Guida alla risoluzione dei problemi di Crittografia dischi di Azure

Si applica a: ✔️ macchine virtuali Windows ✔️ set di scalabilità flessibili

Questa guida è destinata ai professionisti IT, agli analisti della sicurezza delle informazioni e agli amministratori cloud le cui organizzazioni usano Crittografia dischi di Azure. Questo articolo contiene indicazioni per la risoluzione dei problemi relativi alla crittografia dei dischi.

Prima di eseguire queste operazioni, assicurarsi che le macchine virtuali che si sta tentando di crittografare siano comprese tra le macchine virtuali con dimensioni e sistemi operativi supportati e che siano stati soddisfatti tutti i prerequisiti:

• Requisiti di rete
• Requisiti di Criteri di gruppo
• Requisiti di archiviazione delle chiavi di crittografia

Risoluzione del problema "Non è stato possibile inviare DiskEncryptionData"

Quando la crittografia di una macchina virtuale ha esito negativo e viene visualizzato il messaggio di errore "Non è stato possibile inviare DiskEncryptionData...", in genere, il problema è causato da una delle situazioni seguenti:

• Key Vault esiste in un'area e/o in una sottoscrizione diverse rispetto alla macchina virtuale
• I criteri di accesso avanzati nell'insieme di credenziali delle chiavi non sono impostati per consentire Crittografia dischi di Azure
• Chiave di crittografia della chiave, quando in uso, è stata disabilitata o eliminata nell'insieme di credenziali delle chiavi
• Errore di digitazione in ID Risorsa o URL per l'insieme di credenziali delle chiavi o per la chiave di crittografia delle chiavi
• Caratteri speciali usati durante la denominazione di macchine virtuali, dischi dati o chiavi. per es. _VMName, élite, ecc.
• Scenari di crittografia non supportati
• Problemi di rete che impediscono alla macchina virtuale o all'host di accedere alle risorse necessarie

Suggerimenti

• Verificare che l'insieme di credenziali delle chiavi esista nella stessa area e nella stessa sottoscrizione della macchina virtuale
• Assicurarsi di avere impostato correttamente i criteri di accesso avanzati dell'insieme di credenziali delle chiavi
• Se si usa KEK, verificare che la chiave esista e sia abilitata nell'insieme di credenziali delle chiavi
• Controllare che il nome della macchina virtuale, i dischi dati e le chiavi seguano le restrizioni di denominazione delle risorse dell'insieme di credenziali delle chiavi
• Verificare la presenza di errori di digitazione nel nome dell'insieme di credenziali delle chiavi o nel nome della chiave di crittografia della chiave nel comando di PowerShell o dell'interfaccia della riga di comando

Nota

La sintassi per il valore del parametro disk-encryption-keyvault è la stringa dell'identificatore completo: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
La sintassi per il valore del parametro key-encryption-key è l'URI completo della chiave KEK come in: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Assicurarsi di non violare alcuna restrizione
• Assicurarsi di soddisfare requisiti di rete e riprovare

Risoluzione dei problemi di Crittografia dischi di Azure dietro un firewall

Quando la connettività è limitata da un firewall, da un requisito del proxy o dalle impostazioni di gruppi di sicurezza di rete (NSG), l'estensione potrebbe non essere più in grado di eseguire le attività necessarie. È quindi possibile che vengano visualizzati messaggi del tipo "Stato estensione non disponibile nella macchina virtuale". In scenari previsti, la crittografia non viene completata. Le sezioni che seguono illustrano alcuni problemi comuni relativi ai firewall che è possibile esaminare.

Gruppi di sicurezza di rete

Tutte le impostazioni dei gruppi di sicurezza di rete devono consentire all'endpoint di soddisfare i prerequisiti di configurazione di rete documentati per la crittografia dei dischi.

Azure Key Vault protetto da firewall

Quando la crittografia è abilitata con le credenziali Microsoft Entra, la macchina virtuale di destinazione deve consentire la connettività sia sugli endpoint di Microsoft Entra sia sugli endpoint di Key Vault. Gli endpoint di autenticazione di Microsoft Entra correnti sono mantenuti nelle sezioni 56 e 59 della documentazione URL e intervalli di indirizzi IP per Microsoft 365. Le istruzioni di Key Vault sono fornite nella documentazione Accedere ad Azure Key Vault protetto da firewall.

Servizio metadati dell'istanza di Azure

La macchina virtuale deve poter accedere al servizio metadati dell'istanza di Azure endpoint (169.254.169.254) e all'indirizzo IP pubblico virtuale (168.63.129.16) usato per la comunicazione con le risorse della piattaforma Azure. Le configurazioni proxy che modificano il traffico HTTP locale verso questi indirizzi, ad esempio aggiungendo un'intestazione X-Forwarded-For, non sono supportate.

Risoluzione dei problemi di Server Core di Windows Server 2016

In Server Core di Windows Server 2016, la componente bdehdcfg non è disponibile per impostazione predefinita. Questa componente è necessaria per la Crittografia dischi di Azure. e viene usata per dividere il volume di sistema dal volume del sistema operativo, operazione eseguita solo una volta per la durata della macchina virtuale. Tali file binari non sono necessari durante le operazioni di crittografia successive.

Per risolvere il problema, copiare i quattro file seguenti da una macchina virtuale Windows Server 2016 Data Center nello stesso percorso in Server Core:

\windows\system32\bdehdcfg.exe
\windows\system32\bdehdcfglib.dll
\windows\system32\en-US\bdehdcfglib.dll.mui
\windows\system32\en-US\bdehdcfg.exe.mui

1. Immettere il comando seguente:

   bdehdcfg.exe -target default
   

2. Questo comando crea una partizione di sistema da 550 MB. Riavviare il sistema.

3. Usare DiskPart per verificare i volumi, quindi procedere.

Ad esempio:

DISKPART> list vol

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
  Volume 0     C                NTFS   Partition    126 GB  Healthy    Boot
  Volume 1                      NTFS   Partition    550 MB  Healthy    System
  Volume 2     D   Temporary S  NTFS   Partition     13 GB  Healthy    Pagefile

Risoluzione dei problemi relativi allo stato della crittografia

È possibile che nel portale un disco venga visualizzato come crittografato anche dopo essere stato decrittografato nella macchina virtuale. Questa situazione può verificarsi quando si usano comandi di basso livello per decrittografare il disco direttamente dalla macchina virtuale, anziché usare i comandi di gestione di livello superiore di Crittografia dischi di Azure. I comandi di livello superiore, infatti, non solo consentono di decrittografare il disco direttamente dalla macchina virtuale ma, all'esterno della macchina virtuale, consentono anche di aggiornare al livello di piattaforma le impostazioni di estensione e di crittografia associate alla macchina virtuale. Se le impostazioni non sono allineate, la piattaforma non sarà in grado di segnalare correttamente lo stato della crittografia o di effettuare il provisioning della macchina virtuale.

Per disabilitare Crittografia dischi di Azure con PowerShell, usare il comando Disable-AzVMDiskEncryption seguito da Remove-AzVMDiskEncryptionExtension. L'esecuzione del comando Remove-AzVMDiskEncryptionExtension prima di disabilitare la crittografia avrà, infatti, esito negativo.

Per disabilitare Crittografia dischi di Azure con l'interfaccia della riga di comando, usare az vm encryption disable.

Passaggi successivi

In questo documento sono stati esaminati alcuni problemi comuni di Crittografia dischi di Azure ed è stato illustrato come risolverli. Per altre informazioni su questo servizio e sulle relative funzionalità, vedere gli articoli seguenti:

• Applicare la crittografia del disco in Microsoft Defender for Cloud
• Crittografia dei dati inattivi in Azure