetro volume-type. Talvez seja necessário alterar o parâmetro de tipo de volume para SO se estiver apenas criptografando o disco do sistema operacional. Ao contrário da sintaxe do PowerShell, a CLI não exige que o usuário forneça uma versão de sequência exclusiva ao habilitar a criptografia. A CLI gera e usa automaticamente seu próprio valor de versão de sequência exclusivo.

  • Criptografar uma VM em execução:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "All"
    
  • Criptografe uma VM em execução usando o KEK:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "All"
    

Desative a criptografia e remova a extensão de criptografia

Você pode desabilitar a extensão de criptografia de disco do Azure e remover a extensão de criptografia de disco do Azure. Trata-se de duas operações distintas.

Para remover o ADE, é recomendável que você primeiro desative a criptografia e, em seguida, remova a extensão. Se remover a extensão de encriptação sem a desativar, os discos continuarão encriptados. Se desativar a encriptação depois de remover a extensão, a extensão será reinstalada (para executar a operação de desencriptação) e terá de ser removida uma segunda vez.

Desativar encriptação

Você pode desabilitar a criptografia usando o Azure PowerShell, a CLI do Azure ou com um modelo do Gerenciador de Recursos. A desativação da encriptação não remove a extensão (consulte Remover a extensão de encriptação).

Aviso

Desativar a criptografia de disco de dados quando o sistema operacional e os discos de dados foram criptografados pode ter resultados inesperados. Em vez disso, desative a criptografia em todos os discos.

A desativação da criptografia iniciará um processo em segundo plano do BitLocker para descriptografar os discos. Este processo deve ter tempo suficiente para ser concluído antes de tentar reativar a encriptação.

  • Desabilitar a criptografia de disco com o Azure PowerShell: para desabilitar a criptografia, use o cmdlet Disable-AzVMDiskEncryption .

    Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "all"
    
  • Desabilitar a criptografia com a CLI do Azure: para desabilitar a criptografia, use o comando az vm encryption disable .

    az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "all"
    
  • Desative a criptografia com um modelo do Gerenciador de Recursos:

    1. Clique em Implantar no Azure no modelo Desabilitar criptografia de disco na execução de VM do Windows.
    2. Selecione a assinatura, o grupo de recursos, o local, a VM, o tipo de volume, os termos legais e o contrato.
    3. Clique em Comprar para desativar a criptografia de disco em uma VM do Windows em execução.

Remover a extensão de encriptação

Se quiser desencriptar os seus discos e remover a extensão de encriptação, deve desativar a encriptação antes de remover a extensão, consulte desativar a encriptação.

Você pode remover a extensão de criptografia usando o Azure PowerShell ou a CLI do Azure.

  • Desabilitar a criptografia de disco com o Azure PowerShell: para remover a criptografia, use o cmdlet Remove-AzVMDiskEncryptionExtension .

    Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"
    
  • Desabilitar a criptografia com a CLI do Azure: para remover a criptografia, use o comando az vm extension delete .

    az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryption"
    

Próximos passos