Criar um catálogo do Microsoft Azure

Criptografia dupla em disco gerenciado

May 4, 2026

Contribuição de:

Você pode criar um catálogo de máquinas com criptografia dupla. Qualquer catálogo criado com este recurso tem todos os discos criptografados no lado do servidor com chaves gerenciadas pela plataforma e pelo cliente. Você possui e mantém o Azure Key Vault, a Chave de Criptografia e os Conjuntos de Criptografia de Disco (DES).

A criptografia dupla é a criptografia do lado da plataforma (padrão) e a criptografia gerenciada pelo cliente (CMEK). Portanto, se você é um cliente com alta sensibilidade à segurança e preocupado com o risco associado a qualquer algoritmo de criptografia, implementação ou chave comprometida, pode optar por esta criptografia dupla. Discos de SO e dados persistentes, instantâneos e imagens são todos criptografados em repouso com criptografia dupla.

Observação:

Você pode criar e atualizar um catálogo de máquinas com criptografia dupla usando a interface de Configuração Completa e comandos PowerShell.

Você pode usar o fluxo de trabalho baseado em perfil não-máquina ou o fluxo de trabalho baseado em perfil de máquina para criar ou atualizar um catálogo de máquinas com criptografia dupla.

Se você usar o fluxo de trabalho baseado em perfil não-máquina para criar um catálogo de máquinas, poderá reutilizar o DiskEncryptionSetId armazenado.

Se você usar um perfil de máquina, poderá usar uma VM ou especificação de modelo como entrada de perfil de máquina.

Limitações

A criptografia dupla não é compatível com Ultra Disks ou discos Premium SSD v2.
A criptografia dupla não é compatível com discos não gerenciados.
Se você desativar uma chave de Conjunto de Criptografia de Disco associada a um catálogo, as VMs do catálogo serão desativadas.
Todos os recursos relacionados às suas chaves gerenciadas pelo cliente (Azure Key Vaults, conjuntos de criptografia de disco, VMs, discos e instantâneos) devem estar na mesma assinatura e região.
Você pode criar até 50 conjuntos de criptografia de disco por região por assinatura.
- Você não pode atualizar um catálogo de máquinas que já possui um DiskEncryptionSetId com um DiskEncryptionSetId diferente.

Criar um catálogo de máquinas com criptografia dupla

Você pode criar e atualizar um catálogo de máquinas com criptografia dupla usando a interface de Configuração Completa e comandos PowerShell.

As etapas detalhadas sobre como criar um catálogo de máquinas com criptografia dupla são:

Crie um Azure Key Vault e DES com chaves gerenciadas pela plataforma e pelo cliente. Para obter informações sobre como criar um Azure Key Vault e um DES, consulte Usar o portal do Azure para habilitar a criptografia dupla em repouso para discos gerenciados.
Para procurar Conjuntos de Criptografia de Disco disponíveis em sua conexão de hospedagem:
1. Abra uma janela do PowerShell.
  - 1. Execute os seguintes comandos PowerShell:
2. asnp citrix*
3. cd xdhyp:
  - 1. cd HostingUnits
4. cd YourHostingUnitName (ex. azure-east)
5. cd diskencryptionset.folder - 1. dir
```
-  Você pode usar um Id do `DiskEncryptionSet` para criar ou atualizar um catálogo usando propriedades personalizadas.
```
- 1. Se você quiser usar o fluxo de trabalho de perfil de máquina, crie uma VM ou especificação de modelo como entrada de perfil de máquina.
    - Se você quiser usar uma VM como entrada de perfil de máquina:
  2. Crie uma VM no Portal do Azure.
  3. Navegue até Discos>Gerenciamento de chaves para criptografar a VM diretamente com qualquer DiskEncryptionSetID.
    - Se você quiser usar uma especificação de modelo como entrada de perfil de máquina:
  4. No modelo, em properties>storageProfile>osDisk>managedDisk, adicione o parâmetro diskEncryptionSet e adicione o id do DES de criptografia dupla.
Crie o catálogo de máquinas.
- Se estiver usando a interface de Configuração Completa, faça uma das seguintes opções além das etapas em Criar catálogos de máquinas.
  - Se você não usar um fluxo de trabalho baseado em perfil de máquina, na página Configurações de Disco, selecione Usar a seguinte chave para criptografar dados em cada máquina. Em seguida, selecione seu DES de criptografia dupla na lista suspensa. Continue criando o catálogo.
  - Se estiver usando o fluxo de trabalho de perfil de máquina, na página Imagem, selecione uma imagem mestre (ou imagem preparada) e um perfil de máquina. Certifique-se de que o perfil de máquina tenha um ID de conjunto de criptografia de disco em suas propriedades.
  Todas as máquinas criadas no catálogo são criptografadas duplamente pela chave associada ao DES que você selecionou.
- Se estiver usando comandos PowerShell, faça uma das seguintes opções:
  - Se não estiver usando o fluxo de trabalho baseado em perfil de máquina, adicione a propriedade personalizada DiskEncryptionSetId no comando New-ProvScheme. Por exemplo:
    New-ProvScheme -CleanOnBoot -CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <Property xsi:type="StringProperty" Name="UseManagedDisks" Value="true" /> <Property xsi:type="StringProperty" Name="StorageAccountType" Value="Premium_LRS" /> <Property xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="/subscriptions/12345678-xxxx-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet" /> </CustomProperties>' -HostingUnitName "Redacted" -IdentityPoolName "Redacted" -InitialBatchSizeHint 1 -MasterImageVM "Redacted" -NetworkMapping @{"0"="Redacted"} -ProvisioningSchemeName "Redacted" -ServiceOffering "Redacted" 
Se estiver usando o fluxo de trabalho baseado em perfil de máquina, use uma entrada de perfil de máquina no comando New-ProvScheme. Por exemplo:
```
    ```

    New-ProvScheme -CleanOnBoot
    -HostingUnitName azure-east
```

-IdentityPoolName aio-ip -InitialBatchSizeHint 1 -MasterImageVM XDHyp:\HostingUnits\azure-east\image.folder\abc.resourcegroup\fgb-vda-snapshot.snapshot -NetworkMapping @{“0”=”XDHyp:\HostingUnits\azure-east\virtualprivatecloud.folder\apa-resourceGroup.resourcegroup\apa-resourceGroup-vnet.virtualprivatecloud\default.network”} -ProvisioningSchemeName aio-test -MachineProfile XDHyp:\HostingUnits\azure-east\machineprofile.folder\abc.resourcegroup\abx-mp.templatespec\1.0.0.templatespecversion
```
      ```

 Conclua a criação de um catálogo usando o SDK remoto do PowerShell. Para obter informações sobre como criar um catálogo usando o SDK remoto do PowerShell, consulte <https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/>. Todas as máquinas criadas no catálogo são criptografadas duplamente pela chave associada ao DES que você selecionou.
```

Converter um catálogo não criptografado para usar criptografia dupla

Você pode atualizar o tipo de criptografia de um catálogo de máquinas (usando propriedades personalizadas ou perfil de máquina) somente se o catálogo não foi criptografado anteriormente.

-  Se não estiver usando o fluxo de trabalho baseado em perfil de máquina, adicione a propriedade personalizada DiskEncryptionSetId no comando `Set-ProvScheme`. Por exemplo:

```

Set-ProvScheme -ProvisioningSchemeName "SampleProvSchemeName"
-CustomProperties '<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="/subscriptions/12345678-xxxx-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet" />
</CustomProperties>'

<!--NeedCopy--> ```

Se estiver usando o fluxo de trabalho baseado em perfil de máquina, use uma entrada de perfil de máquina no comando `Set-ProvScheme`. Por exemplo:

```

Set-ProvScheme -ProvisioningSchemeName mxiao-test -MachineProfile XDHyp:\HostingUnits\azure-east\machineprofile.folder\aelx.resourcegroup\elx-mp.templatespec\1.0.0.templatespecversion

<!--NeedCopy--> ```

Após o sucesso, todas as novas VMs que você adicionar ao seu catálogo serão criptografadas duplamente pela chave associada ao DES que você selecionou.

Verificar se o catálogo está criptografado duplamente
Na interface de Configuração Completa:
1. Navegue até Catálogos de Máquinas.
2. Selecione o catálogo que você deseja verificar. Clique na guia Propriedades do Modelo localizada na parte inferior da tela.
3. Em Detalhes do Azure, verifique o ID do Conjunto de Criptografia de Disco em Conjunto de Criptografia de Disco. Se o ID do DES do catálogo estiver em branco, o catálogo não está criptografado.
4. No Portal do Azure, verifique se o tipo de criptografia do DES associado ao ID do DES é de chaves gerenciadas pela plataforma e pelo cliente.
Usando o comando PowerShell:
1. Abra a janela do PowerShell.
2. Execute asnp citrix* para carregar os módulos PowerShell específicos da Citrix.
3. Use Get-ProvScheme para obter as informações do seu catálogo de máquinas. Por exemplo:
```
Get-ProvScheme -ProvisioningSchemeName "SampleProvSchemeName"


```
4. Recupere a propriedade personalizada ID do DES do catálogo de máquinas. Por exemplo:
```
<Property xsi:type="StringProperty" Name="DiskEncryptionSetId" Value="/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/Sample-RG/providers/Microsoft.Compute/diskEncryptionSets/SampleEncryptionSet" />


```
5. No Portal do Azure, verifique se o tipo de criptografia do DES associado ao ID do DES é de chaves gerenciadas pela plataforma e pelo cliente.

Onde ir em seguida

Para gerenciar catálogos, consulte Gerenciar catálogos de máquinas e Gerenciar um catálogo do Microsoft Azure.
Para obter informações sobre recursos relacionados à criptografia, consulte:
- Criptografia do lado do servidor do Azure
- Criptografia de disco do Azure no host
Para obter informações sobre outros recursos específicos, consulte:
- Armazenamento

Mais informações

Para revisar todo o processo de configuração, consulte Planejar e criar uma implantação.
Criar e gerenciar conexões e recursos
Conexão com o Microsoft Azure Resource Manager
Criar catálogos de máquinas
Criar um teste de catálogo do Microsoft Azure

A versão oficial deste conteúdo está em inglês. Parte do conteúdo da documentação da Cloud Software Group é traduzida automaticamente para sua conveniência. A Cloud Software Group não tem controle sobre o conteúdo traduzido automaticamente, que pode conter erros, imprecisões ou linguagem inadequada. Nenhuma garantia de qualquer tipo, expressa ou implícita, é fornecida quanto à precisão, confiabilidade, adequação ou correção de quaisquer traduções feitas do original em inglês para qualquer outro idioma, ou quanto à conformidade do seu produto ou serviço Cloud Software Group com qualquer conteúdo traduzido automaticamente, e nenhuma garantia fornecida sob o contrato de licença de usuário final aplicável ou os termos de serviço, ou qualquer outro contrato com a Cloud Software Group, de que o produto ou serviço esteja em conformidade com qualquer documentação será aplicável na medida em que essa documentação tenha sido traduzida automaticamente. A Cloud Software Group não se responsabiliza por quaisquer danos ou problemas que possam surgir em decorrência do uso de conteúdo traduzido automaticamente.

Isso foi útil?

Criptografia dupla em disco gerenciado

May 4, 2026

Contribuição de:

May 4, 2026

Contribuição de:

Neste artigo

Limitações
Criar um catálogo de máquinas com criptografia dupla
Converter um catálogo não criptografado para usar criptografia dupla
Verificar se o catálogo está criptografado duplamente
Onde ir em seguida
Mais informações

Isso foi útil?

Criptografia dupla em disco gerenciado

Limitações

Criar um catálogo de máquinas com criptografia dupla

Converter um catálogo não criptografado para usar criptografia dupla

Verificar se o catálogo está criptografado duplamente

Onde ir em seguida

Mais informações

Neste artigo