Share via

管理者が信頼する構成証明を使用して Hyper-V ホストを承認する

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

重要

管理者によって信頼された構成証明 (AD モード) は、Windows Server 2019 以降では非推奨とされます。 TPM 構成証明ができない環境では、ホスト キーの構成証明を構成します。 ホスト キーの構成証明は、AD モードと同様の保証を提供し、設定が簡単です。

AD モードで保護されたホストを承認するには:

  1. ファブリック ドメインで、Hyper-V ホストをセキュリティ グループに追加します。
  2. HGS ドメインで、セキュリティ グループの SID を HGS に登録します。

Hyper-V ホストをセキュリティ グループに追加し、ホストを再起動する

  1. ファブリック ドメインに GLOBAL セキュリティ グループを作成し、シールドされた VM を実行する Hyper-V ホストを追加します。 ホストを再起動して、グループ メンバーシップを更新します。

  2. Get-ADGroup を使用して、セキュリティ グループのセキュリティ識別子 (SID) を取得し、HGS 管理者に提供します。

    Get-ADGroup "Guarded Hosts"

    Get-AdGroup command with output

セキュリティ グループの SID を HGS に登録します

  1. ファブリック管理者から保護されたホストのセキュリティ グループの SID を取得し、次のコマンドを実行してセキュリティ グループを HGS に登録します。 必要に応じて、追加のグループに対してコマンドを再び実行します。 グループのフレンドリ名を指定します。 Active Directory セキュリティ グループ名と一致する必要はありません。

    Add-HgsAttestationHostGroup -Name "<GuardedHostGroup>" -Identifier "<SID>"

  2. グループが追加されたのを確認するには、 Get-HgsAttestationHostGroup を実行します。