管理対象ディスクの二重暗号化

二重暗号化を使用してマシンカタログを作成できます。 この機能を使用して作成されたカタログでは、すべてのディスクがプラットフォームキーと顧客管理キーの両方によってサーバー側で暗号化されています。 Azure Key Vault、暗号キー、およびディスク暗号化セット（DES）は、顧客が所有し、維持します。

二重暗号化とは、プラットフォーム側の暗号化（デフォルト）と顧客管理の暗号化（CMEK）です。 したがって、暗号化アルゴリズム、実装、またはキーの侵害に関するリスクを懸念している、セキュリティに非常に敏感なお客様は、この二重暗号化を選択できます。 永続的OSディスクとデータディスク、スナップショット、イメージはすべて二重暗号化により保存時に暗号化されます。

注

• 完全な構成インターフェイスを使用するか、PowerShellコマンドを実行することで、二重暗号化を使用してマシンカタログを作成し、更新できます。
• 二重暗号化を使用してマシンカタログを作成または更新するには、非マシンプロファイルベースのワークフローまたはマシンプロファイルベースのワークフローを使用できます。
• 非マシンプロファイルベースのワークフローを使用してマシンカタログを作成する場合は、保存されているDiskEncryptionSetIdを再利用できます。
• マシンプロファイルを使用する場合は、VMまたはテンプレートスペックをマシンプロファイルの入力に使用できます。

制限事項

• 二重暗号化は、Ultra DiskまたはPremium SSD v2ディスクではサポートされていません。
• 二重暗号化は、非管理ディスクではサポートされません。
• カタログに関連付けられているディスク暗号化セットキーを無効にすると、カタログのVMが無効になります。
• 顧客が管理するキーに関連するすべてのリソース（Azure Key Vault、ディスク暗号化セット、VM、ディスク、スナップショット）は、同じサブスクリプションとリージョンに存在する必要があります。
• サブスクリプションごとに、リージョンあたり最大50のディスク暗号化セットのみを作成できます。
• 既にDiskEncryptionSetIdを持つマシンカタログを別のDiskEncryptionSetIdで更新することはできません。

二重暗号化を使用したマシンカタログの作成

完全な構成インターフェイスを使用するか、PowerShellコマンドを実行することで、二重暗号化を使用してマシンカタログを作成し、更新できます。

二重暗号化を使用してマシンカタログを作成する方法の詳細な手順は次のとおりです。

1. プラットフォーム管理キーと顧客が管理するキーを使用してAzure Key VaultとDESを作成します。 Azure Key VaultとDESを作成する方法については、「Azure portalを使用して、マネージドディスクの保存時の二重暗号化を有効にします」を参照してください。
2. ホスト接続で利用可能なディスク暗号化セットを参照するには、次の手順を実行します：
   1. PowerShellウィンドウを開きます。
   2. 次のPowerShellコマンドを実行します：
      1. asnp citrix*
      2. cd xdhyp:
      3. cd HostingUnits
      4. cd YourHostingUnitName (ex. azure-east)
      5. cd diskencryptionset.folder
      6. dir

   DiskEncryptionSetのIDを使用したカスタムプロパティで、カタログを作成または更新できます。

3. マシンプロファイルワークフローを使用する場合は、マシンプロファイルの入力用にVMまたはテンプレートスペックを作成します。
   • VMをマシンプロファイルの入力に使用する場合は、次の手順を実行します：
     1. Azure PortalでVMを作成します。
     2. Disks>Key managementに移動して、VMをDiskEncryptionSetIDで直接暗号化します。
   • テンプレートスペックをマシンプロファイルの入力に使用する場合は、次の手順を実行します：
     1. テンプレートのproperties>storageProfile>osDisk>managedDiskの下にdiskEncryptionSetパラメーターを追加し、二重暗号化のDESのIDを追加します。
4. マシンカタログを作成します。
   • 完全な構成インターフェイスを使用している場合は、「マシンカタログの作成」の手順に加えて、次のいずれかを実行します。
     • マシンプロファイルベースのワークフローを使用しない場合は、［ディスク設定］ ページで、［次のキーを使用して各マシンのデータを暗号化］ を選択します。 次に、ドロップダウンリストから二重暗号化のDESを選択します。 カタログの作成を続けます。
     • マシンプロファイルワークフローを使用している場合は、［イメージ］ ページでマスターイメージ（または準備されたイメージ）とマシンプロファイルを選択します。 マシンプロファイルのプロパティにディスク暗号化セットIDがあることを確認してください。

     カタログ内に作成されたすべてのマシンは、選択したDESに関連付けられたキーによって二重暗号化されます。

   • PowerShellコマンドを使用する場合は、次のいずれかを実行します：

     • マシンプロファイルベースのワークフローを使用しない場合は、New-ProvSchemeコマンドにカスタムプロパティDiskEncryptionSetIdを追加します。 次に例を示します：

          New-ProvScheme -CleanOnBoot -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
          <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" />
          <Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS" />
          <Property xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="/subscriptions/12345678-xxxx-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet" />
          </CustomProperties>'
          -HostingUnitName "Redacted"
          -IdentityPoolName "Redacted"
          -InitialBatchSizeHint 1
          -MasterImageVM "Redacted"
          -NetworkMapping @{"0"="Redacted"}
          -ProvisioningSchemeName "Redacted"
          -ServiceOffering "Redacted"
        <!--NeedCopy-->
       

     • マシンプロファイルベースのワークフローを使用する場合は、New-ProvSchemeコマンドで入力したマシンプロファイルを使用します。 次に例を示します：

          New-ProvScheme -CleanOnBoot
          -HostingUnitName azure-east
          -IdentityPoolName aio-ip
          -InitialBatchSizeHint 1
          -MasterImageVM XDHyp:\HostingUnits\azure-east\image.folder\abc.resourcegroup\fgb-vda-snapshot.snapshot
          -NetworkMapping @{"0"="XDHyp:\HostingUnits\azure-east\virtualprivatecloud.folder\apa-resourceGroup.resourcegroup\apa-resourceGroup-vnet.virtualprivatecloud\default.network"}
          -ProvisioningSchemeName aio-test
          -MachineProfile XDHyp:\HostingUnits\azure-east\machineprofile.folder\abc.resourcegroup\abx-mp.templatespec\1.0.0.templatespecversion
        <!--NeedCopy-->
       

     Remote PowerShell SDKを使用してカタログの作成を完了します。 Remote PowerShell SDKを使用してカタログを作成する方法については、https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/を参照してください。 カタログ内に作成されたすべてのマシンは、選択したDESに関連付けられたキーによって二重暗号化されます。

暗号化されていないカタログを二重暗号化を使用するように変換

カタログが以前に暗号化されていなかった場合にのみ、マシンカタログの暗号化の種類を（カスタムプロパティまたはマシンプロファイルを使用して）更新できます。

• マシンプロファイルベースのワークフローを使用しない場合は、Set-ProvSchemeコマンドにカスタムプロパティDiskEncryptionSetIdを追加します。 次に例を示します：

     Set-ProvScheme -ProvisioningSchemeName "SampleProvSchemeName"
     -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
     <Property xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="/subscriptions/12345678-xxxx-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet" />
     </CustomProperties>'
   <!--NeedCopy-->
  

• マシンプロファイルベースのワークフローを使用する場合は、Set-ProvSchemeコマンドで入力したマシンプロファイルを使用します。 次に例を示します：

     Set-ProvScheme -ProvisioningSchemeName mxiao-test -MachineProfile XDHyp:\HostingUnits\azure-east\machineprofile.folder\aelx.resourcegroup\elx-mp.templatespec\1.0.0.templatespecversion
   <!--NeedCopy-->
  

成功すると、カタログ内に追加されたすべてのマシンは、選択したDESに関連付けられたキーによって二重暗号化されます。

カタログが二重暗号化されていることの確認

• 完全な構成インターフェイスで以下の手順を実行します：

  1. ［マシンカタログ］ に移動します。
  2. 確認するカタログを選択します。 画面の下部近くにある ［テンプレートのプロパティ］ タブをクリックします。
  3. ［Azureの詳細］ の ［ディスク暗号化セット］ でディスク暗号化セットIDを確認します。 カタログのDES IDが空白の場合、カタログは暗号化されていません。
  4. Azure Portalで、DES IDに関連付けられたDESの暗号化の種類が、プラットフォーム管理キーと顧客が管理するキーであることを確認します。

• PowerShellコマンドを使用して以下の手順を実行します：

  1. PowerShellウィンドウを開きます。
  2. asnp citrix*を実行し、Citrix固有のPowerShellモジュールをロードします。

  3. Get-ProvSchemeを使用して、マシンカタログの情報を取得します。 次に例を示します：

       Get-ProvScheme -ProvisioningSchemeName "SampleProvSchemeName"
     <!--NeedCopy-->
     

  4. マシンカタログのDES IDカスタムプロパティを取得します。 次に例を示します：

       <Property xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet" />
     <!--NeedCopy-->
     

  5. Azure Portalで、DES IDに関連付けられたDESの暗号化の種類が、プラットフォーム管理キーと顧客が管理するキーであることを確認します。

次の手順

• カタログを管理するには、「マシンカタログの管理」と「Microsoft Azureカタログの管理」を参照してください。

• 暗号化に関連する機能について詳しくは、以下を参照してください：

  • Azureサーバー側暗号化
  • ホストでのAzureディスク暗号化

• その他の特定の機能について詳しくは、以下を参照してください：

  • Storage

追加情報

• 構成プロセスの全体像については、「展開の計画と構築」を参照してください。
• 接続とリソースの作成と管理
• Microsoft Azure Resource Managerへの接続
• マシンカタログの作成
• Microsoft Azureカタログテストの作成