Scénáře služby Azure Disk Encryption na virtuálních počítačích s Windows

Platí pro: ✔️ Flexibilní škálovací sady virtuálních ✔️ počítačů s Windows

Služba Azure Disk Encryption pro virtuální počítače s Windows používá nástroj BitLocker systému Windows, který zajišťuje šifrování celého disku s operačním systémem i datového disku. BitLocker také šifruje dočasný disk, pokud je parametr VolumeType nastavený na All (Vše).

Služba Azure Disk Encryption je integrovaná se službou Azure Key Vault , která vám pomůže řídit a spravovat šifrovací klíče a tajné kódy disků. Přehled služby najdete v tématu Azure Disk Encryption pro virtuální počítače s Windows.

Požadavky

Šifrování disků je možné použít jen u virtuálních počítačů, které mají podporovanou velikost a operační systémy. Dále musí být splněny následující požadavky:

• Požadavky na síť
• Požadavky na zásady skupiny
• Požadavky na úložiště šifrovacích klíčů

Omezení

Pokud jste virtuální počítač už dříve zašifrovali službou Azure Disk Encryption s Microsoft Entra ID, musíte k jeho šifrování dále používat tuto možnost. Podrobnější informace viz Azure Disk Encryption s Microsoft Entra ID (předchozí verze).

Před šifrováním disků byste měli pořídit snímek a/nebo vytvořit zálohu. Pokud máte zálohu a při šifrování dojde nečekaně k chybě, bude možné virtuální počítač obnovit. Virtuální počítače se spravovanými disky vyžadují před šifrováním zálohu. Po vytvoření zálohy můžete pomocí rutiny Set-AzVMDiskEncryptionExtension zašifrovat spravované disky zadáním parametru -skipVmBackup. Další informace o zálohování a obnovení šifrovaných virtuálních počítačů najdete v tématu o zálohování a obnovení šifrovaného virtuálního počítače Azure.

Při šifrování nebo zákazu šifrování může dojít k restartování virtuálního počítače.

Azure Disk Encryption nefunguje v následujících scénářích, funkcích a technologiích:

• Šifrování virtuálních počíta.čů úrovně Basic a virtuálních počítačů vytvořených klasickou metodou
• Šifrování virtuálních počítačů řady v6 (Ddsv6, Dldsv6, Edsv6, Dadsv6, Daldsv6, Eadsv6, Dpdsv6, Dpldsv6 nebo Epdsv6). Další informace najdete na jednotlivých stránkách jednotlivých velikostí virtuálních počítačů uvedených na velikostech virtuálních počítačů v Azure.
• Všechny požadavky a omezení nástroje BitLocker, například vyžadování systému souborů NTFS. Další informace najdete v tématu Přehled nástroje BitLocker.
• Šifrování virtuálních počítačů nakonfigurovaných pomocí softwarových systémů RAID
• Šifrování virtuálních počítačů nakonfigurovaných pomocí Prostory úložiště s přímým přístupem (S2D) nebo Verzí Windows Serveru před 2016 nakonfigurovanými s Windows Prostory úložiště
• Integrace do místního systému pro správu klíčů.
• Soubory Azure (sdílený systém souborů).
• Systém souborů NFS (Network File System).
• Dynamické svazky.
• Kontejnery Windows Serveru, které vytvářejí dynamické svazky pro každý kontejner.
• Disky OS s kratší platností.
• Disky iSCSI.
• Šifrování sdílených nebo distribuovaných systémů souborů, jako jsou (ale ne omezené na) DFS, GFS, DRDB a CephFS.
• Přesun šifrovaného virtuálního počítače do jiného předplatného nebo oblasti
• Vytvoření image nebo snímku šifrovaného virtuálního počítače a jeho použití k nasazení dalších virtuálních počítačů.
• Virtuální počítače řady M s disky akcelerátoru zápisu
• Použití ADE na virtuální počítač, který má disky šifrované pomocí šifrování na straně hostitele nebo na straně serveru s využitím klíčů spravovaných zákazníkem (SSE + CMK). Použití SSE + CMK na datový disk nebo přidání datového disku s nakonfigurovaným SSE + CMK do virtuálního počítače šifrovaného pomocí ADE je rovněž nepodporovaný scénář.
• Migrace virtuálního počítače, který je šifrovaný pomocí ADE nebo byl někdy šifrovaný pomocí ADE, na šifrování na straně hostitele nebo na straně serveru pomocí klíčů spravovaných zákazníkem.
• Šifrování virtuálních počítačů v clusterech s podporou převzetí služeb při selhání.
• Šifrování disků Azure Úrovně Ultra
• Šifrování disků SSD úrovně Premium v2
• Šifrování virtuálních počítačů v předplatných, u kterých jsou Secrets should have the specified maximum validity period povolené zásady s účinkem DENY.
• Šifrování virtuálních počítačů v předplatných, u kterých jsou Key Vault secrets should have an expiration date povolené zásady s efektem ODEPŘÍT

Instalace nástrojů a připojení k Azure

Službu Azure Disk Encryption je možné povolit a spravovat prostřednictvím Azure CLI a Azure PowerShellu. Abyste to mohli udělat, musíte nástroje nainstalovat místně a připojit se k předplatnému Azure.

Azure CLI

Azure CLI 2.0 je nástroj příkazového řádku pro správu prostředků Azure. Rozhraní příkazového řádku je navržené tak, aby pružně dotazovala data, podporovala dlouhotrvající operace jako neblokující procesy a usnadnila skriptování. Můžete ho nainstalovat místně podle kroků v části Instalace Azure CLI.

Pokud se chcete přihlásit ke svému účtu Azure pomocí Azure CLI, použijte příkaz az login .

az login

Pokud chcete vybrat tenanta, pod který se chcete přihlásit, použijte:

az login --tenant <tenant>

Pokud máte více předplatných a chcete zadat konkrétní předplatné, získejte seznam předplatných pomocí příkazu az account list a zadejte příkazem az account set.

az account list
az account set --subscription "<subscription name or ID>"

Další informace najdete v tématu Začínáme s Azure CLI 2.0.

Azure PowerShell

Modul az Azure PowerShellu poskytuje sadu rutin, které ke správě prostředků Azure používají model Azure Resource Manageru . Můžete ho použít v prohlížeči s Azure Cloud Shellem nebo ho můžete nainstalovat na místní počítač podle pokynů v části Instalace modulu Azure PowerShell.

Pokud ho už máte místně nainstalovaný, ujistěte se, že ke konfiguraci služby Azure Disk Encryption používáte nejnovější verzi sady SDK Azure PowerShellu. Stáhněte si nejnovější verzi Azure PowerShellu.

Pokud se chcete přihlásit ke svému účtu Azure pomocí Azure PowerShellu, použijte rutinu Connect-AzAccount .

Connect-AzAccount

Pokud máte více předplatných a chcete ho zadat, pomocí rutiny Get-AzSubscription je vypíšete a pak rutinu Set-AzContext :

Set-AzContext -Subscription <SubscriptionId>

Spuštěním rutiny Get-AzContext ověříte, že je vybrané správné předplatné.

Pokud chcete ověřit, že jsou nainstalované rutiny Azure Disk Encryption, použijte rutinu Get-command :

Get-command *diskencryption*

Další informace najdete v tématu Začínáme s Azure PowerShellem.

Povolení šifrování na existujícím nebo spuštěném virtuálním počítači s Windows

V tomto scénáři můžete povolit šifrování pomocí šablony Resource Manageru, rutin PowerShellu nebo příkazů rozhraní příkazového řádku. Pokud potřebujete informace o schématu pro rozšíření virtuálního počítače, přečtěte si článek o rozšíření Azure Disk Encryption pro Windows.

Povolení šifrování u existujících nebo spuštěných virtuálních počítačů pomocí Azure PowerShellu

Pomocí rutiny Set-AzVMDiskEncryptionExtension povolte šifrování na spuštěném virtuálním počítači IaaS v Azure.

• Zašifrujte spuštěný virtuální počítač: Následující skript inicializuje proměnné a spustí rutinu Set-AzVMDiskEncryptionExtension. Skupina prostředků, virtuální počítač a trezor klíčů by už měly být vytvořené podle požadavků. Nahraďte MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM a MySecureVault hodnotami.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;
  

• Šifrování spuštěného virtuálního počítače pomocí KEK:

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MyExtraSecureVM';
  $KeyVaultName = 'MySecureVault';
  $keyEncryptionKeyName = 'MyKeyEncryptionKey';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;
  
  

  Poznámka:

  Syntaxe pro hodnotu parametru disk-encryption-keyvault je řetězec úplného identifikátoru: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name.]
  Syntaxe pro hodnotu parametru key-encryption-key je úplný identifikátor URI klíče KEK jako v: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Ověřte, že jsou disky šifrované: Pokud chcete zkontrolovat stav šifrování virtuálního počítače IaaS, použijte rutinu Get-AzVmDiskEncryptionStatus .

  Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
  

Pokud chcete šifrování zakázat, přečtěte si téma Zakázání šifrování a odebrání rozšíření šifrování.

Povolení šifrování u existujících nebo spuštěných virtuálních počítačů pomocí Azure CLI

Pomocí příkazu az vm encryption povolte šifrování na spuštěném virtuálním počítači IaaS v Azure.

• Šifrování spuštěného virtuálního počítače:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]
  

• Šifrování spuštěného virtuálního počítače pomocí KEK:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
  

  Poznámka:

  Syntaxe pro hodnotu parametru disk-encryption-keyvault je řetězec úplného identifikátoru: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name.]
  Syntaxe pro hodnotu parametru key-encryption-key je úplný identifikátor URI klíče KEK jako v: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Ověřte, že jsou disky šifrované: Pokud chcete zkontrolovat stav šifrování virtuálního počítače IaaS, použijte příkaz az vm encryption show .

  az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
  

Pokud chcete šifrování zakázat, přečtěte si téma Zakázání šifrování a odebrání rozšíření šifrování.

Použití šablony Resource Manageru

Šifrování disků můžete povolit u existujících nebo spuštěných virtuálních počítačů IaaS s Windows v Azure pomocí šablony Resource Manageru k šifrování spuštěného virtuálního počítače s Windows.

1. V šabloně Rychlého startu Azure klikněte na Nasadit do Azure.

2. Vyberte předplatné, skupinu prostředků, umístění, nastavení, právní podmínky a smlouvu. Kliknutím na Tlačítko Koupit povolíte šifrování na existujícím nebo spuštěném virtuálním počítači IaaS.

Následující tabulka uvádí parametry šablony Resource Manageru pro existující nebo spuštěné virtuální počítače:

Parametr	Popis
vmName	Název virtuálního počítače pro spuštění operace šifrování
keyVaultName	Název trezoru klíčů, do kterého se má klíč BitLockeru nahrát. Můžete ho získat pomocí rutiny (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname nebo příkazu Azure CLI. az keyvault list --resource-group "MyKeyVaultResourceGroup"
keyVaultResourceGroup	Název skupiny prostředků, která obsahuje trezor klíčů
keyEncryptionKeyURL	Adresa URL šifrovacího klíče ve formátu https://< keyvault-name.vault.azure.net/key/>< key-name>. Pokud nechcete použít klíč KEK, nechte toto pole prázdné.
volumeType	Typ svazku, na který se provádí operace šifrování. Platné hodnoty jsou operační systém, data a vše.
forceUpdateTag	Při každém vynucení spuštění operace předejte jedinečnou hodnotu jako identifikátor GUID.
resizeOSDisk	Pokud se velikost oddílu operačního systému změní tak, aby zabírala celý virtuální pevný disk operačního systému před rozdělením systémového svazku.
location	Umístění pro všechny prostředky

Povolení šifrování disků NVMe pro virtuální počítače Lsv2

Tento scénář popisuje povolení služby Azure Disk Encryption na discích NVMe pro virtuální počítače řady Lsv2. Řada Lsv2 obsahuje místní úložiště NVMe. Místní disky NVMe jsou dočasné a data na těchto discích budou ztracena, pokud virtuální počítač zastavíte nebo uvolníte (viz: Lsv2-series).

Povolení šifrování na discích NVMe:

1. Inicializace disků NVMe a vytvoření svazků NTFS
2. Povolte šifrování na virtuálním počítači s parametrem VolumeType nastaveným na All. Tím se povolí šifrování pro všechny disky s operačním systémem a daty, včetně svazků zálohovaných disky NVMe. Informace najdete v tématu Povolení šifrování na existujícím nebo spuštěném virtuálním počítači s Windows.

Šifrování se zachová na discích NVMe v následujících scénářích:

• Restartování virtuálního počítače
• Obnovení image škálovací sady virtuálních počítačů
• Prohodit operační systém

Disky NVMe nebudou inicializovány v následujících scénářích:

• Spuštění virtuálního počítače po zrušení přidělení
• Opravy služeb
• Backup

V těchto scénářích je potřeba po spuštění virtuálního počítače inicializovat disky NVMe. Pokud chcete povolit šifrování disků NVMe, spusťte příkaz, který znovu povolí službu Azure Disk Encryption po inicializaci disků NVMe.

Kromě scénářů uvedených v části Omezení není šifrování disků NVMe podporováno pro:

• Virtuální počítače šifrované pomocí služby Azure Disk Encryption s ID Microsoft Entra (předchozí verze)
• Disky NVMe s prostory úložiště
• Azure Site Recovery s disky NVMe (viz Matice podpory pro zotavení po havárii virtuálního počítače Azure mezi oblastmi Azure: Replikované počítače – úložiště).

Nové virtuální počítače IaaS vytvořené z šifrovaného virtuálního pevného disku zákazníka a šifrovacích klíčů

V tomto scénáři můžete vytvořit nový virtuální počítač z předšifrovaného virtuálního pevného disku a přidružených šifrovacích klíčů pomocí rutin PowerShellu nebo příkazů rozhraní příkazového řádku.

Postupujte podle pokynů v části Příprava předšifrovaného virtuálního pevného disku s Windows. Po vytvoření image můžete pomocí kroků v další části vytvořit šifrovaný virtuální počítač Azure.

Šifrování virtuálních počítačů pomocí předšifrovaných virtuálních pevných disků pomocí Azure PowerShellu

Šifrování disků na šifrovaný virtuální pevný disk můžete povolit pomocí rutiny PowerShellu Set-AzVMOSDisk. Následující příklad obsahuje některé běžné parametry.

$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"

Povolení šifrování na nově přidaném datovém disku

K virtuálnímu počítači s Windows můžete přidat nový disk pomocí PowerShellu nebo webu Azure Portal.

Poznámka:

Nově přidané šifrování datového disku musí být povolené jenom přes PowerShell nebo rozhraní příkazového řádku. Azure Portal v současné době nepodporuje povolení šifrování na nových discích.

Povolení šifrování na nově přidaném disku pomocí Azure PowerShellu

Při použití PowerShellu k šifrování nového disku pro virtuální počítače s Windows by se měla zadat nová sekvenční verze. Verze sekvence musí být jedinečná. Následující skript vygeneruje identifikátor GUID pro sekvenci verze. V některých případech může nově přidaný datový disk automaticky zašifrovat rozšíření Azure Disk Encryption. K automatickému šifrování obvykle dochází, když se virtuální počítač restartuje po připojení nového disku do režimu online. Důvodem je obvykle to, že pro typ svazku byla zadána možnost Vše, když na virtuálním počítači dříve běželo šifrování disku. Pokud na nově přidaném datovém disku dojde k automatickému šifrování, doporučujeme znovu spustit rutinu Set-AzVmDiskEncryptionExtension s novou verzí sekvence. Pokud je nový datový disk automaticky šifrovaný a nechcete je šifrovat, dešifrujte nejprve všechny jednotky a pak znovu zašifrujte novou verzí sekvence určující operační systém pro typ svazku.

• Zašifrujte spuštěný virtuální počítač: Následující skript inicializuje proměnné a spustí rutinu Set-AzVMDiskEncryptionExtension. Skupina prostředků, virtuální počítač a trezor klíčů by už měly být vytvořené podle požadavků. Nahraďte MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM a MySecureVault hodnotami. Tento příklad používá pro parametr -VolumeType "All", který zahrnuje svazky operačního systému i dat. Pokud chcete šifrovat jenom svazek operačního systému, použijte pro parametr -VolumeType "OS".

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
   $sequenceVersion = [Guid]::NewGuid();
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
  

• Šifrování spuštěného virtuálního počítače pomocí KEK: V tomto příkladu se pro parametr -VolumeType používá "All", který zahrnuje svazky operačního systému i dat. Pokud chcete šifrovat jenom svazek operačního systému, použijte pro parametr -VolumeType "OS".

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MyExtraSecureVM';
  $KeyVaultName = 'MySecureVault';
  $keyEncryptionKeyName = 'MyKeyEncryptionKey';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
  $sequenceVersion = [Guid]::NewGuid();
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
  
  

  Poznámka:

  Syntaxe pro hodnotu parametru disk-encryption-keyvault je řetězec úplného identifikátoru: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name.]
  Syntaxe pro hodnotu parametru key-encryption-key je úplný identifikátor URI klíče KEK jako v: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

Povolení šifrování na nově přidaném disku pomocí Azure CLI

Příkaz Azure CLI vám při spuštění příkazu pro povolení šifrování automaticky poskytne novou sekvenční verzi. Příklad používá pro parametr volume-type "All". Pokud šifrujete jenom disk s operačním systémem, budete možná muset změnit parametr typu svazku na operační systém. Na rozdíl od syntaxe PowerShellu rozhraní příkazového řádku nevyžaduje, aby uživatel při povolování šifrování poskytoval jedinečnou sekvenci. Rozhraní příkazového řádku automaticky vygeneruje a používá vlastní jedinečnou hodnotu verze sekvence.

• Šifrování spuštěného virtuálního počítače:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "All"
  

• Šifrování spuštěného virtuálního počítače pomocí KEK:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "All"
  

Zakázání šifrování a odebrání rozšíření šifrování

Rozšíření Azure Disk Encryption můžete zakázat a můžete odebrat rozšíření Azure Disk Encryption. Jedná se o dvě odlišné operace.

Pokud chcete ADE odebrat, doporučujeme nejprve zakázat šifrování a pak rozšíření odebrat. Pokud odeberete šifrovací rozšíření bez jeho zakázání, disky se budou dál šifrovat. Pokud šifrování zakážete po odebrání rozšíření, rozšíření se přeinstaluje (k provedení dešifrovací operace) a bude potřeba ho znovu odebrat.

Zakázání šifrování

Šifrování můžete zakázat pomocí Azure PowerShellu, Azure CLI nebo šablony Resource Manageru. Zakázání šifrování neodebere rozšíření (viz Odebrání rozšíření šifrování).

Upozorňující

Zakázání šifrování datového disku, pokud jsou zašifrované disky s operačním systémem i datové disky, mohou mít neočekávané výsledky. Místo toho zakažte šifrování na všech discích.

Když zakážete šifrování, spustí se proces bitlockeru na pozadí pro dešifrování disků. Tento proces by měl být dostatek času na dokončení před pokusem o opětovné povolení šifrování.

• Zakázání šifrování disků pomocí Azure PowerShellu: Pokud chcete šifrování zakázat, použijte rutinu Disable-AzVMDiskEncryption .

  Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "all"
  

• Zákaz šifrování pomocí Azure CLI: Pokud chcete zakázat šifrování, použijte příkaz az vm encryption disable .

  az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "all"
  

• Zakázání šifrování pomocí šablony Resource Manageru:

  1. V šabloně virtuálního počítače s Windows klikněte na Nasadit do Azure z možnosti Zakázat šifrování disků.
  2. Vyberte předplatné, skupinu prostředků, umístění, virtuální počítač, typ svazku, právní podmínky a smlouvu.
  3. Kliknutím na tlačítko Koupit zakážete šifrování disků na spuštěném virtuálním počítači s Windows.

Odebrání rozšíření šifrování

Pokud chcete dešifrovat disky a odebrat rozšíření šifrování, musíte šifrování před odebráním rozšíření zakázat. Viz zakázání šifrování.

Rozšíření šifrování můžete odebrat pomocí Azure PowerShellu nebo Azure CLI.

• Zakažte šifrování disků pomocí Azure PowerShellu: Pokud chcete šifrování odebrat, použijte rutinu Remove-AzVMDiskEncryptionExtension .

  Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"
  

• Zakažte šifrování pomocí Azure CLI: Pokud chcete odebrat šifrování, použijte příkaz az vm extension delete .

  az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryption"
  

Další kroky

• Přehled služby Azure Disk Encryption
• Ukázkové skripty pro službu Azure Disk Encryption
• Řešení potíží se službou Azure Disk Encryption