Guide de rési=olution des problèmes Azure Disk Encryption

Article
10/15/2024

S’applique à : ✔️ Machines virtuelles Windows ✔️ Groupes identiques flexibles

Ce guide s’adresse aux informaticiens professionnels, aux analystes de la sécurité des informations et aux administrateurs de cloud dont les organisations utilisent Azure Disk Encryption. Cet article est destiné à vous aider à résoudre les problèmes liés au chiffrement des disques.

Avant d’effectuer l’une de ces étapes, vérifiez que les machines virtuelles que vous tentez de chiffrer sont conformes aux tailles et systèmes d’exploitation de machine virtuelle pris en charge et que tous les prérequis sont respectés :

Résolution de l’erreur « Échec de l’envoi de DiskEncryptionData »

Quand le chiffrement d’une machine virtuelle échoue en retournant le message d’erreur « Échec de l’envoi de DiskEncryptionData... », cela se produit généralement dans l’une des situations suivantes :

Le Key Vault se trouve dans une région ou un abonnement différents de ceux de la machine virtuelle.
Les stratégies d’accès avancées dans le Key Vault ne sont pas définies pour autoriser Azure Disk Encryption.
La clé de chiffrement principale, si elle était utilisée, a été désactivée ou supprimée dans le Key Vault.
Il y a faute de frappe dans l’ID ou l’URL de ressource du Key Vault ou de la clé de chiffrement principale.
Des caractères spéciaux ont été utilisés pour nommer la machine virtuelle, des disques de données ou des clés. _VMName, élite, etc.
Le scénarios de chiffrement ne sont pas pris en charge.
Des problèmes réseau empêchent la machine virtuelle ou l’hôte d’accéder aux ressources requises.

Suggestions

Assurez-vous que le Key Vault se trouve dans les mêmes région et abonnement que la machine virtuelle.
Vérifiez que vous avez correctement défini les stratégies d’accès avancé au coffre de clés.
Si vous utilisez une clé de chiffrement principale, assurez-vous qu’elle existe et qu’elle est activée dans le Key Vault.
Vérifiez que les noms de la machine virtuelle, des disques de données et des clés respectent les restrictions de nommage des ressources du Key Vault.
Recherchez d’éventuelles fautes de frappe dans le nom du Key Vault ou de la clé de chiffrement principale dans votre commande PowerShell ou CLI.

Notes

La syntaxe de la valeur du paramètre disk-encryption-keyvault correspond à la chaîne d’identificateur complète : /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
La syntaxe de la valeur du paramètre key-encryption-key correspond à l’URI complet de la clé KEK comme dans : https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

Vérifiez que vous n’enfreignez aucune restriction
Vérifiez que vous respectez la configuration réseau requise, puis réessayez.

Résolution des problèmes Azure Disk Encryption derrière un pare-feu

Lorsque la connectivité est limitée par un pare-feu, une exigence de proxy ou des paramètres de groupe de sécurité réseau (NSG), cela peut interrompre la capacité de l’extension à effectuer les tâches nécessaires. Cette interruption peut entraîner des messages d’état de type « État de l’extension non disponible sur la machine virtuelle ». Dans les scénarios prévus, le processus de chiffrement échoue. Les sections qui suivent décrivent certains problèmes courants au niveau du pare-feu qui valent la peine d’être examinés.

Groupes de sécurité réseau

Les paramètres de groupe de sécurité réseau appliqués doivent permettre au point de terminaison de remplir les conditions requises de configuration réseau indiquées pour le chiffrement de disque.

Azure Key Vault derrière un pare-feu

Quand le chiffrement est activé avec des informations d’identification Microsoft Entra, la machine virtuelle cible doit autoriser la connectivité sur les points de terminaison Microsoft Entra et les points de terminaison Key Vault. Les points de terminaison d’authentification Microsoft Entra actuels sont traités dans les sections 56 et 59 de la documentation URL et plages d’adresses IP Microsoft 365. Des instructions relatives à Key Vault sont fournies dans la documentation sur l’accès à Azure Key Vault derrière un pare-feu.

Service de métadonnées d’instance Azure

La VM doit pouvoir accéder au point de terminaison de service de métadonnées d’instance Azure (169.254.169.254) et à l’adresse IP publique virtuelle (168.63.129.16) utilisée pour communiquer avec les ressources de la plateforme Azure. Les configurations de proxy qui modifient le trafic HTTP local à ces adresses (par exemple, en ajoutant un en-tête X-Forwarded-For) ne sont pas prises en charge.

Résolution des problèmes Windows Server 2016 Server Core

Sur Windows Server 2016 Server Core, le composant bdehdcfg n’est pas disponible par défaut. Ce composant est requis par Azure Disk Encryption. Il est utilisé pour séparer le volume système du volume du système d’exploitation, ce qui est effectué une seule fois pendant toute la durée de vie de la machine virtuelle. Ces fichiers binaires ne sont pas nécessaires lors des opérations de chiffrement ultérieures.

Pour contourner ce problème, copiez les quatre fichiers suivants à partir d’une machine virtuelle Windows Server 2016 Data Center vers le même emplacement sur Server Core :

\windows\system32\bdehdcfg.exe
\windows\system32\bdehdcfglib.dll
\windows\system32\en-US\bdehdcfglib.dll.mui
\windows\system32\en-US\bdehdcfg.exe.mui

Entrez la commande suivante :
```
bdehdcfg.exe -target default
```
Cette commande crée une partition de système de 550 Mo. Redémarrez le système.
Utilisez DiskPart pour vérifier les volumes, avant de continuer.

Par exemple :

DISKPART> list vol

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
  Volume 0     C                NTFS   Partition    126 GB  Healthy    Boot
  Volume 1                      NTFS   Partition    550 MB  Healthy    System
  Volume 2     D   Temporary S  NTFS   Partition     13 GB  Healthy    Pagefile

Résolution des problèmes de l’état du chiffrement

Le portail peut afficher un disque sous forme chiffrée, même après qu’il a été déchiffré au sein de la machine virtuelle. Cette situation peut se produire lorsque des commandes de bas niveau sont utilisées pour déchiffrer directement le disque à partir de la machine virtuelle, au lieu des commandes de gestion Azure Disk Encryption de niveau supérieur. Les commandes de niveau supérieur déchiffrent le disque à partir de la machine virtuelle. Toutefois, en dehors de la machine virtuelle, elles mettent aussi à jour les paramètres importants de chiffrement et d’extension au niveau de la plateforme, qui sont associés à la machine virtuelle. S’ils ne sont pas alignés, la plateforme ne sera pas en mesure de rapporter l’état de chiffrement ou de configurer la machine virtuelle.

Pour désactiver Azure Disk Encryption avec PowerShell, utilisez Disable-AzVMDiskEncryption, puis Remove-AzVMDiskEncryptionExtension. L’exécution de Remove-AzVMDiskEncryptionExtension en avant la désactivation du chiffrement échouera.

Pour désactiver Azure Disk Encryption avec l’interface CLI, utilisez az vm encryption disable.

Étapes suivantes

Ce document vous a fait découvrir certains problèmes couramment rencontrés dans Azure Disk Encryption et en a décrit la résolution. Pour plus d’informations sur ce service et ses fonctionnalités, consultez les articles suivants :

Partager via