Azure Disk Encryption-scenarier på virtuella Windows-datorer

Gäller för: ✔️ Flexibla skalningsuppsättningar för virtuella Windows-datorer ✔️

Azure Disk Encryption för virtuella Windows-datorer (VM) använder BitLocker-funktionen i Windows för att tillhandahålla fullständig diskkryptering av OS-disken och datadisken. Dessutom tillhandahåller den kryptering av den tillfälliga disken när VolumeType-parametern är Alla.

Azure Disk Encryption är integrerat med Azure Key Vault för att hjälpa dig att styra och hantera diskkrypteringsnycklar och hemligheter. En översikt över tjänsten finns i Azure Disk Encryption för virtuella Windows-datorer.

Förutsättningar

Du kan bara använda diskkryptering på virtuella datorer med VM-storlekar och operativsystem som stöds. Du måste också uppfylla följande krav:

• Nätverkskrav
• Grupprincipkrav
• Lagringskrav för krypteringsnycklar

Begränsningar

Om du tidigare har använt Azure Disk Encryption med Microsoft Entra ID för att kryptera en virtuell dator måste du fortsätta att använda det här alternativet för att kryptera den virtuella datorn. Mer information finns i Azure Disk Encryption med Microsoft Entra ID (tidigare version).

Du bör ta en ögonblicksbild och/eller skapa en säkerhetskopia innan diskarna krypteras. Säkerhetskopior säkerställer att ett återställningsalternativ är möjligt om ett oväntat fel inträffar under krypteringen. Virtuella datorer med hanterade diskar kräver en säkerhetskopia innan kryptering sker. När en säkerhetskopia har gjorts kan du använda cmdleten Set-AzVMDiskEncryptionExtension för att kryptera hanterade diskar genom att ange parametern -skipVmBackup. Mer information om hur du säkerhetskopierar och återställer krypterade virtuella datorer finns i Säkerhetskopiera och återställa krypterade virtuella Azure-datorer.

Kryptering eller inaktivering av kryptering kan leda till att en virtuell dator startas om.

Azure Disk Encryption fungerar inte för följande scenarier, funktioner och tekniker:

• Kryptering av virtuella datorer på basic-nivå eller virtuella datorer som skapats via den klassiska metoden för att skapa virtuella datorer.
• Alla krav och begränsningar för BitLocker, till exempel att kräva NTFS. Mer information finns i Översikt över BitLocker.
• Kryptera virtuella datorer som konfigurerats med programvarubaserade RAID-system.
• Kryptera virtuella datorer som konfigurerats med Lagringsdirigering (S2D) eller Windows Server-versioner före 2016 som konfigurerats med Windows Storage Spaces.
• Integrering med ett lokalt nyckelhanteringssystem.
• Azure Files (delat filsystem).
• NFS (Network File System).
• Dynamiska volymer.
• Windows Server-containrar som skapar dynamiska volymer för varje container.
• Tillfälliga OS-diskar.
• iSCSI-diskar.
• Kryptering av delade/distribuerade filsystem som (men inte begränsat till) DFS, GFS, DRDB och CephFS.
• Flytta en krypterad virtuell dator till en annan prenumeration eller region.
• Skapande av en avbildning eller ögonblicksbild av en krypterad virtuell dator och användning av den för att distribuera ytterligare virtuella datorer.
• Virtuella datorer i M-serien med skrivacceleratordiskar.
• Tillämpa ADE på en virtuell dator som har diskar krypterade med kryptering på värd - eller serversidan med kundhanterade nycklar (SSE + CMK). Tillämpning av SSE + CMK på en datadisk eller att lägga till en datadisk med SSE + CMK konfigurerat till en virtuell dator som krypterats med ADE är också ett scenario som inte stöds.
• Migrera en virtuell dator som är krypterad med ADE, eller någonsin har krypterats med ADE, till kryptering på värd- eller serversidan med kundhanterade nycklar.
• Kryptera virtuella datorer i redundanskluster.
• Kryptering av Azure-ultradiskar.
• Kryptering av Premium SSD v2-diskar.
• Kryptering av virtuella datorer i prenumerationer som har Secrets should have the specified maximum validity period principen aktiverad med DENY-effekten.
• Kryptering av virtuella datorer i prenumerationer som har Key Vault secrets should have an expiration date principen aktiverad med DENY-effekten

Installera verktyg och ansluta till Azure

Azure Disk Encryption kan aktiveras och hanteras via Azure CLI och Azure PowerShell. För att göra det måste du installera verktygen lokalt och ansluta till din Azure-prenumeration.

Azure CLI

Azure CLI 2.0 är ett kommandoradsverktyg för att hantera Azure-resurser. CLI är utformat för att flexibelt fråga efter data, stödja långvariga åtgärder som icke-blockerande processer och göra skript enkelt. Du kan installera det lokalt genom att följa stegen i Installera Azure CLI.

Om du vill logga in på ditt Azure-konto med Azure CLI använder du kommandot az login .

az login

Om du vill välja en klientorganisation att logga in under använder du:

az login --tenant <tenant>

Om du har flera prenumerationer och vill ange en specifik prenumerationslista hämtar du din prenumerationslista med az account list och anger med az account set.

az account list
az account set --subscription "<subscription name or ID>"

Mer information finns i Kom igång med Azure CLI 2.0.

Azure PowerShell

Azure PowerShell az-modulen innehåller en uppsättning cmdletar som använder Azure Resource Manager-modellen för att hantera dina Azure-resurser. Du kan använda den i webbläsaren med Azure Cloud Shell, eller så kan du installera den på den lokala datorn med hjälp av anvisningarna i Installera Azure PowerShell-modulen.

Om du redan har installerat den lokalt kontrollerar du att du använder den senaste versionen av Azure PowerShell SDK-versionen för att konfigurera Azure Disk Encryption. Ladda ned den senaste versionen av Azure PowerShell-versionen.

Om du vill logga in på ditt Azure-konto med Azure PowerShell använder du cmdleten Connect-AzAccount .

Connect-AzAccount

Om du har flera prenumerationer och vill ange en använder du cmdleten Get-AzSubscription för att visa dem, följt av cmdleten Set-AzContext :

Set-AzContext -Subscription <SubscriptionId>

Om du kör cmdleten Get-AzContext kontrollerar du att rätt prenumeration har valts.

Om du vill bekräfta att cmdletarna för Azure Disk Encryption är installerade använder du cmdleten Get-command :

Get-command *diskencryption*

Mer information finns i Komma igång med Azure PowerShell.

Aktivera kryptering på en befintlig eller kör en virtuell Windows-dator

I det här scenariot kan du aktivera kryptering med hjälp av Resource Manager-mallen, PowerShell-cmdletar eller CLI-kommandon. Om du behöver schemainformation för tillägget för virtuella datorer kan du läsa artikeln Azure Disk Encryption for Windows-tillägget .

Aktivera kryptering på befintliga eller virtuella datorer som körs med Azure PowerShell

Använd cmdleten Set-AzVMDiskEncryptionExtension för att aktivera kryptering på en virtuell IaaS-dator som körs i Azure.

• Kryptera en virtuell dator som körs: Skriptet nedan initierar dina variabler och kör cmdleten Set-AzVMDiskEncryptionExtension. Resursgruppen, den virtuella datorn och nyckelvalvet bör redan ha skapats som förutsättningar. Ersätt MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM och MySecureVault med dina värden.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;
  

• Kryptera en virtuell dator som körs med hjälp av KEK:

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MyExtraSecureVM';
  $KeyVaultName = 'MySecureVault';
  $keyEncryptionKeyName = 'MyKeyEncryptionKey';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;
  
  

  Kommentar

  Syntaxen för värdet för parametern disk-encryption-keyvault är den fullständiga identifierarsträngen: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault--name]
  Syntaxen för värdet för parametern key-encryption-key är den fullständiga URI:n för KEK som i: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Kontrollera att diskarna är krypterade: Om du vill kontrollera krypteringsstatusen för en virtuell IaaS-dator använder du cmdleten Get-AzVmDiskEncryptionStatus .

  Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
  

Information om hur du inaktiverar kryptering finns i Inaktivera kryptering och ta bort krypteringstillägget.

Aktivera kryptering på befintliga eller virtuella datorer som körs med Azure CLI

Använd kommandot az vm encryption enable för att aktivera kryptering på en virtuell IaaS-dator som körs i Azure.

• Kryptera en virtuell dator som körs:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]
  

• Kryptera en virtuell dator som körs med hjälp av KEK:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
  

  Kommentar

  Syntaxen för värdet för parametern disk-encryption-keyvault är den fullständiga identifierarsträngen: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault--name]
  Syntaxen för värdet för parametern key-encryption-key är den fullständiga URI:n för KEK som i: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Kontrollera att diskarna är krypterade: Om du vill kontrollera krypteringsstatusen för en virtuell IaaS-dator använder du kommandot az vm encryption show .

  az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
  

Information om hur du inaktiverar kryptering finns i Inaktivera kryptering och ta bort krypteringstillägget.

Använda Resource Manager-mallen

Du kan aktivera diskkryptering på befintliga eller köra virtuella IaaS Windows-datorer i Azure med hjälp av Resource Manager-mallen för att kryptera en virtuell Windows-dator som körs.

1. I azure-snabbstartsmallen klickar du på Distribuera till Azure.

2. Välj prenumeration, resursgrupp, plats, inställningar, juridiska villkor och avtal. Klicka på Köp för att aktivera kryptering på den befintliga eller aktiva virtuella IaaS-datorn.

I följande tabell visas Resource Manager-mallparametrarna för befintliga eller virtuella datorer som körs:

Parameter	Description
vmName	Namnet på den virtuella datorn som ska köra krypteringsåtgärden.
keyVaultName	Namnet på nyckelvalvet som BitLocker-nyckeln ska laddas upp till. Du kan hämta den med hjälp av cmdleten (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname eller Azure CLI-kommandot az keyvault list --resource-group "MyKeyVaultResourceGroup"
keyVaultResourceGroup	Namnet på resursgruppen som innehåller nyckelvalvet
keyEncryptionKeyURL	URL:en för nyckelkrypteringsnyckeln i formatet https://< keyvault-name.vault.azure.net/key/>< key-name>. Om du inte vill använda en KEK lämnar du fältet tomt.
volumeType	Typ av volym som krypteringsåtgärden utförs på. Giltiga värden är OS, Data och Alla.
forceUpdateTag	Skicka in ett unikt värde som ett GUID varje gång åtgärden måste framtvingas.
ändra storlek påOSDisk	Om OS-partitionen ändras så att den upptar en fullständig virtuell hårddisk för operativsystemet innan du delar upp systemvolymen.
plats	Platser för alla resurser.

Aktivera kryptering på NVMe-diskar för virtuella Lsv2-datorer

I det här scenariot beskrivs hur du aktiverar Azure Disk Encryption på NVMe-diskar för virtuella datorer i Lsv2-serien. Lsv2-serien har lokal NVMe-lagring. Lokala NVMe-diskar är tillfälliga och data går förlorade på dessa diskar om du stoppar/frigör den virtuella datorn (se: Lsv2-serien).

Så här aktiverar du kryptering på NVMe-diskar:

1. Initiera NVMe-diskarna och skapa NTFS-volymer.
2. Aktivera kryptering på den virtuella datorn med parametern VolumeType inställd på Alla. Detta aktiverar kryptering för alla OS- och datadiskar, inklusive volymer som backas upp av NVMe-diskar. Mer information finns i Aktivera kryptering på en befintlig eller kör en virtuell Windows-dator.

Krypteringen bevaras på NVMe-diskarna i följande scenarier:

• Omstart av virtuell dator
• Återskapa vm-skalningsuppsättning
• Växla operativsystem

NVMe-diskar kommer att vara onitialiserade i följande scenarier:

• Starta virtuell dator efter frigöring
• Tjänståterställning
• Backup

I dessa scenarier måste NVMe-diskarna initieras när den virtuella datorn startar. Om du vill aktivera kryptering på NVMe-diskarna kör du kommandot för att aktivera Azure Disk Encryption igen när NVMe-diskarna har initierats.

Förutom de scenarier som anges i avsnittet Begränsningar stöds inte kryptering av NVMe-diskar för:

• Virtuella datorer krypterade med Azure Disk Encryption med Microsoft Entra-ID (tidigare version)
• NVMe-diskar med lagringsutrymmen
• Azure Site Recovery för SKU:er med NVMe-diskar (se Supportmatris för haveriberedskap för virtuella Azure-datorer mellan Azure-regioner: Replikerade datorer – lagring).

Nya virtuella IaaS-datorer som skapats från kundkrypterad virtuell hårddisk och krypteringsnycklar

I det här scenariot kan du skapa en ny virtuell dator från en förkrypterad virtuell hårddisk och tillhörande krypteringsnycklar med hjälp av PowerShell-cmdletar eller CLI-kommandon.

Använd anvisningarna i Förbereda en förkrypterad virtuell Windows-hårddisk. När avbildningen har skapats kan du använda stegen i nästa avsnitt för att skapa en krypterad virtuell Azure-dator.

Kryptera virtuella datorer med förkrypterade virtuella hårddiskar med Azure PowerShell

Du kan aktivera diskkryptering på din krypterade virtuella hårddisk med hjälp av PowerShell-cmdleten Set-AzVMOSDisk. I exemplet nedan visas några vanliga parametrar.

$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"

Aktivera kryptering på en nyligen tillagda datadisk

Du kan lägga till en ny disk på en virtuell Windows-dator med PowerShell eller via Azure-portalen.

Kommentar

Nyligen tillagda datadiskkryptering måste aktiveras via PowerShell, eller endast CLI. Azure-portalen stöder för närvarande inte aktivering av kryptering på nya diskar.

Aktivera kryptering på en nyligen tillagda disk med Azure PowerShell

När du använder PowerShell för att kryptera en ny disk för virtuella Windows-datorer ska en ny sekvensversion anges. Sekvensversionen måste vara unik. Skriptet nedan genererar ett GUID för sekvensversionen. I vissa fall kan en nyligen tillagda datadisk krypteras automatiskt av Azure Disk Encryption-tillägget. Automatisk kryptering sker vanligtvis när den virtuella datorn startas om när den nya disken är online. Detta beror vanligtvis på att "Alla" angavs för volymtypen när diskkryptering tidigare kördes på den virtuella datorn. Om automatisk kryptering sker på en nyligen tillagda datadisk rekommenderar vi att du kör cmdleten Set-AzVmDiskEncryptionExtension igen med en ny sekvensversion. Om den nya datadisken krypteras automatiskt och du inte vill krypteras dekrypterar du först alla enheter och krypterar sedan om med en ny sekvensversion som anger operativsystem för volymtypen.

• Kryptera en virtuell dator som körs: Skriptet nedan initierar dina variabler och kör cmdleten Set-AzVMDiskEncryptionExtension. Resursgruppen, den virtuella datorn och nyckelvalvet bör redan ha skapats som förutsättningar. Ersätt MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM och MySecureVault med dina värden. I det här exemplet används "Alla" för parametern -VolumeType, som innehåller både OS- och datavolymer. Om du bara vill kryptera OS-volymen använder du "OS" för parametern -VolumeType.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
   $sequenceVersion = [Guid]::NewGuid();
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
  

• Kryptera en virtuell dator som körs med HJÄLP av KEK: I det här exemplet används "Alla" för parametern -VolumeType, som innehåller både OS- och datavolymer. Om du bara vill kryptera OS-volymen använder du "OS" för parametern -VolumeType.

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MyExtraSecureVM';
  $KeyVaultName = 'MySecureVault';
  $keyEncryptionKeyName = 'MyKeyEncryptionKey';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
  $sequenceVersion = [Guid]::NewGuid();
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
  
  

  Kommentar

  Syntaxen för värdet för parametern disk-encryption-keyvault är den fullständiga identifierarsträngen: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault--name]
  Syntaxen för värdet för parametern key-encryption-key är den fullständiga URI:n för KEK som i: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

Aktivera kryptering på en nyligen tillagda disk med Azure CLI

Azure CLI-kommandot tillhandahåller automatiskt en ny sekvensversion när du kör kommandot för att aktivera kryptering. I exemplet används "Alla" för parametern av volymtyp. Du kan behöva ändra parametern för volymtyp till OS om du bara krypterar OS-disken. Till skillnad från PowerShell-syntaxen kräver CLI inte att användaren tillhandahåller en unik sekvensversion när kryptering aktiveras. CLI genererar och använder automatiskt sitt eget unika sekvensversionsvärde.

• Kryptera en virtuell dator som körs:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "All"
  

• Kryptera en virtuell dator som körs med hjälp av KEK:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "All"
  

Inaktivera kryptering och ta bort krypteringstillägget

Du kan inaktivera Azure-diskkrypteringstillägget och du kan ta bort Azure-diskkrypteringstillägget. Det här är två distinkta åtgärder.

Om du vill ta bort ADE rekommenderar vi att du först inaktiverar kryptering och sedan tar bort tillägget. Om du tar bort krypteringstillägget utan att inaktivera det krypteras diskarna fortfarande. Om du inaktiverar kryptering när du har tagit bort tillägget installeras tillägget om (för att utföra dekrypteringsåtgärden) och måste tas bort en andra gång.

Inaktivera kryptering

Du kan inaktivera kryptering med hjälp av Azure PowerShell, Azure CLI eller med en Resource Manager-mall. Inaktivering av kryptering tar inte bort tillägget (se Ta bort krypteringstillägget).

Varning

Om du inaktiverar datadiskkryptering när både operativsystemet och datadiskarna har krypterats kan det få oväntade resultat. Inaktivera kryptering på alla diskar i stället.

Om du inaktiverar kryptering startas en bakgrundsprocess med BitLocker för att dekryptera diskarna. Den här processen bör ges tillräckligt med tid för att slutföras innan du försöker återaktivera kryptering.

• Inaktivera diskkryptering med Azure PowerShell: Om du vill inaktivera krypteringen använder du cmdleten Disable-AzVMDiskEncryption .

  Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "all"
  

• Inaktivera kryptering med Azure CLI: Om du vill inaktivera kryptering använder du kommandot az vm encryption disable .

  az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "all"
  

• Inaktivera kryptering med en Resource Manager-mall:

  1. Klicka på Distribuera till Azure från mallen Inaktivera diskkryptering vid körning av virtuell Windows-dator .
  2. Välj prenumeration, resursgrupp, plats, virtuell dator, volymtyp, juridiska villkor och avtal.
  3. Klicka på Köp för att inaktivera diskkryptering på en virtuell Windows-dator som körs.

Ta bort krypteringstillägget

Om du vill dekryptera diskarna och ta bort krypteringstillägget måste du inaktivera kryptering innan du tar bort tillägget. Se inaktivera kryptering.

Du kan ta bort krypteringstillägget med Hjälp av Azure PowerShell eller Azure CLI.

• Inaktivera diskkryptering med Azure PowerShell: Om du vill ta bort krypteringen använder du cmdleten Remove-AzVMDiskEncryptionExtension .

  Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"
  

• Inaktivera kryptering med Azure CLI: Om du vill ta bort kryptering använder du kommandot az vm extension delete .

  az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryption"
  

Nästa steg

• Översikt över Azure Disk Encryption
• Exempelskript för Azure Disk Encryption
• Felsökning för Azure Disk Encryption