Creare un catalogo Microsoft Azure

Crittografia doppia su disco gestito

September 16, 2025

Grazie al contributo di:

È possibile creare un catalogo di macchine con crittografia doppia. Tutti i cataloghi creati con questa funzionalità hanno tutti i dischi crittografati lato server sia con chiavi gestite dalla piattaforma che dal cliente. Si possiede e si gestisce l’Azure Key Vault, la chiave di crittografia e i set di crittografia del disco (DES).

La crittografia doppia è una crittografia lato piattaforma (impostazione predefinita) e una crittografia gestita dal cliente (CMEK). Pertanto, se si è un cliente con elevate esigenze di sicurezza e si è preoccupati per il rischio associato a qualsiasi algoritmo di crittografia, implementazione o una chiave compromessa, è possibile optare per questa crittografia doppia. I dischi OS e dati persistenti, le snapshot e le immagini sono tutti crittografati a riposo con crittografia doppia.

Nota:

È possibile creare e aggiornare un catalogo di macchine con crittografia doppia utilizzando l’interfaccia di configurazione completa e i comandi PowerShell.

È possibile utilizzare un flusso di lavoro basato su profilo non macchina o un flusso di lavoro basato su profilo macchina per creare o aggiornare un catalogo di macchine con crittografia doppia.

Se si utilizza un flusso di lavoro basato su profilo non macchina per creare un catalogo di macchine, è possibile riutilizzare il DiskEncryptionSetId memorizzato.

Se si utilizza un profilo macchina, è possibile utilizzare una VM o una specifica di modello come input del profilo macchina.

Limitazioni

La crittografia doppia non è supportata per Ultra Disks o dischi Premium SSD v2.
La crittografia doppia non è supportata su dischi non gestiti.
Se si disabilita una chiave del set di crittografia del disco associata a un catalogo, le VM del catalogo vengono disabilitate.
Tutte le risorse relative alle chiavi gestite dal cliente (Azure Key Vaults, set di crittografia del disco, VM, dischi e snapshot) devono trovarsi nella stessa sottoscrizione e regione.
È possibile creare fino a 50 set di crittografia del disco per regione per sottoscrizione.
Non è possibile aggiornare un catalogo di macchine che ha già un DiskEncryptionSetId con un DiskEncryptionSetId diverso.

Creare un catalogo di macchine con crittografia doppia

È possibile creare e aggiornare un catalogo di macchine con crittografia doppia utilizzando l’interfaccia di configurazione completa e i comandi PowerShell.

I passaggi dettagliati su come creare un catalogo di macchine con crittografia doppia sono:

Creare un Azure Key Vault e un DES con chiavi gestite dalla piattaforma e dal cliente. Per informazioni su come creare un Azure Key Vault e un DES, vedere Usare il portale di Azure per abilitare la crittografia doppia a riposo per i dischi gestiti.
Per sfogliare i set di crittografia del disco disponibili nella connessione di hosting:
1. Aprire una finestra PowerShell.
2. Eseguire i seguenti comandi PowerShell:
  1. asnp citrix®*
  2. cd xdhyp:
  3. cd HostingUnits
  4. cd YourHostingUnitName (es. azure-east)
  5. cd diskencryptionset.folder
  6. dir
È possibile utilizzare un ID del DiskEncryptionSet per creare o aggiornare un catalogo utilizzando proprietà personalizzate.
Se si desidera utilizzare il flusso di lavoro del profilo macchina, creare una VM o una specifica di modello come input del profilo macchina.
- Se si desidera utilizzare una VM come input del profilo macchina:
  1. Creare una VM nel portale di Azure.
  2. Passare a Dischi > Gestione chiavi per crittografare la VM direttamente con qualsiasi DiskEncryptionSetID.
- Se si desidera utilizzare una specifica di modello come input del profilo macchina:
  1. Nel modello, in properties>storageProfile>osDisk>managedDisk, aggiungere il parametro diskEncryptionSet e aggiungere l’ID del DES a crittografia doppia.
Creare il catalogo di macchine.
- Se si utilizza l’interfaccia di configurazione completa, eseguire una delle seguenti operazioni in aggiunta ai passaggi in Creare cataloghi di macchine.
  - Se non si utilizza un flusso di lavoro basato su profilo macchina, nella pagina Impostazioni disco, selezionare Usa la seguente chiave per crittografare i dati su ogni macchina. Quindi, selezionare il DES a crittografia doppia dall’elenco a discesa. Continuare a creare il catalogo.
  - Se si utilizza il flusso di lavoro del profilo macchina, nella pagina Immagine, selezionare un’immagine master (o un’immagine preparata) e un profilo macchina. Assicurarsi che il profilo macchina abbia un ID del set di crittografia del disco nelle sue proprietà.
  Tutte le macchine create nel catalogo sono crittografate doppiamente dalla chiave associata al DES selezionato.
- Se si utilizzano i comandi PowerShell, eseguire una delle seguenti operazioni:
  - Se non si utilizza un flusso di lavoro basato su profilo macchina, aggiungere la proprietà personalizzata DiskEncryptionSetId nel comando New-ProvScheme. Ad esempio:
    New-ProvScheme -CleanOnBoot -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" /> <Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS" /> <Property xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="/subscriptions/12345678-xxxx-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet" /> </CustomProperties>' -HostingUnitName "Redacted" -IdentityPoolName "Redacted" -InitialBatchSizeHint 1 -MasterImageVM "Redacted" -NetworkMapping @{"0"="Redacted"} -ProvisioningSchemeName "Redacted" -ServiceOffering "Redacted" 
  - Se si utilizza un flusso di lavoro basato su profilo macchina, utilizzare un input del profilo macchina nel comando New-ProvScheme. Ad esempio:
    New-ProvScheme -CleanOnBoot -HostingUnitName azure-east -IdentityPoolName aio-ip -InitialBatchSizeHint 1 -MasterImageVM XDHyp:\HostingUnits\azure-east\image.folder\abc.resourcegroup\fgb-vda-snapshot.snapshot -NetworkMapping @{"0"="XDHyp:\HostingUnits\azure-east\virtualprivatecloud.folder\apa-resourceGroup.resourcegroup\apa-resourceGroup-vnet.virtualprivatecloud\default.network"} -ProvisioningSchemeName aio-test -MachineProfile XDHyp:\HostingUnits\azure-east\machineprofile.folder\abc.resourcegroup\abx-mp.templatespec\1.0.0.templatespecversion 
  Completare la creazione di un catalogo utilizzando l’SDK PowerShell remoto. Per informazioni su come creare un catalogo utilizzando l’SDK PowerShell remoto, vedere https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/. Tutte le macchine create nel catalogo sono crittografate doppiamente dalla chiave associata al DES selezionato.

Convertire un catalogo non crittografato per utilizzare la crittografia doppia

È possibile aggiornare il tipo di crittografia di un catalogo di macchine (utilizzando proprietà personalizzate o un profilo macchina) solo se il catalogo era precedentemente non crittografato.

Se non si utilizza un flusso di lavoro basato su profilo macchina, aggiungere la proprietà personalizzata DiskEncryptionSetId nel comando Set-ProvScheme. Ad esempio:

 Set-ProvScheme -ProvisioningSchemeName "SampleProvSchemeName"
 -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
 <Property xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="/subscriptions/12345678-xxxx-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet" />
 </CustomProperties>'
 <!--NeedCopy-->

Se si utilizza un flusso di lavoro basato su profilo macchina, utilizzare un input del profilo macchina nel comando Set-ProvScheme. Ad esempio:

 Set-ProvScheme -ProvisioningSchemeName mxiao-test -MachineProfile XDHyp:\HostingUnits\azure-east\machineprofile.folder\aelx.resourcegroup\elx-mp.templatespec\1.0.0.templatespecversion
 <!--NeedCopy-->

Una volta completata l’operazione, tutte le nuove VM aggiunte al catalogo saranno crittografate doppiamente dalla chiave associata al DES selezionato.

Verificare che il catalogo sia a crittografia doppia

Nell’interfaccia di configurazione completa:
1. Passare a Cataloghi macchine.
2. Selezionare il catalogo che si desidera verificare. Fare clic sulla scheda Proprietà modello situata nella parte inferiore dello schermo.
3. In Dettagli Azure, verificare l’ID del set di crittografia del disco in Set di crittografia del disco. Se l’ID DES del catalogo è vuoto, il catalogo non è crittografato.
4. Nel portale di Azure, verificare che il tipo di crittografia del DES associato all’ID DES sia chiavi gestite dalla piattaforma e dal cliente.
Utilizzando il comando PowerShell:
1. Aprire la finestra PowerShell.
2. Eseguire asnp citrix* per caricare i moduli PowerShell specifici di Citrix.
3. Utilizzare Get-ProvScheme per ottenere le informazioni del catalogo di macchine. Ad esempio:
```
Get-ProvScheme -ProvisioningSchemeName "SampleProvSchemeName"

```
4. Recuperare la proprietà personalizzata ID DES del catalogo di macchine. Ad esempio:
```
<Property xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet" />

```
5. Nel portale di Azure, verificare che il tipo di crittografia del DES associato all’ID DES sia chiavi gestite dalla piattaforma e dal cliente.

Dove andare dopo

Per gestire i cataloghi, vedere Gestire i cataloghi di macchine e Gestire un catalogo Microsoft Azure.
Per informazioni sulle funzionalità relative alla crittografia, vedere:
- Crittografia lato server di Azure
- Crittografia del disco di Azure sull’host
Per informazioni su altre funzionalità specifiche, vedere:
- Archiviazione

Ulteriori informazioni

Per rivedere l’intero processo di configurazione, vedere Pianificare e creare una distribuzione.
Creare e gestire connessioni e risorse
Connessione a Microsoft Azure Resource Manager
Creare cataloghi di macchine
Creare un test del catalogo Microsoft Azure

La versione ufficiale di questo contenuto è in inglese. Per alcuni dei contenuti della documentazione Cloud Software Group è stata impiegata la traduzione automatica solo per comodità. Cloud Software Group non ha alcun controllo sui contenuti tradotti in modo automatico, che possono contenere errori, imprecisioni o linguaggio inadatto. Non viene offerta alcuna garanzia di alcun tipo, espressa o implicita, circa l'accuratezza, l'affidabilità, l'idoneità o la correttezza di qualsiasi traduzione dall'originale inglese in qualsiasi altra lingua, o che il prodotto o servizio Cloud Software Group sia conforme a qualsiasi contenuto in traduzione automatica, e qualsiasi garanzia fornita ai sensi del contratto di licenza per l'utente finale applicabile o i termini di servizio, o qualsiasi altro accordo con Cloud Software Group che il prodotto o il servizio sia conforme a qualsiasi documentazione non si applicheranno nella misura in cui tale documentazione sia in traduzione automatica. Cloud Software Group non sarà ritenuta responsabile per eventuali danni o problemi che potrebbero derivare dall'utilizzo di contenuti per cui si è impiegata la traduzione automatica.

È stato utile?

Crittografia doppia su disco gestito

September 16, 2025

Grazie al contributo di:

September 16, 2025

Grazie al contributo di:

In questo articolo

Limitazioni
Creare un catalogo di macchine con crittografia doppia
Convertire un catalogo non crittografato per utilizzare la crittografia doppia
Verificare che il catalogo sia a crittografia doppia
Dove andare dopo
Ulteriori informazioni

È stato utile?