Windows VM'leri için Microsoft Entra ID ile Azure Disk Şifrelemesi (önceki sürüm)
Şunlar için geçerlidir: ✔️ Windows VM'leri
yeni Azure Disk Şifrelemesi sürümü, VM disk şifrelemesini etkinleştirmek için bir Microsoft Entra uygulama parametresi sağlama gereksinimini ortadan kaldırır. Yeni sürümle birlikte, şifrelemeyi etkinleştirme adımı sırasında artık Microsoft Entra kimlik bilgilerini sağlamanız gerekmez. Tüm yeni VM'ler, yeni sürüm kullanılarak Microsoft Entra uygulama parametreleri olmadan şifrelenmelidir. Yeni sürümü kullanarak VM disk şifrelemesini etkinleştirme yönergelerini görüntülemek için bkz. Windows VMS için Azure Disk Şifrelemesi. Microsoft Entra uygulama parametreleriyle zaten şifrelenmiş vm'ler hala desteklenir ve Microsoft Entra söz dizimi ile korunmaya devam etmelidir.
Birçok disk şifreleme senaryosu etkinleştirebilirsiniz ve adımlar senaryoya göre farklılık gösterebilir. Aşağıdaki bölümlerde Windows IaaS VM'leri için senaryolar daha ayrıntılı olarak ele alınıyor. Disk şifrelemesini kullanabilmeniz için önce Azure Disk Şifrelemesi önkoşullarının tamamlanması gerekir.
Önemli
Diskler şifrelenmeden önce anlık görüntü almanız ve/veya yedekleme oluşturmanız gerekir. Yedeklemeler, şifreleme sırasında beklenmeyen bir hata oluşması durumunda kurtarma seçeneğinin mümkün olmasını sağlar. Yönetilen disklere sahip olan sanal makinelerin şifreleme öncesinde yedeklenmesi gerekir. Yedekleme yapıldıktan sonra, -skipVmBackup parametresini belirterek yönetilen diskleri şifrelemek için Set-AzVMDiskEncryptionExtension cmdlet'ini kullanabilirsiniz. Şifrelenmiş sanal makineleri yedekleme ve geri yükleme hakkında daha fazla bilgi için bkz. Şifrelenmiş Azure sanal makinelerini yedekleme ve geri yükleme.
Sanal makinenin şifrelenmesi veya şifrelemenin devre dışı bırakılması, yeniden başlatılmasına neden olabilir.
Market'ten oluşturulan yeni IaaS VM'lerinde şifrelemeyi etkinleştirme
Resource Manager şablonu kullanarak Azure'daki Market'ten yeni IaaS Windows VM'sinde disk şifrelemeyi etkinleştirebilirsiniz. Şablon, Windows Server 2012 galeri görüntüsünü kullanarak yeni bir şifrelenmiş Windows VM oluşturur.
Aboneliği, kaynak grubunu, kaynak grubu konumunu, parametreleri, yasal koşulları ve sözleşmeyi seçin. Şifrelemenin etkinleştirildiği yeni bir IaaS VM dağıtmak için Satın Al'a tıklayın.
Şablonu dağıttığınızda tercih ettiğiniz yöntemi kullanarak VM şifreleme durumunu doğrulayın:
az vm encryption show komutunu kullanarak Azure CLI ile doğrulayın.
az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"Get-AzVmDiskEncryptionStatus cmdlet'ini kullanarak Azure PowerShell ile doğrulayın.
Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'VM'yi seçin, ardından portalda şifreleme durumunu doğrulamak için Ayarlar başlığının altındaki Diskler'e tıklayın. Şifreleme altındaki grafikte etkin olup olmadığını görürsünüz.
Aşağıdaki tabloda, Microsoft Entra istemci kimliğini kullanan Market senaryosundaki yeni VM'ler için Resource Manager şablon parametreleri listelenmiştir:
| Parametre | Açıklama |
|---|---|
| adminUserName | Sanal makine için yönetici kullanıcı adı. |
| adminPassword | Sanal makine için yönetici kullanıcı parolası. |
| newStorageAccountName | İşletim sistemi ve veri VHD'lerini depolamak için depolama hesabının adı. |
| vmSize | VM'nin boyutu. Şu anda yalnızca Standart A, D ve G serisi desteklenmektedir. |
| virtualNetworkName | VM NIC'sinin ait olması gereken sanal ağın adı. |
| subnetName | VM NIC'sinin ait olması gereken VNet'teki alt ağın adı. |
| AADClientID | Anahtar kasanıza gizli dizi yazma izinlerine sahip Microsoft Entra uygulamasının istemci kimliği. |
| AADClientSecret | Anahtar kasanıza gizli dizi yazma izinleri olan Microsoft Entra uygulamasının gizli dizisi. |
| keyVaultURL | BitLocker anahtarının karşıya yüklenmesi gereken anahtar kasasının URL'si. Cmdlet'ini (Get-AzKeyVault -VaultName "MyKeyVault" -ResourceGroupName "MyKeyVaultResourceGroupName").VaultURI veya Azure CLI'yi kullanarak alabilirsiniz az keyvault show --name "MySecureVault" --query properties.vaultUri |
| keyEncryptionKeyURL | Oluşturulan BitLocker anahtarını şifrelemek için kullanılan anahtar şifreleme anahtarının URL'si (isteğe bağlı). KeyEncryptionKeyURL isteğe bağlı bir parametredir. Anahtar kasanızdaki veri şifreleme anahtarını (Parola gizli dizisi) daha fazla korumak için kendi KEK'nizi getirebilirsiniz. |
| keyVaultResourceGroup | Anahtar kasasının kaynak grubu. |
| vmName | Şifreleme işleminin gerçekleştirileceği VM'nin adı. |
Mevcut veya çalışan IaaS Windows VM'lerinde şifrelemeyi etkinleştirme
Bu senaryoda, bir şablon, PowerShell cmdlet'leri veya CLI komutları kullanarak şifrelemeyi etkinleştirebilirsiniz. Aşağıdaki bölümlerde Azure Disk Şifrelemesi nasıl etkinleştirileceği daha ayrıntılı olarak açıklanmaktadır.
Azure PowerShell ile mevcut veya çalışan VM'lerde şifrelemeyi etkinleştirme
Azure'da çalışan bir IaaS sanal makinesinde şifrelemeyi etkinleştirmek için Set-AzVMDiskEncryptionExtension cmdlet'ini kullanın. PowerShell cmdlet'lerini kullanarak Azure Disk Şifrelemesi ile şifrelemeyi etkinleştirme hakkında bilgi için Bkz. Azure PowerShell ile Azure Disk Şifrelemesi keşfetme - Bölüm 1 ve Azure PowerShell ile Azure Disk Şifrelemesi keşfetme - 2. Bölüm.
İstemci gizli dizisini kullanarak çalışan bir VM'yi şifreleme: Aşağıdaki betik, değişkenlerinizi başlatır ve Set-AzVMDiskEncryptionExtension cmdlet'ini çalıştırır. Kaynak grubu, VM, anahtar kasası, Microsoft Entra uygulaması ve istemci gizli dizisi önkoşul olarak zaten oluşturulmuş olmalıdır. MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM, MySecureVault, My-AAD-client-ID ve My-AAD-client-secret değerleriniz ile değiştirin.
$KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MySecureVM'; $aadClientID = 'My-AAD-client-ID'; $aadClientSecret = 'My-AAD-client-secret'; $KeyVaultName = 'MySecureVault'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;İstemci gizli dizisini sarmalamak için KEK kullanarak çalışan bir VM'yi şifreleme: Azure Disk Şifrelemesi şifrelemeyi etkinleştirirken oluşturulan disk şifreleme gizli dizilerini sarmak için anahtar kasanızda mevcut bir anahtarı belirtmenize olanak tanır. Anahtar şifreleme anahtarı belirtildiğinde, Azure Disk Şifrelemesi Key Vault'a yazmadan önce şifreleme gizli dizilerini sarmak için bu anahtarı kullanır.
$KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MyExtraSecureVM'; $aadClientID = 'My-AAD-client-ID'; $aadClientSecret = 'My-AAD-client-secret'; $KeyVaultName = 'MySecureVault'; $keyEncryptionKeyName = 'MyKeyEncryptionKey'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid; Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;Not
Disk-encryption-keyvault parametresinin değerinin söz dizimi tam tanımlayıcı dizesidir: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
Anahtar-şifreleme-anahtar parametresinin değerinin söz dizimi KEK'nin tam URI'sidir; örneğin: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]Disklerin şifrelendiğini doğrulayın: IaaS VM'sinin şifreleme durumunu denetlemek için Get-AzVmDiskEncryptionStatus cmdlet'ini kullanın.
Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'Disk şifrelemesini devre dışı bırakma: Şifrelemeyi devre dışı bırakmak için Disable-AzureRmVMDiskEncryption cmdlet'ini kullanın.
Disable-AzVMDiskEncryption -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
Azure CLI ile mevcut veya çalışan VM'lerde şifrelemeyi etkinleştirme
Azure'da çalışan bir IaaS sanal makinesinde şifrelemeyi etkinleştirmek için az vm encryption enable komutunu kullanın.
İstemci gizli dizisi kullanarak çalışan bir VM'i şifreleyin:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --aad-client-id "<my spn created with CLI/my Azure AD ClientID>" --aad-client-secret "My-AAD-client-secret" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]İstemci gizli dizisini sarmalamak için KEK kullanarak çalışan bir VM'yi şifreleyin:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --aad-client-id "<my spn created with CLI which is the Azure AD ClientID>" --aad-client-secret "My-AAD-client-secret" --disk-encryption-keyvault "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]Not
Disk-encryption-keyvault parametresinin değerinin söz dizimi tam tanımlayıcı dizesidir: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
Anahtar-şifreleme-anahtar parametresinin değerinin söz dizimi, KEK'nin tam URI'sidir; örneğin: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]Disklerin şifrelendiğini doğrulayın: IaaS VM'sinin şifreleme durumunu denetlemek için az vm encryption show komutunu kullanın.
az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"Şifrelemeyi devre dışı bırakma: Şifrelemeyi devre dışı bırakmak için az vm encryption disable komutunu kullanın.
az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type [ALL, DATA, OS]
Resource Manager şablonunu kullanma
Çalışan bir Windows VM'sini şifrelemek için Resource Manager şablonunu kullanarak Azure'daki mevcut veya çalışan IaaS Windows VM'lerinde disk şifrelemeyi etkinleştirebilirsiniz.
Azure hızlı başlangıç şablonunda Azure'a Dağıt'a tıklayın.
Aboneliği, kaynak grubunu, kaynak grubu konumunu, parametreleri, yasal koşulları ve sözleşmeyi seçin. Mevcut veya çalışan IaaS VM'sinde şifrelemeyi etkinleştirmek için Satın Al'a tıklayın.
Aşağıdaki tabloda, Microsoft Entra istemci kimliği kullanan mevcut veya çalışan VM'ler için Resource Manager şablon parametreleri listelenmiştir:
| Parametre | Açıklama |
|---|---|
| AADClientID | Anahtar kasasına gizli dizi yazma izinleri olan Microsoft Entra uygulamasının istemci kimliği. |
| AADClientSecret | Anahtar kasasına gizli dizi yazma izinleri olan Microsoft Entra uygulamasının istemci gizli dizisi. |
| keyVaultName | BitLocker anahtarının karşıya yüklenmesi gereken anahtar kasasının adı. Cmdlet'ini (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname veya Azure CLI komutunu kullanarak alabilirsiniz az keyvault list --resource-group "MySecureGroup" |
| keyEncryptionKeyURL | Oluşturulan BitLocker anahtarını şifrelemek için kullanılan anahtar şifreleme anahtarının URL'si. UseExistingKek açılan listesinde nokek'i seçerseniz bu parametre isteğe bağlıdır. UseExistingKek açılan listesinde kek'i seçerseniz keyEncryptionKeyURL değerini girmeniz gerekir. |
| volumeType | Şifreleme işleminin gerçekleştirdiği birimin türü. Geçerli değerler işletim sistemi, Veri ve Tümü'lerdir. |
| sequenceVersion | BitLocker işleminin sıralı sürümü. Aynı VM'de her disk şifreleme işlemi gerçekleştirildiğinde bu sürüm numarasını artırın. |
| vmName | Şifreleme işleminin gerçekleştirileceği VM'nin adı. |
Müşteri tarafından şifrelenmiş VHD ve şifreleme anahtarlarından oluşturulan yeni IaaS VM'leri
Bu senaryoda, Resource Manager şablonunu, PowerShell cmdlet'lerini veya CLI komutlarını kullanarak şifrelemeyi etkinleştirebilirsiniz. Aşağıdaki bölümlerde Resource Manager şablonu ve CLI komutları daha ayrıntılı açıklanmaktadır.
Azure'da kullanılabilecek önceden şifrelenmiş görüntüleri hazırlamak için ekteki yönergeleri kullanın. Görüntü oluşturulduktan sonra, bir sonraki bölümdeki adımları kullanarak şifrelenmiş bir Azure VM oluşturabilirsiniz.
Azure PowerShell ile önceden şifrelenmiş VHD'lerle VM'leri şifreleme
Set-AzVMOSDisk PowerShell cmdlet'ini kullanarak şifrelenmiş VHD'nizde disk şifrelemesini etkinleştirebilirsiniz. Aşağıdaki örnekte bazı yaygın parametreler verilmiştir.
$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"
Yeni eklenen veri diskinde şifrelemeyi etkinleştirme
PowerShell'i kullanarak veya Azure portalı aracılığıyla Windows VM'sine yeni bir disk ekleyebilirsiniz.
Azure PowerShell ile yeni eklenen diskte şifrelemeyi etkinleştirme
Windows VM'leri için yeni bir diski şifrelemek için PowerShell kullanırken yeni bir sıra sürümü belirtilmelidir. Sıralı sürümün benzersiz olması gerekir. Aşağıdaki betik, sıralı sürüm için bir GUID oluşturur. Bazı durumlarda, yeni eklenen bir veri diski Azure Disk Şifrelemesi uzantısı tarafından otomatik olarak şifrelenebilir. Otomatik şifreleme genellikle yeni disk çevrimiçi olduktan sonra VM yeniden başlatıldığında gerçekleşir. Bunun nedeni genellikle daha önce VM'de disk şifrelemesi çalıştırıldığında birim türü için "Tümü" belirtilmiş olmasıdır. Yeni eklenen bir veri diskinde otomatik şifreleme gerçekleşirse Set-AzVmDiskEncryptionExtension cmdlet'ini yeni sıralı sürümle yeniden çalıştırmanızı öneririz. Yeni veri diskiniz otomatik olarak şifreleniyorsa ve şifrelenmek istemiyorsanız, önce tüm sürücülerin şifresini çözerek birim türü için işletim sistemini belirten yeni bir sıralı sürümle yeniden şifreleyin.
İstemci gizli dizisini kullanarak çalışan bir VM'yi şifreleme: Aşağıdaki betik, değişkenlerinizi başlatır ve Set-AzVMDiskEncryptionExtension cmdlet'ini çalıştırır. Kaynak grubu, VM, anahtar kasası, Microsoft Entra uygulaması ve istemci gizli dizisi önkoşul olarak zaten oluşturulmuş olmalıdır. MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM, MySecureVault, My-AAD-client-ID ve My-AAD-client-secret değerleriniz ile değiştirin. Bu örnekte, işletim sistemi ve Veri birimlerini içeren -VolumeType parametresi için "Tümü" kullanılır. Yalnızca işletim sistemi birimini şifrelemek istiyorsanız - VolumeType parametresi için "OS" kullanın.
$sequenceVersion = [Guid]::NewGuid(); $KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MySecureVM'; $aadClientID = 'My-AAD-client-ID'; $aadClientSecret = 'My-AAD-client-secret'; $KeyVaultName = 'MySecureVault'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType 'all' –SequenceVersion $sequenceVersion;İstemci gizli dizisini sarmalamak için KEK kullanarak çalışan bir VM'yi şifreleme: Azure Disk Şifrelemesi şifrelemeyi etkinleştirirken oluşturulan disk şifreleme gizli dizilerini sarmak için anahtar kasanızda mevcut bir anahtarı belirtmenize olanak tanır. Anahtar şifreleme anahtarı belirtildiğinde, Azure Disk Şifrelemesi Key Vault'a yazmadan önce şifreleme gizli dizilerini sarmak için bu anahtarı kullanır. Bu örnekte, işletim sistemi ve Veri birimlerini içeren -VolumeType parametresi için "Tümü" kullanılır. Yalnızca işletim sistemi birimini şifrelemek istiyorsanız - VolumeType parametresi için "OS" kullanın.
$sequenceVersion = [Guid]::NewGuid(); $KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MyExtraSecureVM'; $aadClientID = 'My-AAD-client-ID'; $aadClientSecret = 'My-AAD-client-secret'; $KeyVaultName = 'MySecureVault'; $keyEncryptionKeyName = 'MyKeyEncryptionKey'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid; Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType 'all' –SequenceVersion $sequenceVersion;Not
Disk-encryption-keyvault parametresinin değerinin söz dizimi tam tanımlayıcı dizesidir: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
Anahtar-şifreleme-anahtar parametresinin değerinin söz dizimi KEK'nin tam URI'sidir; örneğin: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]
Azure CLI ile yeni eklenen diskte şifrelemeyi etkinleştirme
Şifrelemeyi etkinleştirmek için komutunu çalıştırdığınızda Azure CLI komutu sizin için otomatik olarak yeni bir sıralı sürüm sağlar. Volume-yype parametresi için kabul edilebilir değerler Tümü, İşletim Sistemi ve Veriler'dir. VM için yalnızca bir disk türünü şifrelerseniz birim türü parametresini işletim sistemi veya Veri olarak değiştirmeniz gerekebilir. Örneklerde birim türü parametresi için "Tümü" kullanılır.
İstemci gizli dizisi kullanarak çalışan bir VM'i şifreleyin:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --aad-client-id "<my spn created with CLI/my Azure AD ClientID>" --aad-client-secret "My-AAD-client-secret" --disk-encryption-keyvault "MySecureVault" --volume-type "All"İstemci gizli dizisini sarmalamak için KEK kullanarak çalışan bir VM'yi şifreleyin:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --aad-client-id "<my spn created with CLI which is the Azure AD ClientID>" --aad-client-secret "My-AAD-client-secret" --disk-encryption-keyvault "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "all"
Microsoft Entra istemcisi sertifika tabanlı kimlik doğrulamasını kullanarak şifrelemeyi etkinleştirin.
KEK ile veya KEK olmadan istemci sertifikası kimlik doğrulamayı kullanabilirsiniz. PowerShell betiklerini kullanmadan önce sertifikayı anahtar kasasına yüklemiş ve VM'ye dağıtmış olmanız gerekir. KEK de kullanıyorsanız KEK zaten mevcut olmalıdır. Daha fazla bilgi için önkoşullar makalesinin Microsoft Entra Id için sertifika tabanlı kimlik doğrulaması bölümüne bakın.
Azure PowerShell ile sertifika tabanlı kimlik doğrulaması kullanarak şifrelemeyi etkinleştirme
## Fill in 'MyVirtualMachineResourceGroup', 'MyKeyVaultResourceGroup', 'My-AAD-client-ID', 'MySecureVault, and 'MySecureVM'.
$VMRGName = 'MyVirtualMachineResourceGroup'
$KVRGname = 'MyKeyVaultResourceGroup';
$AADClientID ='My-AAD-client-ID';
$KeyVaultName = 'MySecureVault';
$VMName = 'MySecureVM';
$KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
$diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
$KeyVaultResourceId = $KeyVault.ResourceId;
# Fill in the certificate path and the password so the thumbprint can be set as a variable.
$certPath = '$CertPath = "C:\certificates\mycert.pfx';
$CertPassword ='Password'
$Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($CertPath, $CertPassword)
$aadClientCertThumbprint = $cert.Thumbprint;
# Enable disk encryption using the client certificate thumbprint
Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $VMName -AadClientID $AADClientID -AadClientCertThumbprint $AADClientCertThumbprint -DiskEncryptionKeyVaultUrl $DiskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId
Azure PowerShell ile sertifika tabanlı kimlik doğrulaması ve KEK kullanarak şifrelemeyi etkinleştirme
# Fill in 'MyVirtualMachineResourceGroup', 'MyKeyVaultResourceGroup', 'My-AAD-client-ID', 'MySecureVault,, 'MySecureVM', and "KEKName.
$VMRGName = 'MyVirtualMachineResourceGroup';
$KVRGname = 'MyKeyVaultResourceGroup';
$AADClientID ='My-AAD-client-ID';
$KeyVaultName = 'MySecureVault';
$VMName = 'MySecureVM';
$keyEncryptionKeyName ='KEKName';
$KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
$diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
$KeyVaultResourceId = $KeyVault.ResourceId;
$keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
## Fill in the certificate path and the password so the thumbprint can be read and set as a variable.
$certPath = '$CertPath = "C:\certificates\mycert.pfx';
$CertPassword ='Password'
$Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($CertPath, $CertPassword)
$aadClientCertThumbprint = $cert.Thumbprint;
# Enable disk encryption using the client certificate thumbprint and a KEK
Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $VMName -AadClientID $AADClientID -AadClientCertThumbprint $AADClientCertThumbprint -DiskEncryptionKeyVaultUrl $DiskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId
Şifrelemeyi devre dışı bırakma
Şifrelemeyi Azure PowerShell, Azure CLI veya Resource Manager şablonuyla devre dışı bırakabilirsiniz.
Azure PowerShell ile disk şifrelemesini devre dışı bırakma: Şifrelemeyi devre dışı bırakmak için Disable-AzureRmVMDiskEncryption cmdlet'ini kullanın.
Disable-AzVMDiskEncryption -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'Azure CLI ile şifrelemeyi devre dışı bırakma: Şifrelemeyi devre dışı bırakmak için az vm encryption disable komutunu kullanın.
az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type [ALL, DATA, OS]Resource Manager Şablonu ile şifrelemeyi devre dışı bırakma:
- Çalışan Windows VM'sinde disk şifrelemesini devre dışı bırak şablonundan Azure'a Dağıt'a tıklayın.
- Aboneliği, kaynak grubunu, konumu, VM'yi, yasal koşulları ve sözleşmeyi seçin.
- Çalışan bir Windows VM'de disk şifrelemesini devre dışı bırakmak için Satın Al'a tıklayın.