Criptografia de Disco do Microsoft Azure com o Microsoft Entra ID para VMs do Windows (versão anterior)
Aplica-se a: ✔️ Windows VMs
A nova versão do Azure Disk Encryption elimina a exigência de fornecer um parâmetro de aplicativo do Microsoft Entra para habilitar a criptografia de disco de VM. Com a nova versão, não é mais exigido que você forneça as credenciais do Microsoft Entra durante a etapa de habilitação da criptografia. Todas as novas VMs devem ser criptografadas sem os parâmetros do aplicativo Microsoft Entra utilizando a nova versão. Para exibir instruções para habilitar a criptografia de disco de VM usando a nova versão, veja Azure Disk Encryption para VMs do Windows. As VMs que já estavam criptografadas com os parâmetros do aplicativo Microsoft Entra ainda têm suporte e devem continuar a ser mantidas com a sintaxe do Microsoft Entra.
Você pode habilitar muitos cenários de criptografia de disco, e as etapas podem variar de acordo com o cenário. As seções a seguir abordam os cenários com mais detalhes para VMs da IaaS do Windows. Antes de poder usar a criptografia de disco, os pré-requisitos do Azure Disk Encryption devem ser cumpridos.
Importante
Você deve tirar um instantâneo e/ou criar um backup antes que os discos sejam criptografados. Os backups garantem que uma opção de recuperação seja possível, no caso de uma falha inesperada durante a criptografia. VMs com discos gerenciados exigem um backup antes que a criptografia ocorra. Depois que um backup é feito, você poderá usar o cmdlet Set-AzVMDiskEncryptionExtension para criptografar discos gerenciados, especificando o parâmetro -skipVmBackup. Para obter mais informações sobre como fazer backup e restaurar VMs criptografadas, confira Backup e restauração da VM do Azure criptografada.
Criptografar ou desabilitar a criptografia pode fazer com que uma VM seja reiniciada.
Habilitar criptografia em novas VMs da IaaS criadas a partir do Marketplace
É possível habilitar criptografia de disco na nova VM do Windows da IaaS a partir do Marketplace no Azure usando um modelo do Resource Manager. O modelo cria uma nova VM criptografada do Windows usando a imagem da galeria do Windows Server 2012.
No modelo do Resource Manager, cliquem em Implantar no Azure.
Selecione a assinatura, o grupo de recursos, o local do grupo de recursos, os parâmetros, os termos legais e o contrato. Clique em Comprar para implantar uma nova VM da IaaS onde a criptografia está habilitada.
Depois de implantar o modelo, verifique o status de criptografia da VM usando o método preferido:
Verifique com a CLI do Azure, usando o comando az vm encryption show.
az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"Verifique com o Azure PowerShell usando o cmdlet Get-AzVmDiskEncryptionStatus.
Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'Selecione a VM e, em seguida, clique em Discos sob o cabeçalho Configurações para verificar o status da criptografia no portal. No gráfico em Criptografia, você verá se ela está habilitada.
A tabela a seguir lista os parâmetros do modelo do Resource Manager para novas VMs do cenário do Marketplace utilizando a ID do cliente do Microsoft Entra:
| Parâmetro | Descrição |
|---|---|
| adminUserName | Especifique um nome de usuário para a máquina virtual. |
| adminPassword | Senha de usuário administrador para a máquina virtual. |
| newStorageAccountName | Nome da conta de armazenamento para armazenar VHDs do sistema operacional e de dados. |
| vmSize | O tamanho da VM. Atualmente, há suporte somente para séries Standard A, D e G. |
| virtualNetworkName | Nome da VNet à qual a NIC da VM deve pertencer. |
| subnetName | Nome da sub-rede na VNet à qual a NIC da VM deve pertencer. |
| AADClientID | ID do cliente do aplicativo do Microsoft Entra ID que tem permissões para gravar segredos em seu cofre de chaves. |
| AADClientSecret | Segredo do cliente do aplicativo do Microsoft Entra que tem permissões para gravar segredos em seu cofre de chaves. |
| keyVaultURL | URL do cofre de chaves no qual a chave do BitLocker deve ser carregada. É possível obtê-lo, usando o cmdlet (Get-AzKeyVault -VaultName "MyKeyVault" -ResourceGroupName "MyKeyVaultResourceGroupName").VaultURI ou a CLI do Azure az keyvault show --name "MySecureVault" --query properties.vaultUri |
| keyEncryptionKeyURL | URL da chave de criptografia de chave que é usada para criptografar a chave gerada do BitLocker (opcional). KeyEncryptionKeyURL é um parâmetro opcional. Você pode usar seu próprio KEK para proteger ainda mais a chave de criptografia de dados (frase secreta) no cofre de chaves. |
| keyVaultResourceGroup | Grupo de recursos do cofre de chaves. |
| vmName | Nome da VM em que a operação de criptografia deve ser executada. |
Habilitar criptografia em VMs do Windows da IaaS existentes ou em execução
Nesse cenário, é possível habilitar a criptografia usando um modelo, cmdlets do PowerShell ou comandos da CLI. As seções a seguir explicam com mais detalhes como habilitar o Azure Disk Encryption.
Habilitar criptografia em VMs existentes ou em execução com Azure PowerShell
Use o cmdlet Set-AzVMDiskEncryptionExtension para habilitar a criptografia em uma máquina virtual de IaaS em execução no Azure. Para obter informações sobre como habilitar a criptografia com o Azure Disk Encryption usando cmdlets do PowerShell, confira as postagens de blog Explorar Azure Disk Encryption com o Azure PowerShell - parte 1 e Explorar Azure Disk Encryption com o Azure PowerShell - parte 2.
Criptografar uma VM em execução usando um segredo de cliente: o script abaixo inicializa as variáveis e executa o cmdlet Set-AzVMDiskEncryptionExtension. O grupo de recursos, a VM, o cofre de chaves, o aplicativo Microsoft Entra e o segredo do cliente já devem ter sido criados como pré-requisitos. Substitua MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM, MySecureVault, My-AAD-client-ID e My-AAD-client-secret pelos seus valores.
$KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MySecureVM'; $aadClientID = 'My-AAD-client-ID'; $aadClientSecret = 'My-AAD-client-secret'; $KeyVaultName = 'MySecureVault'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;Criptografar uma VM em execução usando KEK para encapsular o segredo do cliente: o Azure Disk Encryption permite que você especifique uma chave existente no cofre de chaves para encapsular segredos de criptografia de disco que foram gerados ao habilitar a criptografia. Quando uma chave de criptografia de chave é especificada, o Azure Disk Encryption usa essa chave para agrupar os segredos de criptografia antes de gravar no Key Vault.
$KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MyExtraSecureVM'; $aadClientID = 'My-AAD-client-ID'; $aadClientSecret = 'My-AAD-client-secret'; $KeyVaultName = 'MySecureVault'; $keyEncryptionKeyName = 'MyKeyEncryptionKey'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid; Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;Observação
A sintaxe para o valor do parâmetro disk-encryption-keyvault é a cadeia de caracteres do identificador completo: /subscriptions/[GUID-ID-da-assinatura]/resourceGroups/[nome-do-grupo-de-recursos]/providers/Microsoft.KeyVault/vaults/[nome-do-cofre-de-chaves]
A sintaxe do valor do parâmetro key-encryption-key é o URI completo da KEK, como em: https://[nome-do-cofre-de-chaves].vault.azure.net/keys/[nome-da-kek]/[id-exclusiva-da-kek]Verificar se os discos estão criptografados: para verificar o status de criptografia de uma VM de IaaS, use o cmdlet Get-AzVmDiskEncryptionStatus.
Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'Desabilitar criptografia de disco: para desabilitar a criptografia, use o cmdlet Disable-AzureRmVMDiskEncryption.
Disable-AzVMDiskEncryption -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
Habilitar a criptografia em VMs existentes ou em execução com a CLI do Azure
Use o comando az vm encryption enable para habilitar a criptografia em uma máquina virtual da IaaS em execução no Azure.
Criptografar uma VM em execução usando um segredo do cliente:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --aad-client-id "<my spn created with CLI/my Azure AD ClientID>" --aad-client-secret "My-AAD-client-secret" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]Criptografar uma VM em execução usando KEK para encapsular o segredo do cliente:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --aad-client-id "<my spn created with CLI which is the Azure AD ClientID>" --aad-client-secret "My-AAD-client-secret" --disk-encryption-keyvault "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]Observação
A sintaxe para o valor do parâmetro disk-encryption-keyvault é a cadeia de caracteres do identificador completo: /subscriptions/[GUID-ID-da-assinatura]/resourceGroups/[nome-do-grupo-de-recursos]/providers/Microsoft.KeyVault/vaults/[nome-do-cofre-de-chaves]
A sintaxe do valor do parâmetro key-encryption-key é o URI completo da KEK, como em: https://[nome-do-cofre-de-chaves].vault.azure.net/keys/[nome-da-kek]/[id-exclusiva-da-kek]Verificar se os discos estão criptografados: para verificar o status de criptografia de uma VM de IaaS, use o comando az vm encryption show.
az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"Desabilitar criptografia: para desabilitar a criptografia, use o comando az vm encryption disable.
az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type [ALL, DATA, OS]
Usando o modelo do Gerenciador de Recursos
É possível habilitar a criptografia de disco em VMs do Windows da IaaS em execução ou existentes no Azure usando o modelo do Resource Manager para criptografar uma VM do Windows em execução.
No modelo de início rápido do Azure, clique em Implantar no Azure.
Selecione a assinatura, o grupo de recursos, o local do grupo de recursos, os parâmetros, os termos legais e o contrato. Clique em Comprar para habilitar a criptografia na VM da IaaS em execução ou existente.
A tabela a seguir lista os parâmetros do modelo do Resource Manager para VMs existentes ou em execução que utilizam uma ID de cliente do Microsoft Entra ID:
| Parâmetro | Descrição |
|---|---|
| AADClientID | ID do cliente do aplicativo do Microsoft Entra que tem permissões para gravar segredos no cofre de chaves. |
| AADClientSecret | Segredo do cliente do aplicativo do Microsoft Entra que tem permissões para gravar segredos no cofre de chaves. |
| keyVaultName | Nome do cofre de chaves no qual a chave do BitLocker deve ser carregada. É possível obtê-lo, usando o cmdlet (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname ou o comando az keyvault list --resource-group "MySecureGroup" da CLI do Azure |
| keyEncryptionKeyURL | URL da chave de criptografia de chaves que é usada para criptografar a chave gerada do BitLocker. Esse parâmetro será opcional se você selecionar nokek na lista suspensa UseExistingKek. Se selecionar kek na lista suspensa UseExistingKek, você deverá inserir o valor keyEncryptionKeyURL. |
| volumeType | Tipo de volume em que a operação de criptografia é executada. Os valores válidos são OS, Data e All. |
| sequenceVersion | Versão de sequência da operação de BitLocker. Aumente esse número de versão sempre que uma operação de criptografia de disco for executada na mesma VM. |
| vmName | Nome da VM em que a operação de criptografia deve ser executada. |
Novas VMs de IaaS criadas por chaves de criptografia e VHD criptografado pelo cliente
Nesse cenário, você pode habilitar a criptografia usando o modelo do Resource Manager, cmdlets do PowerShell ou comandos da CLI. As seções a seguir explicam detalhadamente o modelo do Gerenciador de Recursos e comandos da CLI.
Use as instruções no apêndice para preparar imagens previamente criptografadas que podem ser usadas no Azure. Depois que a imagem for criada, você poderá usar as etapas na próxima seção para criar uma VM do Azure criptografada.
Criptografar VMs com VHDs previamente criptografados com Azure PowerShell
É possível habilitar a criptografia de disco no VHD criptografado usando o cmdlet do PowerShell Set-AzVMOSDisk. O exemplo abaixo fornece alguns parâmetros comuns.
$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"
Habilitar criptografia em um disco de dados adicionado recentemente
É possível adicionar um novo disco a uma VM do Windows usando o PowerShell ou por meio do portal do Azure.
Habilitar criptografia em um disco adicionado recentemente com Azure PowerShell
Ao usar o Powershell para criptografar um novo disco para VMs do Windows, uma nova versão da sequência deverá ser especificada. A versão da sequência deverá ser exclusiva. O script abaixo gera um GUID para a versão da sequência. Em alguns casos, um disco de dados adicionado recentemente pode ser criptografado automaticamente pela extensão do Azure Disk Encryption. A criptografia automática geralmente ocorre quando a VM é reinicializada depois que o novo disco fica online. Isso geralmente é causado porque "All" foi especificado para o tipo de volume quando a criptografia de disco foi executada anteriormente na VM. Se a criptografia automática ocorrer em um disco de dados recém-adicionado, recomendamos a execução do cmdlet Set-AzVmDiskEncryptionExtension novamente com a nova versão de sequência. Se o seu novo disco de dados for criptografado automaticamente e você não quiser ser criptografado, primeiro descriptografe todas as unidades e criptografe novamente com uma nova versão de sequência, especificando o SO para o tipo de volume.
Criptografar uma VM em execução usando um segredo de cliente: o script abaixo inicializa as variáveis e executa o cmdlet Set-AzVMDiskEncryptionExtension. O grupo de recursos, a VM, o cofre de chaves, o aplicativo Microsoft Entra e o segredo do cliente já devem ter sido criados como pré-requisitos. Substitua MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM, MySecureVault, My-AAD-client-ID e My-AAD-client-secret pelos seus valores. Este exemplo usa "All" para o parâmetro -VolumeType, que inclui ambos os volumes de Dados e SO. Se você quiser apenas criptografar o volume do SO, use "OS" para o parâmetro -VolumeType.
$sequenceVersion = [Guid]::NewGuid(); $KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MySecureVM'; $aadClientID = 'My-AAD-client-ID'; $aadClientSecret = 'My-AAD-client-secret'; $KeyVaultName = 'MySecureVault'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType 'all' –SequenceVersion $sequenceVersion;Criptografar uma VM em execução usando KEK para encapsular o segredo do cliente: o Azure Disk Encryption permite que você especifique uma chave existente no cofre de chaves para encapsular segredos de criptografia de disco que foram gerados ao habilitar a criptografia. Quando uma chave de criptografia de chave é especificada, o Azure Disk Encryption usa essa chave para agrupar os segredos de criptografia antes de gravar no Key Vault. Este exemplo usa "All" para o parâmetro -VolumeType, que inclui ambos os volumes de Dados e SO. Se você quiser apenas criptografar o volume do SO, use "OS" para o parâmetro -VolumeType.
$sequenceVersion = [Guid]::NewGuid(); $KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MyExtraSecureVM'; $aadClientID = 'My-AAD-client-ID'; $aadClientSecret = 'My-AAD-client-secret'; $KeyVaultName = 'MySecureVault'; $keyEncryptionKeyName = 'MyKeyEncryptionKey'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid; Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType 'all' –SequenceVersion $sequenceVersion;Observação
A sintaxe para o valor do parâmetro disk-encryption-keyvault é a cadeia de caracteres do identificador completo: /subscriptions/[GUID-ID-da-assinatura]/resourceGroups/[nome-do-grupo-de-recursos]/providers/Microsoft.KeyVault/vaults/[nome-do-cofre-de-chaves]
A sintaxe do valor do parâmetro key-encryption-key é o URI completo da KEK, como em: https://[nome-do-cofre-de-chaves].vault.azure.net/keys/[nome-da-kek]/[id-exclusiva-da-kek]
Habilitar criptografia em um disco adicionado recentemente com CLI do Azure
O comando da CLI do Azure fornecerá automaticamente uma nova versão da sequência quando você executar o comando para habilitar a criptografia. Valores aceitáveis para o parâmetro do tipo de volume são Todos, SO e Dados. Talvez seja necessário alterar o parâmetro do tipo de volume para OS ou Dados, se você estiver criptografando apenas um tipo de disco para a VM. Os exemplos usam "All" para o parâmetro do tipo de volume.
Criptografar uma VM em execução usando um segredo do cliente:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --aad-client-id "<my spn created with CLI/my Azure AD ClientID>" --aad-client-secret "My-AAD-client-secret" --disk-encryption-keyvault "MySecureVault" --volume-type "All"Criptografar uma VM em execução usando KEK para encapsular o segredo do cliente:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --aad-client-id "<my spn created with CLI which is the Azure AD ClientID>" --aad-client-secret "My-AAD-client-secret" --disk-encryption-keyvault "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "all"
Habilite a criptografia utilizando a autenticação baseada em certificado do cliente do Microsoft Entra.
É possível usar a autenticação de certificado de cliente com ou sem KEK. Antes de usar os scripts do PowerShell, você já deve ter o certificado carregado no cofre de chaves e implantado na VM. Se você também estiver usando KEK, o KEK já deverá existir. Para obter mais informações, consulte a seção Autenticação baseada em certificado para o Microsoft Entra ID do artigo de pré-requisitos.
Habilitar a criptografia usando a autenticação baseada em certificado com Azure PowerShell
## Fill in 'MyVirtualMachineResourceGroup', 'MyKeyVaultResourceGroup', 'My-AAD-client-ID', 'MySecureVault, and 'MySecureVM'.
$VMRGName = 'MyVirtualMachineResourceGroup'
$KVRGname = 'MyKeyVaultResourceGroup';
$AADClientID ='My-AAD-client-ID';
$KeyVaultName = 'MySecureVault';
$VMName = 'MySecureVM';
$KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
$diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
$KeyVaultResourceId = $KeyVault.ResourceId;
# Fill in the certificate path and the password so the thumbprint can be set as a variable.
$certPath = '$CertPath = "C:\certificates\mycert.pfx';
$CertPassword ='Password'
$Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($CertPath, $CertPassword)
$aadClientCertThumbprint = $cert.Thumbprint;
# Enable disk encryption using the client certificate thumbprint
Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $VMName -AadClientID $AADClientID -AadClientCertThumbprint $AADClientCertThumbprint -DiskEncryptionKeyVaultUrl $DiskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId
Habilitar criptografia usando autenticação baseada em certificado e um KEK com o Azure PowerShell
# Fill in 'MyVirtualMachineResourceGroup', 'MyKeyVaultResourceGroup', 'My-AAD-client-ID', 'MySecureVault,, 'MySecureVM', and "KEKName.
$VMRGName = 'MyVirtualMachineResourceGroup';
$KVRGname = 'MyKeyVaultResourceGroup';
$AADClientID ='My-AAD-client-ID';
$KeyVaultName = 'MySecureVault';
$VMName = 'MySecureVM';
$keyEncryptionKeyName ='KEKName';
$KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
$diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
$KeyVaultResourceId = $KeyVault.ResourceId;
$keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
## Fill in the certificate path and the password so the thumbprint can be read and set as a variable.
$certPath = '$CertPath = "C:\certificates\mycert.pfx';
$CertPassword ='Password'
$Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($CertPath, $CertPassword)
$aadClientCertThumbprint = $cert.Thumbprint;
# Enable disk encryption using the client certificate thumbprint and a KEK
Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $VMName -AadClientID $AADClientID -AadClientCertThumbprint $AADClientCertThumbprint -DiskEncryptionKeyVaultUrl $DiskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId
Desabilitar criptografia
É possível desabilitar a criptografia usando o Azure PowerShell, a CLI do Azure ou com um modelo do Resource Manager.
Desabilitar criptografia de disco com o Azure PowerShell: use o cmdlet Disable-AzureRmVMDiskEncryption para desabilitar a criptografia.
Disable-AzVMDiskEncryption -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'Desabilitar a criptografia com a CLI do Azure: para desabilitar a criptografia, use o comando az vm encryption disable.
az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type [ALL, DATA, OS]Desabilitar criptografia com um modelo do Resource Manager:
- Clique em Implantar no Azure no modelo Desabilitar criptografia de disco na VM do Windows em execução.
- Selecione a assinatura, o grupo de recursos, o local, a VM, os termos legais e o contrato.
- Clique em Comprar para desabilitar a criptografia de disco em uma VM do Windows em execução.