Criar um catálogo do Microsoft Azure

Criptografia do lado do servidor do Azure

September 15, 2025

Contribuição de:

O Citrix DaaS oferece suporte a chaves de criptografia gerenciadas pelo cliente para discos gerenciados do Azure por meio do Azure Key Vault. Com esse suporte, você pode gerenciar os requisitos organizacionais e de conformidade criptografando os discos gerenciados do seu catálogo de máquinas usando sua própria chave de criptografia. Para obter mais informações, consulte Criptografia do lado do servidor do Armazenamento em Disco do Azure.

Ao usar esse recurso para discos gerenciados:

Para alterar a chave com a qual o disco é criptografado, você altera a chave atual no DiskEncryptionSet. Todos os recursos associados a esse DiskEncryptionSet são alterados para serem criptografados com a nova chave.
Quando você desabilita ou exclui sua chave, todas as VMs com discos que usam essa chave são desligadas automaticamente. Após o desligamento, as VMs não podem ser usadas, a menos que a chave seja habilitada novamente ou que você atribua uma nova chave. Qualquer catálogo que use a chave não pode ser ligado, e você não pode adicionar VMs a ele.

Considerações importantes ao usar chaves de criptografia gerenciadas pelo cliente

Considere o seguinte ao usar esse recurso:

Todos os recursos relacionados às suas chaves gerenciadas pelo cliente (Azure Key Vaults, conjuntos de criptografia de disco, VMs, discos e instantâneos) devem residir na mesma assinatura e região.
Depois de habilitar a chave de criptografia gerenciada pelo cliente, você não poderá desabilitá-la posteriormente. Se você quiser desabilitar ou remover a chave de criptografia gerenciada pelo cliente, copie todos os dados para um disco gerenciado diferente que não esteja usando a chave de criptografia gerenciada pelo cliente.
Os discos criados a partir de imagens personalizadas criptografadas usando criptografia do lado do servidor e chaves gerenciadas pelo cliente devem ser criptografados usando as mesmas chaves gerenciadas pelo cliente. Esses discos devem estar na mesma assinatura.
Os instantâneos criados a partir de discos criptografados com criptografia do lado do servidor e chaves gerenciadas pelo cliente devem ser criptografados com as mesmas chaves gerenciadas pelo cliente.
Discos, instantâneos e imagens criptografados com chaves gerenciadas pelo cliente não podem ser movidos para outro grupo de recursos e assinatura.
Discos gerenciados atualmente ou anteriormente criptografados usando o Azure Disk Encryption não podem ser criptografados usando chaves gerenciadas pelo cliente.
Consulte o site da Microsoft para obter as limitações dos conjuntos de criptografia de disco por região.

Nota:

Consulte Início Rápido: Criar um Key Vault usando o portal do Azure para obter informações sobre como configurar a criptografia do lado do servidor do Azure.

Chave de criptografia gerenciada pelo cliente do Azure

Ao criar um catálogo de máquinas, você pode escolher se deseja criptografar os dados nas máquinas provisionadas no catálogo. A criptografia do lado do servidor com uma chave de criptografia gerenciada pelo cliente permite que você gerencie a criptografia no nível do disco gerenciado e proteja os dados nas máquinas do catálogo. Um Conjunto de Criptografia de Disco (DES) representa uma chave gerenciada pelo cliente. Para usar esse recurso, você deve primeiro criar seu DES no Azure. Um DES está no seguinte formato:

/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet

Selecione um DES na lista. O DES selecionado deve estar na mesma assinatura e região que seus recursos. Se sua imagem for criptografada com um DES, use o mesmo DES ao criar o catálogo de máquinas. Você não pode alterar o DES depois de criar o catálogo.

Se você criar um catálogo com uma chave de criptografia e, posteriormente, desabilitar o DES correspondente no Azure, não poderá mais ligar as máquinas no catálogo nem adicionar máquinas a ele.

Consulte Criar um catálogo de máquinas com chave gerenciada pelo cliente.

Criar um catálogo de máquinas com chave de criptografia gerenciada pelo cliente

Se você quiser criar um catálogo de máquinas usando comandos do PowerShell, onde a chave de criptografia é uma chave gerenciada pelo cliente, faça o seguinte:

Abra uma janela do PowerShell.
Execute asnp citrix®* para carregar os módulos do PowerShell específicos da Citrix.
Digite cd xdhyp:/.
Digite cd .\HostingUnits\(your hosting unit).
Digite cd diskencryptionset.folder.
Digite dir para obter a lista dos Conjuntos de Criptografia de Disco.
Copie o Id de um Conjunto de Criptografia de Disco.

Crie uma string de propriedade personalizada para incluir o Id do Conjunto de Criptografia de Disco. Por exemplo:

$customProperties = "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`">
<Property xsi:type=`"StringProperty`" Name=`"persistWBC`" Value=`"False`" />
<Property xsi:type=`"StringProperty`" Name=`"PersistOsDisk`" Value=`"false`" />
<Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" />
<Property xsi:type=`"StringProperty`" Name=`"DiskEncryptionSetId`" Value=`"/subscriptions/0xxx4xxx-xxb-4bxx-xxxx-xxxxxxxx/resourceGroups/abc/providers/Microsoft.Compute/diskEncryptionSets/abc-des`"/>
</CustomProperties>
<!--NeedCopy-->

Crie um pool de identidades, se ainda não tiver sido criado. Por exemplo:

New-AcctIdentityPool -IdentityPoolName idPool -NamingScheme ms## -Domain def.local -NamingSchemeType Numeric
<!--NeedCopy-->

Execute o comando New-ProvScheme: Por exemplo:

New-ProvScheme -CleanOnBoot -HostingUnitName "name" -IdentityPoolName "name" -InitialBatchSizeHint 1
-MasterImageVM "XDHyp:\HostingUnits\azure-res2\image.folder\def.resourcegroup\def.snapshot"
-NetworkMapping @{"0"="XDHyp:\HostingUnits\azure-res2\\virtualprivatecloud.folder\def.resourcegroup\def-vnet.virtualprivatecloud\subnet1.network"}
-ProvisioningSchemeName "name"
-ServiceOffering "XDHyp:\HostingUnits\azure-res2\serviceoffering.folder\Standard_DS2_v2.serviceoffering"
-MachineProfile "XDHyp:\HostingUnits\<adnet>\machineprofile.folder\<def.resourcegroup>\<machine profile vm.vm>"
-CustomProperties $customProperties
<!--NeedCopy-->

Conclua a criação do catálogo de máquinas.

A versão oficial deste conteúdo está em inglês. Parte do conteúdo da documentação da Cloud Software Group é traduzida automaticamente para sua conveniência. A Cloud Software Group não tem controle sobre o conteúdo traduzido automaticamente, que pode conter erros, imprecisões ou linguagem inadequada. Nenhuma garantia de qualquer tipo, expressa ou implícita, é fornecida quanto à precisão, confiabilidade, adequação ou correção de quaisquer traduções feitas do original em inglês para qualquer outro idioma, ou quanto à conformidade do seu produto ou serviço Cloud Software Group com qualquer conteúdo traduzido automaticamente, e nenhuma garantia fornecida sob o contrato de licença de usuário final aplicável ou os termos de serviço, ou qualquer outro contrato com a Cloud Software Group, de que o produto ou serviço esteja em conformidade com qualquer documentação será aplicável na medida em que essa documentação tenha sido traduzida automaticamente. A Cloud Software Group não se responsabiliza por quaisquer danos ou problemas que possam surgir em decorrência do uso de conteúdo traduzido automaticamente.

Isso foi útil?

Criptografia do lado do servidor do Azure

September 15, 2025

Contribuição de:

September 15, 2025

Contribuição de:

Neste artigo

Considerações importantes ao usar chaves de criptografia gerenciadas pelo cliente
Chave de criptografia gerenciada pelo cliente do Azure
Criar um catálogo de máquinas com chave de criptografia gerenciada pelo cliente

Isso foi útil?