Partager via

Guide de rési=olution des problèmes Azure Disk Encryption

Important

Azure Disk Encryption est prévu pour la mise hors service le 15 septembre 2028. Jusqu’à cette date, vous pouvez continuer à utiliser Azure Disk Encryption sans interruption. Le 15 septembre 2028, les charges de travail compatibles avec ADE continueront d’être exécutées, mais les disques chiffrés ne pourront pas être déverrouillés après le redémarrage de la machine virtuelle, ce qui entraîne une interruption du service.

Utilisez le chiffrement sur l’hôte pour les nouvelles machines virtuelles. Toutes les machines virtuelles compatibles ADE (y compris les sauvegardes) doivent migrer vers le chiffrement à l’hôte avant la date de mise hors service pour éviter toute interruption de service. Pour plus d’informations, consultez Migrer d’Azure Disk Encryption vers le chiffrement sur l’hôte .

S’applique à : ✔️ VMs Windows ✔️ Groupes identiques flexibles

Ce guide est destiné aux professionnels de l’informatique, aux analystes de sécurité des informations et aux administrateurs cloud qui utilisent Azure Disk Encryption. Cet article vous aide à résoudre les problèmes de chiffrement de disque.

Avant de suivre ces étapes, vérifiez que les machines virtuelles que vous souhaitez chiffrer sont parmi les tailles de machine virtuelle et les systèmes d’exploitation pris en charge et que vous remplissez toutes les conditions préalables :

Résolution des problèmes « Échec de l’envoi de DiskEncryptionData »

Quand le chiffrement d’une machine virtuelle échoue en retournant le message d’erreur « Échec de l’envoi de DiskEncryptionData... », cela se produit généralement dans l’une des situations suivantes :

  • Le coffre de clés existe dans une région ou un abonnement différent de la machine virtuelle
  • Les stratégies d’accès avancées dans le coffre de clés ne sont pas définies pour autoriser Azure Disk Encryption
  • La clé de chiffrement principale est désactivée ou supprimée dans le Key Vault.
  • Une faute de frappe existe dans l’ID de ressource ou l’URL du coffre de clés ou de la clé de chiffrement (KEK)
  • Les caractères spéciaux sont utilisés dans les noms de la machine virtuelle, des disques de données ou des clés. Par exemple, « _VMName » ou « élite ».
  • Le scénario de chiffrement n’est pas pris en charge
  • Les problèmes réseau empêchent la machine virtuelle ou l’hôte d’accéder aux ressources requises

Suggestions de résolution du problème

Remarque

La syntaxe de la valeur du disk-encryption-keyvault paramètre est la chaîne d’identificateur complète : /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
La syntaxe de la valeur du key-encryption-key paramètre est l’URI complet du KEK, par exemple : https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

Résolution des problèmes Azure Disk Encryption derrière un pare-feu

Lorsque la connectivité est limitée par un pare-feu, une exigence de proxy ou des paramètres de groupe de sécurité réseau (NSG), l’extension peut ne pas pouvoir effectuer les tâches nécessaires. Cette interruption peut entraîner des messages d’état tels que « État de l’extension non disponible sur la machine virtuelle ». Dans les scénarios classiques, le chiffrement ne se termine pas. Les sections qui suivent décrivent certains problèmes courants au niveau du pare-feu qui valent la peine d’être examinés.

Groupes de sécurité réseau

Les paramètres de groupe de sécurité réseau appliqués doivent permettre au point de terminaison de remplir les conditions requises de configuration réseau indiquées pour le chiffrement de disque.

Azure Key Vault derrière un pare-feu

Quand le chiffrement est activé avec des informations d’identification Microsoft Entra, la machine virtuelle cible doit autoriser la connectivité sur les points de terminaison Microsoft Entra et les points de terminaison Key Vault. Les points de terminaison d’authentification Microsoft Entra actuels sont traités dans les sections 56 et 59 de la documentation URL et plages d’adresses IP Microsoft 365. Des instructions relatives à Key Vault sont fournies dans la documentation sur l’accès à Azure Key Vault derrière un pare-feu.

Service de métadonnées d’instance Azure

La VM doit pouvoir accéder au point de terminaison de service de métadonnées d’instance Azure (169.254.169.254) et à l’adresse IP publique virtuelle (168.63.129.16) utilisée pour communiquer avec les ressources de la plateforme Azure. Les configurations de proxy qui modifient le trafic HTTP local vers ces adresses, comme l’ajout d’un en-tête X-Forwarded-For, ne sont pas prises en charge.

Résolution des problèmes Windows Server 2016 Server Core

Sur Windows Server 2016 Server Core, le bdehdcfg composant n’est pas disponible par défaut. Azure Disk Encryption nécessite ce composant. Il est utilisé pour fractionner le volume système à partir du volume du système d’exploitation, qui n’est effectué qu’une seule fois pour la durée de vie de la machine virtuelle. Ces fichiers binaires ne sont pas nécessaires lors des opérations de chiffrement ultérieures.

Pour contourner ce problème, copiez les quatre fichiers suivants à partir d’une machine virtuelle Windows Server 2016 Data Center vers le même emplacement sur Server Core :

\windows\system32\bdehdcfg.exe
\windows\system32\bdehdcfglib.dll
\windows\system32\en-US\bdehdcfglib.dll.mui
\windows\system32\en-US\bdehdcfg.exe.mui

  1. Exécutez la commande suivante:

    bdehdcfg.exe -target default

  2. Cette commande crée une partition système de 550 Mo. Redémarrez le système.

  3. Utilisez DiskPart pour vérifier les volumes. Ensuite, continuez.

Exemple :

DISKPART> list vol

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
  Volume 0     C                NTFS   Partition    126 GB  Healthy    Boot
  Volume 1                      NTFS   Partition    550 MB  Healthy    System
  Volume 2     D   Temporary S  NTFS   Partition     13 GB  Healthy    Pagefile

Résolution des problèmes de l’état du chiffrement

Le portail peut afficher un disque tel qu’il est chiffré même après qu’il n’est pas chiffré dans la machine virtuelle. Cette situation peut se produire lorsque des commandes de bas niveau sont utilisées pour déchiffrer directement le disque à partir de la machine virtuelle au lieu d’utiliser les commandes de gestion Azure Disk Encryption de niveau supérieur. Les commandes de niveau supérieur ne déchiffrent pas seulement le disque à partir de la machine virtuelle, mais mettent également à jour les paramètres de chiffrement au niveau de la plateforme et les paramètres d’extension importants associés à la machine virtuelle. Si elles ne sont pas conservées en alignement, la plateforme ne parvient pas à signaler l’état du chiffrement ou à provisionner la machine virtuelle correctement.

Pour désactiver Azure Disk Encryption avec PowerShell, utilisez Disable-AzVMDiskEncryption, puis Remove-AzVMDiskEncryptionExtension. L'exécution de Remove-AzVMDiskEncryptionExtension avant que le chiffrement ne soit désactivé échoue.

Pour désactiver Azure Disk Encryption avec l’interface CLI, utilisez az vm encryption disable.

Étapes suivantes

Ce document vous a fait découvrir certains problèmes couramment rencontrés dans Azure Disk Encryption et en a décrit la résolution. Pour plus d’informations sur ce service et ses fonctionnalités, consultez les articles suivants :

  • Last updated on