Crear un catálogo de Microsoft Azure

Cifrado del lado del servidor de Azure

September 15, 2025

Contribución de:

Citrix DaaS admite claves de cifrado administradas por el cliente para los discos administrados por Azure a través de Azure Key Vault. Gracias a esta compatibilidad, puede satisfacer los requisitos organizativos y de conformidad mediante el cifrado de los discos administrados del catálogo de máquinas con su propia clave de cifrado. Para obtener más información, consulte Cifrado del lado del servidor de Azure Disk Storage.

Al utilizar esta función para discos administrados:

Para cambiar la clave con la que se cifra el disco, cambie la clave actual en DiskEncryptionSet. Todos los recursos asociados con ese DiskEncryptionSet cambian para ser cifrados con la nueva clave.
Cuando inhabilite o elimine la clave, todas las máquinas virtuales con discos que utilicen esa clave se apagarán automáticamente. Después de apagarse, las máquinas virtuales no se podrán utilizar, a menos que la clave se vuelva a habilitar o se asigne una nueva clave. Ningún catálogo que utilice la clave se podrá encender ni se le podrán agregar máquinas virtuales.

Consideraciones importantes al utilizar claves de cifrado administradas por el cliente

Tenga en cuenta lo siguiente al usar esta funcionalidad:

Todos los recursos relacionados con las claves administradas por el cliente (instancias de Azure Key Vault, conjuntos de cifrado de disco, máquinas virtuales, discos e instantáneas) deben residir en la misma suscripción y región.
Una vez habilitada la clave de cifrado administrada por el cliente, no podrá inhabilitarla. Si quiere inhabilitar o quitar la clave de cifrado administrada por el cliente, copie todos los datos en un disco administrado diferente que no utilice la clave de cifrado administrada por el cliente.
Los discos creados a partir de imágenes cifradas personalizadas mediante cifrado del lado del servidor y claves administradas por el cliente deben cifrarse mediante las mismas claves administradas por el cliente. Estos discos deben estar en la misma suscripción.
Las instantáneas creadas a partir de discos cifrados con cifrado del lado del servidor y claves administradas por el cliente deben cifrarse con las mismas claves administradas por el cliente.
Los discos, las instantáneas y las imágenes cifradas con claves administradas por el cliente no pueden transferirse a otro grupo de recursos y suscripción.
Los discos administrados actual o previamente cifrados mediante Azure Disk Encryption no se pueden cifrar con claves administradas por el cliente.
Consulte el sitio de Microsoft para conocer las limitaciones de los conjuntos de cifrado de disco por región.

Nota: No

Para obtener información acerca de la configuración del cifrado del lado del servidor de Azure, consulte Inicio rápido: Creación de un almacén de claves mediante Azure Portal.

Clave de cifrado administrada por el cliente de Azure

Al crear un catálogo de máquinas, puede elegir si cifrar los datos presentes en las máquinas aprovisionadas en el catálogo. El cifrado del lado del servidor con una clave de cifrado administrada por el cliente permite administrar el cifrado a nivel de disco administrado y proteger los datos que contengan las máquinas del catálogo. Un conjunto de cifrado de disco (Disk Encryption Set o DES) representa una clave administrada por el cliente. Para utilizar esta función, primero debe crear el DES en Azure. Un DES tiene este formato:

/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet

Seleccione un DES de la lista. El DES que seleccione debe estar en la misma suscripción y región que los recursos. Si la imagen está cifrada con un DES, utilice el mismo DES al crear el catálogo de máquinas. No se puede cambiar el DES después de crear el catálogo.

Si crea un catálogo con una clave de cifrado y posteriormente inhabilita el DES correspondiente en Azure, ya no podrá encender las máquinas del catálogo ni agregarle máquinas.

Consulte Crear un catálogo de máquinas con una clave administrada por el cliente.

Crear un catálogo de máquinas con una clave de cifrado administrada por el cliente

Si quiere crear un catálogo de máquinas mediante los comandos de PowerShell, donde la clave de cifrado sea una clave administrada por el cliente, haga lo siguiente:

Abra una ventana de PowerShell.
Ejecute asnp citrix* para cargar los módulos de PowerShell específicos de Citrix.
Escriba cd xdhyp:/.
Escriba cd .\HostingUnits\(su unidad de alojamiento).
Escriba cd diskencryptionset.folder.
Escriba dir para obtener la lista de conjuntos de cifrado de disco.
Copie el ID de un conjunto de cifrado de disco.

Cree una cadena de propiedades personalizada para incluir el ID del conjunto de cifrado de disco. Por ejemplo:

  $customProperties = "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`">
  <Property xsi:type=`"StringProperty`" Name=`"persistWBC`" Value=`"False`" />
  <Property xsi:type=`"StringProperty`" Name=`"PersistOsDisk`" Value=`"false`" />
  <Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" />
  <Property xsi:type=`"StringProperty`" Name=`"DiskEncryptionSetId`" Value=`"/subscriptions/0xxx4xxx-xxb-4bxx-xxxx-xxxxxxxx/resourceGroups/abc/providers/Microsoft.Compute/diskEncryptionSets/abc-des`"/>
  </CustomProperties>
<!--NeedCopy-->

Cree un grupo de identidades si aún no se ha creado. Por ejemplo:

  New-AcctIdentityPool -IdentityPoolName idPool -NamingScheme ms## -Domain def.local -NamingSchemeType Numeric
<!--NeedCopy-->

Ejecute el comando New-ProvScheme. Por ejemplo:

  New-ProvScheme -CleanOnBoot -HostingUnitName "name" -IdentityPoolName "name" -InitialBatchSizeHint 1
  -MasterImageVM "XDHyp:\HostingUnits\azure-res2\image.folder\def.resourcegroup\def.snapshot"
  -NetworkMapping @{"0"="XDHyp:\HostingUnits\azure-res2\\virtualprivatecloud.folder\def.resourcegroup\def-vnet.virtualprivatecloud\subnet1.network"}
  -ProvisioningSchemeName "name"
  -ServiceOffering "XDHyp:\HostingUnits\azure-res2\serviceoffering.folder\Standard_DS2_v2.serviceoffering"
  -MachineProfile "XDHyp:\HostingUnits\<adnet>\machineprofile.folder\<def.resourcegroup>\<machine profile vm.vm>"
  -CustomProperties $customProperties
<!--NeedCopy-->

Termine de crear el catálogo de máquinas.

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

Cifrado del lado del servidor de Azure

September 15, 2025

Contribución de:

September 15, 2025

Contribución de:

En este artículo

Consideraciones importantes al utilizar claves de cifrado administradas por el cliente
Clave de cifrado administrada por el cliente de Azure
Crear un catálogo de máquinas con una clave de cifrado administrada por el cliente

¿Le ha resultado útil?