適用対象: Azure Local 2311.2 以降
この記事では、Azure Arc で有効になっている Azure ローカル仮想マシン (VM) の信頼された起動について説明します。Azure portal または Azure Command-Line インターフェイス (CLI) を使用して、Azure ローカル VM の信頼された起動を作成できます。
概要
Azure ローカル VM の信頼された起動により、セキュア ブートが可能になり、仮想トラステッド プラットフォーム モジュール (vTPM) デバイスがインストールされ、VM がシステム内の別のマシンに移行またはフェールオーバーされたときに vTPM 状態が自動的に転送され、VM が既知の良好な状態で起動したかどうかを証明する機能がサポートされます。
信頼された起動は、Azure ローカル VM の作成時に指定できるセキュリティの種類です。 詳細については、「 Azure Arc で有効になっている Azure ローカル VM の信頼された起動」を参照してください。
機能と利点
| 機能 | 特長 |
|---|---|
| セキュア ブート | ブート コンポーネントが信頼できる発行元によって署名されていることを確認することで、ブート中のマルウェア (ルートキット) のリスクを軽減するのに役立ちます。 |
| vTPM | キー、証明書、およびシークレットの専用保管庫として機能するハードウェア TPM の仮想化バージョン。 |
| vTPM 状態の転送 | VM がクラスター内で移行またはフェイルオーバーするときに vTPM を保持します。 |
| 仮想化ベースのセキュリティ (VBS) | VM 内のゲストは、VBS サポートを使用して分離されたメモリ領域を作成できます。 |
注
VM ゲスト ブートの整合性検証は使用できません。
ガイダンス
IgvmAgent は、Azure ローカル システム内のすべてのマシンにインストールされるコンポーネントです。 たとえば、Azure ローカル VM の信頼された起動などの分離された VM のサポートが可能になります。
Azure ローカル VM のトラステッド起動は現在、選択された Azure Marketplace イメージのセットのみをサポートしています。 サポートされているイメージの一覧については、「ゲスト オペレーティング システム イメージ」を参照してください。 Azure ポータルでトラステッド起動 VM を作成すると、[イメージ] ドロップダウン リストには、トラステッド起動でサポートされているイメージのみが表示されます。 カスタム イメージなど、サポートされていないイメージを選択した場合、[イメージ] ドロップダウンは空白になります。 Azure ローカル システムで使用可能なイメージがいずれもトラステッド起動でサポートされていない場合も、リストは空白で表示されます。
Azure ローカル VM の作成に対する信頼された起動の一環として、Hyper-V は VM の状態を格納するために、ディスク上の既定の場所に VM ファイルを作成します。 既定では、これらの VM ファイルへのアクセスはホスト サーバー管理者のみに制限されます。 これらの VM ファイルを別の場所に格納する場合は、その場所がホスト サーバー管理者のみに制限されていることを確認する必要があります。
VM ライブ マイグレーション ネットワーク トラフィックは暗号化されません。 ライブ マイグレーション ネットワーク トラフィックを保護するために、IPsec などのネットワーク層暗号化テクノロジを有効にすることを強くお勧めします。
ゲスト オペレーティング システム イメージ
Azure ローカル VM でサポートされている Azure Marketplace のすべての Windows 11 イメージ (24H2 Windows 11 SKU を除く) と Windows Server 2022 イメージがサポートされています。 サポートされているすべての Windows 11 イメージの一覧については、「 Azure Marketplace イメージを使用して Azure ローカル VM イメージを作成する」を参照してください。
注
Azure Marketplace の外部で取得された VM ゲスト イメージはサポートされていません。
バックアップとディザスター リカバリーに関する考慮事項
Azure ローカル VM の信頼された起動を使用する場合は、バックアップと復旧に関連する次の主な考慮事項と制限事項を理解してください。
Azure ローカル VM の信頼された起動と標準の Azure ローカル VM の間の違い: 標準の Azure ローカル VM とは異なり、Azure ローカル VM の信頼された起動では、VM ゲスト状態保護キーを使用して、仮想 TPM (vTPM) 状態を含む VM ゲスト状態を保護します。 VM 保護キーは、VM が存在する Azure ローカル システムのローカル キー コンテナーに格納されます。 Azure ローカル VM の信頼された起動では、VM ゲスト状態が VM ゲスト状態と VM ランタイム状態の 2 つのファイルに格納されます。 信頼された起動 VM をバックアップおよび復元するには、バックアップ ソリューションで、ゲスト状態ファイルとランタイム状態ファイルを含むすべての VM ファイルをバックアップおよび復元し、さらに VM 保護キーのバックアップと復元を行う必要があります。
バックアップとディザスター リカバリー ツールのサポート: 現時点では、Azure ローカル VM の信頼された起動では、Azure Backup、Azure Site Recovery、Veeam、Commvault など、サードパーティまたは Microsoft が所有するバックアップおよびディザスター リカバリー ツールはサポートされていません。 Azure Local TVM の信頼された起動を代替クラスターに移動する必要がある場合は、手動プロセスの Azure ローカル VM の信頼された起動の手動バックアップと回復 を参照して、必要なすべてのファイルと VM 保護キーを管理して、VM を正常に復元できるようにします。
注
代替の Azure ローカル システムに復元された Azure ローカル VM の信頼された起動を、Azure コントロール プレーンから管理することはできません。