Cenários do Azure Disk Encryption em VMs do Windows
Aplica-se a: ✔️ VMs ✔️ do Windows Conjuntos de escala flexíveis
O Azure Disk Encryption para máquinas virtuais (VMs) do Windows utiliza a funcionalidade BitLocker do Windows para proporciona encriptação completa do disco do SO e do disco de dados. Além disso, proporciona encriptação do disco temporário quando o parâmetro VolumeType é All.
O Azure Disk Encryption é integrado ao Azure Key Vault para ajudá-lo a controlar e gerenciar as chaves e segredos de criptografia de disco. Para obter uma descrição geral do serviço, veja Azure Disk Encryption para VMs do Windows.
Pré-requisitos
Só pode aplicar a encriptação de discos a máquinas virtuais de tamanhos e sistemas operativos de VM suportados. Também deve cumprir os seguintes pré-requisitos:
- Requisitos de rede
- Requisitos da Política de Grupo
- Requisitos do armazenamento de chaves de encriptação
Restrições
Se já tiver utilizado o Azure Disk Encryption com o Microsoft Entra ID para encriptar uma VM, terá de continuar a utilizar esta opção para encriptar a VM. Para obter os detalhes, veja Azure Disk Encryption com o Microsoft Entra ID (versão anterior).
Deve criar um instantâneo e/ou criar uma cópia de segurança antes de os discos serem encriptados. Os backups garantem que uma opção de recuperação seja possível se ocorrer uma falha inesperada durante a criptografia. As VMs com discos geridos requerem uma cópia de segurança antes de ocorrer a encriptação. Depois que um backup for feito, você poderá usar o cmdlet Set-AzVMDiskEncryptionExtension para criptografar discos gerenciados especificando o parâmetro -skipVmBackup. Para obter mais informações sobre como criar a cópia de segurança e restaurar VMs encriptadas, veja Criar cópia de segurança e restaurar a VM do Azure encriptada.
Encriptar ou desativar a encriptação pode fazer com que a VM seja reiniciada.
O Azure Disk Encryption não funciona para os seguintes cenários, funcionalidades e tecnologia:
- Encriptar VMs de camada básica ou VMs criadas pelo método clássico de criação de VMs.
- Todos os requisitos e restrições do BitLocker, como exigir NTFS. Para obter mais informações, consulte Visão geral do BitLocker.
- Criptografia de VMs configuradas com sistemas RAID baseados em software.
- Criptografia de VMs configuradas com Espaços de Armazenamento Diretos (S2D) ou versões do Windows Server anteriores a 2016 configuradas com Espaços de Armazenamento do Windows.
- Integração com um sistema de gestão de chaves no local.
- Arquivos do Azure (sistema de arquivos compartilhado).
- Sistema de arquivos de rede (NFS).
- Volumes dinâmicos.
- Contêineres do Windows Server, que criam volumes dinâmicos para cada contêiner.
- Discos efémeros do SO.
- Discos iSCSI.
- Criptografia de sistemas de arquivos compartilhados/distribuídos como (mas não limitado a) DFS, GFS, DRDB e CephFS.
- Mover uma VM encriptada para outra subscrição ou região.
- Criar uma imagem ou instantâneo de uma VM encriptada e utilizar essa imagem ou instantâneo para implementar VMs adicionais.
- VMs da série M com discos Write Accelerator.
- Aplicação do ADE a uma VM que tenha discos criptografados com criptografia no host ou criptografia do lado do servidor com chaves gerenciadas pelo cliente (SSE + CMK). Aplicar SSE + CMK a um disco de dados ou adicionar um disco de dados com SSE + CMK configurado para uma VM criptografada com ADE também é um cenário sem suporte.
- Migração de uma VM criptografada com ADE, ou que já foi criptografada com ADE, para criptografia no host ou criptografia do lado do servidor com chaves gerenciadas pelo cliente.
- Criptografando VMs em clusters de failover.
- Criptografia de discos ultra do Azure.
- Encriptação de discos SSD Premium v2.
- Criptografia de VMs em assinaturas que têm a
Secrets should have the specified maximum validity periodpolítica habilitada com o efeito DENI. - Criptografia de VMs em assinaturas que têm a
Key Vault secrets should have an expiration datepolítica habilitada com o efeito DENY
Instalar ferramentas e conectar-se ao Azure
O Azure Disk Encryption pode ser habilitado e gerenciado por meio da CLI do Azure e do Azure PowerShell. Para fazer isso, você deve instalar as ferramentas localmente e conectar-se à sua assinatura do Azure.
CLI do Azure
A CLI 2.0 do Azure é uma ferramenta de linha de comando para gerenciar recursos do Azure. A CLI foi projetada para consultar dados de forma flexível, suportar operações de longa execução como processos sem bloqueio e facilitar o scripting. Você pode instalá-lo localmente seguindo as etapas em Instalar a CLI do Azure.
Para entrar na sua conta do Azure com a CLI do Azure, use o comando az login .
az login
Se pretender selecionar um inquilino para iniciar sessão, utilize:
az login --tenant <tenant>
Se você tiver várias assinaturas e quiser especificar uma específica, obtenha sua lista de assinaturas com a lista de contas az e especifique com o conjunto de contas az.
az account list
az account set --subscription "<subscription name or ID>"
Para obter mais informações, consulte Introdução à CLI 2.0 do Azure.
Azure PowerShell
O módulo az do Azure PowerShell fornece um conjunto de cmdlets que usa o modelo do Azure Resource Manager para gerenciar seus recursos do Azure. Você pode usá-lo em seu navegador com o Azure Cloud Shell ou instalá-lo em sua máquina local usando as instruções em Instalar o módulo do Azure PowerShell.
Se já o tiver instalado localmente, certifique-se de que utiliza a versão mais recente da versão do SDK do Azure PowerShell para configurar a Encriptação de Disco do Azure. Baixe a versão mais recente da versão do Azure PowerShell.
Para entrar na sua conta do Azure com o Azure PowerShell, use o cmdlet Connect-AzAccount .
Connect-AzAccount
Se você tiver várias assinaturas e quiser especificar uma, use o cmdlet Get-AzSubscription para listá-las, seguido pelo cmdlet Set-AzContext :
Set-AzContext -Subscription <SubscriptionId>
A execução do cmdlet Get-AzContext verificará se a assinatura correta foi selecionada.
Para confirmar se os cmdlets do Azure Disk Encryption estão instalados, use o cmdlet Get-command :
Get-command *diskencryption*
Para obter mais informações, consulte Introdução ao Azure PowerShell.
Habilitar a criptografia em uma VM do Windows existente ou em execução
Nesse cenário, você pode habilitar a criptografia usando o modelo do Gerenciador de Recursos, cmdlets do PowerShell ou comandos da CLI. Se você precisar de informações de esquema para a extensão de máquina virtual, consulte o artigo da extensão Azure Disk Encryption for Windows.
Habilitar a criptografia em VMs existentes ou em execução com o Azure PowerShell
Use o cmdlet Set-AzVMDiskEncryptionExtension para habilitar a criptografia em uma máquina virtual IaaS em execução no Azure.
Criptografar uma VM em execução: o script abaixo inicializa suas variáveis e executa o cmdlet Set-AzVMDiskEncryptionExtension. O grupo de recursos, a VM e o cofre de chaves já devem ter sido criados como pré-requisitos. Substitua MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM e MySecureVault pelos seus valores.
$KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MySecureVM'; $KeyVaultName = 'MySecureVault'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;Criptografe uma VM em execução usando o KEK:
$KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MyExtraSecureVM'; $KeyVaultName = 'MySecureVault'; $keyEncryptionKeyName = 'MyKeyEncryptionKey'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid; Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;Nota
A sintaxe para o valor do parâmetro disk-encryption-keyvault é a cadeia de caracteres do identificador completo: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
A sintaxe para o valor do parâmetro key-encryption-key é o URI completo para o KEK como em: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]Verifique se os discos estão criptografados: para verificar o status de criptografia de uma VM IaaS, use o cmdlet Get-AzVmDiskEncryptionStatus .
Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
Para desativar a encriptação, consulte Desativar encriptação e remover a extensão de encriptação.
Habilitar a criptografia em VMs existentes ou em execução com a CLI do Azure
Use o comando az vm encryption enable para habilitar a criptografia em uma máquina virtual IaaS em execução no Azure.
Criptografar uma VM em execução:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]Criptografe uma VM em execução usando o KEK:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]Nota
A sintaxe para o valor do parâmetro disk-encryption-keyvault é a cadeia de caracteres do identificador completo: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
A sintaxe para o valor do parâmetro key-encryption-key é o URI completo para o KEK como em: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]Verifique se os discos estão criptografados: para verificar o status de criptografia de uma VM IaaS, use o comando az vm encryption show .
az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
Para desativar a encriptação, consulte Desativar encriptação e remover a extensão de encriptação.
Usando o modelo do Gerenciador de Recursos
Você pode habilitar a criptografia de disco em VMs do Windows IaaS existentes ou em execução no Azure usando o modelo do Gerenciador de Recursos para criptografar uma VM do Windows em execução.
No modelo de início rápido do Azure, clique em Implantar no Azure.
Selecione a assinatura, o grupo de recursos, o local, as configurações, os termos legais e o contrato. Clique em Comprar para habilitar a criptografia na VM IaaS existente ou em execução.
A tabela a seguir lista os parâmetros de modelo do Gerenciador de Recursos para VMs existentes ou em execução:
| Parâmetro | Description |
|---|---|
| vmName | Nome da VM para executar a operação de criptografia. |
| keyVaultName | Nome do cofre de chaves para o qual a chave BitLocker deve ser carregada. Você pode obtê-lo usando o cmdlet (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname ou o comando da CLI do Azure az keyvault list --resource-group "MyKeyVaultResourceGroup" |
| keyVaultResourceGroup | Nome do grupo de recursos que contém o cofre de chaves |
| keyEncryptionKeyURL | O URL da chave de encriptação da chave, no formato https://< keyvault-name.vault.azure.net/key/>< key-name>. Se não desejar utilizar um KEK, deixe este campo em branco. |
| volumeType | Tipo de volume em que a operação de encriptação é executada. Os valores válidos são OS, Data e All. |
| forceUpdateTag | Passe um valor exclusivo como um GUID toda vez que a operação precisar ser executada à força. |
| resizeOSDisk | Se a partição do SO for redimensionada para ocupar o VHD completo do SO antes de dividir o volume do sistema. |
| localização | Localização de todos os recursos. |
Habilite a criptografia em discos NVMe para VMs Lsv2
Este cenário descreve a habilitação da Criptografia de Disco do Azure em discos NVMe para VMs da série Lsv2. A série Lsv2 possui armazenamento NVMe local. Os discos NVMe locais são temporários e os dados serão perdidos nesses discos se você parar/desalocar sua VM (Consulte: Lsv2-series).
Para habilitar a criptografia em discos NVMe:
- Inicialize os discos NVMe e crie volumes NTFS.
- Habilite a criptografia na VM com o parâmetro VolumeType definido como All. Isso permitirá a criptografia para todos os sistemas operacionais e discos de dados, incluindo volumes suportados por discos NVMe. Para obter informações, consulte Habilitar a criptografia em uma VM do Windows existente ou em execução.
A criptografia persistirá nos discos NVMe nos seguintes cenários:
- Reinicialização da VM
- Reimagem do conjunto de dimensionamento de máquina virtual
- Trocar SO
Os discos NVMe não serão inicializados nos seguintes cenários:
- Iniciar VM após a desalocação
- Serviço de cura
- Backup
Nesses cenários, os discos NVMe precisam ser inicializados após o início da VM. Para habilitar a criptografia nos discos NVMe, execute o comando para habilitar a Criptografia de Disco do Azure novamente depois que os discos NVMe forem inicializados.
Além dos cenários listados na seção Restrições, a criptografia de discos NVMe não é suportada para:
- VMs criptografadas com o Azure Disk Encryption com ID do Microsoft Entra (versão anterior)
- Discos NVMe com espaços de armazenamento
- Azure Site Recovery of SKUs with NVMe disks (consulte Matriz de suporte para recuperação de desastres de VM do Azure entre regiões do Azure: Máquinas replicadas - armazenamento).
Novas VMs IaaS criadas a partir de VHD criptografado pelo cliente e chaves de criptografia
Nesse cenário, você pode criar uma nova VM a partir de um VHD pré-criptografado e as chaves de criptografia associadas usando cmdlets do PowerShell ou comandos da CLI.
Use as instruções em Preparar um VHD do Windows pré-criptografado. Depois que a imagem for criada, você poderá usar as etapas na próxima seção para criar uma VM do Azure criptografada.
Criptografar VMs com VHDs pré-criptografados com o Azure PowerShell
Você pode habilitar a criptografia de disco em seu VHD criptografado usando o cmdlet do PowerShell Set-AzVMOSDisk. O exemplo abaixo fornece alguns parâmetros comuns.
$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"
Habilitar a criptografia em um disco de dados recém-adicionado
Você pode adicionar um novo disco a uma VM do Windows usando o PowerShell ou por meio do portal do Azure.
Nota
A criptografia de disco de dados recém-adicionada deve ser habilitada somente via Powershell ou CLI. Atualmente, o portal do Azure não oferece suporte à habilitação da criptografia em novos discos.
Habilitar a criptografia em um disco recém-adicionado com o Azure PowerShell
Ao usar o PowerShell para criptografar um novo disco para VMs do Windows, uma nova versão de sequência deve ser especificada. A versão sequencial tem de ser única. O script abaixo gera um GUID para a versão de sequência. Em alguns casos, um disco de dados recém-adicionado pode ser criptografado automaticamente pela extensão Azure Disk Encryption. A criptografia automática geralmente ocorre quando a VM é reinicializada depois que o novo disco fica online. Isso geralmente é causado porque "Todos" foi especificado para o tipo de volume quando a criptografia de disco foi executada anteriormente na VM. Se a criptografia automática ocorrer em um disco de dados recém-adicionado, recomendamos executar o cmdlet Set-AzVmDiskEncryptionExtension novamente com uma nova versão de sequência. Se o seu novo disco de dados for encriptado automaticamente e não desejar ser encriptado, desencriptar primeiro todas as unidades e, em seguida, voltar a encriptar com uma nova versão de sequência especificando o SO para o tipo de volume.
Criptografar uma VM em execução: o script abaixo inicializa suas variáveis e executa o cmdlet Set-AzVMDiskEncryptionExtension. O grupo de recursos, a VM e o cofre de chaves já devem ter sido criados como pré-requisitos. Substitua MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM e MySecureVault pelos seus valores. Este exemplo usa "All" para o parâmetro -VolumeType, que inclui os volumes OS e Data. Se você quiser apenas criptografar o volume do sistema operacional, use "OS" para o parâmetro -VolumeType.
$KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MySecureVM'; $KeyVaultName = 'MySecureVault'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; $sequenceVersion = [Guid]::NewGuid(); Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;Criptografar uma VM em execução usando KEK: Este exemplo usa "All" para o parâmetro -VolumeType, que inclui volumes de SO e Dados. Se você quiser apenas criptografar o volume do sistema operacional, use "OS" para o parâmetro -VolumeType.
$KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MyExtraSecureVM'; $KeyVaultName = 'MySecureVault'; $keyEncryptionKeyName = 'MyKeyEncryptionKey'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid; $sequenceVersion = [Guid]::NewGuid(); Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;Nota
A sintaxe para o valor do parâmetro disk-encryption-keyvault é a cadeia de caracteres do identificador completo: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
A sintaxe para o valor do parâmetro key-encryption-key é o URI completo para o KEK como em: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]
Habilitar a criptografia em um disco recém-adicionado com a CLI do Azure
O comando CLI do Azure fornecerá automaticamente uma nova versão de sequência para você quando você executar o comando para habilitar a criptografia. O exemplo usa "All" para o parâmetro volume-type. Talvez seja necessário alterar o parâmetro de tipo de volume para SO se estiver apenas criptografando o disco do sistema operacional. Ao contrário da sintaxe do PowerShell, a CLI não exige que o usuário forneça uma versão de sequência exclusiva ao habilitar a criptografia. A CLI gera e usa automaticamente seu próprio valor de versão de sequência exclusivo.
Criptografar uma VM em execução:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "All"Criptografe uma VM em execução usando o KEK:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "All"
Desative a criptografia e remova a extensão de criptografia
Você pode desabilitar a extensão de criptografia de disco do Azure e remover a extensão de criptografia de disco do Azure. Trata-se de duas operações distintas.
Para remover o ADE, é recomendável que você primeiro desative a criptografia e, em seguida, remova a extensão. Se remover a extensão de encriptação sem a desativar, os discos continuarão encriptados. Se desativar a encriptação depois de remover a extensão, a extensão será reinstalada (para executar a operação de desencriptação) e terá de ser removida uma segunda vez.
Desativar encriptação
Você pode desabilitar a criptografia usando o Azure PowerShell, a CLI do Azure ou com um modelo do Gerenciador de Recursos. A desativação da encriptação não remove a extensão (consulte Remover a extensão de encriptação).
Aviso
Desativar a criptografia de disco de dados quando o sistema operacional e os discos de dados foram criptografados pode ter resultados inesperados. Em vez disso, desative a criptografia em todos os discos.
A desativação da criptografia iniciará um processo em segundo plano do BitLocker para descriptografar os discos. Este processo deve ter tempo suficiente para ser concluído antes de tentar reativar a encriptação.
Desabilitar a criptografia de disco com o Azure PowerShell: para desabilitar a criptografia, use o cmdlet Disable-AzVMDiskEncryption .
Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "all"Desabilitar a criptografia com a CLI do Azure: para desabilitar a criptografia, use o comando az vm encryption disable .
az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "all"Desative a criptografia com um modelo do Gerenciador de Recursos:
- Clique em Implantar no Azure no modelo Desabilitar criptografia de disco na execução de VM do Windows.
- Selecione a assinatura, o grupo de recursos, o local, a VM, o tipo de volume, os termos legais e o contrato.
- Clique em Comprar para desativar a criptografia de disco em uma VM do Windows em execução.
Remover a extensão de encriptação
Se quiser desencriptar os seus discos e remover a extensão de encriptação, deve desativar a encriptação antes de remover a extensão, consulte desativar a encriptação.
Você pode remover a extensão de criptografia usando o Azure PowerShell ou a CLI do Azure.
Desabilitar a criptografia de disco com o Azure PowerShell: para remover a criptografia, use o cmdlet Remove-AzVMDiskEncryptionExtension .
Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"Desabilitar a criptografia com a CLI do Azure: para remover a criptografia, use o comando az vm extension delete .
az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryption"