Cenários de Azure Disk Encryption em VMs Windows
Aplica-se a: ✔️ VMs do Windows ✔️ Conjuntos de dimensionamento flexíveis
O Azure Disk Encryption para VMs do Windows usa o recurso BitLocker do Windows para fornecer criptografia completa do disco do sistema operacional e dos discos de dados. Além disso, ele fornece criptografia do disco temporário quando o parâmetro VolumeType é All.
O Azure Disk Encryption é integrado ao Azure Key Vault para ajudar você a controlar e gerenciar as chaves de criptografia de disco e os segredos. Para obter uma visão geral do serviço, confira Azure Disk Encryption para VMs Windows.
Pré-requisitos
Você só pode aplicar a criptografia de disco a máquinas virtuais de tamanhos de VM e sistemas operacionais com suporte. Você também deve atender aos seguintes pré-requisitos:
- Requisitos de rede
- Requisitos da política de grupo
- Requisitos de armazenamento de chave de criptografia
Restrições
Se já tiver usado a Criptografia de Disco do Azure com o Microsoft Entra ID para criptografar uma VM, você precisa continuar usando essa opção para criptografar sua VM. Confira Criptografia de Disco do Azure com o Microsoft Entra ID (versão anterior) para obter detalhes.
Você deve tirar um instantâneo e/ou criar um backup antes que os discos sejam criptografados. Os backups garantem que uma opção de recuperação seja possível, no caso de uma falha inesperada durante a criptografia. VMs com discos gerenciados exigem um backup antes que a criptografia ocorra. Depois que um backup é feito, você poderá usar o cmdlet Set-AzVMDiskEncryptionExtension para criptografar discos gerenciados, especificando o parâmetro -skipVmBackup. Para obter mais informações sobre como fazer backup e restaurar VMs criptografadas, confira Backup e restauração da VM do Azure criptografada.
Criptografar ou desabilitar a criptografia pode fazer com que uma VM seja reiniciada.
O Azure Disk Encryption não funciona para os seguintes cenários, recursos e tecnologias:
- criptografia de VM de camada básica ou VMs criadas por meio do método de criação de VM clássico.
- Todos os requisitos e restrições do BitLocker, como exigir um NTFS. Para obter mais informações, confira Visão geral do BitLocker.
- Criptografia de VMs configuradas com sistemas RAID baseados em software.
- Criptografia de VMs configuradas com o Espaços de Armazenamento Diretos (S2D) ou versões do Windows Server anteriores a 2016 configuradas com espaços de armazenamento do Windows.
- Integração ao sistema de gerenciamento de chaves local.
- Arquivos do Azure (sistema de arquivo compartilhado).
- NFS (Network File System).
- Volumes dinâmicos.
- Contêineres do Windows Server, que criam volumes dinâmicos para cada contêiner.
- Discos do SO Efêmero.
- Discos iSCSI.
- Criptografia de sistemas de arquivos compartilhados/distribuídos como (mas não se limitando a): DFS, GFS, DRDB e CephFS.
- Mover uma VM criptografada para outra assinatura ou região.
- Criar uma imagem ou um instantâneo de uma VM criptografada e usá-la para implantar VMs adicionais.
- VMs da série M com discos Acelerador de Gravação.
- Aplicar ADE a uma VM que tem discos criptografados com criptografia em host ou criptografia do lado do servidor com chaves gerenciadas pelo cliente (SSE + CMK). Aplicar SSE + CMK a um disco de dados ou adicionar um disco de dados com SSE + CMK configurado para uma VM criptografada com ADE também é um cenário sem suporte.
- Migrar uma VM que é criptografada com ADE ou que já foi criptografada com ADE, para a criptografia em host ou criptografia do lado do servidor com chaves gerenciadas pelo cliente.
- Criptografia de VMs em clusters de failover.
- Criptografia de ultra discos do Azure.
- Criptografia de discos SSD Premium v2.
- Criptografia de VMs em assinaturas que têm a política
Secrets should have the specified maximum validity periodhabilitada com o efeito DENY. - Criptografia de VMs em assinaturas que têm a política
Key Vault secrets should have an expiration datehabilitada com o efeito DENY
Instalar ferramentas e conectar-se ao Azure
O Azure Disk Encryption pode ser habilitado e gerenciado por meio da CLI do Azure e do Azure PowerShell. Para fazer isso, você deve instalar as ferramentas localmente e conectar-se à sua assinatura do Azure.
CLI do Azure
O CLI 2.0 do Azure é uma ferramenta de linha de comando para gerenciar recursos do Azure. A CLI é projetada para consultar dados com flexibilidade, dar suporte a operações de longa execução como processos desbloqueados e facilitar o script. Você pode instalá-la localmente seguindo as etapas em Instalar a CLI do Azure.
Para Entrar na assinatura do Azure com a CLI do Azure, use o comando az login.
az login
Se você deseja selecionar um locatário a ser usado para entrar, use:
az login --tenant <tenant>
Se você tiver várias assinaturas e quiser especificar uma lista específica, obtenha a lista de assinaturas com az account list e especifique com az account set.
az account list
az account set --subscription "<subscription name or ID>"
Para obter mais informações, consulte Introdução à CLI do Azure 2.0.
Azure PowerShell
O módulo az do Azure PowerShell fornece um conjunto de cmdlets que usa o modelo do Azure Resource Manager para gerenciar os recursos do Azure. Você pode usá-lo em seu navegador com o Azure Cloud Shell ou você pode instalá-lo em seu computador local usando as instruções em Instalar o módulo do Azure PowerShell.
Se você já tiver instalado localmente, verifique se que você usar a versão mais recente do SDK do Azure PowerShell para configurar o Azure Disk Encryption. Baixe a última versão do Azure PowerShell.
Para Entrar em sua conta do Azure com o Azure PowerShell, use o cmdlet Connect-AzAccount.
Connect-AzAccount
Se você tiver várias assinaturas e quiser especificar uma, use o cmdlet Get-AzSubscription para listá-las, seguido pelo cmdlet Set-AzContext:
Set-AzContext -Subscription <SubscriptionId>
A execução do cmdlet Get-AzContext verificará se a assinatura correta foi selecionada.
Para confirmar que os cmdlets do Azure Disk Encryption estão instalados, use o cmdlet Get-command:
Get-command *diskencryption*
Para saber mais, confira Introdução ao Azure PowerShell.
Habilitar criptografia em uma VM do Windows em execução ou existente
Nesse cenário, é possível habilitar a criptografia usando o modelo do Resource Manager, os cmdlets do PowerShell ou os comandos da CLI. Se você precisar de informações de esquema para a extensão de máquina virtual, consulte o Azure Disk Encryption para extensão do artigo Windows.
Habilitar criptografia em VMs existentes ou em execução com Azure PowerShell
Use o cmdlet Set-AzVMDiskEncryptionExtension para habilitar a criptografia em uma máquina virtual de IaaS em execução no Azure.
Criptografar uma VM em execução: o script abaixo inicializa as variáveis e executa o cmdlet Set-AzVMDiskEncryptionExtension. O grupo de recursos, a VM e o cofre de chaves já devem ter sido criados como pré-requisitos. Substitua MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM e MySecureVault por seus valores.
$KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MySecureVM'; $KeyVaultName = 'MySecureVault'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;Criptografar uma VM em execução usando KEK:
$KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MyExtraSecureVM'; $KeyVaultName = 'MySecureVault'; $keyEncryptionKeyName = 'MyKeyEncryptionKey'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid; Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;Observação
A sintaxe para o valor do parâmetro disk-encryption-keyvault é a cadeia de caracteres do identificador completo: /subscriptions/[GUID-ID-da-assinatura]/resourceGroups/[nome-do-grupo-de-recursos]/providers/Microsoft.KeyVault/vaults/[nome-do-cofre-de-chaves]
A sintaxe do valor do parâmetro key-encryption-key é o URI completo da KEK, como em: https://[nome-do-cofre-de-chaves].vault.azure.net/keys/[nome-da-kek]/[id-exclusiva-da-kek]Verificar se os discos estão criptografados: para verificar o status de criptografia de uma VM de IaaS, use o cmdlet Get-AzVmDiskEncryptionStatus.
Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
Para desabilitar a criptografia, consulte Desabilitar criptografia e remover a extensão de criptografia.
Habilitar criptografia em VMs existentes ou em execução com CLI do Azure
Use o comando az vm encryption enable para habilitar a criptografia em uma máquina virtual da IaaS em execução no Azure.
Criptografar uma VM em execução:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]Criptografar uma VM em execução usando KEK:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]Observação
A sintaxe para o valor do parâmetro disk-encryption-keyvault é a cadeia de caracteres do identificador completo: /subscriptions/[GUID-ID-da-assinatura]/resourceGroups/[nome-do-grupo-de-recursos]/providers/Microsoft.KeyVault/vaults/[nome-do-cofre-de-chaves]
A sintaxe do valor do parâmetro key-encryption-key é o URI completo da KEK, como em: https://[nome-do-cofre-de-chaves].vault.azure.net/keys/[nome-da-kek]/[id-exclusiva-da-kek]Verificar se os discos estão criptografados: para verificar o status de criptografia de uma VM de IaaS, use o comando az vm encryption show.
az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
Para desabilitar a criptografia, consulte Desabilitar criptografia e remover a extensão de criptografia.
Usando o modelo do Gerenciador de Recursos
É possível habilitar a criptografia de disco em VMs do Windows da IaaS em execução ou existentes no Azure usando o modelo do Resource Manager para criptografar uma VM do Windows em execução.
No modelo de início rápido do Azure, clique em Implantar no Azure.
Selecione a assinatura, o grupo de recursos, o local, as configurações, os termos legais e o contrato. Clique em Comprar para habilitar a criptografia na VM da IaaS em execução ou existente.
A tabela a seguir lista os parâmetros de modelo do Resource Manager existentes para as VMs em execução ou existentes:
| Parâmetro | Descrição |
|---|---|
| vmName | Nome da VM para executar a operação de criptografia. |
| keyVaultName | Nome do cofre de chaves no qual a chave do BitLocker deve ser carregada. É possível obtê-lo, usando o cmdlet (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname ou o comando az keyvault list --resource-group "MyKeyVaultResourceGroup" da CLI do Azure |
| keyVaultResourceGroup | Nome do grupo de recursos que contém o cofre de chaves |
| keyEncryptionKeyURL | A URL da chave de criptografia de chave, no formato https://< keyvault-name >.vault.azure.net/key/< key-name >. Se você não quiser usar uma KEK, deixe esse campo em branco. |
| volumeType | Tipo de volume em que a operação de criptografia é executada. Os valores válidos são OS, Data e All. |
| forceUpdateTag | Passe um valor exclusivo como um GUID sempre que a execução da operação precise ser forçada. |
| resizeOSDisk | A partição do SO deve ser redimensionada para ocupar o VHD do SO completo antes de dividir o volume do sistema. |
| local | Local de todos os recursos. |
Habilitar a criptografia em discos NVMe para VMs Lsv2
Este cenário descreve como habilitar o Azure Disk Encryption em discos NVMe para VMs da série Lsv2. A série Lsv2 apresenta o armazenamento de NVMe local. Os discos NVMe locais são temporários e os dados serão perdidos nesses discos se você parar/desalocar sua VM (Veja: Lsv2-series).
Para habilitar a criptografia em discos NVMe:
- Inicialize os discos NVMe e crie volumes NTFS.
- Habilita a criptografia na VM com o parâmetro VolumeType definido como Todos. Isso habilita a criptografia para todos os discos de dados e sistema operacional, incluindo volumes apoiados por discos NVMe. Para saber mais, veja Habilitar criptografia em uma VM do Windows em execução ou existente.
A criptografia persistirá nos discos NVMe nos seguintes cenários:
- Reinicialização da VM
- Nova imagem do conjunto de dimensionamento de máquina virtual
- Trocar OS
Os discos NVMe não serão reinicializados nos seguintes cenários:
- Iniciar VM após a desalocação
- Recuperação de serviço
- Backup
Nesses cenários, os discos NVMe precisam ser inicializados depois que a VM é iniciada. Para habilitar a criptografia nos discos NVMe, execute o comando para habilitar Azure Disk Encryption novamente depois que os discos NVMe são inicializados.
Além dos cenários listados na seção Restrições, não há suporte para criptografia de discos NVMe para:
- VMs criptografadas com a Criptografia de Disco do Azure com o Microsoft Entra ID (versão anterior)
- Discos NVMe com espaços de armazenamento
- Azure Site Recovery SKUs com discos NVMe (consulte Matriz de suporte para recuperação de desastre de VM do Azure entre regiões do Azure:máquinas replicadas – armazenamento).
Novas VMs da IaaS criadas a partir de chaves de criptografia e VHD criptografado pelo cliente
Nesse cenário, você pode criar uma nova VM com base em um VHD pré-criptografado e as chaves de criptografia associadas usando cmdlets do PowerShell ou comandos da CLI.
Use as instruções em Preparar um VHD do Windows pré-criptografado. Depois que a imagem for criada, você poderá usar as etapas na próxima seção para criar uma VM do Azure criptografada.
Criptografar VMs com VHDs previamente criptografados com Azure PowerShell
É possível habilitar a criptografia de disco no VHD criptografado usando o cmdlet do PowerShell Set-AzVMOSDisk. O exemplo abaixo fornece alguns parâmetros comuns.
$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"
Habilitar criptografia em um disco de dados adicionado recentemente
É possível adicionar um novo disco a uma VM do Windows usando o PowerShell ou por meio do portal do Azure.
Observação
A criptografia de disco de dados recém-adicionada só deve ser habilitada por meio do Powershell ou da CLI. Atualmente, o portal do Azure não dá suporte à habilitação da criptografia em novos discos.
Habilitar criptografia em um disco adicionado recentemente com Azure PowerShell
Ao usar o Powershell para criptografar um novo disco para VMs do Windows, uma nova versão da sequência deverá ser especificada. A versão da sequência deverá ser exclusiva. O script abaixo gera um GUID para a versão da sequência. Em alguns casos, um disco de dados adicionado recentemente pode ser criptografado automaticamente pela extensão do Azure Disk Encryption. A criptografia automática geralmente ocorre quando a VM é reinicializada depois que o novo disco fica online. Isso geralmente é causado porque "All" foi especificado para o tipo de volume quando a criptografia de disco foi executada anteriormente na VM. Se a criptografia automática ocorrer em um disco de dados recém-adicionado, recomendamos a execução do cmdlet Set-AzVmDiskEncryptionExtension novamente com a nova versão de sequência. Se o seu novo disco de dados for criptografado automaticamente e você não quiser ser criptografado, primeiro descriptografe todas as unidades e criptografe novamente com uma nova versão de sequência, especificando o SO para o tipo de volume.
Criptografar uma VM em execução: o script abaixo inicializa as variáveis e executa o cmdlet Set-AzVMDiskEncryptionExtension. O grupo de recursos, a VM e o cofre de chaves já devem ter sido criados como pré-requisitos. Substitua MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM e MySecureVault por seus valores. Este exemplo usa "All" para o parâmetro -VolumeType, que inclui ambos os volumes de Dados e SO. Se você quiser apenas criptografar o volume do SO, use "OS" para o parâmetro -VolumeType.
$KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MySecureVM'; $KeyVaultName = 'MySecureVault'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; $sequenceVersion = [Guid]::NewGuid(); Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;Criptografar uma VM em execução usando KEK:Este exemplo usa "All" para o parâmetro -VolumeType, que inclui ambos os volumes de Dados e SO. Se você quiser apenas criptografar o volume do SO, use "OS" para o parâmetro -VolumeType.
$KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MyExtraSecureVM'; $KeyVaultName = 'MySecureVault'; $keyEncryptionKeyName = 'MyKeyEncryptionKey'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid; $sequenceVersion = [Guid]::NewGuid(); Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;Observação
A sintaxe para o valor do parâmetro disk-encryption-keyvault é a cadeia de caracteres do identificador completo: /subscriptions/[GUID-ID-da-assinatura]/resourceGroups/[nome-do-grupo-de-recursos]/providers/Microsoft.KeyVault/vaults/[nome-do-cofre-de-chaves]
A sintaxe do valor do parâmetro key-encryption-key é o URI completo da KEK, como em: https://[nome-do-cofre-de-chaves].vault.azure.net/keys/[nome-da-kek]/[id-exclusiva-da-kek]
Habilitar criptografia em um disco adicionado recentemente com CLI do Azure
O comando da CLI do Azure fornecerá automaticamente uma nova versão da sequência quando você executar o comando para habilitar a criptografia. Os exemplos usam "All" para o parâmetro do tipo de volume. Talvez seja necessário alterar o parâmetro do tipo de volume para disco do SO. Em contraste com a sintaxe do PowerShell, a CLI não exige que o usuário forneça uma versão de sequência exclusiva ao habilitar a criptografia. A CLI gera e usa automaticamente o próprio valor de versão de sequência exclusivo.
Criptografar uma VM em execução:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "All"Criptografar uma VM em execução usando KEK:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "All"
Desabilitar a criptografia e remover a extensão de criptografia
É possível desabilitar e remover a extensão de criptografia de disco do Azure. São duas operações distintas.
Para remover o ADE, é recomendável primeiro desabilitar a criptografia e, em seguida, remover a extensão. Se remover a extensão de criptografia sem desabilitá-la, os discos ainda serão criptografados. Se desabilitar a criptografia após remover a extensão, a extensão será reinstalada (para executar a operação de descriptografia) e precisará ser removida uma segunda vez.
Desabilitar criptografia
É possível desabilitar a criptografia usando o Azure PowerShell, a CLI do Azure ou com um modelo do Resource Manager. Desabilitar a criptografia de disco não remove a extensão (consulte Remover a extensão de criptografia).
Aviso
Desabilitar a criptografia de disco de dados quando o sistema operacional e os discos de dados foram criptografados pode gerar resultados inesperados. Desabilite a criptografia em todos os discos em vez disso.
Desabilitar a criptografia iniciará um processo em segundo plano do BitLocker para descriptografar os discos. Esse processo deve receber tempo suficiente para ser concluído antes de tentar habilitar novamente a criptografia.
Desabilitar a criptografia de disco com o Azure PowerShell: para desabilitar a criptografia, use o cmdlet Disable-AzVMDiskEncryption.
Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "all"Desabilitar a criptografia com a CLI do Azure: para desabilitar a criptografia, use o comando az vm encryption disable.
az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "all"Desabilitar criptografia com um modelo do Resource Manager:
- Clique em Implantar no Azure no modelo Desabilitar criptografia de disco na VM do Windows em execução.
- Selecione a assinatura, o grupo de recursos, o local, a VM, o tipo de volume, os termos legais e o contrato.
- Clique em Comprar para desabilitar a criptografia de disco em uma VM do Windows em execução.
Remova a extensão de criptografia
Se desejar descriptografar seus discos e remover a extensão de criptografia, você deve desabilitar a criptografia antes de remover a extensão; consulte desabilitar criptografia.
É possível remover a extensão de criptografia usando o Azure PowerShell ou a CLI do Azure.
Desabilitar a criptografia de disco com o Azure PowerShell: para remover a criptografia, use o cmdlet Remove-AzVMDiskEncryptionExtension.
Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"Desabilitar criptografia com a CLI do Azure: para remover a criptografia, use o comando az vm extension delete.
az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryption"