Scenari di Crittografia dischi di Azure per macchine virtuali Windows

Importante

Crittografia dischi di Azure è pianificato per il ritiro il 15 settembre 2028. Fino a tale data, è possibile continuare a usare Crittografia dischi di Azure senza interruzioni. Il 15 settembre 2028 i carichi di lavoro abilitati per ADE continueranno a essere eseguiti, ma i dischi crittografati non riusciranno a sbloccarsi dopo il riavvio della macchina virtuale, causando un'interruzione del servizio.

Usare la crittografia nell'host per le nuove macchine virtuali o prendere in considerazione le dimensioni delle macchine virtuali riservate con crittografia del disco del sistema operativo per i carichi di lavoro di computing riservato. Tutte le macchine virtuali abilitate per ADE (inclusi i backup) devono eseguire la migrazione alla crittografia nell'host prima della data di ritiro per evitare interruzioni del servizio. Per informazioni dettagliate, vedere Eseguire la migrazione da Crittografia dischi di Azure alla crittografia nell'host .

Si applica a: ✔️ macchine virtuali di Windows ✔️ set di scalabilità flessibili

Crittografia dischi di Azure per macchine virtuali Windows usa la funzionalità BitLocker di Windows per offrire la crittografia completa del disco del sistema operativo e dei dischi dati. Inoltre, crittografa il disco temporaneo quando il VolumeType parametro è All.

Crittografia dischi di Azure è integrato con Azure Key Vault per consentire il controllo e la gestione dei segreti e delle chiavi di crittografia dei dischi. Per una panoramica del servizio, vedere Crittografia dischi di Azure per macchine virtuali Windows.

Prerequisiti

È possibile applicare la crittografia del disco solo alle macchine virtuali di dimensioni e sistemi operativi supportati. È inoltre necessario soddisfare i prerequisiti seguenti:

Restrizioni

Se in precedenza è stato usato Crittografia dischi di Azure con Microsoft Entra ID per crittografare una macchina virtuale, continuare a usare questa opzione per crittografare la macchina virtuale. Per i dettagli, vedere Crittografia dischi di Azure con Microsoft Entra ID (versione precedente).

Esegui uno snapshot o crea un backup prima della crittografia dei dischi. I backup garantiscono la disponibilità di un'opzione di ripristino nel caso si verifichi un errore imprevisto durante la crittografia. Le macchine virtuali con dischi gestiti richiedono il backup prima della crittografia. Dopo aver eseguito un backup, è possibile usare il cmdlet Set-AzVMDiskEncryptionExtension per crittografare i dischi gestiti specificando il parametro -skipVmBackup. Per altre informazioni su come eseguire il backup e il ripristino di macchine virtuali crittografate, vedere Eseguire il backup e ripristinare una macchina virtuale di Azure crittografata.

La crittografia o la disabilitazione della crittografia potrebbero causare il riavvio di una macchina virtuale.

Crittografia dischi di Azure non funziona per gli scenari, le funzionalità e la tecnologia seguenti:

  • Crittografia di una macchina virtuale o di macchine virtuali di livello Basic create tramite il metodo di creazione classico.
  • Crittografia di macchine virtuali serie v6 con dischi temporanei (Ddsv6, Dldsv6, Edsv6, Dadsv6, Daldsv6, Eadsv6, Dpdsv6, Dpldsv6, Epdsv6 o Endsv6). Per altre informazioni, vedere le singole pagine per ognuna di queste dimensioni di macchina virtuale elencate in Dimensioni per le macchine virtuali in Azure.
  • Crittografia delle serie V7 e delle dimensioni delle macchine virtuali più recenti.
  • Tutti i requisiti e le restrizioni di BitLocker, ad esempio la richiesta di NTFS. Per altre informazioni, vedere Panoramica BitLocker.
  • Crittografia di macchine virtuali configurate con sistemi RAID basati su software.
  • Crittografia delle macchine virtuali configurate con Spazi di archiviazione diretta (S2D) o versioni di Windows Server precedenti alla 2016 configurate con Spazi di archiviazione Windows.
  • Integrazione con un sistema di gestione delle chiavi locale.
  • File di Azure (file system condiviso).
  • NFS (Network File System).
  • Volumi dinamici.
  • Contenitori Windows Server, che creano volumi dinamici per ogni contenitore.
  • Dischi del sistema operativo temporanei.
  • Dischi iSCSI.
  • Crittografia di file system condivisi/distribuiti quali ad esempio: DFS, GFS, DRDB e CephFS.
  • Trasferimento di una macchina virtuale crittografata a un'altra sottoscrizione o area.
  • Creazione di un'immagine o uno snapshot di una macchina virtuale crittografata e uso per distribuire più macchine virtuali.
  • Serie di dimensioni delle macchine virtuali ottimizzate per l'archiviazione della famiglia 'L'.
  • Macchine virtuali serie M con dischi di acceleratore di scrittura.
  • Applicazione di Active Directory a una macchina virtuale con dischi crittografati con crittografia in host o crittografia lato server con chiavi gestite dal cliente (SSE + CMK). Anche l'applicazione SSE + CMK a un disco dati o l'aggiunta di un disco dati con SSE + CMK configurato per una macchina virtuale crittografata con ADE è uno scenario non supportato.
  • Eseguire la migrazione di una macchina virtuale crittografata con ADE, o che sia mai stata crittografata con ADE, alla crittografia nell'host o alla crittografia lato server con chiavi gestite dal cliente.
  • Crittografia delle macchine virtuali nei cluster di failover.
  • Crittografia dei dischi Ultra di Azure.
  • Crittografia dei dischi SSD Premium v2.
  • Crittografia delle VM nelle sottoscrizioni in cui è abilitato il criterio Secrets should have the specified maximum validity period con l'effetto Deny.
  • Crittografia delle VM nelle sottoscrizioni in cui è abilitato il criterio Key Vault secrets should have an expiration date con l'effetto Deny.

Installare gli strumenti e connettersi ad Azure

È possibile abilitare e gestire Crittografia dischi di Azure tramite interfaccia della riga di comando di Azure e Azure PowerShell. A tale scopo, installare gli strumenti in locale e connettersi alla sottoscrizione Azure.

Interfaccia della riga di comando di Azure

L'interfaccia della riga di comando di Azure 2.0 è uno strumento da riga di comando per la gestione delle risorse di Azure. L'interfaccia della riga di comando è progettata per eseguire query sui dati in modo flessibile, supportare operazioni a esecuzione prolungata come processi non bloccanti e semplificare la creazione di script. È possibile installarla in locale seguendo i passaggi descritti in Installare l'interfaccia della riga di comando di Azure..

Per accedere all'account Azure con il interfaccia della riga di comando di Azure, usare il comando az login.

az login

Per selezionare un tenant con cui effettuare l'accesso, utilizzare:

az login --tenant <tenant>

Per specificare una delle più sottoscrizioni, ottenere l'elenco di sottoscrizioni usando az account list e specificare la sottoscrizione usando az account set.

az account list
az account set --subscription "<subscription name or ID>"

Per altre informazioni, vedere Introduzione ad interfaccia della riga di comando di Azure.

Azure PowerShell

Il modulo az Azure PowerShell fornisce un set di cmdlet che usano il modello di Azure Resource Manager per la gestione delle risorse Azure. È possibile usarlo nel browser con Azure Cloud Shell oppure installarlo nel computer locale usando le istruzioni riportate in Installare il modulo Azure PowerShell.

Se è già installato in locale, usare la versione Azure PowerShell più recente per configurare Crittografia dischi di Azure. Scarica la versione più recente da Azure PowerShell release.

Per accedere all'account Azure con Azure PowerShell, usare il cmdlet Connect-AzAccount.

Connect-AzAccount

Per specificare una delle più sottoscrizioni, usare il cmdlet Get-AzSubscription per elencarli, seguito dal cmdlet Set-AzContext :

Set-AzContext -Subscription <SubscriptionId>

Eseguire il cmdlet Get-AzContext per verificare che sia selezionata la sottoscrizione corretta.

Per verificare che i cmdlet di Crittografia dischi di Azure siano installati, usare il cmdlet Get-Command:

Get-Command *diskencryption*

Per altre informazioni, vedere Introduzione ad Azure PowerShell.

Abilitare la crittografia del disco in una macchina virtuale Windows esistente o in esecuzione

In questo scenario è possibile abilitare la crittografia usando il modello di Resource Manager, i cmdlet di PowerShell o i comandi dell'interfaccia della riga di comando. Per informazioni relative allo schema dell'estensione della macchina virtuale, leggere l'articolo Crittografia dischi di Azure per Windows.

Abilitare la crittografia in macchine virtuali esistenti o in esecuzione usando Azure PowerShell

Usare il cmdlet Set-AzVMDiskEncryptionExtension per abilitare la crittografia in una macchina virtuale IaaS in esecuzione in Azure.

  • Crittografare una macchina virtuale in esecuzione: Lo script seguente inizializza le variabili ed esegue il cmdlet Set-AzVMDiskEncryptionExtension. Il gruppo di risorse, la macchina virtuale e l'insieme di credenziali delle chiavi devono esistere già come prerequisiti. Sostituire MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM, and MySecureVault con i propri valori.

     $KVRGname = 'MyKeyVaultResourceGroup';
     $VMRGName = 'MyVirtualMachineResourceGroup';
     $vmName = 'MySecureVM';
     $KeyVaultName = 'MySecureVault';
     $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
     $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
     $KeyVaultResourceId = $KeyVault.ResourceId;
    
     Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;
    
  • Crittografare una macchina virtuale in esecuzione usando una KEK:

    $KVRGname = 'MyKeyVaultResourceGroup';
    $VMRGName = 'MyVirtualMachineResourceGroup';
    $vmName = 'MyExtraSecureVM';
    $KeyVaultName = 'MySecureVault';
    $keyEncryptionKeyName = 'MyKeyEncryptionKey';
    $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
    $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
    $KeyVaultResourceId = $KeyVault.ResourceId;
    $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
    
    Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;
    
    

    Note

    La sintassi per il valore del parametro disk-encryption-keyvault è la stringa dell'identificatore completo: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
    La sintassi per il valore del parametro key-encryption-key è l'URI completo KEK come in: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

  • Verificare che i dischi siano crittografati: per controllare lo stato della crittografia di una macchina virtuale IaaS, usare il cmdlet Get-AzVmDiskEncryptionStatus.

    Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
    

Per disabilitare la crittografia, vedere Disabilitare la crittografia e rimuovere l'estensione di crittografia.

Abilitare la crittografia nelle macchine virtuali esistenti o in esecuzione usando il interfaccia della riga di comando di Azure

Usare il comando az vm encryption enable per abilitare la crittografia in una macchina virtuale IaaS in esecuzione in Azure.

  • Crittografare una macchina virtuale in esecuzione:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]
    
  • Crittografare una macchina virtuale in esecuzione usando una KEK:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
    

    Note

    La sintassi per il valore del parametro disk-encryption-keyvault è la stringa dell'identificatore completo: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
    La sintassi per il valore del parametro key-encryption-key è l'URI completo della chiave KEK come in: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

  • Verificare che i dischi siano crittografati: per controllare lo stato della crittografia di una macchina virtuale IaaS, usare il comando az vm encryption show.

    az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
    

Per disabilitare la crittografia, vedere Disabilitare la crittografia e rimuovere l'estensione di crittografia.

Usare il modello di Resource Manager

È possibile abilitare la crittografia dei dischi nelle macchine virtuali IaaS Windows esistenti o in esecuzione in Azure usando il modello di Resource Manager per crittografare una macchina virtuale Windows in esecuzione.

  1. Nel modello di avvio rapido Azure selezionare Distribuisci in Azure.

  2. Selezionare la sottoscrizione, il gruppo di risorse, la posizione, le impostazioni, i termini legali e il contratto. Selezionare Acquista per abilitare la crittografia nella macchina virtuale IaaS esistente o in esecuzione.

La tabella seguente elenca i parametri del modello di Resource Manager per macchine virtuali esistenti o in esecuzione:

Parametro Descrizione
vmName Nome della macchina virtuale per eseguire l'operazione di crittografia.
keyVaultName Nome dell'insieme di credenziali delle chiavi in cui dovrà essere caricata la chiave BitLocker. È possibile ottenerlo usando il cmdlet (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname o il comando dell'interfaccia della riga di comando di Azure az keyvault list --resource-group "MyKeyVaultResourceGroup"
keyVaultResourceGroup Nome del gruppo di risorse che contiene l'insieme di credenziali delle chiavi.
keyEncryptionKeyURL URL della chiave di crittografia a chiave nel formato https://<keyvault-name>.vault.azure.net/<key/ key-name>. Se non si vuole usare una chiave kek, lasciare vuoto questo campo.
volumeType Tipo del volume in cui viene eseguita l'operazione di crittografia. I valori validi sono OS, Data e All.
forceUpdateTag Ogni volta che è necessario forzare l'esecuzione dell'operazione, passare un valore univoco, ad esempio un GUID.
resizeOSDisk La partizione del sistema operativo deve essere ridimensionata in modo da occupare il disco rigido virtuale completo del sistema operativo prima della divisione del volume di sistema.
posizione Posizione per tutte le risorse.

Nuove macchine virtuali IaaS create da chiavi di crittografia e disco rigido virtuale crittografato dal cliente

In questo scenario è possibile creare una nuova macchina virtuale da un disco rigido virtuale pre-crittografato e dalle chiavi di crittografia associate usando i cmdlet di PowerShell o i comandi dell'interfaccia della riga di comando.

Usare le istruzioni in Preparare un disco rigido virtuale Windows pre-crittografato. Dopo aver creato l'immagine, è possibile usare i passaggi della sezione successiva per creare una VM di Azure crittografata.

Crittografare le macchine virtuali con dischi rigidi virtuali pre-crittografati usando Azure PowerShell

È possibile abilitare la crittografia del disco nel disco rigido virtuale crittografato con il cmdlet di PowerShell Set-AzVMOSDisk. L'esempio seguente fornisce alcuni parametri comuni.

$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"

Abilitare la crittografia in un disco dati appena aggiunto

È possibile aggiungere un nuovo disco a una macchina virtuale Windows usando PowerShell o tramite il portale di Azure.

Note

La crittografia del disco dati appena aggiunta deve essere abilitata solo tramite PowerShell o l'interfaccia della riga di comando. Attualmente, il portale di Azure non supporta l'abilitazione della crittografia nei nuovi dischi.

Abilitare la crittografia in un disco appena aggiunto usando Azure PowerShell

Quando si usa PowerShell per crittografare un nuovo disco per le macchine virtuali Windows, specificare una nuova versione della sequenza. La versione della sequenza deve essere univoca. Lo script seguente genera un GUID per la versione della sequenza. In alcuni casi un disco dati appena aggiunto potrebbe essere crittografato automaticamente dall'estensione di Crittografia dischi di Azure. La crittografia automatica si verifica in genere quando la macchina virtuale viene riavviata dopo che il nuovo disco viene online. Questo comportamento si verifica in genere perché "All" è stato specificato per il tipo di volume quando la crittografia del disco è stata eseguita in precedenza nella macchina virtuale. Se si verifica la crittografia automatica in un disco dati appena aggiunto, è consigliabile eseguire di nuovo il cmdlet Set-AzVmDiskEncryptionExtension con una nuova versione della sequenza. Se il nuovo disco dati viene crittografato automaticamente e non lo si vuole crittografare, decrittografare prima tutte le unità e quindi ripetere la crittografia con una nuova versione della sequenza specificando il sistema operativo per il tipo di volume.

  • Crittografare una macchina virtuale in esecuzione: Lo script seguente inizializza le variabili ed esegue il cmdlet Set-AzVMDiskEncryptionExtension. Il gruppo di risorse, la macchina virtuale e l'insieme di credenziali delle chiavi devono esistere già come prerequisiti. Sostituire MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM, and MySecureVault con i propri valori. L'esempio seguente usa "All" per il parametro -VolumeType, che include sia volumi del sistema operativo che di dati. Se si vuole crittografare solo il volume del sistema operativo, usare "OS" per il parametro -VolumeType.

     $KVRGname = 'MyKeyVaultResourceGroup';
     $VMRGName = 'MyVirtualMachineResourceGroup';
     $vmName = 'MySecureVM';
     $KeyVaultName = 'MySecureVault';
     $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
     $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
     $KeyVaultResourceId = $KeyVault.ResourceId;
     $sequenceVersion = [Guid]::NewGuid();
    
     Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
    
  • Crittografare una VM in esecuzione usando una KEK: L'esempio seguente usa "All" per il parametro -VolumeType, che include sia i volumi del sistema operativo sia i volumi dati. Se si vuole crittografare solo il volume del sistema operativo, usare "OS" per il parametro -VolumeType.

    $KVRGname = 'MyKeyVaultResourceGroup';
    $VMRGName = 'MyVirtualMachineResourceGroup';
    $vmName = 'MyExtraSecureVM';
    $KeyVaultName = 'MySecureVault';
    $keyEncryptionKeyName = 'MyKeyEncryptionKey';
    $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
    $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
    $KeyVaultResourceId = $KeyVault.ResourceId;
    $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
    $sequenceVersion = [Guid]::NewGuid();
    
    Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
    
    

    Note

    La sintassi per il valore del parametro disk-encryption-keyvault è la stringa dell'identificatore completo: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
    La sintassi per il valore del parametro key-encryption-key è l'URI completo KEK come in: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

Abilitare la crittografia in un disco appena aggiunto usando interfaccia della riga di comando di Azure

Il comando interfaccia della riga di comando di Azure fornisce automaticamente una nuova versione della sequenza quando si esegue il comando per abilitare la crittografia. L'esempio usa "All" per il parametro volume-type. Potrebbe essere necessario modificare il parametro di tipo volume nel sistema operativo se si sta crittografando solo il disco del sistema operativo. A differenza della sintassi di PowerShell, l'interfaccia della riga di comando non richiede all'utente di fornire una versione di sequenza univoca durante l'abilitazione della crittografia. L'interfaccia della riga di comando genera e usa automaticamente uno specifico valore di versione di sequenza univoco.

  • Crittografare una macchina virtuale in esecuzione:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "All"
    
  • Crittografare una macchina virtuale in esecuzione usando una KEK:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "All"
    

Disabilitare la crittografia e rimuovere l'estensione di crittografia

È possibile disabilitare l'estensione Crittografia dischi di Azure ed è possibile rimuovere l'estensione Crittografia dischi di Azure. Queste operazioni sono distinte.

Per rimuovere Ade, disabilitare prima la crittografia e quindi rimuovere l'estensione. Se si rimuove l'estensione di crittografia senza disabilitarla, i dischi vengono comunque crittografati. Se si disabilita la crittografia dopo la rimozione dell'estensione, l'estensione viene reinstallata (per eseguire l'operazione di decrittografia) ed è necessario rimuoverla una seconda volta.

Disabilitare la crittografia

È possibile disabilitare la crittografia usando Azure PowerShell, l'interfaccia della riga di comando di Azure o un modello di Resource Manager. La disabilitazione della crittografia non rimuove l'estensione (vedere Rimuovere l'estensione di crittografia).

Avviso

La disabilitazione della crittografia del disco dati quando il sistema operativo e i dischi dati vengono crittografati potrebbe avere risultati imprevisti. Disabilitare la crittografia in tutti i dischi.

La disabilitazione della crittografia avvia un processo in background di BitLocker per decrittografare i dischi. Assegnare a questo processo tempo sufficiente per completare prima di tentare di riabilitare la crittografia.

  • Disabilitare la crittografia del disco usando Azure PowerShell: per disabilitare la crittografia, usare il cmdlet Disable-AzVMDiskEncryption.

    Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "all"
    
  • Disabilitare la crittografia usando il interfaccia della riga di comando di Azure: per disabilitare la crittografia, usare il comando az vm encryption disable.

    az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "all"
    
  • Disabilitare la crittografia usando un modello di Resource Manager:

    1. Seleziona Deploy to Azure dal modello Disabilitare la crittografia del disco in una VM Windows in esecuzione.
    2. Selezionare la sottoscrizione, il gruppo di risorse, la posizione, la macchina virtuale, il tipo di volume, i termini legali e il contratto.
    3. Selezionare Acquista per disabilitare la crittografia dischi in una macchina virtuale Windows in esecuzione.

Rimuovere l'estensione di crittografia

Se si desidera decrittografare i dischi e rimuovere l'estensione di crittografia, disabilitare la crittografia prima di rimuovere l'estensione. Per altre informazioni, vedere Disabilitare la crittografia.

È possibile rimuovere l'estensione di crittografia usando Azure PowerShell o il interfaccia della riga di comando di Azure.

  • Disabilitare la crittografia del disco usando Azure PowerShell: per rimuovere la crittografia, usare il cmdlet Remove-AzVMDiskEncryptionExtension.

    Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"
    
  • Disabilitare la crittografia usando il interfaccia della riga di comando di Azure: per rimuovere la crittografia, usare il comando az vm extension delete.

    az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryption"
    

Passaggi successivi