次の方法で共有


既存の Azure VM でトラステッド起動を有効にする

適用対象: ✔️ Linux VM ✔️ Windows VM ✔️ 第 2 世代 VM

Azure Virtual Machines (VM) では、トラステッド起動のセキュリティの種類にアップグレードすることで、既存の Azure 第 2 世代 VM でトラステッド起動を有効にできます。

トラステッド起動は、Azure 第 2 世代 VM 仮想マシンで基本的なコンピューティング セキュリティを可能にし、ブート キットやルートキットなどの高度で持続的な攻撃手法から保護できる方法の 1 つです。 これを実現するには、VM 上でセキュア ブート、vTPM、ブート整合性監視などのインフラストラクチャ テクノロジを組み合わせます。

重要

  • 既存の Azure 第 1 世代 VM でのトラステッド起動の有効化のサポートは現在、プライベート プレビュー段階です。 プレビューにアクセスするには、登録リンク https://aka.ms/Gen1ToTLUpgrade を使用します。

前提条件

ベスト プラクティス

  • 第 2 世代のテスト VM でトラステッド起動を有効にし、運用環境のワークロードに関連付けられている第 2 世代 VM でトラステッド起動を有効にする前に、前提条件を満たすために変更が必要かどうかを確認します。
  • トラステッド起動のセキュリティの種類を有効にする前に、運用環境のワークロードに関連付けられている Azure 第 2 世代 VM に対して復元ポイントを作成します。 復元ポイントを使用して、ディスクと第 2 世代 VM を以前の既知の状態で再作成できます。

既存の VM でトラステッド起動を有効にする

Note

  • トラステッド起動を有効にすると、現在、仮想マシンを Standard (非トラステッド起動構成) のセキュリティの種類にロールバックすることはできません。
  • vTPM は既定で有効になっています。
  • カスタム署名されていないカーネルまたはドライバーを使用していない場合は、セキュア ブートを有効にすることをお勧めします (既定では有効になっていません)。 セキュア ブートでは、ブートの整合性が維持され、VM の基本的なセキュリティが有効になります。

Azure portal を使用して既存の Azure 第 2 世代 VM でトラステッド起動を有効にします。

  1. Azure ポータル にサインインします

  2. 仮想マシンの世代が V2 であることを確認し、VM を [停止] します。

    割り当てを解除する Gen2 VM のスクリーンショット。

  3. VM の [プロパティ][概要] ページで、[セキュリティの種類] から [Standard] を選びます。 これにより、VM の [構成] ページに移動します。

    セキュリティの種類 Standard のスクリーンショット。

  4. [構成] ページの [セキュリティの種類] セクションでドロップダウン [セキュリティの種類] を選びます。

    [セキュリティの種類] ドロップダウンのスクリーンショット。

  5. ドロップダウンで [トラステッド起動] を選び、チェックボックスで [セキュア ブート][vTPM] を有効にします。 必要な変更を行ったら [保存] をクリックします。

    Note

    セキュア ブートと vTPM 設定のスクリーンショット。

  6. 更新が正常に完了したら [構成] ページを閉じ、[概要] ページの VM のプロパティで [セキュリティの種類] を確認します。

    トラステッド起動にアップグレードされた VM のスクリーンショット。

  7. アップグレードされたトラステッド起動 VM を起動し、RDP (Windows VM の場合) または SSH (Linux VM の場合) を使って VM にログインできることを確認します。

次のステップ

(推奨) アップグレード後に、ブートの整合性の監視を有効にして、Microsoft Defender for Cloud を使って VM の正常性を監視できます。

トラステッド起動の詳細と、よく寄せられる質問を確認します