你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

升级 Azure 磁盘加密版本

第一版 Azure 磁盘加密 (ADE) 依赖 Microsoft Entra ID 来进行身份验证；当前版本并非如此。 我们强烈建议使用最新版本。

确定 ADE 版本

作用域中用于迁移的 ADE 版本为：

• Windows：1.1.*（VM 上的 ADE 必须升级到 2.2）
• Linux：0.1.*（VM 上的 ADE 必须升级到 1.2）

你可以通过 Azure CLI、Azure PowerShell 或 Azure 门户确定为 VM 加密的 ADE 版本。

CLI

若要确定 ADE 版本，请运行 Azure CLI az vm get-help 命令。

az vm get-instance-view --resource-group  <ResourceGroupName> --name <VMName>

找到输出中的 AzureDiskEncryption 扩展，从输出中的“TypeHandlerVersion”字段识别版本号。

PowerShell

若要确定 ADE 版本，请运行 Azure PowerShell Get-AzVM 命令。

Get-AzVM -ResourceGroupName <ResourceGroupName> -Name <VMName> -Status

找到输出中的 AzureDiskEncryption 扩展，从输出中的“TypeHandlerVersion”字段识别版本号。

Portal

在 Azure 门户中转到你 VM 的“扩展”边栏选项卡。

选择适用于 Windows 的“AzureDiskEncryption”扩展或适用于 Linux 的“AzureDiskEncryptionForLinux”扩展，并在“版本”字段中找到版本号。

如何迁移

只能通过 Azure PowerShell 从 Azure 磁盘加密（使用 Microsoft Entra ID）迁移到 Azure 磁盘加密（不使用 Microsoft Entra ID）。 确保你已安装最新版本的 Azure PowerShell，且至少安装了 Azure PowerShell Az module 5.9.0 版本。

若要从 Azure 磁盘加密（使用 Microsoft Entra ID）升级到 Azure 磁盘加密（不使用 Microsoft Entra ID），请使用 Set-AzVMDiskEncryptionExtension PowerShell cmdlet。

警告

Set-AzVMDiskEncryptionExtension cmdlet 只能用于通过 Azure 磁盘加密（使用 Microsoft Entra ID）进行的加密的 VM。 如果尝试迁移未加密的 VM 或使用 Azure 磁盘加密（不使用 Microsoft Entra ID）进行加密的 VM，会导致终端错误。

Set-AzVMDiskEncryptionExtension -ResourceGroupName <resourceGroupName> -VMName <vmName> -Migrate

当 cmdlet 提示你进行确认时，请输入“Y”。 将更新 ADE 版本，并重新启动 VM。 输出将类似于以下内容：

Update AzureDiskEncryption version?
This cmdlet updates Azure Disk Encryption version to single pass (Azure Disk Encryption without Azure AD). This may reboot
the machine and takes 10-15 minutes to finish. Are you sure you want to continue?
[Y] Yes  [N] No  [S] Suspend  [?] Help (default is "Y"): Y
Azure Disk Encryption Extension Public Settings
"KeyVaultResourceId": /subscriptions/ea500758-3163-4849-bd2c-3e50f06efa7a/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/myKeyVault
"SequenceVersion":
"MigrateFlag": Migrate
"KeyVaultURL": https://myKeyVault.vault.azure.net/
"Azure ADClientID": d29edf8c-3fcb-42e7-8410-9e39fdf0dd70
"KeyEncryptionKeyURL":
"KekVaultResourceId":
"EncryptionOperation": EnableEncryption
"Azure ADClientCertThumbprint":
"VolumeType":
"KeyEncryptionAlgorithm":

Running ADE extension (with Azure AD) for -Migrate..
ADE extension (with Azure AD) is now complete. Updating VM model..
Running ADE extension (without Azure AD) for -Migrate..
ADE extension (without Azure AD) is now complete. Clearing VM model..

RequestId IsSuccessStatusCode StatusCode ReasonPhrase
--------- ------------------- ---------- ------------
                         True         OK OK

重要

完成升级所需的时间至少为 10 - 15 分钟。 在升级过程中，请勿取消 cmdlet。 这样会让 VM 的运行状况处于风险之中。

后续步骤

• Azure 磁盘加密疑难解答