Share via

VMM での保護されたホストのプロビジョニング

  • [アーティクル]

重要

このバージョンの Virtual Machine Manager (VMM) がサポート終了に達しました。 VMM 2022 にアップグレードすることをお勧めします。

この記事では、System Center - Virtual Machine Manager (VMM) コンピューティング ファブリックで保護された Hyper-V ホストを展開する方法について説明します。 保護されたファブリックの詳細については、こちらを参照してください

VMM ファブリックで保護された Hyper-V ホストをセットアップする方法はいくつかあります。

  • 既存のホストを保護されたホストとして構成する: シールドされた VM を実行するように既存のホストを構成することができます。
  • 新しい保護されたホストを追加またはプロビジョニングする: このホストには次のようなものがあります。
    • 既存の Windows Server コンピューター (Hyper-V ロールあり、またはなし)
    • ベアメタル コンピューター

次のように、VMM ファブリックで保護されたホストをセットアップします。

  1. グローバル HGS 設定を構成する: ホスト間でシールドされた VM を正常に移行できるように、VMM は保護されたホストをすべて同じ HGS サーバーに接続します。 すべての保護されたホストに適用されるグローバル HGS 設定を指定し、グローバル設定をオーバーライドするホスト固有の設定を指定できます。 設定は次のとおりです。

    • 構成証明の URL : HGS 構成証明サービスに接続するためにホストで使用される URL。 このサービスによって、シールドされた VM をホストで実行できるようになります。
    • キー保護サーバーの URL: VM の暗号化解除に必要なキーを取得するためにホストで使用される URL。 ホストはキーを取得するために証明書を渡す必要があります。
    • コード整合性ポリシー: コード整合性ポリシーでは、保護されたホスト上で実行できるソフトウェアを制限します。 TPM 構成証明を使用するように HGS が構成されている場合、保護されたホストは、HGS サーバーで承認されたコード整合性ポリシーを使用するように構成される必要があります。 VMM でのコード整合性ポリシーの場所を指定し、ホストに展開することができます。 これは省略可能であり、保護されたファブリックを管理するために必要ありません。
    • VM シールド ヘルパー VHD: 既存の VM をシールドされた VM に変換するために使用される特別に準備された仮想ハード ディスク。 既存の VM をシールドする場合は、この設定を構成する必要があります。

  2. クラウドを構成する: 保護されたホストを VMM クラウドに含める場合は、クラウドでシールドされた VM をサポートできるようにする必要があります。

開始する前に

先に進む前に、ホスト ガーディアン サービスをデプロイして構成したことを確認します。 Windows Server での HGS の構成については、こちらを参照してください。

さらに、保護されたホストになるホストが、保護されたホストの前提条件を満たしていることを確認します。

  • オペレーティング システム: ホスト サーバーで Windows Server Datacenter を実行する必要があります。 保護されたホストには Server Core を使用することをお勧めします。
  • 役割と機能: ホスト サーバーで Hyper-V 役割とHost Guardian Hyper-V サポート機能を実行している必要があります。 Host Guardian Hyper-V サポートにより、ホストは HGS と通信して、その正常性を証明し、シールドされた VM のキーを要求できます。 ホストが Nano Server を実行している場合、そのホストには Compute、SCVMM-Package、SCVMM-Compute、SecureStartup、および ShieldedVM の各パッケージがインストールされている必要があります。
  • TPM 構成証明: TPM 構成証明を使用するように HGS が構成されている場合、ホスト サーバーには次のことが求められます。
    • UEFI 2.3.1c および TPM 2.0 モジュールを使用する
    • UEFI モード (BIOS や "レガシ" モードではない) で起動する
    • セキュア ブートを有効にする
  • HGS 登録: HGS に Hyper-V ホストを登録する必要があります。 これらの登録方法は、HGS が AD 構成証明と TPM 構成証明のどちらを使用しているかによって異なります。 詳細情報
  • ライブ マイグレーション: シールドされた VM のライブ マイグレーションを行う場合は、2 つ以上の保護されたホストを展開する必要があります。
  • ドメイン: 保護されたホストと VMM サーバーは、同じドメイン内にあるか、双方向の信頼を持つドメインに存在する必要があります。

グローバル HGS 設定を構成する

VMM コンピューティング ファブリックに保護されたホストを追加する前に、ファブリックのホスト ガーディアン サービス (HGS) に関する情報を使用して VMM を構成する必要があります。 VMM によって管理されるすべての保護されたホストに同じ HGS が使用されます。

  1. HGS 管理者からファブリックの構成証明およびキー保護の URL を取得します。

  2. VMM コンソールで、[設定] [ホスト ガーディアン サービスの設定>] の順に選択します。

  3. 構成証明およびキー保護の URL をそれぞれのフィールドに入力します。 現時点では、コード整合性ポリシーと VM シールド ヘルパー VHD セクションを構成する必要はありません。

    グローバル HGS 設定ウィンドウのスクリーンショット。

  4. [完了] を選択して構成を保存します。

新しい保護されたホストを追加またはプロビジョニングする

  1. 次のようにホストを追加します。
    • Windows Server を実行している既存のサーバーを、保護された Hyper-V ホストとして追加する場合は、ファブリックに追加します。
    • ベアメタル コンピューターから Hyper-V ホストをプロビジョニングする場合は、これらの前提条件と手順に従います

      注意

      ホストは、プロビジョニング時に保護された状態で展開できます (リソース ウィザード >の OS 設定>の追加 保護されたホストとして構成します)。

  2. 次のセクションに進み、保護されたホストとしてホストを構成します。

既存のホストを保護されたホストとして構成する

VMM によって管理された既存の Hyper-V ホストを保護されたホストとして構成するには、次の手順を実行します。

  1. メンテナンス モードでホストを配置します。

  2. [すべてのホスト] で、ホストを右クリックし、[プロパティ][ホスト ガーディアン サービス] の順に選択します。

    保護されたホストとしてホストを有効にするのスクリーンショット。

  3. ホスト ガーディアン Hyper-V サポートを有効にするように選択し、ホストを構成します。

    注意

    • ホストには、グローバル構成証明とキー保護サーバーの URL が設定されます。
    • VMM コンソール以外でこれらの URL を変更する場合は、VMM で更新する必要もあります。 そうしないと、VMM は、URL が再び一致するまで、シールドされた VM をホストに配置しません。 [有効にする] ボックスをオフにして再チェックして、VMM で構成された URL でホストを再構成することもできます。

  4. VMM を使用してコード整合性ポリシーを管理する場合は、2 番目のチェック ボックスを有効にして、システムに対して適切なポリシーを選択します。

  5. [ OK] を選択 して、ホストの構成を更新します。

  6. ホストのメンテナンス モードを解除します。

VMM は、追加時およびホストの状態が更新されるたびに、ホストが構成証明に合格することを確認します。 VMM は、構成証明を渡したホストでのみシールドされた VM を展開および移行します。 ホストの構成証明の状態は、[プロパティ][状態][HGS クライアント全体] で確認できます。

VMM クラウドで保護されたホストを有効にする

次のようにして、クラウドで保護されたホストをサポートできるようにします。

  1. VMM コンソールで、[VM とサービス> クラウド] を選択します。 クラウド名を右クリックして、> を選択します。
  2. [全般][シールドされた VM のサポート] で、[このプライベート クラウドでサポートされている] を選択します。

VMM を使用してコード整合性ポリシーを管理および展開する

TPM 構成証明を使用するように構成された保護されているファブリック内の各ホストは、ホスト ガーディアン サービスから信頼されているコード整合性ポリシーで構成される必要があります。 コード整合性ポリシーの管理を容易にするために、必要に応じて保護されたホストには新しいポリシーまたは更新されたポリシーを展開することができます。

VMM によって管理される保護されたホストにコード整合性ポリシーを展開するには、次の手順を実行します。

  1. 環境内での参照ホストごとにコード整合性ポリシーを作成します。 保護されたホストの一意のハードウェアとソフトウェアの構成ごとに異なる CI ポリシーが必要になります。
  2. セキュリティで保護されたファイル共有に CI ポリシーを格納します。 それぞれの保護されたホスト用のコンピューター アカウントには、共有への読み取りアクセス権が必要です。 書き込みアクセス権を持つのは信頼された管理者のみとする必要があります。
  3. VMM コンソールで、[設定] [ホスト ガーディアン サービスの設定>] の順に選択します。
  4. [コードの整合性ポリシー] セクションで、[ 追加] を選択し、フレンドリ名と CI ポリシーへのパスを指定します。 固有の CI ポリシーごとに、この手順を繰り返します。 どのポリシーをどのホストに適用するかを特定するのに役立つ方法で、ポリシーに名前を付けてください。 コード整合性ポリシーの追加のスクリーンショット。
  5. [完了] を選択して構成を保存します。

次に、保護されたホストごとに次の手順を実行して、コード整合性ポリシーを適用します。

  1. メンテナンス モードでホストを配置します。

  2. [すべてのホスト] で、ホストを右クリックし、[プロパティ][ホスト ガーディアン サービス] の順に選択します。

    コード整合性ポリシーの適用のスクリーンショット。

  3. コード整合性ポリシーを使用してホストを構成するオプションを有効にし、システムに適切なポリシーを選択します。

  4. [ OK] を選択 して、構成の変更を適用します。 新しいポリシーを適用するためにホストが再起動する場合があります。

  5. ホストのメンテナンス モードを解除します。

警告

ホストの正しいコード整合性ポリシーを選択していることを確認します。 ホストに互換性のないポリシーが適用された場合、一部のアプリケーション、ドライバー、またはオペレーティング システムのコンポーネントが機能しなくなります。

ファイル共有内のコード整合性ポリシーを更新し、さらに保護されたホストを更新したい場合は、次の手順を実行します。

  1. メンテナンス モードでホストを配置します。
  2. [すべてのホスト] で、ホストを右クリックし、[最新のコード整合性ポリシーの適用] をクリックします。
  3. ホストのメンテナンス モードを解除します。

次の手順