Cenários de Azure Disk Encryption em VMs Windows

Aplica-se a: ✔️ VMs do Windows ✔️ Conjuntos de dimensionamento flexíveis

O Azure Disk Encryption para VMs do Windows usa o recurso BitLocker do Windows para fornecer criptografia completa do disco do sistema operacional e dos discos de dados. Além disso, ele fornece criptografia do disco temporário quando o parâmetro VolumeType é All.

O Azure Disk Encryption é integrado ao Azure Key Vault para ajudar você a controlar e gerenciar as chaves de criptografia de disco e os segredos. Para obter uma visão geral do serviço, confira Azure Disk Encryption para VMs Windows.

Pré-requisitos

Você só pode aplicar a criptografia de disco a máquinas virtuais de tamanhos de VM e sistemas operacionais com suporte. Você também deve atender aos seguintes pré-requisitos:

• Requisitos de rede
• Requisitos da política de grupo
• Requisitos de armazenamento de chave de criptografia

Restrições

Se já tiver usado a Criptografia de Disco do Azure com o Microsoft Entra ID para criptografar uma VM, você precisa continuar usando essa opção para criptografar sua VM. Confira Criptografia de Disco do Azure com o Microsoft Entra ID (versão anterior) para obter detalhes.

Você deve tirar um instantâneo e/ou criar um backup antes que os discos sejam criptografados. Os backups garantem que uma opção de recuperação seja possível, no caso de uma falha inesperada durante a criptografia. VMs com discos gerenciados exigem um backup antes que a criptografia ocorra. Depois que um backup é feito, você poderá usar o cmdlet Set-AzVMDiskEncryptionExtension para criptografar discos gerenciados, especificando o parâmetro -skipVmBackup. Para obter mais informações sobre como fazer backup e restaurar VMs criptografadas, confira Backup e restauração da VM do Azure criptografada.

Criptografar ou desabilitar a criptografia pode fazer com que uma VM seja reiniciada.

O Azure Disk Encryption não funciona para os seguintes cenários, recursos e tecnologias:

• criptografia de VM de camada básica ou VMs criadas por meio do método de criação de VM clássico.
• Criptografando VMs da série v6 (Ddsv6, Dldsv6, Edsv6, Dadsv6, Daldsv6, Eadsv6, Dpdsv6, Dpldsv6 ou Epdsv6). Para obter mais informações, consulte as páginas individuais para cada um desses tamanhos de VM listados em Tamanhos para máquinas virtuais no Azure
• Todos os requisitos e restrições do BitLocker, como exigir um NTFS. Para obter mais informações, confira Visão geral do BitLocker.
• Criptografia de VMs configuradas com sistemas RAID baseados em software.
• Criptografia de VMs configuradas com o Espaços de Armazenamento Diretos (S2D) ou versões do Windows Server anteriores a 2016 configuradas com espaços de armazenamento do Windows.
• Integração ao sistema de gerenciamento de chaves local.
• Arquivos do Azure (sistema de arquivo compartilhado).
• NFS (Network File System).
• Volumes dinâmicos.
• Contêineres do Windows Server, que criam volumes dinâmicos para cada contêiner.
• Discos do SO Efêmero.
• Discos iSCSI.
• Criptografia de sistemas de arquivos compartilhados/distribuídos como (mas não se limitando a): DFS, GFS, DRDB e CephFS.
• Mover uma VM criptografada para outra assinatura ou região.
• Criar uma imagem ou um instantâneo de uma VM criptografada e usá-la para implantar VMs adicionais.
• VMs da série M com discos Acelerador de Gravação.
• Aplicar ADE a uma VM que tem discos criptografados com criptografia em host ou criptografia do lado do servidor com chaves gerenciadas pelo cliente (SSE + CMK). Aplicar SSE + CMK a um disco de dados ou adicionar um disco de dados com SSE + CMK configurado para uma VM criptografada com ADE também é um cenário sem suporte.
• Migrar uma VM que é criptografada com ADE ou que já foi criptografada com ADE, para a criptografia em host ou criptografia do lado do servidor com chaves gerenciadas pelo cliente.
• Criptografia de VMs em clusters de failover.
• Criptografia de ultra discos do Azure.
• Criptografia de discos SSD Premium v2.
• Criptografia de VMs em assinaturas que têm a política Secrets should have the specified maximum validity period habilitada com o efeito DENY.
• Criptografia de VMs em assinaturas que têm a política Key Vault secrets should have an expiration date habilitada com o efeito DENY

Instalar ferramentas e conectar-se ao Azure

O Azure Disk Encryption pode ser habilitado e gerenciado por meio da CLI do Azure e do Azure PowerShell. Para fazer isso, você deve instalar as ferramentas localmente e conectar-se à sua assinatura do Azure.

CLI do Azure

O CLI 2.0 do Azure é uma ferramenta de linha de comando para gerenciar recursos do Azure. A CLI é projetada para consultar dados com flexibilidade, dar suporte a operações de longa execução como processos desbloqueados e facilitar o script. Você pode instalá-la localmente seguindo as etapas em Instalar a CLI do Azure.

Para Entrar na assinatura do Azure com a CLI do Azure, use o comando az login.

az login

Se você deseja selecionar um locatário a ser usado para entrar, use:

az login --tenant <tenant>

Se você tiver várias assinaturas e quiser especificar uma lista específica, obtenha a lista de assinaturas com az account list e especifique com az account set.

az account list
az account set --subscription "<subscription name or ID>"

Para obter mais informações, consulte Introdução à CLI do Azure 2.0.

Azure PowerShell

O módulo az do Azure PowerShell fornece um conjunto de cmdlets que usa o modelo do Azure Resource Manager para gerenciar os recursos do Azure. Você pode usá-lo em seu navegador com o Azure Cloud Shell ou você pode instalá-lo em seu computador local usando as instruções em Instalar o módulo do Azure PowerShell.

Se você já tiver instalado localmente, verifique se que você usar a versão mais recente do SDK do Azure PowerShell para configurar o Azure Disk Encryption. Baixe a última versão do Azure PowerShell.

Para Entrar em sua conta do Azure com o Azure PowerShell, use o cmdlet Connect-AzAccount.

Connect-AzAccount

Se você tiver várias assinaturas e quiser especificar uma, use o cmdlet Get-AzSubscription para listá-las, seguido pelo cmdlet Set-AzContext:

Set-AzContext -Subscription <SubscriptionId>

A execução do cmdlet Get-AzContext verificará se a assinatura correta foi selecionada.

Para confirmar que os cmdlets do Azure Disk Encryption estão instalados, use o cmdlet Get-command:

Get-command *diskencryption*

Para saber mais, confira Introdução ao Azure PowerShell.

Habilitar criptografia em uma VM do Windows em execução ou existente

Nesse cenário, é possível habilitar a criptografia usando o modelo do Resource Manager, os cmdlets do PowerShell ou os comandos da CLI. Se você precisar de informações de esquema para a extensão de máquina virtual, consulte o Azure Disk Encryption para extensão do artigo Windows.

Habilitar criptografia em VMs existentes ou em execução com Azure PowerShell

Use o cmdlet Set-AzVMDiskEncryptionExtension para habilitar a criptografia em uma máquina virtual de IaaS em execução no Azure.

• Criptografar uma VM em execução: o script abaixo inicializa as variáveis e executa o cmdlet Set-AzVMDiskEncryptionExtension. O grupo de recursos, a VM e o cofre de chaves já devem ter sido criados como pré-requisitos. Substitua MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM e MySecureVault por seus valores.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;
  

• Criptografar uma VM em execução usando KEK:

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MyExtraSecureVM';
  $KeyVaultName = 'MySecureVault';
  $keyEncryptionKeyName = 'MyKeyEncryptionKey';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;
  
  

  Observação

  A sintaxe para o valor do parâmetro disk-encryption-keyvault é a cadeia de caracteres do identificador completo: /subscriptions/[GUID-ID-da-assinatura]/resourceGroups/[nome-do-grupo-de-recursos]/providers/Microsoft.KeyVault/vaults/[nome-do-cofre-de-chaves]
  A sintaxe do valor do parâmetro key-encryption-key é o URI completo da KEK, como em: https://[nome-do-cofre-de-chaves].vault.azure.net/keys/[nome-da-kek]/[id-exclusiva-da-kek]

• Verificar se os discos estão criptografados: para verificar o status de criptografia de uma VM de IaaS, use o cmdlet Get-AzVmDiskEncryptionStatus.

  Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
  

Para desabilitar a criptografia, consulte Desabilitar criptografia e remover a extensão de criptografia.

Habilitar criptografia em VMs existentes ou em execução com CLI do Azure

Use o comando az vm encryption enable para habilitar a criptografia em uma máquina virtual da IaaS em execução no Azure.

• Criptografar uma VM em execução:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]
  

• Criptografar uma VM em execução usando KEK:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
  

  Observação

  A sintaxe para o valor do parâmetro disk-encryption-keyvault é a cadeia de caracteres do identificador completo: /subscriptions/[GUID-ID-da-assinatura]/resourceGroups/[nome-do-grupo-de-recursos]/providers/Microsoft.KeyVault/vaults/[nome-do-cofre-de-chaves]
  A sintaxe do valor do parâmetro key-encryption-key é o URI completo da KEK, como em: https://[nome-do-cofre-de-chaves].vault.azure.net/keys/[nome-da-kek]/[id-exclusiva-da-kek]

• Verificar se os discos estão criptografados: para verificar o status de criptografia de uma VM de IaaS, use o comando az vm encryption show.

  az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
  

Para desabilitar a criptografia, consulte Desabilitar criptografia e remover a extensão de criptografia.

Usando o modelo do Gerenciador de Recursos

É possível habilitar a criptografia de disco em VMs do Windows da IaaS em execução ou existentes no Azure usando o modelo do Resource Manager para criptografar uma VM do Windows em execução.

1. No modelo de início rápido do Azure, clique em Implantar no Azure.

2. Selecione a assinatura, o grupo de recursos, o local, as configurações, os termos legais e o contrato. Clique em Comprar para habilitar a criptografia na VM da IaaS em execução ou existente.

A tabela a seguir lista os parâmetros de modelo do Resource Manager existentes para as VMs em execução ou existentes:

Parâmetro	Descrição
vmName	Nome da VM para executar a operação de criptografia.
keyVaultName	Nome do cofre de chaves no qual a chave do BitLocker deve ser carregada. É possível obtê-lo, usando o cmdlet (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname ou o comando az keyvault list --resource-group "MyKeyVaultResourceGroup" da CLI do Azure
keyVaultResourceGroup	Nome do grupo de recursos que contém o cofre de chaves
keyEncryptionKeyURL	A URL da chave de criptografia de chave, no formato https://< keyvault-name >.vault.azure.net/key/< key-name >. Se você não quiser usar uma KEK, deixe esse campo em branco.
volumeType	Tipo de volume em que a operação de criptografia é executada. Os valores válidos são OS, Data e All.
forceUpdateTag	Passe um valor exclusivo como um GUID sempre que a execução da operação precise ser forçada.
resizeOSDisk	A partição do SO deve ser redimensionada para ocupar o VHD do SO completo antes de dividir o volume do sistema.
local	Local de todos os recursos.

Habilitar a criptografia em discos NVMe para VMs Lsv2

Este cenário descreve como habilitar o Azure Disk Encryption em discos NVMe para VMs da série Lsv2. A série Lsv2 apresenta o armazenamento de NVMe local. Os discos NVMe locais são temporários e os dados serão perdidos nesses discos se você parar/desalocar sua VM (Veja: Lsv2-series).

Para habilitar a criptografia em discos NVMe:

1. Inicialize os discos NVMe e crie volumes NTFS.
2. Habilita a criptografia na VM com o parâmetro VolumeType definido como Todos. Isso habilita a criptografia para todos os discos de dados e sistema operacional, incluindo volumes apoiados por discos NVMe. Para saber mais, veja Habilitar criptografia em uma VM do Windows em execução ou existente.

A criptografia persistirá nos discos NVMe nos seguintes cenários:

• Reinicialização da VM
• Nova imagem do conjunto de dimensionamento de máquina virtual
• Trocar OS

Os discos NVMe não serão reinicializados nos seguintes cenários:

• Iniciar VM após a desalocação
• Recuperação de serviço
• Backup

Nesses cenários, os discos NVMe precisam ser inicializados depois que a VM é iniciada. Para habilitar a criptografia nos discos NVMe, execute o comando para habilitar Azure Disk Encryption novamente depois que os discos NVMe são inicializados.

Além dos cenários listados na seção Restrições, não há suporte para criptografia de discos NVMe para:

• VMs criptografadas com a Criptografia de Disco do Azure com o Microsoft Entra ID (versão anterior)
• Discos NVMe com espaços de armazenamento
• Azure Site Recovery SKUs com discos NVMe (consulte Matriz de suporte para recuperação de desastre de VM do Azure entre regiões do Azure:máquinas replicadas – armazenamento).

Novas VMs da IaaS criadas a partir de chaves de criptografia e VHD criptografado pelo cliente

Nesse cenário, você pode criar uma nova VM com base em um VHD pré-criptografado e as chaves de criptografia associadas usando cmdlets do PowerShell ou comandos da CLI.

Use as instruções em Preparar um VHD do Windows pré-criptografado. Depois que a imagem for criada, você poderá usar as etapas na próxima seção para criar uma VM do Azure criptografada.

Criptografar VMs com VHDs previamente criptografados com Azure PowerShell

É possível habilitar a criptografia de disco no VHD criptografado usando o cmdlet do PowerShell Set-AzVMOSDisk. O exemplo abaixo fornece alguns parâmetros comuns.

$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"

Habilitar criptografia em um disco de dados adicionado recentemente

É possível adicionar um novo disco a uma VM do Windows usando o PowerShell ou por meio do portal do Azure.

Observação

A criptografia de disco de dados recém-adicionada só deve ser habilitada por meio do Powershell ou da CLI. Atualmente, o portal do Azure não dá suporte à habilitação da criptografia em novos discos.

Habilitar criptografia em um disco adicionado recentemente com Azure PowerShell

Ao usar o Powershell para criptografar um novo disco para VMs do Windows, uma nova versão da sequência deverá ser especificada. A versão da sequência deverá ser exclusiva. O script abaixo gera um GUID para a versão da sequência. Em alguns casos, um disco de dados adicionado recentemente pode ser criptografado automaticamente pela extensão do Azure Disk Encryption. A criptografia automática geralmente ocorre quando a VM é reinicializada depois que o novo disco fica online. Isso geralmente é causado porque "All" foi especificado para o tipo de volume quando a criptografia de disco foi executada anteriormente na VM. Se a criptografia automática ocorrer em um disco de dados recém-adicionado, recomendamos a execução do cmdlet Set-AzVmDiskEncryptionExtension novamente com a nova versão de sequência. Se o seu novo disco de dados for criptografado automaticamente e você não quiser ser criptografado, primeiro descriptografe todas as unidades e criptografe novamente com uma nova versão de sequência, especificando o SO para o tipo de volume.

• Criptografar uma VM em execução: o script abaixo inicializa as variáveis e executa o cmdlet Set-AzVMDiskEncryptionExtension. O grupo de recursos, a VM e o cofre de chaves já devem ter sido criados como pré-requisitos. Substitua MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM e MySecureVault por seus valores. Este exemplo usa "All" para o parâmetro -VolumeType, que inclui ambos os volumes de Dados e SO. Se você quiser apenas criptografar o volume do SO, use "OS" para o parâmetro -VolumeType.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
   $sequenceVersion = [Guid]::NewGuid();
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
  

• Criptografar uma VM em execução usando KEK:Este exemplo usa "All" para o parâmetro -VolumeType, que inclui ambos os volumes de Dados e SO. Se você quiser apenas criptografar o volume do SO, use "OS" para o parâmetro -VolumeType.

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MyExtraSecureVM';
  $KeyVaultName = 'MySecureVault';
  $keyEncryptionKeyName = 'MyKeyEncryptionKey';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
  $sequenceVersion = [Guid]::NewGuid();
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
  
  

  Observação

  A sintaxe para o valor do parâmetro disk-encryption-keyvault é a cadeia de caracteres do identificador completo: /subscriptions/[GUID-ID-da-assinatura]/resourceGroups/[nome-do-grupo-de-recursos]/providers/Microsoft.KeyVault/vaults/[nome-do-cofre-de-chaves]
  A sintaxe do valor do parâmetro key-encryption-key é o URI completo da KEK, como em: https://[nome-do-cofre-de-chaves].vault.azure.net/keys/[nome-da-kek]/[id-exclusiva-da-kek]

Habilitar criptografia em um disco adicionado recentemente com CLI do Azure

O comando da CLI do Azure fornecerá automaticamente uma nova versão da sequência quando você executar o comando para habilitar a criptografia. Os exemplos usam "All" para o parâmetro do tipo de volume. Talvez seja necessário alterar o parâmetro do tipo de volume para disco do SO. Em contraste com a sintaxe do PowerShell, a CLI não exige que o usuário forneça uma versão de sequência exclusiva ao habilitar a criptografia. A CLI gera e usa automaticamente o próprio valor de versão de sequência exclusivo.

• Criptografar uma VM em execução:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "All"
  

• Criptografar uma VM em execução usando KEK:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "All"
  

Desabilitar a criptografia e remover a extensão de criptografia

É possível desabilitar e remover a extensão de criptografia de disco do Azure. São duas operações distintas.

Para remover o ADE, é recomendável primeiro desabilitar a criptografia e, em seguida, remover a extensão. Se remover a extensão de criptografia sem desabilitá-la, os discos ainda serão criptografados. Se desabilitar a criptografia após remover a extensão, a extensão será reinstalada (para executar a operação de descriptografia) e precisará ser removida uma segunda vez.

Desabilitar criptografia

É possível desabilitar a criptografia usando o Azure PowerShell, a CLI do Azure ou com um modelo do Resource Manager. Desabilitar a criptografia de disco não remove a extensão (consulte Remover a extensão de criptografia).

Aviso

Desabilitar a criptografia de disco de dados quando o sistema operacional e os discos de dados foram criptografados pode gerar resultados inesperados. Desabilite a criptografia em todos os discos em vez disso.

Desabilitar a criptografia iniciará um processo em segundo plano do BitLocker para descriptografar os discos. Esse processo deve receber tempo suficiente para ser concluído antes de tentar habilitar novamente a criptografia.

• Desabilitar a criptografia de disco com o Azure PowerShell: para desabilitar a criptografia, use o cmdlet Disable-AzVMDiskEncryption.

  Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "all"
  

• Desabilitar a criptografia com a CLI do Azure: para desabilitar a criptografia, use o comando az vm encryption disable.

  az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "all"
  

• Desabilitar criptografia com um modelo do Resource Manager:

  1. Clique em Implantar no Azure no modelo Desabilitar criptografia de disco na VM do Windows em execução.
  2. Selecione a assinatura, o grupo de recursos, o local, a VM, o tipo de volume, os termos legais e o contrato.
  3. Clique em Comprar para desabilitar a criptografia de disco em uma VM do Windows em execução.

Remova a extensão de criptografia

Se desejar descriptografar seus discos e remover a extensão de criptografia, você deve desabilitar a criptografia antes de remover a extensão; consulte desabilitar criptografia.

É possível remover a extensão de criptografia usando o Azure PowerShell ou a CLI do Azure.

• Desabilitar a criptografia de disco com o Azure PowerShell: para remover a criptografia, use o cmdlet Remove-AzVMDiskEncryptionExtension.

  Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"
  

• Desabilitar criptografia com a CLI do Azure: para remover a criptografia, use o comando az vm extension delete.

  az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryption"
  

Próximas etapas

• Visão geral do Azure Disk Encryption
• Azure Disk Encryption scripts de exemplo
• Guia de solução de problemas do Azure Disk Encryption