Criar um catálogo do Microsoft Azure

Criptografia dupla em disco gerenciado

September 15, 2025

Contribuição de:

É possível criar um catálogo de máquinas com criptografia dupla. Todos os catálogos criados com esse recurso têm todos os discos criptografados no lado do servidor com chaves gerenciadas pela plataforma e pelo cliente. Você possui e mantém o Azure Key Vault, a Chave de Criptografia e os Conjuntos de Criptografia de Disco (DES).

A criptografia dupla é a criptografia do lado da plataforma (padrão) e a criptografia gerenciada pelo cliente (CMEK). Portanto, se você é um cliente com alta sensibilidade à segurança e está preocupado com o risco associado a qualquer algoritmo de criptografia, implementação ou chave comprometida, pode optar por essa criptografia dupla. Discos de SO e de dados persistentes, instantâneos e imagens são todos criptografados em repouso com criptografia dupla.

Observação:

É possível criar e atualizar um catálogo de máquinas com criptografia dupla usando a interface de Configuração Completa e comandos do PowerShell.

É possível usar o fluxo de trabalho baseado em perfil não de máquina ou o fluxo de trabalho baseado em perfil de máquina para criar ou atualizar um catálogo de máquinas com criptografia dupla.

Se você usar o fluxo de trabalho baseado em perfil não de máquina para criar um catálogo de máquinas, poderá reutilizar o DiskEncryptionSetId armazenado.

Se você usar um perfil de máquina, poderá usar uma VM ou uma especificação de modelo como entrada de perfil de máquina.

Limitações

A criptografia dupla não é compatível com Ultra Disks ou discos Premium SSD v2.
A criptografia dupla não é compatível com discos não gerenciados.
Se você desabilitar uma chave de Conjunto de Criptografia de Disco associada a um catálogo, as VMs do catálogo serão desabilitadas.
Todos os recursos relacionados às suas chaves gerenciadas pelo cliente (Azure Key Vaults, conjuntos de criptografia de disco, VMs, discos e instantâneos) devem estar na mesma assinatura e região.
Você pode criar até 50 conjuntos de criptografia de disco por região por assinatura.
Não é possível atualizar um catálogo de máquinas que já tenha um DiskEncryptionSetId com um DiskEncryptionSetId diferente.

Criar um catálogo de máquinas com criptografia dupla

É possível criar e atualizar um catálogo de máquinas com criptografia dupla usando a interface de Configuração Completa e comandos do PowerShell.

As etapas detalhadas sobre como criar um catálogo de máquinas com criptografia dupla são:

Crie um Azure Key Vault e um DES com chaves gerenciadas pela plataforma e pelo cliente. Para obter informações sobre como criar um Azure Key Vault e um DES, consulte Usar o portal do Azure para habilitar a criptografia dupla em repouso para discos gerenciados.
Para procurar Conjuntos de Criptografia de Disco disponíveis em sua conexão de hospedagem:
1. Abra uma janela do PowerShell.
2. Execute os seguintes comandos do PowerShell:
  1. asnp citrix®*
  2. cd xdhyp:
  3. cd HostingUnits
  4. cd YourHostingUnitName (ex. azure-east)
  5. cd diskencryptionset.folder
  6. dir
Você pode usar um ID do DiskEncryptionSet para criar ou atualizar um catálogo usando propriedades personalizadas.
Se você quiser usar o fluxo de trabalho de perfil de máquina, crie uma VM ou uma especificação de modelo como entrada de perfil de máquina.
- Se você quiser usar uma VM como entrada de perfil de máquina:
  1. Crie uma VM no Portal do Azure.
  2. Navegue até Discos > Gerenciamento de chaves para criptografar a VM diretamente com qualquer DiskEncryptionSetID.
- Se você quiser usar uma especificação de modelo como entrada de perfil de máquina:
  1. No modelo, em properties>storageProfile>osDisk>managedDisk, adicione o parâmetro diskEncryptionSet e adicione o ID do DES de criptografia dupla.
Crie o catálogo de máquinas.
- Se estiver usando a interface de Configuração Completa, faça uma das seguintes opções, além das etapas em Criar catálogos de máquinas.
  - Se você não usar um fluxo de trabalho baseado em perfil de máquina, na página “Configurações de Disco”, selecione “Usar a seguinte chave para criptografar dados em cada máquina”. Em seguida, selecione seu DES de criptografia dupla na lista suspensa. Continue criando o catálogo.
  - Se estiver usando o fluxo de trabalho de perfil de máquina, na página “Imagem”, selecione uma imagem mestre (ou imagem preparada) e um perfil de máquina. Certifique-se de que o perfil de máquina tenha um ID de conjunto de criptografia de disco em suas propriedades.
  Todas as máquinas criadas no catálogo são criptografadas duplamente pela chave associada ao DES que você selecionou.
- Se estiver usando comandos do PowerShell, faça uma das seguintes opções:
  - Se não estiver usando o fluxo de trabalho baseado em perfil de máquina, adicione a propriedade personalizada DiskEncryptionSetId no comando New-ProvScheme. Por exemplo:
    New-ProvScheme -CleanOnBoot -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" /> <Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS" /> <Property xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="/subscriptions/12345678-xxxx-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet" /> </CustomProperties>' -HostingUnitName "Redacted" -IdentityPoolName "Redacted" -InitialBatchSizeHint 1 -MasterImageVM "Redacted" -NetworkMapping @{"0"="Redacted"} -ProvisioningSchemeName "Redacted" -ServiceOffering "Redacted" 
  - Se estiver usando o fluxo de trabalho baseado em perfil de máquina, use uma entrada de perfil de máquina no comando New-ProvScheme. Por exemplo:
    New-ProvScheme -CleanOnBoot -HostingUnitName azure-east -IdentityPoolName aio-ip -InitialBatchSizeHint 1 -MasterImageVM XDHyp:\HostingUnits\azure-east\image.folder\abc.resourcegroup\fgb-vda-snapshot.snapshot -NetworkMapping @{"0"="XDHyp:\HostingUnits\azure-east\virtualprivatecloud.folder\apa-resourceGroup.resourcegroup\apa-resourceGroup-vnet.virtualprivatecloud\default.network"} -ProvisioningSchemeName aio-test -MachineProfile XDHyp:\HostingUnits\azure-east\machineprofile.folder\abc.resourcegroup\abx-mp.templatespec\1.0.0.templatespecversion 
  Conclua a criação de um catálogo usando o SDK remoto do PowerShell. Para obter informações sobre como criar um catálogo usando o SDK remoto do PowerShell, consulte https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/. Todas as máquinas criadas no catálogo são criptografadas duplamente pela chave associada ao DES que você selecionou.

Converter um catálogo não criptografado para usar criptografia dupla

Você pode atualizar o tipo de criptografia de um catálogo de máquinas (usando propriedades personalizadas ou perfil de máquina) somente se o catálogo não estava criptografado anteriormente.

Se não estiver usando o fluxo de trabalho baseado em perfil de máquina, adicione a propriedade personalizada DiskEncryptionSetId no comando Set-ProvScheme. Por exemplo:

 Set-ProvScheme -ProvisioningSchemeName "SampleProvSchemeName"
 -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
 <Property xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="/subscriptions/12345678-xxxx-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet" />
 </CustomProperties>'
 <!--NeedCopy-->

Se estiver usando o fluxo de trabalho baseado em perfil de máquina, use uma entrada de perfil de máquina no comando Set-ProvScheme. Por exemplo:

 Set-ProvScheme -ProvisioningSchemeName mxiao-test -MachineProfile XDHyp:\HostingUnits\azure-east\machineprofile.folder\aelx.resourcegroup\elx-mp.templatespec\1.0.0.templatespecversion
 <!--NeedCopy-->

Após o sucesso, todas as novas VMs que você adicionar ao seu catálogo serão criptografadas duplamente pela chave associada ao DES que você selecionou.

Verificar se o catálogo está criptografado duplamente

Na interface de Configuração Completa:
1. Navegue até “Catálogos de Máquinas”.
2. Selecione o catálogo que você deseja verificar. Clique na guia “Propriedades do Modelo” localizada perto da parte inferior da tela.
3. Em “Detalhes do Azure”, verifique o ID do Conjunto de Criptografia de Disco em “Conjunto de Criptografia de Disco”. Se o ID do DES do catálogo estiver em branco, o catálogo não está criptografado.
4. No Portal do Azure, verifique se o tipo de criptografia do DES associado ao ID do DES é de chaves gerenciadas pela plataforma e pelo cliente.
Usando o comando do PowerShell:
1. Abra a janela do PowerShell.
2. Execute asnp citrix* para carregar os módulos do PowerShell específicos da Citrix.
3. Use Get-ProvScheme para obter as informações do seu catálogo de máquinas. Por exemplo:
```
Get-ProvScheme -ProvisioningSchemeName "SampleProvSchemeName"

```
4. Recupere a propriedade personalizada do ID do DES do catálogo de máquinas. Por exemplo:
```
<Property xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet" />

```
5. No Portal do Azure, verifique se o tipo de criptografia do DES associado ao ID do DES é de chaves gerenciadas pela plataforma e pelo cliente.

Onde ir em seguida

Para gerenciar catálogos, consulte Gerenciar catálogos de máquinas e Gerenciar um catálogo do Microsoft Azure.
Para obter informações sobre recursos relacionados à criptografia, consulte:
- Criptografia do lado do servidor do Azure
- Criptografia de disco do Azure no host
Para obter informações sobre outros recursos específicos, consulte:
- Armazenamento

Mais informações

Para revisar todo o processo de configuração, consulte Planejar e criar uma implantação.
Criar e gerenciar conexões e recursos
Conexão com o Microsoft Azure Resource Manager
Criar catálogos de máquinas
Criar um teste de catálogo do Microsoft Azure

A versão oficial deste conteúdo está em inglês. Parte do conteúdo da documentação da Cloud Software Group é traduzida automaticamente para sua conveniência. A Cloud Software Group não tem controle sobre o conteúdo traduzido automaticamente, que pode conter erros, imprecisões ou linguagem inadequada. Nenhuma garantia de qualquer tipo, expressa ou implícita, é fornecida quanto à precisão, confiabilidade, adequação ou correção de quaisquer traduções feitas do original em inglês para qualquer outro idioma, ou quanto à conformidade do seu produto ou serviço Cloud Software Group com qualquer conteúdo traduzido automaticamente, e nenhuma garantia fornecida sob o contrato de licença de usuário final aplicável ou os termos de serviço, ou qualquer outro contrato com a Cloud Software Group, de que o produto ou serviço esteja em conformidade com qualquer documentação será aplicável na medida em que essa documentação tenha sido traduzida automaticamente. A Cloud Software Group não se responsabiliza por quaisquer danos ou problemas que possam surgir em decorrência do uso de conteúdo traduzido automaticamente.

Isso foi útil?

Criptografia dupla em disco gerenciado

September 15, 2025

Contribuição de:

September 15, 2025

Contribuição de:

Neste artigo

Limitações
Criar um catálogo de máquinas com criptografia dupla
Converter um catálogo não criptografado para usar criptografia dupla
Verificar se o catálogo está criptografado duplamente
Onde ir em seguida
Mais informações

Isso foi útil?