Guia de solução de problemas do Azure Disk Encryption

Importante

O Azure Disk Encryption está programado para ser desativado em 15 de setembro de 2028. Até essa data, você pode continuar a usar o Azure Disk Encryption sem interrupções. Em 15 de setembro de 2028, as cargas de trabalho habilitadas para ADE continuarão a ser executadas, mas os discos criptografados não serão desbloqueados após reinicializações da VM, resultando em interrupção do serviço.

Utilize criptografia no host para novas VMs. Todas as VMs habilitadas para ADE (incluindo backups) devem migrar para a criptografia no host antes da data de desativação para evitar a interrupção do serviço. Consulte Migrar do Azure Disk Encryption para criptografia no host para obter detalhes.

Aplica-se a: ✔️ VMs do Windows ✔️ Conjuntos de dimensionamento flexíveis

Este guia é para profissionais de TI, analistas de segurança da informação e administradores de nuvem que usam o Azure Disk Encryption. Este artigo ajuda a solucionar problemas de criptografia de disco.

Antes de executar estas etapas, verifique se as VMs que você deseja criptografar estão entre os tamanhos de VM e sistemas operacionais compatíveis e que você atenda a todos os pré-requisitos:

Solução de problemas de 'falha ao enviar DiskEncryptionData'

Quando a criptografia de uma VM falha com a mensagem de erro "Falha ao enviar DiskEncryptionData...", ela geralmente é causada por uma das seguintes situações:

O Key Vault existe em uma região ou assinatura diferente da máquina virtual
As políticas de acesso avançadas no Key Vault não estão definidas para permitir a Criptografia de Disco do Azure
A Chave de Criptografia de Chave está desabilitada ou foi excluída no Key Vault
Há um erro de digitação no ID do Recurso ou na URL do Key Vault ou da Chave de Criptografia de Chave (KEK)
Caracteres especiais são usados nos nomes da VM, discos de dados ou chaves. Por exemplo, "_VMName" ou "élite".
Não há suporte para o cenário de criptografia
Problemas de rede impedem que a VM ou host acesse os recursos necessários

Sugestões para resolver o problema

Verificar se o Key Vault existe na mesma região e assinatura que a Máquina Virtual
Verifique se você definiu as políticas de acesso avançado do cofre de chaves corretamente
Se você estiver usando o KEK, verificar se a chave existe e está habilitada no Key Vault
Verifique se o nome da VM, os discos de dados e as chaves seguem as restrições de nomenclatura de recursos do cofre de chaves.
Verifique se há erros de digitação no nome do Key Vault ou no nome KEK nos comandos do PowerShell ou da CLI

Observação

A sintaxe para o valor do parâmetro disk-encryption-keyvault é a cadeia de caracteres do identificador completo. /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
A sintaxe do valor do key-encryption-key parâmetro é o URI completo para o KEK, como: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

Certifique-se de que você não está violando nenhuma restrição
Verificar se os requisitos de rede estão sendo cumpridos e tentar novamente

Solucionando problemas do Azure Disk Encryption por trás de um firewall

Quando a conectividade é restrita por um firewall, requisito de proxy ou configurações de NSG (grupo de segurança de rede), a extensão pode não conseguir executar as tarefas necessárias. Essa interrupção pode resultar em mensagens de status, como "Status da extensão não disponível na VM". Em cenários típicos, a criptografia não é concluída. As seções que se seguem têm alguns problemas comuns de firewall que podem ser investigados.

Grupos de segurança de rede

Qualquer configuração do grupo de segurança de rede aplicada ainda deve permitir que o ponto de extremidade atenda aos pré-requisitos da configuração de rede documentada para criptografia de disco.

Azure Key Vault por trás de um firewall

Quando a criptografia é habilitada com as credenciais do Microsoft Entra, a VM de destino deve permitir conectividade com pontos de extremidade do Microsoft Entra e pontos de extremidade do Key Vault. Os pontos de extremidade atuais de autenticação do Microsoft Entra são mantidos nas seções 56 e 59 da documentação de URLs e intervalos de endereços IP do Microsoft 365. As instruções do Key Vault são fornecidas na documentação sobre como Acessar o Azure Key Vault por trás de um firewall.

Serviço de metadados de instância do Azure

A VM precisa acessar o ponto de extremidade do Serviço de Metadados de Instância do Azure (169.254.169.254) e o endereço IP público virtual (168.63.129.16) usado para comunicação com recursos da plataforma Azure. Configurações de proxy que alteram o tráfego HTTP local para esses endereços, como adicionar um cabeçalho X-Forwarded-For, não têm suporte.

Solução de problemas de Server Core do Windows Server 2016

No Windows Server 2016 Server Core, o bdehdcfg componente não está disponível por padrão. O Azure Disk Encryption requer esse componente. Ele é usado para separar o volume do sistema do volume do sistema operacional, o que é feito apenas uma vez durante o tempo de vida da Máquina Virtual (VM). Esses binários não são necessários durante as operações posteriores de criptografia.

Para contornar esse problema, copie os quatro arquivos a seguir de uma VM do Data Center do Windows Server 2016 para o mesmo local no Núcleo do Servidor:

\windows\system32\bdehdcfg.exe
\windows\system32\bdehdcfglib.dll
\windows\system32\en-US\bdehdcfglib.dll.mui
\windows\system32\en-US\bdehdcfg.exe.mui

Execute o comando a seguir:
```
bdehdcfg.exe -target default
```
Esse comando cria uma partição de sistema de 550 MB. Reinicie o sistema.
Use DiskPart para verificar os volumes. Em seguida, prossiga.

Por exemplo:

DISKPART> list vol

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
  Volume 0     C                NTFS   Partition    126 GB  Healthy    Boot
  Volume 1                      NTFS   Partition    550 MB  Healthy    System
  Volume 2     D   Temporary S  NTFS   Partition     13 GB  Healthy    Pagefile

Solução de problemas de status de criptografia

O portal pode exibir um disco como criptografado mesmo depois de não ser criptografado dentro da VM. Essa situação pode ocorrer quando comandos de baixo nível são usados para descriptografar diretamente o disco de dentro da VM em vez de usar os comandos de gerenciamento do Azure Disk Encryption de nível superior. Os comandos de nível superior não apenas descriptografam o disco de dentro da VM, mas também atualizam configurações de criptografia de nível de plataforma importantes e configurações de extensão associadas à VM. Se eles não forem mantidos alinhados, a plataforma não poderá relatar o status de criptografia ou provisionar a VM corretamente.

Para desabilitar Azure Disk Encryption com o PowerShell, use Disable-AzVMDiskEncryption seguido por Remove-AzVMDiskEncryptionExtension. Executar Remove-AzVMDiskEncryptionExtension antes que a criptografia esteja desabilitada falha.

Para desabilitar a Criptografia de Disco do Azure com a CLI, use az vm encryption disable.

Próximas etapas

Neste documento, você aprendeu mais sobre alguns problemas comuns no Azure Disk Encryption e como solucioná-los. Para saber mais sobre esse serviço e seus recursos, confira os seguintes artigos:

Comentários

Esta página foi útil?

Last updated on 2025-12-03