Créer un catalogue Microsoft Azure

Chiffrement Azure côté serveur

September 15, 2025

Contributeur:

Citrix DaaS prend en charge les clés de chiffrement gérées par le client pour les disques gérés Azure via Azure Key Vault. Cette prise en charge vous permet de gérer vos exigences en matière d’organisation et de conformité en chiffrant les disques gérés de votre catalogue de machines à l’aide de vos propres clés de chiffrement. Pour plus d’informations, consultez Chiffrement côté serveur de stockage sur disque Azure.

Lors de l’utilisation de cette fonctionnalité pour les disques gérés :

Pour modifier la clé avec laquelle le disque est chiffré, modifiez la clé actuelle dans DiskEncryptionSet. Toutes les ressources associées à ce DiskEncryptionSet changent pour être chiffrées avec la nouvelle clé.
Lorsque vous désactivez ou supprimez votre clé, toutes les machines virtuelles avec des disques utilisant cette clé s’arrêtent automatiquement. Après l’arrêt, les machines virtuelles ne sont pas utilisables, sauf si la clé est réactivée ou si vous attribuez une nouvelle clé. Tout catalogue utilisant la clé ne peut pas être mis sous tension et vous ne pouvez pas y ajouter de machines virtuelles.

Considérations importantes lors de l’utilisation de clés de chiffrement gérées par le client

Tenez compte de ce qui suit lors de l’utilisation de cette fonctionnalité :

Toutes les ressources associées aux clés gérées par le client (instances Azure Key Vaults, jeux de cryptage de disque, machines virtuelles, disques et instantanés) doivent résider dans le même abonnement et la même région.
Une fois que vous avez activé la clé de chiffrement gérée par le client, vous ne pouvez pas la désactiver ultérieurement. Si vous souhaitez désactiver ou supprimer la clé de chiffrement gérée par le client, copiez toutes les données sur un autre disque géré qui n’utilise pas la clé de chiffrement gérée par le client.
Les disques créés à partir d’images personnalisées chiffrées à l’aide du chiffrement côté serveur et des clés gérées par le client doivent être chiffrés à l’aide des mêmes clés gérées par le client. Ces disques doivent résider dans le même abonnement.
Les instantanés créés à partir de disques chiffrés à l’aide du chiffrement côté serveur et des clés gérées par le client doivent être chiffrés à l’aide des mêmes clés gérées par le client.
Les disques, instantanés et images chiffrés à l’aide de clés gérées par le client ne peuvent pas être transférés vers un autre groupe de ressources et un autre abonnement.
Les disques gérés, actuellement ou préalablement chiffrés à l’aide d’Azure Disk Encryption, ne peuvent pas être chiffrés à l’aide de clés gérées par le client.
Consultez le site Microsoft pour connaître les limitations des jeux de cryptage de disque par région.

Remarque

Consultez Démarrage rapide : créer un coffre de clés avec le portail Azure pour plus d’informations sur la configuration du cryptage Azure côté serveur.

Clé de cryptage gérée par le client Azure

Lors de la création d’un catalogue de machines, vous pouvez choisir de chiffrer les données sur les machines provisionnées dans le catalogue. Le chiffrement côté serveur à l’aide d’une clé de chiffrement gérée par le client vous permet de gérer le chiffrement au niveau du disque géré et de protéger les données sur les machines du catalogue. Un jeu de chiffrement de disque (Disk Encryption Set ou DES) représente une clé gérée par le client. Pour utiliser cette fonctionnalité, vous devez d’abord créer votre DES dans Azure. Un DES est dans le format suivant :

/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet

Sélectionnez un DES dans la liste. Le DES sélectionné doit se trouver dans le même abonnement et la même région que vos ressources. Si votre image est chiffrée avec un DES, utilisez le même DES lors de la création du catalogue de machines. Vous ne pouvez pas modifier le DES après avoir créé le catalogue.

Si vous créez un catalogue avec une clé de cryptage et que vous désactivez ultérieurement le DES correspondant dans Azure, vous ne pouvez plus mettre les machines du catalogue sous tension ou y ajouter des machines.

Consultez la section Créer un catalogue de machines avec une clé gérée par le client.

Créer un catalogue de machines avec une clé de chiffrement gérée par le client

Si vous souhaitez créer un catalogue de machines à l’aide de commandes PowerShell, où la clé de chiffrement est une clé gérée par le client, procédez comme suit :

Ouvrez une fenêtre PowerShell.
Exécutez asnp citrix* pour charger des modules PowerShell spécifiques à Citrix.
Entrez cd xdhyp:/.
Entrez cd .\HostingUnits\(votre unité d'hébergement).
Entrez cd diskencryptionset.folder.
Entrez dir pour obtenir la liste des jeux de chiffrement de disque.
Copiez l’ID d’un jeu de chiffrement de disque.

Créez une chaîne de propriétés personnalisée pour inclure l’ID du jeu de chiffrement de disque. Par exemple :

  $customProperties = "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`">
  <Property xsi:type=`"StringProperty`" Name=`"persistWBC`" Value=`"False`" />
  <Property xsi:type=`"StringProperty`" Name=`"PersistOsDisk`" Value=`"false`" />
  <Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" />
  <Property xsi:type=`"StringProperty`" Name=`"DiskEncryptionSetId`" Value=`"/subscriptions/0xxx4xxx-xxb-4bxx-xxxx-xxxxxxxx/resourceGroups/abc/providers/Microsoft.Compute/diskEncryptionSets/abc-des`"/>
  </CustomProperties>
<!--NeedCopy-->

Créez un pool d’identités s’il n’a pas déjà été créé. Par exemple :

  New-AcctIdentityPool -IdentityPoolName idPool -NamingScheme ms## -Domain def.local -NamingSchemeType Numeric
<!--NeedCopy-->

Exécutez la commande New-ProvScheme. Par exemple :

  New-ProvScheme -CleanOnBoot -HostingUnitName "name" -IdentityPoolName "name" -InitialBatchSizeHint 1
  -MasterImageVM "XDHyp:\HostingUnits\azure-res2\image.folder\def.resourcegroup\def.snapshot"
  -NetworkMapping @{"0"="XDHyp:\HostingUnits\azure-res2\\virtualprivatecloud.folder\def.resourcegroup\def-vnet.virtualprivatecloud\subnet1.network"}
  -ProvisioningSchemeName "name"
  -ServiceOffering "XDHyp:\HostingUnits\azure-res2\serviceoffering.folder\Standard_DS2_v2.serviceoffering"
  -MachineProfile "XDHyp:\HostingUnits\<adnet>\machineprofile.folder\<def.resourcegroup>\<machine profile vm.vm>"
  -CustomProperties $customProperties
<!--NeedCopy-->

Terminez la création du catalogue de machines.

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

Chiffrement Azure côté serveur

September 15, 2025

Contributeur:

September 15, 2025

Contributeur:

Dans cet article

Considérations importantes lors de l’utilisation de clés de chiffrement gérées par le client
Clé de cryptage gérée par le client Azure
Créer un catalogue de machines avec une clé de chiffrement gérée par le client

Cela vous a-t-il été utile ?