Creare un catalogo Microsoft Azure

Crittografia lato server di Azure

September 16, 2025

Grazie al contributo di:

Citrix DaaS supporta le chiavi di crittografia gestite dal cliente per i dischi gestiti di Azure tramite Azure Key Vault. Con questo supporto è possibile gestire i requisiti organizzativi e di conformità crittografando i dischi gestiti del catalogo macchine utilizzando la propria chiave di crittografia. Per maggiori informazioni, vedere Crittografia lato server di Archiviazione su disco di Azure.

Quando si utilizza questa funzionalità per i dischi gestiti:

Per modificare la chiave con cui è crittografato il disco, è necessario modificare la chiave corrente nel DiskEncryptionSet. Tutte le risorse associate a tale DiskEncryptionSet verranno crittografate con la nuova chiave.
Quando si disabilita o si elimina la chiave, tutte le VM con dischi che utilizzano tale chiave si arrestano automaticamente. Dopo l’arresto, le VM non sono utilizzabili a meno che la chiave non venga riabilitata o non si assegni una nuova chiave. Qualsiasi catalogo che utilizza la chiave non può essere avviato e non è possibile aggiungervi VM.

Considerazioni importanti quando si utilizzano chiavi di crittografia gestite dal cliente

Considerare quanto segue quando si utilizza questa funzionalità:

Tutte le risorse correlate alle chiavi gestite dal cliente (Azure Key Vault, set di crittografia del disco, VM, dischi e snapshot) devono risiedere nella stessa sottoscrizione e regione.
Una volta abilitata la chiave di crittografia gestita dal cliente, non è possibile disabilitarla in seguito. Se si desidera disabilitare o rimuovere la chiave di crittografia gestita dal cliente, copiare tutti i dati su un disco gestito diverso che non utilizza la chiave di crittografia gestita dal cliente.
I dischi creati da immagini personalizzate crittografate utilizzando la crittografia lato server e le chiavi gestite dal cliente devono essere crittografati utilizzando le stesse chiavi gestite dal cliente. Questi dischi devono trovarsi nella stessa sottoscrizione.
Gli snapshot creati da dischi crittografati con crittografia lato server e chiavi gestite dal cliente devono essere crittografati con le stesse chiavi gestite dal cliente.
Dischi, snapshot e immagini crittografati con chiavi gestite dal cliente non possono essere spostati in un altro gruppo di risorse e sottoscrizione.
I dischi gestiti attualmente o precedentemente crittografati utilizzando Crittografia dischi di Azure non possono essere crittografati utilizzando chiavi gestite dal cliente.
Fare riferimento al sito Microsoft per le limitazioni sui set di crittografia del disco per regione.

Nota:

Vedere Guida rapida: Creare un Key Vault usando il portale di Azure per informazioni sulla configurazione della crittografia lato server di Azure.

Chiave di crittografia gestita dal cliente di Azure

Quando si crea un catalogo macchine, è possibile scegliere se crittografare i dati sulle macchine di cui è stato eseguito il provisioning nel catalogo. La crittografia lato server con una chiave di crittografia gestita dal cliente consente di gestire la crittografia a livello di disco gestito e di proteggere i dati sulle macchine nel catalogo. Un set di crittografia del disco (DES) rappresenta una chiave gestita dal cliente. Per utilizzare questa funzionalità, è necessario creare prima il DES in Azure. Un DES è nel seguente formato:

/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet

Selezionare un DES dall’elenco. Il DES selezionato deve trovarsi nella stessa sottoscrizione e regione delle risorse. Se l’immagine è crittografata con un DES, utilizzare lo stesso DES durante la creazione del catalogo macchine. Non è possibile modificare il DES dopo aver creato il catalogo.

Se si crea un catalogo con una chiave di crittografia e in seguito si disabilita il DES corrispondente in Azure, non sarà più possibile accendere le macchine nel catalogo o aggiungervi macchine.

Vedere Creare un catalogo macchine con chiave gestita dal cliente.

Creare un catalogo macchine con chiave di crittografia gestita dal cliente

Se si desidera creare un catalogo macchine utilizzando i comandi PowerShell, dove la chiave di crittografia è una chiave gestita dal cliente, procedere come segue:

Aprire una finestra PowerShell.
Eseguire asnp citrix®* per caricare i moduli PowerShell specifici di Citrix.
Immettere cd xdhyp:/.
Immettere cd .\HostingUnits\(your hosting unit).
Immettere cd diskencryptionset.folder.
Immettere dir per ottenere l’elenco dei set di crittografia del disco.
Copiare l’ID di un set di crittografia del disco.

Creare una stringa di proprietà personalizzata per includere l’ID del set di crittografia del disco. Ad esempio:

$customProperties = "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`">
<Property xsi:type=`"StringProperty`" Name=`"persistWBC`" Value=`"False`" />
<Property xsi:type=`"StringProperty`" Name=`"PersistOsDisk`" Value=`"false`" />
<Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" />
<Property xsi:type=`"StringProperty`" Name=`"DiskEncryptionSetId`" Value=`"/subscriptions/0xxx4xxx-xxb-4bxx-xxxx-xxxxxxxx/resourceGroups/abc/providers/Microsoft.Compute/diskEncryptionSets/abc-des`"/>
</CustomProperties>
<!--NeedCopy-->

Creare un pool di identità se non è già stato creato. Ad esempio:

New-AcctIdentityPool -IdentityPoolName idPool -NamingScheme ms## -Domain def.local -NamingSchemeType Numeric
<!--NeedCopy-->

Eseguire il comando New-ProvScheme: Ad esempio:

New-ProvScheme -CleanOnBoot -HostingUnitName "name" -IdentityPoolName "name" -InitialBatchSizeHint 1
-MasterImageVM "XDHyp:\HostingUnits\azure-res2\image.folder\def.resourcegroup\def.snapshot"
-NetworkMapping @{"0"="XDHyp:\HostingUnits\azure-res2\\virtualprivatecloud.folder\def.resourcegroup\def-vnet.virtualprivatecloud\subnet1.network"}
-ProvisioningSchemeName "name"
-ServiceOffering "XDHyp:\HostingUnits\azure-res2\serviceoffering.folder\Standard_DS2_v2.serviceoffering"
-MachineProfile "XDHyp:\HostingUnits\<adnet>\machineprofile.folder\<def.resourcegroup>\<machine profile vm.vm>"
-CustomProperties $customProperties
<!--NeedCopy-->

Completare la creazione del catalogo macchine.

La versione ufficiale di questo contenuto è in inglese. Per alcuni dei contenuti della documentazione Cloud Software Group è stata impiegata la traduzione automatica solo per comodità. Cloud Software Group non ha alcun controllo sui contenuti tradotti in modo automatico, che possono contenere errori, imprecisioni o linguaggio inadatto. Non viene offerta alcuna garanzia di alcun tipo, espressa o implicita, circa l'accuratezza, l'affidabilità, l'idoneità o la correttezza di qualsiasi traduzione dall'originale inglese in qualsiasi altra lingua, o che il prodotto o servizio Cloud Software Group sia conforme a qualsiasi contenuto in traduzione automatica, e qualsiasi garanzia fornita ai sensi del contratto di licenza per l'utente finale applicabile o i termini di servizio, o qualsiasi altro accordo con Cloud Software Group che il prodotto o il servizio sia conforme a qualsiasi documentazione non si applicheranno nella misura in cui tale documentazione sia in traduzione automatica. Cloud Software Group non sarà ritenuta responsabile per eventuali danni o problemi che potrebbero derivare dall'utilizzo di contenuti per cui si è impiegata la traduzione automatica.

È stato utile?

Crittografia lato server di Azure

September 16, 2025

Grazie al contributo di:

September 16, 2025

Grazie al contributo di:

In questo articolo

Considerazioni importanti quando si utilizzano chiavi di crittografia gestite dal cliente
Chiave di crittografia gestita dal cliente di Azure
Creare un catalogo macchine con chiave di crittografia gestita dal cliente

È stato utile?