既存の Uniform Scale Set で信頼された起動を有効にする

適用対象: ✔️ 均一スケールセット ✔️ Flex スケールセット ❌ Service Fabric

Azure 仮想マシンスケールセットでは、信頼された起動セキュリティの種類にアップグレードすることで、既存の Uniform Scale Sets 仮想マシン (VM) での信頼された起動を有効にできます。

信頼された起動により、 Azure 第 2 世代仮想マシンとスケールセットの基本的なコンピューティングセキュリティが有効になり、ブートキットやルートキットなどの高度で永続的な攻撃手法から保護されます。これは、スケールセット上でセキュアブート、vTPM、ブート整合性監視などのインフラストラクチャテクノロジを組み合わせることによって実現されます。

Limitations

データディスクが接続されている既存の仮想マシンスケールセットで信頼された起動を有効にするには、アップグレードモードを最大サージでローリングアップグレードに設定する必要があります
- スケールセットがデータディスクで構成されているかどうかを検証するには、[> メニューのスケールセット -Disks に移動します。>データディスクの見出しで[データディスク] の下にあるチェックをオンにします。
既存の仮想マシンスケールセット Flex でのトラステッド起動の有効化は現在プレビュー段階です。既存の Flex スケールセットプレビューで信頼できる起動を有効にするプレビューに登録する
既存の Service Fabric クラスターおよび Service Fabric マネージドクラスターでのトラステッド起動の有効化は現在サポートされていません。

Prerequisites

スケールセットは、信頼された起動で現在サポートされていない機能には依存しません。
スケールセットは、トラステッド起動がサポートされているサイズファミリで構成する必要があります
Note
- 仮想マシンのサイズは、トラステッド起動のアップグレードに合わせて変更できます。アップグレードの失敗を回避するために、新しい VM サイズ用のクォータが存在していることを確認します。「vCPU クォータの確認」を参照してください。
- 仮想マシンのサイズに変更すると、新しいサイズで仮想マシンインスタンスが再作成され、個々の仮想マシンインスタンスのダウンタイムが必要になります。これは、スケールセットのダウンタイムを回避するために、ローリングアップグレードの方法で実行できます。
スケールセットは、トラステッド起動がサポートされている OS イメージで構成する必要があります。 Azure Compute Gallery OS イメージに関しては、イメージ定義が TrustedLaunchSupported としてマークされていることを確認します

Important

スケールセットの OS イメージを変更すると、新しいイメージを使用して、すべての VM インスタンスの OS ディスクが再作成されます。この変更は、現在の OS ディスクに格納されているデータまたはカスタム構成がアップグレード後に失われることを意味します。続行する前に、重要な情報を確実にバックアップしてください。

既存のスケールセットユニフォームでトラステッド起動を有効にする

次の手順では、Azure portal を使用して既存の均一スケールセットで信頼された起動を有効にする方法について詳しく説明します。

(省略可能)スケールセットのサイズ: [Size] の下の [Availability + scale] に移動します。> 現在のサイズファミリが信頼できる起動セキュリティ構成でサポートされていない場合は、[スケールセットのサイズを変更する] ->クリックして適用します。
OS イメージ: Operating systemの下のSettingsに移動します->Change image referenceをクリックします。
OS イメージ参照を、Gen2 トラステッド起動がサポートされている OS イメージに更新します。 Azure Compute Gallery の OS イメージを使用する場合、ソース Gen2 イメージに TrustedLaunchSupported セキュリティタイプが設定されていることを確認してください。> [適用] をクリックします。
セキュリティの種類: スケールセットのページで [Standard]<をクリックするか、の下のに移動します。
Configurationページのセキュリティの種類のドロップダウンをStandardからTrusted launchに更新し、Enable secure bootとEnable vTPMにチェックを入れて、信頼された起動セキュリティの構成を有効にします。 [ Yes ] をクリックして変更を確定します。
Note
- vTPM は既定で有効になっています。
- カスタム署名されていないカーネルまたはドライバーを使用していない場合は、セキュアブートを有効にする必要があります (既定では有効になっていません)。セキュアブートでは、ブートの整合性が維持され、VM の基本的なセキュリティが有効になります。
スケールセットの Overview ページで変更を検証します。
(推奨) ゲスト構成証明拡張機能: スケールセットリソースにゲスト構成証明 (GA) 拡張機能を追加します。これにより、スケールセットのブート整合性監視が可能になります。
スケールセットの均一アップグレードモードが Manual に設定されている場合は、VM インスタンスを手動で更新します。

次の手順では、 ARM テンプレートを使用して、既存の均一スケールセットで信頼された起動を有効にする方法について詳しく説明します。

既存の ARM テンプレートデプロイコードを使用して信頼された起動を有効にするには、次の変更を行います。完全なテンプレートについては、「クイックスタートトラステッド起動スケールセット ARM テンプレート」を参照してください。

Important

トラステッド起動セキュリティタイプが利用できるのは、スケールセット apiVersion2020-12-01 以上においてです。アップグレード前に API バージョンが正しく設定されていることを確認します。

OS イメージ: OS イメージ参照を Gen2-Trusted 起動をサポートする OS イメージに更新します。 Azure Compute Gallery OS イメージを使用している場合は、ソースの Gen2 イメージが TrustedLaunchSupported セキュリティタイプを持っていることを確認します。

"storageProfile": { 
        "osDisk": { 
            "createOption": "FromImage", 
            "caching": "ReadWrite" 
        }, 
        "imageReference": { 
            "publisher": "MicrosoftWindowsServer", 
            "offer": "WindowsServer", 
            "sku": "2022-datacenter-azure-edition", 
            "version": "latest" 
        } 
}

(省略可能) スケールセットのサイズ: 現在のサイズファミリが信頼できる起動セキュリティ構成でサポートされていない場合は、スケールセットのサイズを変更します。
```
    "sku": { 
        "name": "Standard_D2s_v3", 
        "tier": "Standard", 
        "capacity": "[parameters('instanceCount')]" 
    } 
```
セキュリティプロファイル: securityProfileの下に virtualMachineProfile ブロックを追加して、トラステッド起動のセキュリティ構成を有効にします。

Note

推奨設定: vTPM: true と secureBoot: OS で署名されていないカスタムドライバーまたはカーネルを使用している場合は、 truesecureBoot を false に設定する必要があります。
```
"securityProfile": { 
    "securityType": "TrustedLaunch", 
    "uefiSettings": { 
      "secureBootEnabled": true, 
      "vTpmEnabled": true
    } 
}
```

(推奨) ゲスト構成証明拡張機能: スケールセットリソースにゲスト構成証明 (GA) 拡張機能を追加します。これにより、スケールセットのブート整合性監視が可能になります。

Important

ゲスト構成証明拡張機能では、secureBoot と vTPM が true に設定されている必要があります。

{ 
    "condition": "[and(parameters('vTPM'), parameters('secureBoot'))]", 
    "type": "Microsoft.Compute/virtualMachineScaleSets/extensions", 
    "apiVersion": "2022-03-01", 
    "name": "[format('{0}/{1}', parameters('vmssName'), GuestAttestation)]", 
    "location": "[parameters('location')]", 
    "properties": { 
      "publisher": "Microsoft.Azure.Security.WindowsAttestation", 
      "type": "GuestAttestation", 
      "typeHandlerVersion": "1.0", 
      "autoUpgradeMinorVersion": true, 
      "enableAutomaticUpgrade": true, 
      "settings": { 
        "AttestationConfig": { 
          "MaaSettings": { 
            "maaEndpoint": "[substring('emptystring', 0, 0)]", 
            "maaTenantName": "GuestAttestation" 
          } 
        } 
      } 
    }, 
    "dependsOn": [ 
      "[resourceId('Microsoft.Compute/virtualMachineScaleSets', parameters('vmssName'))]" 
    ] 
}

拡張機能の発行元の名前:

OS の種類	拡張機能の発行元の名前
Windows	Microsoft.Azure.Security.WindowsAttestation
Linux	Microsoft.Azure.Security.LinuxAttestation

テンプレートに加えられた変更を確認します。

展開して、既存のスケールセットのトラステッド起動とロールバック (必要な場合) へのアップグレードをサポートする完全なサンプル ARM テンプレートを表示します。

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmSku": {
      "type": "string",
      "defaultValue": "Standard_D2s_v3",
      "metadata": {
        "description": "Size of VMs in the VM Scale Set."
      }
    },
    "sku": {
      "type": "string",
      "defaultValue": "2022-datacenter-azure-edition",
      "allowedValues": [
        "2022-datacenter-azure-edition"
      ],
      "metadata": {
        "description": "The Windows version for the VM. This will pick a fully patched image of this given Windows version."
      }
    },
    "vmssName": {
      "type": "string",
      "maxLength": 61,
      "metadata": {
        "description": "String used as a base for naming resources. Must be 3-61 characters in length and globally unique across Azure. A hash is prepended to this string for some resources, and resource-specific information is appended."
      }
    },
    "instanceCount": {
      "type": "int",
      "defaultValue": 2,
      "maxValue": 100,
      "minValue": 1,
      "metadata": {
        "description": "Number of VM instances (100 or less)."
      }
    },
    "adminUsername": {
      "type": "string",
      "metadata": {
        "description": "Admin username on all VMs."
      }
    },
    "adminPassword": {
      "type": "securestring",
      "metadata": {
        "description": "Admin password on all VMs."
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Location for all resources."
      }
    },
    "publicIpName": {
      "type": "string",
      "defaultValue": "myPublicIP",
      "metadata": {
        "description": "Name for the Public IP used to access the virtual machine Scale set."
      }
    },
    "publicIPAllocationMethod": {
      "type": "string",
      "defaultValue": "Static",
      "allowedValues": [
        "Dynamic",
        "Static"
      ],
      "metadata": {
        "description": "Allocation method for the Public IP used to access the virtual machine set."
      }
    },
    "publicIpSku": {
      "type": "string",
      "defaultValue": "Standard",
      "allowedValues": [
        "Basic",
        "Standard"
      ],
      "metadata": {
        "description": "SKU for the Public IP used to access the virtual machine Scale set."
      }
    },
    "dnsLabelPrefix": {
      "type": "string",
      "defaultValue": "[toLower(format('{0}-{1}', parameters('vmssName'), uniqueString(resourceGroup().id)))]",
      "metadata": {
        "description": "Unique DNS Name for the Public IP used to access the virtual machine Scale set."
      }
    },
    "healthExtensionProtocol": {
      "type": "string",
      "defaultValue": "TCP",
      "allowedValues": [
        "TCP",
        "HTTP",
        "HTTPS"
      ]
    },
    "healthExtensionPort": {
      "type": "int",
      "defaultValue": 3389
    },
    "healthExtensionRequestPath": {
      "type": "string",
      "defaultValue": "/"
    },
    "overprovision": {
      "type": "bool",
      "defaultValue": false
    },
    "upgradePolicy": {
      "type": "string",
      "defaultValue": "Manual",
      "allowedValues": [
        "Manual",
        "Rolling",
        "Automatic"
      ]
    },
    "maxBatchInstancePercent": {
      "type": "int",
      "defaultValue": 20
    },
    "maxUnhealthyInstancePercent": {
      "type": "int",
      "defaultValue": 20
    },
    "maxUnhealthyUpgradedInstancePercent": {
      "type": "int",
      "defaultValue": 20
    },
    "pauseTimeBetweenBatches": {
      "type": "string",
      "defaultValue": "PT5S"
    },
    "securityType": {
      "type": "string",
      "defaultValue": "TrustedLaunch",
      "allowedValues": [
        "Standard",
        "TrustedLaunch"
      ],
      "metadata": {
        "description": "Security Type of the Virtual Machine."
      }
    },
    "encryptionAtHost": {
        "type": "bool",
        "defaultValue": false,
        "metadata": {
            "description": "This property can be used by user in the request to enable or disable the Host Encryption for the virtual machine or virtual machine Scale set. This will enable the encryption for all the disks including Resource/Temp disk at host itself. The default behavior is: The Encryption at host will be disabled unless this property is set to true for the resource."
        }
    }
  },
  "variables": {
    "namingInfix": "[toLower(substring(format('{0}{1}', parameters('vmssName'), uniqueString(resourceGroup().id)), 0, 9))]",
    "addressPrefix": "10.0.0.0/16",
    "subnetPrefix": "10.0.0.0/24",
    "virtualNetworkName": "[format('{0}vnet', variables('namingInfix'))]",
    "subnetName": "[format('{0}subnet', variables('namingInfix'))]",
    "loadBalancerName": "[format('{0}lb', variables('namingInfix'))]",
    "natPoolName": "[format('{0}natpool', variables('namingInfix'))]",
    "bePoolName": "[format('{0}bepool', variables('namingInfix'))]",
    "natStartPort": 50000,
    "natEndPort": 50119,
    "natBackendPort": 3389,
    "nicName": "[format('{0}nic', variables('namingInfix'))]",
    "ipConfigName": "[format('{0}ipconfig', variables('namingInfix'))]",
    "imageReference": {
      "2022-datacenter-azure-edition": {
        "publisher": "MicrosoftWindowsServer",
        "offer": "WindowsServer",
        "sku": "[parameters('sku')]",
        "version": "latest"
      }
    },
    "extensionName": "GuestAttestation",
    "extensionPublisher": "Microsoft.Azure.Security.WindowsAttestation",
    "extensionVersion": "1.0",
    "maaTenantName": "GuestAttestation",
    "maaEndpoint": "[substring('emptyString', 0, 0)]",
    "uefiSettingsJson": {
        "secureBootEnabled": true,
        "vTpmEnabled": true
    },
    "rollingUpgradeJson": {
      "maxBatchInstancePercent": "[parameters('maxBatchInstancePercent')]",
      "maxUnhealthyInstancePercent": "[parameters('maxUnhealthyInstancePercent')]",
      "maxUnhealthyUpgradedInstancePercent": "[parameters('maxUnhealthyUpgradedInstancePercent')]",
      "pauseTimeBetweenBatches": "[parameters('pauseTimeBetweenBatches')]"
    }
  },
  "resources": [
    {
      "type": "Microsoft.Network/virtualNetworks",
      "apiVersion": "2022-05-01",
      "name": "[variables('virtualNetworkName')]",
      "location": "[parameters('location')]",
      "properties": {
        "addressSpace": {
          "addressPrefixes": [
            "[variables('addressPrefix')]"
          ]
        },
        "subnets": [
          {
            "name": "[variables('subnetName')]",
            "properties": {
              "addressPrefix": "[variables('subnetPrefix')]"
            }
          }
        ]
      }
    },
    {
      "type": "Microsoft.Network/publicIPAddresses",
      "apiVersion": "2022-05-01",
      "name": "[parameters('publicIpName')]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "[parameters('publicIpSku')]"
      },
      "properties": {
        "publicIPAllocationMethod": "[parameters('publicIPAllocationMethod')]",
        "dnsSettings": {
          "domainNameLabel": "[parameters('dnsLabelPrefix')]"
        }
      }
    },
    {
      "type": "Microsoft.Network/loadBalancers",
      "apiVersion": "2022-05-01",
      "name": "[variables('loadBalancerName')]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "[parameters('publicIpSku')]",
        "tier": "Regional"
      },
      "properties": {
        "frontendIPConfigurations": [
          {
            "name": "LoadBalancerFrontEnd",
            "properties": {
              "publicIPAddress": {
                "id": "[resourceId('Microsoft.Network/publicIPAddresses', parameters('publicIpName'))]"
              }
            }
          }
        ],
        "backendAddressPools": [
          {
            "name": "[variables('bePoolName')]"
          }
        ],
        "inboundNatPools": [
          {
            "name": "[variables('natPoolName')]",
            "properties": {
              "frontendIPConfiguration": {
                "id": "[resourceId('Microsoft.Network/loadBalancers/frontendIPConfigurations', variables('loadBalancerName'), 'loadBalancerFrontEnd')]"
              },
              "protocol": "Tcp",
              "frontendPortRangeStart": "[variables('natStartPort')]",
              "frontendPortRangeEnd": "[variables('natEndPort')]",
              "backendPort": "[variables('natBackendPort')]"
            }
          }
        ]
      },
      "dependsOn": [
        "[resourceId('Microsoft.Network/publicIPAddresses', parameters('publicIpName'))]"
      ]
    },
    {
      "type": "Microsoft.Compute/virtualMachineScaleSets",
      "apiVersion": "2022-03-01",
      "name": "[parameters('vmssName')]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "[parameters('vmSku')]",
        "tier": "Standard",
        "capacity": "[parameters('instanceCount')]"
      },
      "properties": {
        "virtualMachineProfile": {
          "storageProfile": {
            "osDisk": {
              "createOption": "FromImage",
              "caching": "ReadWrite"
            },
            "imageReference": "[variables('imageReference')[parameters('sku')]]"
          },
          "osProfile": {
            "computerNamePrefix": "[variables('namingInfix')]",
            "adminUsername": "[parameters('adminUsername')]",
            "adminPassword": "[parameters('adminPassword')]"
          },
          "securityProfile": {
              "encryptionAtHost": "[parameters('encryptionAtHost')]",
              "securityType": "[parameters('securityType')]",
              "uefiSettings": "[if(equals(parameters('securityType'), 'TrustedLaunch'), variables('uefiSettingsJson'), null())]"
              
          },
          "networkProfile": {
            "networkInterfaceConfigurations": [
              {
                "name": "[variables('nicName')]",
                "properties": {
                  "primary": true,
                  "ipConfigurations": [
                    {
                      "name": "[variables('ipConfigName')]",
                      "properties": {
                        "subnet": {
                          "id": "[resourceId('Microsoft.Network/virtualNetworks/subnets', variables('virtualNetworkName'), variables('subnetName'))]"
                        },
                        "loadBalancerBackendAddressPools": [
                          {
                            "id": "[resourceId('Microsoft.Network/loadBalancers/backendAddressPools', variables('loadBalancerName'), variables('bePoolName'))]"
                          }
                        ],
                        "loadBalancerInboundNatPools": [
                          {
                            "id": "[resourceId('Microsoft.Network/loadBalancers/inboundNatPools', variables('loadBalancerName'), variables('natPoolName'))]"
                          }
                        ]
                      }
                    }
                  ]
                }
              }
            ]
          },
          "extensionProfile": {
            "extensions": [
              {
                "name": "HealthExtension",
                "properties": {
                  "publisher": "Microsoft.ManagedServices",
                  "type": "ApplicationHealthWindows",
                  "typeHandlerVersion": "1.0",
                  "autoUpgradeMinorVersion": false,
                  "settings": {
                    "protocol": "[parameters('healthExtensionProtocol')]",
                    "port": "[parameters('healthExtensionPort')]",
                    "requestPath": "[if(equals(parameters('healthExtensionProtocol'), 'TCP'), null(), parameters('healthExtensionRequestPath'))]"
                  }
                }
              }
            ]
          },
          "diagnosticsProfile": {
            "bootDiagnostics": {
              "enabled": true
            }
          }
        },
        "orchestrationMode": "Uniform",
        "overprovision": "[parameters('overprovision')]",
        "upgradePolicy": {
          "mode": "[parameters('upgradePolicy')]",
          "rollingUpgradePolicy": "[if(equals(parameters('upgradePolicy'), 'Rolling'), variables('rollingUpgradeJson'), null())]",
          "automaticOSUpgradePolicy": {
            "enableAutomaticOSUpgrade": true
          }
        }
      },
      "dependsOn": [
        "[resourceId('Microsoft.Network/loadBalancers', variables('loadBalancerName'))]",
        "[resourceId('Microsoft.Network/virtualNetworks', variables('virtualNetworkName'))]"
      ]
    },
    {
      "condition": "[and(equals(parameters('securityType'), 'TrustedLaunch'), and(equals(variables('uefiSettingsJson').secureBootEnabled, true()), equals(variables('uefiSettingsJson').vTpmEnabled, true())))]",
      "type": "Microsoft.Compute/virtualMachineScaleSets/extensions",
      "apiVersion": "2022-03-01",
      "name": "[format('{0}/{1}', parameters('vmssName'), variables('extensionName'))]",
      "location": "[parameters('location')]",
      "properties": {
        "publisher": "[variables('extensionPublisher')]",
        "type": "[variables('extensionName')]",
        "typeHandlerVersion": "[variables('extensionVersion')]",
        "autoUpgradeMinorVersion": true,
        "enableAutomaticUpgrade": true,
        "settings": {
          "AttestationConfig": {
            "MaaSettings": {
              "maaEndpoint": "[variables('maaEndpoint')]",
              "maaTenantName": "[variables('maaTenantName')]"
            }
          }
        }
      },
      "dependsOn": [
        "[resourceId('Microsoft.Compute/virtualMachineScaleSets', parameters('vmssName'))]"
      ]
    }
  ]
}

ARM テンプレートのデプロイを実行します。

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

デプロイが成功したことを確認します。 Azure portal を使用して、スケールセットユニフォームのセキュリティタイプと UEFI 設定を確認します。概要ページの [セキュリティの種類] セクションを確認します。

スケールセットの均一アップグレードモードが Manual に設定されている場合は、VM インスタンスを手動で更新します。

$resourceGroupName = "myResourceGroup"
$vmssName = "VMScaleSet001"
Update-AzVmssInstance -ResourceGroupName $resourceGroupName -VMScaleSetName $vmssName -InstanceId "0"

このセクションでは、Azure CLI を使用して既存の Azure スケールセットユニフォームリソースでトラステッド起動を有効にする手順について説明します。

最新バージョンの Azure CLI がインストールされ、 az login を使用して Azure アカウントにログインしていることを確認します。

Note

vTPM は既定で有効になっています。
カスタム署名されていないカーネルまたはドライバーを使用していない場合は、セキュアブートを有効にする必要があります (既定では有効になっていません)。セキュアブートでは、ブートの整合性が維持され、VM の基本的なセキュリティが有効になります。

Azure サブスクリプションへのログイン

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

を --security-type、TrustedLaunch を Gen2 トラステッド起動がサポートされている OS イメージ、virtualMachineProfile.storageProfile.imageReference.sku を Gen2 トラステッド起動がサポートされている VM サイズに設定してコマンド --vm-sku を使用してトラステッド起動を有効にします。
```
az vmss update --name MyScaleSet `
    --resource-group MyResourceGroup `
    --set virtualMachineProfile.storageProfile.imageReference.sku='2022-datacenter-azure-edition' `
    --security-type TrustedLaunch --enable-secure-boot $true --enable-vtpm $true
```
Note

az vmss updateで使用される OS イメージ SKU は、同じ OS イメージパブリッシャーとオファーの SKU である必要があります。

前のコマンドの出力を検証します。 securityProfile 構成はコマンド出力と共に返されます。

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

スケールセットの均一アップグレードモードが Manual に設定されている場合は、VM インスタンスを手動で更新します。
```
az vmss update-instances --instance-ids 1 --name MyScaleSet --resource-group MyResourceGroup
```
スケールセットの均一アップグレードモードがに設定されている場合は、ローリング RollingUpgradeを開始します。
```
az vmss rolling-upgrade start --name MyScaleSet --resource-group MyResourceGroup
```

このセクションでは、Azure PowerShell を使用して、既存の Azure 仮想マシンスケールセットユニフォームでトラステッド起動を有効にする手順について説明します。

最新の Azure PowerShell がインストールされ、 Connect-AzAccount を使用して Azure アカウントにログインしていることを確認します。

Note

vTPM は既定で有効になっています。
カスタム署名されていないカーネルまたはドライバーを使用していない場合は、セキュアブートを有効にする必要があります (既定では有効になっていません)。セキュアブートでは、ブートの整合性が維持され、VM の基本的なセキュリティが有効になります。

Azure サブスクリプションへのログイン

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

-SkuName コマンドを使用して信頼できる起動を有効にするには、-SecurityType、TrustedLaunch を設定します。

$vmss = Get-AzVmss -VMScaleSetName MyVmssName -ResourceGroupName MyResourceGroup

# Enable Trusted Launch
$vmss = Set-AzVmssSecurityProfile -virtualMachineScaleSet $vmss -SecurityType TrustedLaunch

# Enable Trusted Launch settings
$vmss = Set-AzVmssUefi -VirtualMachineScaleSet $vmss -EnableVtpm $true -EnableSecureBoot $true

Update-AzVmss -ResourceGroupName $vmss.ResourceGroupName `
    -VMScaleSetName $vmss.Name -VirtualMachineScaleSet $vmss `
    -SecurityType TrustedLaunch -EnableVtpm $true -EnableSecureBoot $true `
    -ImageReferenceSku 2022-datacenter-azure-edition

Note

Update-AzVMSS コマンドで使用される OS イメージ SKU は、同じ OS イメージパブリッシャーとオファーからのものである必要があります。

securityProfile コマンドの出力で構成が返されることを確認します。

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

スケールセットの均一アップグレードモードが Manual に設定されている場合は、VM インスタンスを手動で更新します。
```
Update-AzVmssInstance -ResourceGroupName "MyResourceGroup" -VMScaleSetName "MyScaleSet" -InstanceId "0"
```
スケールセットの均一アップグレードモードがに設定されている場合は、ローリング RollingUpgradeを開始します。
```
Start-AzVmssRollingOSUpgrade -ResourceGroupName "MyResourceGroup" -VMScaleSetName "MyScaleSet"
```

ロールバック

信頼された起動から以前の既知の適切な構成への変更をロールバックするには、スケールセットの securityType を Standard に設定する必要があります。

OS イメージ: Operating systemの下のSettingsに移動します。 Change image referenceをクリックします。
OS イメージ参照を最新の既知の正常な構成に更新する -> [ 適用] をクリックします。
セキュリティの種類: 「Configuration」ページに移動し、「Settings - >」の下にあるConfigurationページのセキュリティタイプのドロップダウンをTrusted launchからStandardに更新して、Trusted Launchセキュリティ構成を無効にします。 [ Yes ] をクリックして変更を確定します。 $[Standard security type]$標準セキュリティの種類$ ドロップダウンのスクリーンショット。$
スケールセットの Overview ページで変更を検証します。
スケールセットの均一アップグレードモードが Manual に設定されている場合は、VM インスタンスを手動で更新します。

信頼された起動から以前の既知の正常な構成への変更をロールバックするには、次に示すように securityProfile を Standard に設定します。必要に応じて、他のパラメーターの変更 (OS イメージ、VM サイズ) を元に戻し、「既存のスケールセットでトラステッド起動を有効にする」で説明されている手順 5 から 8 を繰り返すこともできます

"securityProfile": {
    "securityType": "Standard",
    "uefiSettings": "[null()]"
}

Note

均一スケールセットをトラステッド起動から非トラステッド起動構成にロールバックするには、Azure CLI バージョン 2.62.0 以上が必要です。

信頼された起動から以前の既知の正常な構成への変更をロールバックするには、次のように --security-type を Standard に設定します。必要に応じて、他のパラメーターの変更 (OS イメージ、仮想マシンサイズ) を元に戻し、「既存のスケールセットでトラステッド起動を有効にする」で説明されている手順 2 から 5 を繰り返すこともできます

az vmss update --name MyScaleSet `
        --resource-group MyResourceGroup `
        --security-type Standard

信頼された起動から以前の既知の正常な構成への変更をロールバックするには、次のように -SecurityType を Standard に設定します。必要に応じて、他のパラメーターの変更 (OS イメージ、仮想マシンサイズ) を元に戻し、「既存のスケールセットでトラステッド起動を有効にする」で説明されている手順 2 から 5 を繰り返すこともできます

$vmss = Get-AzVmss -VMScaleSetName MyVmssName -ResourceGroupName MyResourceGroup

# roll back Trusted Launch
Set-AzVmssSecurityProfile -virtualMachineScaleSet $vmss -SecurityType Standard

Update-AzVmss -ResourceGroupName $vmss.ResourceGroupName `
    -VMScaleSetName $vmss.Name -VirtualMachineScaleSet $vmss `
    -SecurityType Standard `
    -ImageReferenceSku 2022-datacenter-azure-edition

次のステップ

(推奨) アップグレード後、ブート整合性の監視を有効にして、Microsoft Defender for Cloud を使用して VM の正常性を監視します。

信頼できる起動の詳細を確認し、よく寄せられる質問を確認します。

フィードバック

このページはお役に立ちましたか?

Last updated on 2025-08-05

次の方法で共有

既存の Uniform Scale Set で信頼された起動を有効にする

Limitations

Prerequisites

既存のスケール セット ユニフォームでトラステッド起動を有効にする

ロールバック

次のステップ

フィードバック

その他のリソース

既存のスケールセットユニフォームでトラステッド起動を有効にする