Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Die Azure Disk Encryption wird am 15. September 2028 eingestellt. Bis zu diesem Datum können Sie die Azure Disk Encryption ohne Unterbrechung weiterhin verwenden. Am 15. September 2028 werden ADE-fähige Workloads weiterhin ausgeführt, verschlüsselte Datenträger werden jedoch nach dem Neustart des virtuellen Computers nicht entsperrt, was zu Dienstunterbrechungen führt.
Verwenden Sie die Verschlüsselung auf dem Host für neue virtuelle Computer, oder ziehen Sie vertrauliche VM-Größen mit Betriebssystemdatenträgerverschlüsselung für vertrauliche Computerarbeitslasten in Betracht. Alle ADE-fähigen VMs (einschließlich Sicherungen) müssen vor dem Deaktivierungsdatum zur Verschlüsselung auf dem Host migriert werden, um Dienstunterbrechungen zu vermeiden. Ausführliche Informationen finden Sie unter Migrieren von Azure Disk Encryption zu Verschlüsselung auf dem Host .
Gilt für: ✔️ Windows-VMs ✔️ Flexible Skalierungsgruppen
Azure Disk Encryption für virtuelle Windows-Computer (VMs) bietet mithilfe des BitLocker-Features von Windows eine vollständige Datenträgerverschlüsselung des Betriebssystemdatenträgers und des Datenträgers für Daten. Darüber hinaus verschlüsselt sie den temporären Datenträger, wenn der VolumeType Parameter ist All.
Azure Disk Encryption ist mit Azure Key Vault integriert, um Ihnen die Steuerung und Verwaltung der Datenträger-Verschlüsselungsschlüssel und -geheimnisse zu erleichtern. Eine Übersicht über den Dienst finden Sie unter Azure Disk Encryption für virtuelle Windows-Computer.
Voraussetzungen
Sie können die Datenträgerverschlüsselung nur auf virtuelle Computer mit unterstützten VM-Größen und Betriebssystemen anwenden. Außerdem müssen Sie die folgenden Voraussetzungen erfüllen:
- Netzwerkanforderungen
- Gruppenrichtlinienanforderungen
- Speicheranforderungen für Verschlüsselungsschlüssel
Beschränkungen
Wenn Sie zuvor Azure Disk Encryption mit Microsoft Entra ID zum Verschlüsseln eines virtuellen Computers verwendet haben, verwenden Sie diese Option weiterhin, um Ihre VM zu verschlüsseln. Weitere Informationen finden Sie unter Azure Disk Encryption mit Microsoft Entra ID (vorheriges Release).
Erstellen Sie eine Momentaufnahme , oder erstellen Sie eine Sicherung, bevor Datenträger verschlüsselt sind. Durch Sicherungen wird sichergestellt, dass eine Wiederherstellungsoption verfügbar ist, falls während der Verschlüsselung ein unerwarteter Fehler auftritt. Für VMs mit verwalteten Datenträgern ist eine Sicherung erforderlich, bevor die Verschlüsselung durchgeführt wird. Nach dem Erstellen einer Sicherung können Sie das Cmdlet Set-AzVMDiskEncryptionExtension verwenden, um verwaltete Datenträger durch das Angeben des Parameters „-skipVmBackup“ zu verschlüsseln. Weitere Informationen zum Sichern und Wiederherstellen von verschlüsselten VMs finden Sie unter Sichern und Wiederherstellen eines verschlüsselten virtuellen Azure-Computers.
Das Verschlüsseln oder Deaktivieren der Verschlüsselung kann dazu führen, dass eine VM neu gestartet wird.
Azure Disk Encryption funktioniert nicht für die folgenden Szenarien, Features und Technologien:
- Verschlüsseln von virtuellen Computern der Ebene „Standard“ und von virtuellen Computern, die mithilfe der klassischen Erstellungsmethode für virtuelle Computer erstellt wurden
- Verschlüsseln von V6-VMs mit temporären Datenträgern (Ddsv6, Dldsv6, Edsv6, Dadsv6, Daldsv6, Eadsv6, Dpdsv6, Dpldsv6, Epdsv6 oder Endsv6). Weitere Informationen finden Sie auf den einzelnen Seiten für jede dieser VM-Größen, die unter "Größen für virtuelle Computer" in Azure aufgeführt sind.
- Verschlüsseln der V7-Serie und neuerer VM-Größen.
- Alle Anforderungen und Einschränkungen von BitLocker, z. B. das Anfordern von NTFS. Weitere Informationen finden Sie unter Übersicht über BitLocker.
- Verschlüsseln virtueller Computer, die mit softwarebasierten RAID-Systemen konfiguriert sind
- Verschlüsselung virtueller Computer, die mit Direkte Speicherplätze (S2D) konfiguriert wurden, oder von Windows Server-Versionen vor 2016, die mit Windows-Speicherplätzen konfiguriert wurden.
- Integration mit einem lokalen Schlüsselverwaltungssystem
- Azure Files (freigegebenes Dateisystem)
- Network File System (NFS)
- Dynamische Volumes
- Windows Server-Container, die dynamische Volumes für jeden Container erstellen.
- Kurzlebige Betriebssystemdatenträger
- iSCSI-Datenträger.
- Verschlüsselung freigegebener/verteilter Dateisysteme, einschließlich u. a. DFS, GFS, DRDB, und CephFS.
- Verschieben eines verschlüsselten virtuellen Computers in ein anderes Abonnement oder in eine andere Region
- Erstellen eines Images oder einer Momentaufnahme einer verschlüsselten VM und dessen bzw. deren Verwendung zum Bereitstellen weiterer VMs
- Datenspeicheroptimierte VM-Größenreihe der L-Familie.
- VMs der M-Serie mit Datenträgern mit Schreibbeschleunigung
- Anwenden von ADE auf einen virtuellen Computer, auf dem Datenträger mit Verschlüsselung auf host- oder serverseitiger Verschlüsselung mit vom Kunden verwalteten Schlüsseln (SSE + CMK) verschlüsselt sind. Das Anwenden von SSE und CMK auf einen Datenträger oder das Hinzufügen eines Datenträgers mit SSE und CMK, der für eine mit ADE verschlüsselte VM konfiguriert ist, ist ebenfalls ein nicht unterstütztes Szenario.
- Migrieren einer VM, die mit ADE verschlüsselt ist oder jemals mit ADE verschlüsselt wurde, zur Verschlüsselung bei Host - oder serverseitiger Verschlüsselung mit vom Kunden verwalteten Schlüsseln.
- Verschlüsseln von VMs in Failoverclustern.
- Verschlüsselung von Azure Ultra Disks.
- Verschlüsselung von SSD Premium v2-Datenträgern.
- Verschlüsselung von VMs in Abonnements, in denen die
Secrets should have the specified maximum validity period-Richtlinie mit dem Ablehnungseffekt aktiviert ist. - Verschlüsselung von VMs in Abonnements, in denen die
Key Vault secrets should have an expiration date-Richtlinie mit dem Ablehnungseffekt aktiviert ist.
Installieren von Tools und Herstellen einer Verbindung mit Azure
Sie können Azure Disk Encryption über die Azure CLI und Azure PowerShell aktivieren und verwalten. Installieren Sie dazu die Tools lokal, und stellen Sie eine Verbindung mit Ihrem Azure-Abonnement her.
Azure CLI
Die Azure CLI 2.0 ist ein Befehlszeilentool zum Verwalten von Azure-Ressourcen. Sie wurde entwickelt, um Daten flexible abzufragen, Vorgänge mit langer Ausführungsdauer als nicht blockierende Prozesse zu unterstützen und das Erstellen von Skripts zu vereinfachen. Sie können sie lokal installieren, indem Sie die Schritte unter Installieren der Azure CLI ausführen.
Um sich mit dem Azure CLI bei Ihrem Azure Konto anzumelden, verwenden Sie den Az-Anmeldebefehl.
az login
Um einen Mandanten auszuwählen, bei dem Sie sich anmelden möchten, verwenden Sie:
az login --tenant <tenant>
Um eines von mehreren Abonnements anzugeben, rufen Sie Ihre Abonnementliste mithilfe der Az-Kontoliste ab, und geben Sie das Abonnement mithilfe des az-Kontosatzes an.
az account list
az account set --subscription "<subscription name or ID>"
Weitere Informationen finden Sie unter Erste Schritte mit der Azure-Befehlszeilenschnittstelle.
Azure PowerShell
Das Azure PowerShell Az-Modul stellt eine Reihe von Cmdlets bereit, die das Azure Resource Manager-Modell zum Verwalten Ihrer Azure-Ressourcen verwenden. Sie können es in Ihrem Browser mit Azure Cloud Shell verwenden, oder Sie können es auf Ihrem lokalen Computer installieren, indem Sie die Anweisungen unter Installieren des moduls Azure PowerShell verwenden.
Wenn Sie es bereits lokal installiert haben, verwenden Sie die neueste Azure PowerShell Version, um Azure Disk Encryption zu konfigurieren. Laden Sie die neueste Version aus Azure PowerShell Versionen herunter.
Um sich mit Azure PowerShell bei Ihrem Azure Konto anzumelden, verwenden Sie das Cmdlet Connect-AzAccount.
Connect-AzAccount
Verwenden Sie zum Angeben eines von mehreren Abonnements das Cmdlet "Get-AzSubscription ", um sie aufzulisten, gefolgt vom Cmdlet "Set-AzContext ":
Set-AzContext -Subscription <SubscriptionId>
Führen Sie das Cmdlet Get-AzContext aus, um zu überprüfen, ob das richtige Abonnement ausgewählt ist.
Um zu bestätigen, dass die Azure Disk Encryption Cmdlets installiert sind, verwenden Sie das Cmdlet "Get-Command":
Get-Command *diskencryption*
Weitere Informationen finden Sie unter Erste Schritte mit Azure PowerShell.
Aktivieren der Verschlüsselung auf einem vorhandenen oder ausgeführten virtuellen Windows-Computer
In diesem Szenario können Sie die Verschlüsselung aktivieren, indem Sie die Resource Manager-Vorlage, PowerShell-Cmdlets oder CLI-Befehle verwenden. Wenn Sie Schemainformationen für die Erweiterung des virtuellen Computers benötigen, finden Sie diese im Artikel Azure Disk Encryption für Windows.
Aktivieren der Verschlüsselung auf vorhandenen oder ausgeführten VMs mithilfe von Azure PowerShell
Verwenden Sie das Cmdlet Set-AzVMDiskEncryptionExtension, um die Verschlüsselung auf einem ausgeführten virtuellen IaaS-Computer in Azure zu aktivieren.
Verschlüsseln einer ausgeführten VM: Das folgende Skript initialisiert Ihre Variablen und führt das cmdlet Set-AzVMDiskEncryptionExtension aus. Die Ressourcengruppe, der virtuelle Computer und der Schlüsseltresor müssen bereits als Voraussetzungen vorhanden sein. Ersetzen Sie „MyKeyVaultResourceGroup“, „MyVirtualMachineResourceGroup“, „MySecureVM“ und „MySecureVault“ durch Ihre eigenen Werte.
$KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MySecureVM'; $KeyVaultName = 'MySecureVault'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;Verschlüsseln Sie einen ausgeführten virtuellen Computer mithilfe eines KEK:
$KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MyExtraSecureVM'; $KeyVaultName = 'MySecureVault'; $keyEncryptionKeyName = 'MyKeyEncryptionKey'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid; Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;Hinweis
Die Syntax für den Wert des Parameters „disk-encryption-keyvault“ ist die vollständige Bezeichnerzeichenfolge: /subscriptions/[Abonnement-ID-GUID]/resourceGroups/[Ressourcengruppenname]/providers/Microsoft.KeyVault/vaults/[Schlüsseltresorname].
Die Syntax für den Wert des Parameters „key-encryption-key“ ist der vollständige URI für den KEK wie in: https://[Schlüsseltresorname].vault.azure.net/keys/[KEK-Name]/[eindeutige-KEK-ID]Überprüfen der Datenträgerverschlüsselung: Verwenden Sie das Cmdlet Get-AzVmDiskEncryptionStatus, um den Verschlüsselungsstatus eines virtuellen IaaS-Computers zu überprüfen.
Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
Informationen zum Deaktivieren der Verschlüsselung finden Sie unter Deaktivieren der Verschlüsselung und Entfernen der Verschlüsselungserweiterung.
Aktivieren der Verschlüsselung auf vorhandenen oder ausgeführten VMs mithilfe der Azure CLI
Verwenden Sie den Befehl az vm encryption enable, um die Verschlüsselung auf einem ausgeführten virtuellen IaaS-Computer in Azure zu aktivieren.
Verschlüsseln eines ausgeführten virtuellen Computers:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]Verschlüsseln Sie einen ausgeführten virtuellen Computer mithilfe eines KEK:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]Hinweis
Die Syntax für den Wert des Parameters „disk-encryption-keyvault“ ist die vollständige Bezeichnerzeichenfolge: /subscriptions/[Abonnement-ID-GUID]/resourceGroups/[Ressourcengruppenname]/providers/Microsoft.KeyVault/vaults/[Schlüsseltresorname].
Die Syntax für den Wert des Parameters „key-encryption-key“ ist der vollständige URI für den KEK wie in: https://[Schlüsseltresorname].vault.azure.net/keys/[KEK-Name]/[eindeutige-KEK-ID]Überprüfen der Datenträgerverschlüsselung: Verwenden Sie den Befehl az vm encryption show, um den Verschlüsselungsstatus eines virtuellen IaaS-Computers zu überprüfen.
az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
Informationen zum Deaktivieren der Verschlüsselung finden Sie unter Deaktivieren der Verschlüsselung und Entfernen der Verschlüsselungserweiterung.
Resource Manager-Vorlage verwenden
Sie können die Datenträgerverschlüsselung auf vorhandenen oder ausgeführten virtuellen IaaS-Windows-VMs in Azure aktivieren, indem Sie die Resource Manager-Vorlage zum Verschlüsseln eines ausgeführten virtuellen Windows-Computers verwenden.
Wählen Sie in der Schnellstartvorlage Azure die Option "Auf Azure bereitstellen" aus.
Wählen Sie das Abonnement, die Ressourcengruppe, den Standort, die Einstellungen, die rechtlichen Bedingungen und die Vereinbarung aus. Wählen Sie "Kaufen" aus, um die Verschlüsselung auf der vorhandenen oder ausgeführten IaaS-VM zu aktivieren.
Die folgende Tabelle enthält die Resource Manager-Vorlagenparameter für vorhandene oder ausgeführte virtuelle Computer:
| Parameter | BESCHREIBUNG |
|---|---|
| vmName | Der Name des virtuellen Computers, der den Verschlüsselungsvorgang ausführt. |
| keyVaultName | Der Name des Schlüsseltresors, in den der BitLocker-Schlüssel hochgeladen werden soll. Sie können ihn abrufen, indem Sie das Cmdlet (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname oder den Azure CLI-Befehl az keyvault list --resource-group "MyKeyVaultResourceGroup" verwenden. |
| keyVaultResourceGroup | Der Name der Ressourcengruppe mit dem Schlüsseltresor |
| keyEncryptionKeyURL | Die URL des Schlüsselverschlüsselungsschlüssels im Format „https://<keyvault-name>.vault.azure.net/key/<key-name>. Wenn Sie kein KEK verwenden möchten, lassen Sie dieses Feld leer. |
| volumeType | Der Typ des Volumes, auf dem der Verschlüsselungsvorgang durchgeführt wird. Gültige Werte sind OS, Data und All. |
| forceUpdateTag | Dient zum Übergeben eines eindeutigen Werts (beispielsweise einer GUID), wenn die Ausführung des Vorgangs erzwungen werden muss. |
| resizeOSDisk | Gibt an, ob die Größe der Betriebssystempartition angepasst werden soll, um die gesamte Betriebssystem-VHD einzunehmen, bevor das Systemvolume aufgeteilt wird. |
| location | Der Standort für alle Ressourcen. |
Neue virtuelle IaaS-Computer, die aus einer vom Kunden verschlüsselten VHD und mit Verschlüsselungsschlüsseln erstellt wurden
In diesem Szenario können Sie einen neuen virtuellen Computer aus einer vorverschlüsselten VHD und den zugehörigen Verschlüsselungsschlüsseln mithilfe von PowerShell-Cmdlets oder CLI-Befehlen erstellen.
Befolgen Sie die Anweisungen unter Vorbereiten einer vorverschlüsselten Windows-VHD. Nach dem Erstellen des Images können Sie die Schritte im nächsten Abschnitt ausführen, um eine verschlüsselte Azure-VM zu erstellen.
Verschlüsseln von virtuellen Computern mit vorverschlüsselten VHDs mithilfe von Azure PowerShell
Sie können die Datenträgerverschlüsselung auf Ihrer verschlüsselten VHD mit dem PowerShell-Cmdlet Set-AzVMOSDisk aktivieren. Im folgenden Beispiel sind einige häufig verwendete Parameter angegeben.
$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"
Aktivieren der Verschlüsselung auf einem neu hinzugefügten Datenträger
Sie können einem Windows virtuellen Computer mithilfe von PowerShell oder über das Azure-Portal einen neuen Datenträger hinzufügen.
Hinweis
Neu hinzugefügte Datenträgerverschlüsselung muss nur über PowerShell oder die CLI aktiviert werden. Derzeit unterstützt das Azure-Portal die Aktivierung der Verschlüsselung auf neuen Datenträgern nicht.
Aktivieren der Verschlüsselung auf einem neu hinzugefügten Datenträger mithilfe von Azure PowerShell
Wenn Sie PowerShell zum Verschlüsseln eines neuen Datenträgers für Windows VMs verwenden, geben Sie eine neue Sequenzversion an. Die Sequenzversion muss einzigartig sein. Mit dem folgenden Skript wird eine GUID für die Sequenzversion generiert. In einigen Fällen kann ein neu hinzugefügter Datenträger ggf. automatisch über die Azure Disk Encryption-Erweiterung verschlüsselt werden. Automatische Verschlüsselung tritt in der Regel auf, wenn der virtuelle Computer neu gestartet wird, nachdem der neue Datenträger online ist. Dieses Verhalten tritt in der Regel auf, weil für den Volumetyp „Alle“ festgelegt wurde, als die Datenträgerverschlüsselung zuvor auf der VM ausgeführt wurde. Wenn die automatische Verschlüsselung auf einem neu hinzugefügten Datenträger erfolgt, empfehlen wir, das cmdlet Set-AzVmDiskEncryptionExtension erneut mit einer neuen Sequenzversion auszuführen. Wenn Ihr neuer Datenträger automatisch verschlüsselt ist und Sie keine Verschlüsselung wünschen, entschlüsseln Sie zunächst alle Laufwerke und verschlüsseln Sie sie dann erneut mit einer neuen Sequenzversion, bei der als Volumentyp das Betriebssystem angegeben ist.
Verschlüsseln einer ausgeführten VM: Das folgende Skript initialisiert Ihre Variablen und führt das cmdlet Set-AzVMDiskEncryptionExtension aus. Die Ressourcengruppe, der virtuelle Computer und der Schlüsseltresor müssen bereits als Voraussetzungen vorhanden sein. Ersetzen Sie „MyKeyVaultResourceGroup“, „MyVirtualMachineResourceGroup“, „MySecureVM“ und „MySecureVault“ durch Ihre eigenen Werte. Im folgenden Beispiel wird "All" für den parameter -VolumeType verwendet, der sowohl Betriebssystem- als auch Datenvolumes enthält. Wenn Sie nur das Betriebssystemvolume verschlüsseln möchten, verwenden Sie „OS“ für den Parameter „-VolumeType“.
$KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MySecureVM'; $KeyVaultName = 'MySecureVault'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; $sequenceVersion = [Guid]::NewGuid(); Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;Verschlüsseln Sie einen ausgeführten virtuellen Computer mithilfe eines KEK: Im folgenden Beispiel wird "All" für den parameter -VolumeType verwendet, der sowohl Betriebssystem- als auch Datenvolumes enthält. Wenn Sie nur das Betriebssystemvolume verschlüsseln möchten, verwenden Sie „OS“ für den Parameter „-VolumeType“.
$KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MyExtraSecureVM'; $KeyVaultName = 'MySecureVault'; $keyEncryptionKeyName = 'MyKeyEncryptionKey'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid; $sequenceVersion = [Guid]::NewGuid(); Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;Hinweis
Die Syntax für den Wert des Parameters „disk-encryption-keyvault“ ist die vollständige Bezeichnerzeichenfolge: /subscriptions/[Abonnement-ID-GUID]/resourceGroups/[Ressourcengruppenname]/providers/Microsoft.KeyVault/vaults/[Schlüsseltresorname].
Die Syntax für den Wert des Parameters „key-encryption-key“ ist der vollständige URI für den KEK wie in: https://[Schlüsseltresorname].vault.azure.net/keys/[KEK-Name]/[eindeutige-KEK-ID]
Aktivieren der Verschlüsselung auf einem neu hinzugefügten Datenträger mithilfe von Azure CLI
Der Befehl Azure CLI stellt automatisch eine neue Sequenzversion für Sie bereit, wenn Sie den Befehl ausführen, um die Verschlüsselung zu aktivieren. Im Beispiel wird „All“ für den Parameter „-VolumeType“ verwendet. Möglicherweise müssen Sie den Parameter volume-type auf OS festlegen, wenn Sie nur den Betriebssystemdatenträger verschlüsseln. Im Gegensatz zur PowerShell-Syntax erfordert die CLI nicht, dass der Benutzer beim Aktivieren der Verschlüsselung eine eindeutige Sequenzversion bereitstellt. Die Befehlszeilenschnittstelle wird automatisch generiert und verwendet einen eigenen eindeutigen Sequenzversionswert.
Verschlüsseln eines ausgeführten virtuellen Computers:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "All"Verschlüsseln Sie einen ausgeführten virtuellen Computer mithilfe eines KEK:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "All"
Deaktivieren der Verschlüsselung und Entfernen der Verschlüsselungserweiterung
Sie können die Azure Disk Encryption-Erweiterung deaktivieren und die Azure Disk Encryption Erweiterung entfernen. Diese Vorgänge unterscheiden sich.
Um ADE zu entfernen, deaktivieren Sie zuerst die Verschlüsselung, und entfernen Sie dann die Erweiterung. Wenn Sie die Verschlüsselungserweiterung entfernen, ohne sie zu deaktivieren, werden die Datenträger weiterhin verschlüsselt. Wenn Sie die Verschlüsselung nach dem Entfernen der Erweiterung deaktivieren, wird die Erweiterung erneut installiert (um den Entschlüsselungsvorgang auszuführen), und Sie müssen sie ein zweites Mal entfernen.
Deaktivieren der Verschlüsselung
Sie können die Verschlüsselung mithilfe von Azure PowerShell, dem Azure CLI oder mithilfe einer Resource Manager Vorlage deaktivieren. Wenn Sie die Verschlüsselung deaktivieren, wird die Erweiterung nicht entfernt (weitere Informationen finden Sie unter Entfernen der Verschlüsselungserweiterung).
Warnung
Das Deaktivieren der Datenträgerverschlüsselung, wenn sowohl das Betriebssystem als auch die Datenträger verschlüsselt sind, kann unerwartete Ergebnisse haben. Deaktivieren Sie stattdessen die Verschlüsselung auf allen Datenträgern.
Durch deaktivieren der Verschlüsselung wird ein Hintergrundprozess von BitLocker gestartet, um die Datenträger zu entschlüsseln. Geben Sie diesem Prozess genügend Zeit, um den Vorgang abzuschließen, bevor Sie versuchen, die Verschlüsselung erneut zu aktivieren.
Deaktivieren Sie die Datenträgerverschlüsselung mithilfe von Azure PowerShell: Verwenden Sie zum Deaktivieren der Verschlüsselung das Cmdlet Disable-AzVMDiskEncryption.
Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "all"Deaktivieren Sie die Verschlüsselung mithilfe der Azure CLI: Verwenden Sie zum Deaktivieren der Verschlüsselung den Befehl az vm encryption disable.
az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "all"Deaktivieren Sie die Verschlüsselung mithilfe einer Resource Manager Vorlage:
- Wählen Sie In Azure bereitstellen aus der Vorlage Datenträgerverschlüsselung auf einer ausgeführten Windows-VM deaktivieren aus.
- Wählen Sie das Abonnement, die Ressourcengruppe, den Standort, die VM, den Volumetyp, die rechtlichen Bedingungen und die Vereinbarung aus.
- Wählen Sie Kaufen aus, um die Datenträgerverschlüsselung auf einer ausgeführten Windows-VM zu deaktivieren.
Entfernen der Verschlüsselungserweiterung
Wenn Sie Ihre Datenträger entschlüsseln und die Verschlüsselungserweiterung entfernen möchten, deaktivieren Sie die Verschlüsselung, bevor Sie die Erweiterung entfernen. Weitere Informationen finden Sie unter Deaktivieren der Verschlüsselung.
Sie können die Verschlüsselungserweiterung mithilfe von Azure PowerShell oder dem Azure CLI entfernen.
Deaktivieren Sie die Datenträgerverschlüsselung mithilfe von Azure PowerShell: Verwenden Sie zum Entfernen der Verschlüsselung das Cmdlet Remove-AzVMDiskEncryptionExtension.
Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"Deaktivieren Sie die Verschlüsselung mithilfe der Azure CLI: Verwenden Sie zum Entfernen der Verschlüsselung den Befehl "az vm extension delete".
az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryption"