Crear un catálogo de Microsoft Azure

Cifrado doble en disco administrado

September 15, 2025

Contribución de:

Puede crear un catálogo de máquinas con doble cifrado. Todos los catálogos creados con esta función tienen todos los discos cifrados del lado del servidor con claves administradas por la plataforma y por el cliente. Usted posee y mantiene el Azure Key Vault, la clave de cifrado y los conjuntos de cifrado de disco (DES).

El cifrado doble es el cifrado del lado de la plataforma (predeterminado) y el cifrado administrado por el cliente (CMEK). Por lo tanto, si usted es un cliente altamente confidencial al que le preocupa el riesgo asociado a cualquier algoritmo de cifrado, implementación o claves comprometidas, puede optar por este doble cifrado. Los discos de datos y del SO persistentes, las instantáneas y las imágenes se cifran en REST con doble cifrado.

Nota: No

Puede crear y actualizar un catálogo de máquinas con doble cifrado mediante la interfaz de Configuración completa y los comandos de PowerShell.

Puede utilizar un flujo de trabajo no basado en perfiles de máquina o un flujo de trabajo basado en perfiles de máquina para crear o actualizar un catálogo de máquinas con doble cifrado.

Si utiliza un flujo de trabajo no basado en perfiles de máquina para crear un catálogo de máquinas, puede reutilizar el DiskEncryptionSetIdalmacenado.

Si usa un perfil de máquina, puede usar una máquina virtual o una especificación de plantilla como entrada de perfil de máquina.

Limitaciones

No se admite el cifrado doble en los discos Ultra Disk ni en los discos Premium SSD v2.
El cifrado doble no se admite en discos no administrados.
Si inhabilita una clave de un conjunto de cifrado de disco asociados a un catálogo, se inhabilitan las máquinas virtuales del catálogo.
Todos los recursos relacionados con las claves administradas por el cliente (instancias de Azure Key Vault, conjuntos de cifrado de disco, máquinas virtuales, discos e instantáneas) deben estar en la misma suscripción y región.
Solo puede crear un máximo de 50 conjuntos de cifrado de disco por región y suscripción.
No se puede actualizar un catálogo de máquinas que ya tiene un DiskEncryptionSetId con un DiskEncryptionSetIddiferente.

Crear un catálogo de máquinas con doble cifrado

Puede crear y actualizar un catálogo de máquinas con doble cifrado mediante la interfaz de Configuración completa y los comandos de PowerShell.

Los pasos detallados para crear un catálogo de máquinas con doble cifrado son:

Cree un Azure Key Vault y un DES con claves administradas por la plataforma y por el cliente. Para obtener información sobre cómo crear un Azure Key Vault y un DES, consulte Uso de Azure Portal para habilitar el cifrado doble en reposo para discos administrados.
Para buscar conjuntos de cifrado de disco disponibles en su conexión de host:
1. Abra una ventana de PowerShell.
2. Ejecute los siguientes comandos de PowerShell:
  1. asnp citrix*
  2. cd xdhyp:
  3. cd HostingUnits
  4. cd YourHostingUnitName (ex. azure-east)
  5. cd diskencryptionset.folder
  6. dir
Puede utilizar un Id. de DiskEncryptionSet para crear o actualizar un catálogo utilizando propiedades personalizadas.
Si quiere utilizar el flujo de trabajo del perfil de máquina, cree una especificación de máquina virtual o plantilla como entrada de perfil de máquina.
- Si quiere utilizar una máquina virtual como entrada de perfil de máquina:
  1. Cree una máquina virtual en Azure Portal.
  2. Vaya a Discos>Administración de claves para cifrar la VM directamente con cualquier DiskEncryptionSetID.
- Si quiere utilizar una especificación de plantilla como entrada de perfil de máquina:
  1. En la plantilla, en propiedades>storageProfile>osDisk>managedDisk, agregue el parámetro diskEncryptionSet y agregue el ID del DES de cifrado doble.
Cree el catálogo de máquinas
- Si usa la interfaz de Configuración completa, realice una de estas acciones, además de seguir los pasos que se indican en Crear catálogos de máquinas.
  - Si no utiliza un flujo de trabajo basado en perfiles de máquina, en la página Parámetros de disco, seleccione Utilice esta clave para cifrar datos en cada máquina. A continuación, seleccione su DES de doble cifrado en la lista desplegable. Siga con la creación del catálogo.
  - Si utiliza un flujo de trabajo de perfil de máquina, en la página Imagen, seleccione una imagen maestra (o imagen preparada) y un perfil de máquina. Asegúrese de que el perfil de la máquina tenga un ID de conjunto de cifrado de disco en sus propiedades.
  Todas las máquinas creadas en el catálogo se cifran con doble cifrado mediante la clave asociada al DES que haya seleccionado.
- Si usa comandos de PowerShell, realice una de estas acciones:
  - Si no utiliza el flujo de trabajo basado en el perfil de la máquina, agregue la propiedad personalizada DiskEncryptionSetId en el comando New-ProvScheme. Por ejemplo:
    New-ProvScheme -CleanOnBoot -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" /> <Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS" /> <Property xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="/subscriptions/12345678-xxxx-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet" /> </CustomProperties>' -HostingUnitName "Redacted" -IdentityPoolName "Redacted" -InitialBatchSizeHint 1 -MasterImageVM "Redacted" -NetworkMapping @{"0"="Redacted"} -ProvisioningSchemeName "Redacted" -ServiceOffering "Redacted" 
  - Si utiliza un flujo de trabajo basado en perfiles de máquina, utilice una entrada de perfil de máquina en el comando New-ProvScheme. Por ejemplo:
    New-ProvScheme -CleanOnBoot -HostingUnitName azure-east -IdentityPoolName aio-ip -InitialBatchSizeHint 1 -MasterImageVM XDHyp:\HostingUnits\azure-east\image.folder\abc.resourcegroup\fgb-vda-snapshot.snapshot -NetworkMapping @{"0"="XDHyp:\HostingUnits\azure-east\virtualprivatecloud.folder\apa-resourceGroup.resourcegroup\apa-resourceGroup-vnet.virtualprivatecloud\default.network"} -ProvisioningSchemeName aio-test -MachineProfile XDHyp:\HostingUnits\azure-east\machineprofile.folder\abc.resourcegroup\abx-mp.templatespec\1.0.0.templatespecversion 
  Termine de crear un catálogo mediante el SDK de PowerShell remoto. Para obtener información sobre cómo crear un catálogo utilizando el SDK de PowerShell remoto, consulte https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/es/latest/creating-a-catalog/. Todas las máquinas creadas en el catálogo se cifran con doble cifrado mediante la clave asociada al DES que haya seleccionado.

Convertir un catálogo sin cifrar para usar el cifrado doble

Puede actualizar el tipo de cifrado de un catálogo de máquinas (mediante propiedades personalizadas o un perfil de máquina) solo si el catálogo no se cifró anteriormente.

Si no utiliza un flujo de trabajo basado en perfiles de máquina, agregue la propiedad personalizada DiskEncryptionSetId en el comando Set-ProvScheme. Por ejemplo:

   Set-ProvScheme -ProvisioningSchemeName "SampleProvSchemeName"
   -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
   <Property xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="/subscriptions/12345678-xxxx-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet" />
   </CustomProperties>'
 <!--NeedCopy-->

Si utiliza un flujo de trabajo basado en perfiles de máquina, utilice una entrada de perfil de máquina en el comando Set-ProvScheme. Por ejemplo:

   Set-ProvScheme -ProvisioningSchemeName mxiao-test -MachineProfile XDHyp:\HostingUnits\azure-east\machineprofile.folder\aelx.resourcegroup\elx-mp.templatespec\1.0.0.templatespecversion
 <!--NeedCopy-->

Cuando se haya completado correctamente, todas las máquinas virtuales nuevas que agregue al catálogo se cifrarán con cifrado doble con la clave asociada al DES que haya seleccionado.

Verificar que el catálogo tenga un cifrado doble

En la interfaz de Configuración completa:
1. Vaya a Catálogos de máquinas.
2. Seleccione el catálogo que quiere verificar. Haga clic en la ficha Propiedades de plantilla situada cerca de la parte inferior de la pantalla.
3. En Detalles de Azure, verifique el ID del conjunto de cifrado de disco en Conjunto de cifrado de disco. Si el ID del DES del catálogo está vacío, el catálogo no está cifrado.
4. En Azure Portal, compruebe que el tipo de cifrado del DES asociado al ID del DES sean claves administradas por la plataforma y por el cliente.
Usar el comando de PowerShell:
1. Abra la ventana de PowerShell.
2. Ejecute asnp citrix* para cargar los módulos de PowerShell específicos de Citrix.
3. Use Get-ProvScheme para obtener la información de su catálogo de máquinas. Por ejemplo:
```
  Get-ProvScheme -ProvisioningSchemeName "SampleProvSchemeName"

```
4. Obtenga la propiedad personalizada del ID del DES del catálogo de máquinas. Por ejemplo:
```
  <Property xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet" />

```
5. En Azure Portal, compruebe que el tipo de cifrado del DES asociado al ID del DES sean claves administradas por la plataforma y por el cliente.

Qué hacer a continuación

Para administrar catálogos, consulte Administrar catálogos de máquinas y Administrar un catálogo de Microsoft Azure.
Para obtener información sobre las funciones relacionadas con el cifrado, consulte:
- Cifrado del lado del servidor de Azure
- Cifrado de discos de Azure en el host
Para obtener información sobre otras funciones específicas, consulte:
- Storage

Más información

Para revisar todo el proceso de configuración, consulte Planificar y crear una implementación.
Crear y administrar conexiones y recursos
Conexión con Microsoft Azure Resource Manager
Crear catálogos de máquinas
Crear una prueba de catálogo de Microsoft Azure

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

Cifrado doble en disco administrado

September 15, 2025

Contribución de:

September 15, 2025

Contribución de:

En este artículo

Limitaciones
Crear un catálogo de máquinas con doble cifrado
Convertir un catálogo sin cifrar para usar el cifrado doble
Verificar que el catálogo tenga un cifrado doble
Qué hacer a continuación
Más información

¿Le ha resultado útil?