Applies to: ✔️ Linux VM ✔️ Windows VM ✔️ フレキシブル スケール セット ✔️ 均一 スケール セット
Azure は、Generation 2 仮想マシン (VM) のセキュリティを向上させるシームレスな方法として、トラステッド起動を提供します。 トラステッド起動により、高度で永続的な攻撃手法から保護されます。 トラステッド起動は、個別に有効にできる、複数の連携するインフラストラクチャ テクノロジで構成されています。 テクノロジごとに、高度な脅威に対する防御の別のレイヤーが提供されます。
トラステッド起動は、x64 アーキテクチャと Arm64 アーキテクチャの両方でサポートされています。
重要
- 新しく作成された Azure Gen2 VM とスケール セットの既定の状態は、信頼された起動です。 新しい VM で 信頼された起動 でサポートされていない機能が必要な場合 は、信頼された起動に関する FAQ を参照してください。
- 既存の Azure Gen1 VM を Gen2-Trusted Launch にアップグレードすることで、セキュア ブートと vTPM を有効にすることができます。 「既存の Azure Gen1 VM を信頼された起動にアップグレードする」を参照してください。
- 既存の VM では 、作成後に信頼された起動を有効にすることができます。 詳細については、「 既存の Gen2 VM で信頼された起動を有効にする」を参照してください。
- 既存の 仮想マシン スケール セット では、作成後にトラステッド起動を有効にすることができます。 詳細については、「既存の スケール セットで信頼された起動を有効にする」を参照してください。
メリット
- 検証済みのブート ローダー、オペレーティング システム (OS) カーネル、ドライバーを使用して VM を安全にデプロイします。
- VM 内のキー、証明書、シークレットを安全に保護します。
- ブート チェーン全体の整合性に関する分析情報と信頼が得られます。
- ワークロードが信頼され、検証可能であることを確認します。
仮想マシンのサイズ
| タイプ | サポートされているサイズ ファミリ | 現在サポートされていないサイズ ファミリ | サポートされていないサイズ ファミリ |
|---|---|---|---|
| 汎用 | B ファミリ、 D ファミリ、 Dpsv6 シリーズ1、 Dplsv6 シリーズ1 | Dpsv5 シリーズ、Dpdsv5 シリーズ、Dplsv5 シリーズ、Dpldsv5 シリーズ | A ファミリ、Dv2 シリーズ、Dv3 シリーズ、DC 機密ファミリ |
| コンピューティングの最適化 | F ファミリ、Fx ファミリ | サポートされているすべてのサイズ。 | |
| メモリの最適化 | E ファミリー、 Eb ファミリ、 Epsv6 シリーズ1 | M ファミリ | EC 機密ファミリ |
| ストレージの最適化 | L ファミリ | サポートされているすべてのサイズ。 | |
| GPU | NC ファミリ、ND ファミリ、NV ファミリ | NDasrA100_v4 シリーズ、NDm_A100_v4 シリーズ | NC シリーズ、NV シリーズ、NP シリーズ |
| ハイ パフォーマンス コンピューティング | HBv2 シリーズ2、 HBv3 シリーズ、 HBv4 シリーズ、 HBv5 シリーズ、 HC シリーズ3、 HX シリーズ | サポートされているすべてのサイズ。 |
1信頼できる起動をサポートする Arm64 Cobalt 100 ベースのサイズ。
2HBv2 シリーズは現在、信頼できる起動でサポートされていますが、2027 年 5 月 31 日に廃止される予定です。 新しい HPC Trusted Launch デプロイでは、HBv5 シリーズ、HX シリーズ、HBv4 シリーズ、または HBv3 シリーズのサイズを使用します。
3HC シリーズのサイズ (Standard_HC44rs、Standard_HC44-16rs、Standard_HC44-32rs) は、2027 年 5 月 31 日に廃止される予定です。 この日以降、残りの HC シリーズ VM の割り当てが解除され、料金の発生が停止され、HC シリーズに SLA またはサポートが提供されなくなります。 2026 年 4 月 2 日をもって、1 年および 3 年の予約インスタンスの販売を終了しました。 新しい HPC Trusted Launch デプロイの場合は、 HBv5 シリーズ を検討してパフォーマンスを向上させ、価格パフォーマンスを向上させます。または、高メモリ HPC ワークロードの 場合は HX シリーズ を検討してください。 中断を避けるために、廃止日の前に HC シリーズから移行することを計画します。
注
- セキュアブート対応のWindows VM上でのCUDAおよびGRIDドライバーのインストールには、特別な手順は必要ありません。
- "セキュア ブート対応 Ubuntu VM への CUDA ドライバー" のインストールには、追加の手順が必要です。 詳細については、「Linux を実行している N シリーズ VM に NVIDIA GPU ドライバーをインストールする」を参照してください。 他の Linux VM に CUDA ドライバーをインストールするには、セキュア ブートを無効にする必要があります。
- Linux VM では、"GRID ドライバー" をインストールするには、セキュア ブートを無効にする必要があります。
- "サポートされていない" サイズ ファミリでは、第 2 世代 VM はサポートされていません。 トラステッド起動を有効にするために、VM サイズを同等の "サポートされるサイズ ファミリ" に変更します。
サポートされているオペレーティング システム
| オペレーティングシステム (OS) | Version |
|---|---|
| Alma Linux | 8.7、8.8、9.0 |
| Azure Linux | 1.0、2.0 |
| Debian | 11、12 |
| Oracle Linux | 8.3、8.4、8.5、8.6、8.7、8.8 LVM、9.0、9.1 LVM |
| Red Hat Enterprise Linux | 8.6, 8.8, 8.10, 9.4, 9.5, 9.6 |
| CIQ の Rocky Linux | 8.6, 8.10, 9.2, 9.4, 9.6 |
| SUSE Enterprise Linux | 15SP3、15SP4、15SP5 |
| Ubuntu Server | 18.04 LTS、20.04 LTS、22.04 LTS、23.04、23.10 |
| Windows 10 | Pro、Enterprise、Enterprise マルチセッション * |
| Windows 11 | Pro、Enterprise、Enterprise マルチセッション * |
| Windows Server | 2016、2019、2022、2022-Azure-Edition、2025、2025-Azure-Edition * |
* この OS のバリエーションがサポートされています。
注
Arm64 での信頼できる起動は、サポートされているディストリビューションとバージョンに該当する Arm64 Marketplace イメージを使用する場合にサポートされます。 Cobalt 100 サイズの場合は、Azure Marketplaceで使用可能な Arm64 イメージを使用して Trusted Launch をデプロイします。
詳細情報
リージョン:
- すべてのパブリック リージョン
- すべてのAzure Government リージョン
- 中国のすべてのAzureリージョン
価格: トラステッド起動によって既存の VM の価格コストが増えることはありません。
サポートされていない機能
現時点では、次の VM 機能は、トラステッド起動ではサポートされていません。
- Managed Image (Azure Compute Gallery を使用することをお勧めします)。
- Linux VM 休止状態
セキュア ブート
トラステッド起動の中核を成すのは、VM のためのセキュア ブートです。 プラットフォームのファームウェアに実装されているセキュア ブートにより、マルウェアベースのルートキットやブート キットがインストールされるのを防ぎます。 セキュア ブートの動作により、署名されたオペレーティング システムとドライバーだけでが起動できることが保証されます。 それにより、VM 上のソフトウェア スタックに対する "信頼のルート" が確立されます。
セキュア ブートが有効になっている場合、すべての OS ブート コンポーネント (ブート ローダー、カーネル、カーネル ドライバー) で、信頼できる発行元の署名が必要です。 Windowsと選択の両方の Linux ディストリビューションでセキュア ブートがサポートされます。 セキュア ブートで、イメージが信頼された発行元で署名されていることを認証できない場合、VM の起動に失敗します。 詳細については、「セキュア ブート」を参照してください。
vTPM
トラステッド起動では、Azure VM 用の仮想トラステッド プラットフォーム モジュール (vTPM) も導入されています。 ハードウェアのトラステッド プラットフォーム モジュールの仮想化バージョンは、TPM2.0 仕様に準拠しています。キーと測定値のための専用の安全なコンテナーとして機能します。
トラステッド起動から VM には、どの VM からも到達できないセキュリティ保護された環境で実行されている、独自の専用 TPM インスタンスが提供されます。 vTPM により、VM のブート チェーン全体 (UEFI、OS、システム、ドライバー) を測定することで、構成証明が有効になります。
トラステッド起動により、vTPM を使用して、クラウド経由でリモート構成証明が実行されます。 構成証明はプラットフォームの正常性チェックを有効にし、信頼ベースの決定を行う際に使用されます。 正常性チェックとして、トラステッド起動により、VM が正常に起動したことを暗号によって認定できます。
VM が未承認のコンポーネントを実行している可能性があるためにプロセスが失敗した場合は、整合性アラートMicrosoft Defender for Cloud発行されます。 そのアラートには、整合性チェックに合格しなかったコンポーネントの詳細が含まれます。
仮想化ベースのセキュリティ
仮想化ベースのセキュリティ (VBS) により、ハイパーバイザーを使用して、セキュリティで保護され、分離されたメモリ領域が作成されます。 Windowsでは、これらのリージョンを使用して、脆弱性や悪意のある悪用に対する保護を強化したさまざまなセキュリティ ソリューションを実行します。 トラステッド起動を使用すると、ハイパーバイザー コード整合性 (HVCI) と Windows Defender Credential Guard を有効にすることができます。
HVCI は、悪意のあるコードや検証されていないコードWindowsインジェクションや実行からカーネル モード プロセスを保護する強力なシステム軽減策です。 実行前にカーネル モードのドライバーとバイナリがチェックされ、署名されていないファイルがメモリに読み込まれるのを防ぎます。 HVCI によって読み込みが許可された後に実行可能コードを変更できないことを確認します。 VBS と HVCI の詳細については、仮想化ベースのセキュリティとハイパーバイザーによって適用されたコード整合性に関するページを参照してください。
信頼できる起動と VBS を使用すると、Windows Defender Credential Guard を有効にすることができます。 Credential Guard によってシークレットが分離されて保護されることで、特権のあるシステム ソフトウェアのみがそれらにアクセスできるようになります。 これは、Pass-the-Hash 攻撃など、シークレットや資格情報の盗難攻撃に対する不正アクセスを防ぐのに役立ちます。 詳細については、Credential Guard に関する記事を参照してください。
Microsoft Defender for Cloud 統合
信頼できる起動は、VM が適切に構成されていることを確認するために、Defender for Cloudと統合されています。 Defender for Cloudは、互換性のある VM を継続的に評価し、関連する推奨事項を発行します。
セキュア ブートの有効化の推奨: Secure Boot の推奨事項は、トラステッド起動をサポートする VM にのみ適用されます。 Defender for Cloudは、セキュア ブートが無効になっている VM を識別します。 それを有効にするように、重大度が低の推奨事項が発行されます。
vTPM を有効にする方法: VM に対して vTPM が有効になっている場合、Defender for Cloudそれを使用してゲスト構成証明を実行し、高度な脅威パターンを特定できます。 Defender for Cloud vTPM を無効にして信頼された起動をサポートする VM を識別した場合は、それを有効にするための重大度の低い推奨事項が発行されます。
ゲスト構成証明拡張機能をインストールするための推奨事項: VM でセキュア ブートと vTPM が有効になっていても、ゲスト構成証明拡張機能がインストールされていない場合は、Defender for Cloudゲスト構成証明拡張機能をインストールするための重大度の低い推奨事項が発行されます。 この拡張機能を使用すると、Defender for Cloudは VM のブート整合性を事前に証明して監視できます。 ブート整合性がリモート構成証明によって証明されます。
Attestation 正常性評価またはブート整合性の監視: VM でセキュア ブートと vTPM が有効になっていて、構成証明拡張機能がインストールされている場合、Defender for Cloudは正常な方法で VM が起動したことをリモートで検証できます。 この方法は、ブート整合性の監視と呼ばれます。 Defender for Cloudはリモート認証の状態を示す評価を発行します。
VM が信頼された起動で適切に設定されている場合、Defender for Cloudは VM の正常性の問題を検出してアラートを生成できます。
VM 構成証明失敗アラート: クラウド用のディフェンダーは、お客様のVMに対して定期的に構成証明を実行します。 構成証明は、VM が起動した後にも発生します。 構成証明が失敗した場合、重大度が中のアラートがトリガーされます。
注
Microsoft Defender for Cloudに表示される VM クライアント ブート構成証明アラートは情報であり、現在、Defender ポータルには表示されません。
VM の構成証明は、次の理由により失敗する可能性があります。
構成証明の対象の情報 (ブート ログを含む) が、信頼されたベースラインから逸脱している。 どの逸脱も、信頼されていないモジュールが読み込まれ、OS が侵害される可能性があることを示している可能性があります。
構成証明クォートが、構成証明対象の VM の vTPM からのものであることを確認できなかった。 検証されていないオリジンは、マルウェアが存在し、vTPM へのトラフィックを傍受している可能性があることを示します。
注
アラートは、vTPM が有効になっていて構成証明拡張機能がインストールされている VM で使用できます。 構成証明を成功させるには、セキュア ブートを有効にする必要があります。 セキュア ブートが無効になっている場合、構成証明は失敗します。 セキュア ブートを無効にする必要がある場合は、このアラートを抑制して擬陽性を回避することができます。
信頼されていない Linux カーネル モジュールのアラート: セキュア ブートが有効になっているトラステッド起動では、カーネル ドライバーが検証に失敗し、読み込みが禁止されている場合でも、VM を起動できます。 カーネル ドライバーの検証エラーが発生した場合、Defender for Cloudは重大度の低いアラートを発行します。 信頼されていないドライバーが読み込まれていないためすぐに脅威はありませんが、これらのイベントを調査する必要があります。 次のことを確認してください。
- どのカーネル ドライバーが失敗したか。 障害が発生したカーネル ドライバーのことをよく知っていて、それが読み込まれることを予測しているか。
- ドライバーの正確なバージョンは予想と同じですか? ドライバー バイナリは完全か。 失敗したドライバーがパートナー ドライバーの場合、パートナーは OS コンプライアンス テストに合格して署名を取得しましたか?
(プレビュー) 信頼できる起動 (デフォルト)
重要
トラステッドローンチのデフォルトは現在プレビュー段階です。 このプレビューは、テスト、評価、フィードバックのみを目的としています。 運用ワークロードは推奨されていません。 プレビューに登録する場合、 追加の使用条件に同意したことになります。 この機能の一部の側面は、一般公開 (GA) によって変更される可能性があります。
既定のトラステッド起動 (TLaD) は、新しい Gen2 仮想マシン (VM) と仮想マシン スケール セット (スケール セット) のプレビューで使用できます。
** TLaD は、新しい Gen2 に基づく Azure VM および Virtual Machine Scale Sets 展開のセキュリティ体制を向上させるための高速かつゼロタッチの方法です。 信頼された起動が既定の場合、クライアント ツール (ARM テンプレート、Bicepなど) を使用して作成された新しい Gen2 VM またはスケール セットは、セキュリティで保護されたブートと vTPM が有効になっている Trusted Launch VM に既定で設定されます。
パブリック プレビュー リリースでは、すべての新しい Azure Gen2 VM、スケール セットについて、それぞれの環境でこれらの変更を検証し、この今後の変更に備えます。
注
任意のクライアント ツール (ARM テンプレート、Bicep、Terraform など) を使用するすべての新しい Gen2 VM、スケール セット、デプロイは、プレビューへのオンボード後の信頼された起動に既定で設定されます。 この変更により、デプロイ コードの一部として提供される入力はオーバーライドされません。
TLaD プレビューを有効にする
仮想マシン サブスクリプションの TrustedLaunchByDefaultPreview 名前空間にプレビュー機能 Microsoft.Compute を登録します。 詳細については、「
信頼された起動のデフォルト設定を使用して新しい Gen2 VM またはスケール セットを作成するには、Azure ポータル、CLI、または PowerShell ではなく、Azure SDK や Terraform などの他の方法で、既存のデプロイ スクリプトをそのまま実行します。 登録されたサブスクリプションで作成された新しい VM またはスケール セットは、信頼された起動 VM または仮想マシン スケール セットになります。
TLaD プレビューを使用した VM とスケールセットのデプロイ
既存の動作
信頼された起動 VM とスケール セットを作成するには、デプロイに次の securityProfile 要素を追加する必要があります。
"securityProfile": {
"securityType": "TrustedLaunch",
"uefiSettings": {
"secureBootEnabled": true,
"vTpmEnabled": true,
}
}
デプロイ コードに securityProfile 要素がない場合、信頼された起動を有効にせずに VM とスケール セットがデプロイされます。
例
- vm-windows-admincenter – Azure Resource Manager (ARM) テンプレートは、信頼された起動を有効にせずに Gen2 VM をデプロイします。
-
vm-simple-windows – ARM テンプレートは、信頼された起動 VM をデプロイします (
securityProfileが ARM テンプレートに明示的に追加されますが、デフォルトではありません)。
新しい動作
API バージョン 2021-11-01 以降を使用し、 プレビューにオンボードすると、デプロイに securityProfile 要素がない場合、次の条件が満たされた場合にデプロイされた新しい VM とスケール セットへの信頼された起動が既定で有効になります。
- ソース Marketplace OS イメージは、信頼された起動をサポートしています。
- ソース ACG OS イメージは、信頼された起動をサポートし、検証されます。
- ソース ディスクでは、信頼された起動がサポートされています。
- VM サイズでは、信頼された起動がサポートされます。
一覧に示されている条件の 1 つ以上を満たしておらず、トラステッド起動なしで新しい Gen2 VM とスケール セットの作成が正常に完了した場合、デプロイは既定で [トラステッド起動] に設定されません。
パラメーター Standardの値としてsecurityTypeを設定することで、VM とスケール セットのデプロイの既定値を明示的にバイパスするように選択できます。 詳細については、「 新しい VM デプロイで信頼された起動を無効にできますか」を参照してください。
既知の制限事項
プレビューに登録した後、信頼された起動のデフォルト設定をバイパスして、Azureポータルを使用してGen2(信頼されていない起動)VMを作成することは不可能です。
プレビューにサブスクリプションを登録した後、Azure ポータルでセキュリティの種類を Standard に設定すると、VM またはスケール セットが Trusted launch にデプロイされます。 この制限は、トラステッド起動の既定の一般提供の前に対処されます。
この制限を軽減するために、特定のサブスクリプションの Microsoft.Compute 名前空間の下にある機能フラグ TrustedLaunchByDefaultPreview を削除することで、プレビュー機能を登録解除できます。
![ポータルの [セキュリティの種類] ドロップダウンのスクリーンショット。](media/trusted-launch/00-trusted-launch-default-portal-limitation.png#lightbox)
信頼された起動に既定設定した後、サポートされていない信頼された起動 VM サイズファミリ(例えば M シリーズ)に VM または VMSS のサイズ変更はできません。
信頼された起動 VM のサイズを 、信頼された起動でサポートされていない VM サイズ ファミリ に再サイズ変更することはサポートされません。
軽減策として、機能フラグ UseStandardSecurityType を Microsoft.Compute 名前空間に登録し、使用可能なクライアント ツール (ポータルを除く) を使用して securityType = Standard を設定して、信頼された起動から Gen2 専用 (非信頼起動) に VM Azure をロールバックしてください。
TLaD プレビューのフィードバック
信頼できるローンチの既定プレビューフィードバックアンケートにて、今回の変更に関するご意見、ご質問、ご不安がございましたら、お気軽にお問い合わせください。
TLaD プレビューを無効にする
TLaD プレビューを無効にするには、仮想マシン サブスクリプションの TrustedLaunchByDefaultPreview 名前空間でプレビュー機能 Microsoft.Compute の登録を解除します。 詳細については、「プレビュー機能の登録解除」を参照してください。
関連コンテンツ
- トラステッド起動 VM をデプロイする。