Cenários do Azure Disk Encryption em VMs do Windows

Aplica-se a: ✔️ VMs ✔️ do Windows Conjuntos de escala flexíveis

O Azure Disk Encryption para máquinas virtuais (VMs) do Windows utiliza a funcionalidade BitLocker do Windows para proporciona encriptação completa do disco do SO e do disco de dados. Além disso, proporciona encriptação do disco temporário quando o parâmetro VolumeType é All.

O Azure Disk Encryption é integrado ao Azure Key Vault para ajudá-lo a controlar e gerenciar as chaves e segredos de criptografia de disco. Para obter uma descrição geral do serviço, veja Azure Disk Encryption para VMs do Windows.

Pré-requisitos

Só pode aplicar a encriptação de discos a máquinas virtuais de tamanhos e sistemas operativos de VM suportados. Também deve cumprir os seguintes pré-requisitos:

• Requisitos de rede
• Requisitos da Política de Grupo
• Requisitos do armazenamento de chaves de encriptação

Restrições

Se já tiver utilizado o Azure Disk Encryption com o Microsoft Entra ID para encriptar uma VM, terá de continuar a utilizar esta opção para encriptar a VM. Para obter os detalhes, veja Azure Disk Encryption com o Microsoft Entra ID (versão anterior).

Deve criar um instantâneo e/ou criar uma cópia de segurança antes de os discos serem encriptados. As cópias de segurança garantem que uma opção de recuperação é possível se ocorrer uma falha inesperada durante a encriptação. As VMs com discos geridos requerem uma cópia de segurança antes de ocorrer a encriptação. Depois que um backup for feito, você poderá usar o cmdlet Set-AzVMDiskEncryptionExtension para criptografar discos gerenciados especificando o parâmetro -skipVmBackup. Para obter mais informações sobre como criar a cópia de segurança e restaurar VMs encriptadas, veja Criar cópia de segurança e restaurar a VM do Azure encriptada.

Encriptar ou desativar a encriptação pode fazer com que a VM seja reiniciada.

O Azure Disk Encryption não funciona para os seguintes cenários, funcionalidades e tecnologia:

• Encriptar VMs de camada básica ou VMs criadas pelo método clássico de criação de VMs.
• Criptografando VMs da série v6 (Ddsv6, Dldsv6, Edsv6, Dadsv6, Daldsv6, Eadsv6, Dpdsv6, Dpldsv6 ou Epdsv6). Para obter mais informações, consulte as páginas individuais para cada um desses tamanhos de VM listados em Tamanhos para máquinas virtuais no Azure
• Todos os requisitos e restrições do BitLocker, como exigir NTFS. Para obter mais informações, consulte Visão geral do BitLocker.
• Criptografia de VMs configuradas com sistemas RAID baseados em software.
• Criptografia de VMs configuradas com Espaços de Armazenamento Diretos (S2D) ou versões do Windows Server anteriores a 2016 configuradas com Espaços de Armazenamento do Windows.
• Integração num sistema de gestão de chaves no local.
• Arquivos do Azure (sistema de arquivos compartilhado).
• Sistema de arquivos de rede (NFS).
• Volumes dinâmicos.
• Contêineres do Windows Server, que criam volumes dinâmicos para cada contêiner.
• Discos de SO efémeros.
• Discos iSCSI.
• Criptografia de sistemas de arquivos compartilhados/distribuídos como (mas não limitado a) DFS, GFS, DRDB e CephFS.
• Mover uma VM encriptada para outra subscrição ou região.
• Criar uma imagem ou instantâneo de uma VM encriptada e utilizar essa imagem ou instantâneo para implementar VMs adicionais.
• VMs da série M com discos Write Accelerator.
• Aplicação do ADE a uma VM que tenha discos criptografados com criptografia no host ou criptografia do lado do servidor com chaves gerenciadas pelo cliente (SSE + CMK). Aplicar SSE + CMK a um disco de dados ou adicionar um disco de dados com SSE + CMK configurado para uma VM criptografada com ADE também é um cenário sem suporte.
• Migração de uma VM criptografada com ADE, ou que já foi criptografada com ADE, para criptografia no host ou criptografia do lado do servidor com chaves gerenciadas pelo cliente.
• Encriptar VMs em clusters de ativação pós-falha.
• Criptografia de discos ultra do Azure.
• Encriptação de discos SSD Premium v2.
• Criptografia de VMs em assinaturas que têm a Secrets should have the specified maximum validity period política habilitada com o efeito DENI.
• Criptografia de VMs em assinaturas que têm a Key Vault secrets should have an expiration date política habilitada com o efeito DENY

Instalar ferramentas e conectar-se ao Azure

O Azure Disk Encryption pode ser habilitado e gerenciado por meio da CLI do Azure e do Azure PowerShell. Para fazer isso, você deve instalar as ferramentas localmente e conectar-se à sua assinatura do Azure.

CLI do Azure

A CLI 2.0 do Azure é uma ferramenta de linha de comando para gerenciar recursos do Azure. A CLI foi projetada para consultar dados de forma flexível, suportar operações de longa execução como processos sem bloqueio e facilitar o scripting. Você pode instalá-lo localmente seguindo as etapas em Instalar a CLI do Azure.

Para entrar na sua conta do Azure com a CLI do Azure, use o comando az login .

az login

Se pretender selecionar um inquilino para iniciar sessão, utilize:

az login --tenant <tenant>

Se você tiver várias assinaturas e quiser especificar uma específica, obtenha sua lista de assinaturas com a lista de contas az e especifique com o conjunto de contas az.

az account list
az account set --subscription "<subscription name or ID>"

Para obter mais informações, consulte Introdução à CLI 2.0 do Azure.

Azure PowerShell

O módulo az do Azure PowerShell fornece um conjunto de cmdlets que usa o modelo do Azure Resource Manager para gerenciar seus recursos do Azure. Você pode usá-lo em seu navegador com o Azure Cloud Shell ou instalá-lo em sua máquina local usando as instruções em Instalar o módulo do Azure PowerShell.

Se já o tiver instalado localmente, certifique-se de que utiliza a versão mais recente da versão do SDK do Azure PowerShell para configurar a Encriptação de Disco do Azure. Baixe a versão mais recente da versão do Azure PowerShell.

Para entrar na sua conta do Azure com o Azure PowerShell, use o cmdlet Connect-AzAccount .

Connect-AzAccount

Se você tiver várias assinaturas e quiser especificar uma, use o cmdlet Get-AzSubscription para listá-las, seguido pelo cmdlet Set-AzContext :

Set-AzContext -Subscription <SubscriptionId>

A execução do cmdlet Get-AzContext verificará se a assinatura correta foi selecionada.

Para confirmar se os cmdlets do Azure Disk Encryption estão instalados, use o cmdlet Get-command :

Get-command *diskencryption*

Para obter mais informações, consulte Introdução ao Azure PowerShell.

Habilitar a criptografia em uma VM do Windows existente ou em execução

Nesse cenário, você pode habilitar a criptografia usando o modelo do Gerenciador de Recursos, cmdlets do PowerShell ou comandos da CLI. Se você precisar de informações de esquema para a extensão de máquina virtual, consulte o artigo da extensão Azure Disk Encryption for Windows.

Habilitar a criptografia em VMs existentes ou em execução com o Azure PowerShell

Use o cmdlet Set-AzVMDiskEncryptionExtension para habilitar a criptografia em uma máquina virtual IaaS em execução no Azure.

• Criptografar uma VM em execução: o script abaixo inicializa suas variáveis e executa o cmdlet Set-AzVMDiskEncryptionExtension. O grupo de recursos, a VM e o cofre de chaves já devem ter sido criados como pré-requisitos. Substitua MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM e MySecureVault pelos seus valores.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;
  

• Criptografe uma VM em execução usando o KEK:

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MyExtraSecureVM';
  $KeyVaultName = 'MySecureVault';
  $keyEncryptionKeyName = 'MyKeyEncryptionKey';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;
  
  

  Nota

  A sintaxe para o valor do parâmetro disk-encryption-keyvault é a cadeia de caracteres do identificador completo: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  A sintaxe para o valor do parâmetro key-encryption-key é o URI completo para o KEK como em: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Verifique se os discos estão criptografados: para verificar o status de criptografia de uma VM IaaS, use o cmdlet Get-AzVmDiskEncryptionStatus .

  Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
  

Para desativar a encriptação, consulte Desativar encriptação e remover a extensão de encriptação.

Habilitar a criptografia em VMs existentes ou em execução com a CLI do Azure

Use o comando az vm encryption enable para habilitar a criptografia em uma máquina virtual IaaS em execução no Azure.

• Criptografar uma VM em execução:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]
  

• Criptografe uma VM em execução usando o KEK:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
  

  Nota

  A sintaxe para o valor do parâmetro disk-encryption-keyvault é a cadeia de caracteres do identificador completo: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  A sintaxe para o valor do parâmetro key-encryption-key é o URI completo para o KEK como em: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Verifique se os discos estão criptografados: para verificar o status de criptografia de uma VM IaaS, use o comando az vm encryption show .

  az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
  

Para desativar a encriptação, consulte Desativar encriptação e remover a extensão de encriptação.

Usando o modelo do Gerenciador de Recursos

Você pode habilitar a criptografia de disco em VMs do Windows IaaS existentes ou em execução no Azure usando o modelo do Gerenciador de Recursos para criptografar uma VM do Windows em execução.

1. No modelo de início rápido do Azure, clique em Implantar no Azure.

2. Selecione a assinatura, o grupo de recursos, o local, as configurações, os termos legais e o contrato. Clique em Comprar para habilitar a criptografia na VM IaaS existente ou em execução.

A tabela a seguir lista os parâmetros de modelo do Gerenciador de Recursos para VMs existentes ou em execução:

Parâmetro	Description
vmName	Nome da VM para executar a operação de criptografia.
keyVaultName	Nome do cofre de chaves para o qual a chave BitLocker deve ser carregada. Você pode obtê-lo usando o cmdlet (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname ou o comando da CLI do Azure az keyvault list --resource-group "MyKeyVaultResourceGroup"
keyVaultResourceGroup	Nome do grupo de recursos que contém o cofre de chaves
keyEncryptionKeyURL	O URL da chave de encriptação da chave, no formato https://< keyvault-name.vault.azure.net/key/>< key-name>. Se não desejar utilizar um KEK, deixe este campo em branco.
volumeType	Tipo de volume em que a operação de encriptação é executada. Os valores válidos são OS, Data e All.
forceUpdateTag	Passe um valor exclusivo como um GUID toda vez que a operação precisar ser executada à força.
resizeOSDisk	Se a partição do SO for redimensionada para ocupar o VHD completo do SO antes de dividir o volume do sistema.
localização	Localização de todos os recursos.

Habilite a criptografia em discos NVMe para VMs Lsv2

Este cenário descreve a habilitação da Criptografia de Disco do Azure em discos NVMe para VMs da série Lsv2. A série Lsv2 possui armazenamento NVMe local. Os discos NVMe locais são temporários e os dados serão perdidos nesses discos se você parar/desalocar sua VM (Consulte: Lsv2-series).

Para habilitar a criptografia em discos NVMe:

1. Inicialize os discos NVMe e crie volumes NTFS.
2. Habilite a criptografia na VM com o parâmetro VolumeType definido como All. Isso permitirá a criptografia para todos os sistemas operacionais e discos de dados, incluindo volumes suportados por discos NVMe. Para obter informações, consulte Habilitar a criptografia em uma VM do Windows existente ou em execução.

A criptografia persistirá nos discos NVMe nos seguintes cenários:

• Reinicialização da VM
• Reimagem do conjunto de dimensionamento de máquina virtual
• Trocar SO

Os discos NVMe não serão inicializados nos seguintes cenários:

• Iniciar VM após a desalocação
• Serviço de cura
• Backup

Nesses cenários, os discos NVMe precisam ser inicializados após o início da VM. Para habilitar a criptografia nos discos NVMe, execute o comando para habilitar a Criptografia de Disco do Azure novamente depois que os discos NVMe forem inicializados.

Além dos cenários listados na seção Restrições, a criptografia de discos NVMe não é suportada para:

• VMs criptografadas com o Azure Disk Encryption com ID do Microsoft Entra (versão anterior)
• Discos NVMe com espaços de armazenamento
• Azure Site Recovery of SKUs with NVMe disks (consulte Matriz de suporte para recuperação de desastres de VM do Azure entre regiões do Azure: Máquinas replicadas - armazenamento).

Novas VMs IaaS criadas a partir de VHD criptografado pelo cliente e chaves de criptografia

Nesse cenário, você pode criar uma nova VM a partir de um VHD pré-criptografado e as chaves de criptografia associadas usando cmdlets do PowerShell ou comandos da CLI.

Use as instruções em Preparar um VHD do Windows pré-criptografado. Depois que a imagem for criada, você poderá usar as etapas na próxima seção para criar uma VM do Azure criptografada.

Criptografar VMs com VHDs pré-criptografados com o Azure PowerShell

Você pode habilitar a criptografia de disco em seu VHD criptografado usando o cmdlet do PowerShell Set-AzVMOSDisk. O exemplo abaixo fornece alguns parâmetros comuns.

$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"

Habilitar a criptografia em um disco de dados recém-adicionado

Você pode adicionar um novo disco a uma VM do Windows usando o PowerShell ou por meio do portal do Azure.

Nota

A criptografia de disco de dados recém-adicionada deve ser habilitada somente via Powershell ou CLI. Atualmente, o portal do Azure não oferece suporte à habilitação da criptografia em novos discos.

Habilitar a criptografia em um disco recém-adicionado com o Azure PowerShell

Ao usar o PowerShell para criptografar um novo disco para VMs do Windows, uma nova versão de sequência deve ser especificada. A versão sequencial tem de ser única. O script abaixo gera um GUID para a versão de sequência. Em alguns casos, um disco de dados recém-adicionado pode ser criptografado automaticamente pela extensão Azure Disk Encryption. A criptografia automática geralmente ocorre quando a VM é reinicializada depois que o novo disco fica online. Isso geralmente é causado porque "Todos" foi especificado para o tipo de volume quando a criptografia de disco foi executada anteriormente na VM. Se a criptografia automática ocorrer em um disco de dados recém-adicionado, recomendamos executar o cmdlet Set-AzVmDiskEncryptionExtension novamente com uma nova versão de sequência. Se o seu novo disco de dados for encriptado automaticamente e não desejar ser encriptado, desencriptar primeiro todas as unidades e, em seguida, voltar a encriptar com uma nova versão de sequência especificando o SO para o tipo de volume.

• Criptografar uma VM em execução: o script abaixo inicializa suas variáveis e executa o cmdlet Set-AzVMDiskEncryptionExtension. O grupo de recursos, a VM e o cofre de chaves já devem ter sido criados como pré-requisitos. Substitua MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM e MySecureVault pelos seus valores. Este exemplo usa "All" para o parâmetro -VolumeType, que inclui os volumes OS e Data. Se você quiser apenas criptografar o volume do sistema operacional, use "OS" para o parâmetro -VolumeType.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
   $sequenceVersion = [Guid]::NewGuid();
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
  

• Criptografar uma VM em execução usando KEK: Este exemplo usa "All" para o parâmetro -VolumeType, que inclui volumes de SO e Dados. Se você quiser apenas criptografar o volume do sistema operacional, use "OS" para o parâmetro -VolumeType.

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MyExtraSecureVM';
  $KeyVaultName = 'MySecureVault';
  $keyEncryptionKeyName = 'MyKeyEncryptionKey';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
  $sequenceVersion = [Guid]::NewGuid();
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
  
  

  Nota

  A sintaxe para o valor do parâmetro disk-encryption-keyvault é a cadeia de caracteres do identificador completo: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  A sintaxe para o valor do parâmetro key-encryption-key é o URI completo para o KEK como em: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

Habilitar a criptografia em um disco recém-adicionado com a CLI do Azure

O comando CLI do Azure fornecerá automaticamente uma nova versão de sequência para você quando você executar o comando para habilitar a criptografia. O exemplo usa "All" para o parâmetro volume-type. Talvez seja necessário alterar o parâmetro de tipo de volume para SO se estiver apenas criptografando o disco do sistema operacional. Ao contrário da sintaxe do PowerShell, a CLI não exige que o usuário forneça uma versão de sequência exclusiva ao habilitar a criptografia. A CLI gera e usa automaticamente seu próprio valor de versão de sequência exclusivo.

• Criptografar uma VM em execução:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "All"
  

• Criptografe uma VM em execução usando o KEK:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "All"
  

Desative a criptografia e remova a extensão de criptografia

Você pode desabilitar a extensão de criptografia de disco do Azure e remover a extensão de criptografia de disco do Azure. Trata-se de duas operações distintas.

Para remover o ADE, é recomendável que você primeiro desative a criptografia e, em seguida, remova a extensão. Se remover a extensão de encriptação sem a desativar, os discos continuarão encriptados. Se desativar a encriptação depois de remover a extensão, a extensão será reinstalada (para executar a operação de desencriptação) e terá de ser removida uma segunda vez.

Desativar encriptação

Você pode desabilitar a criptografia usando o Azure PowerShell, a CLI do Azure ou com um modelo do Gerenciador de Recursos. A desativação da encriptação não remove a extensão (consulte Remover a extensão de encriptação).

Aviso

Desativar a criptografia de disco de dados quando o sistema operacional e os discos de dados foram criptografados pode ter resultados inesperados. Em vez disso, desative a criptografia em todos os discos.

A desativação da criptografia iniciará um processo em segundo plano do BitLocker para descriptografar os discos. Este processo deve ter tempo suficiente para ser concluído antes de tentar reativar a encriptação.

• Desabilitar a criptografia de disco com o Azure PowerShell: para desabilitar a criptografia, use o cmdlet Disable-AzVMDiskEncryption .

  Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "all"
  

• Desabilitar a criptografia com a CLI do Azure: para desabilitar a criptografia, use o comando az vm encryption disable .

  az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "all"
  

• Desative a criptografia com um modelo do Gerenciador de Recursos:

  1. Clique em Implantar no Azure no modelo Desabilitar criptografia de disco na execução de VM do Windows.
  2. Selecione a assinatura, o grupo de recursos, o local, a VM, o tipo de volume, os termos legais e o contrato.
  3. Clique em Comprar para desativar a criptografia de disco em uma VM do Windows em execução.

Remover a extensão de encriptação

Se quiser desencriptar os seus discos e remover a extensão de encriptação, deve desativar a encriptação antes de remover a extensão, consulte desativar a encriptação.

Você pode remover a extensão de criptografia usando o Azure PowerShell ou a CLI do Azure.

• Desabilitar a criptografia de disco com o Azure PowerShell: para remover a criptografia, use o cmdlet Remove-AzVMDiskEncryptionExtension .

  Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"
  

• Desabilitar a criptografia com a CLI do Azure: para remover a criptografia, use o comando az vm extension delete .

  az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryption"
  

Próximos passos

• Visão geral do Azure Disk Encryption
• Scripts de exemplo do Azure Disk Encryption
• Resolução de problemas do Azure Disk Encryption