設定磁碟和 VM 範本以部署受防護的 VM
您可以使用已簽署的虛擬機硬碟 (VHDX) 在 System Center Virtual Machine Manager (VMM) 計算網狀架構中部署受防護的虛擬機,並選擇性地使用 VM 範本。 本文說明如何將已簽署的範本磁碟新增至 VMM、設定防護公用程式磁碟、部署新的受防護 VM,以及將現有的 VM 轉換為 VMM 中的受防護 VM。
在您開始使用 Intune 之前
- 用來建立受防護 VM 範本的已簽署範本磁碟必須標示系列和版本。
- 您新增已簽署範本磁碟的 VMM 連結庫必須可供布建受防護 VM 的雲端存取。
- 共用的連結庫應該新增至將布建受防護 VM 的雲端(不是唯讀模式)。
將受防護 VM 的已簽署範本磁碟新增至 VMM 連結庫
受防護的 VM 可以透過兩種方式進行部署:直接從已簽署的範本磁碟進行部署,或將現有的 VM 轉換為受防護的 VM。
已簽署的範本磁碟可確保租使用者未修改磁碟內容,並讓租使用者以加密方式安全地將部署密碼和憑證等部署秘密傳輸至 VM。 基於這個理由,建議您從已簽署的範本磁碟部署受防護的 VM。
若要準備並新增已簽署的範本磁碟至 VMM 連結庫,請完成下列步驟:
將範本磁碟 複製到連結庫共用 (\\<vmmserver>\MSSCVMMLibrary\VHD 預設),然後重新整理連結庫伺服器。
若要提供 VMM 範本磁碟上作業系統的相關信息,請在 [連結庫] 中,以滑鼠右鍵按兩下磁碟 >屬性。
在 [操作系統] 中,選取安裝在磁碟上的操作系統。 這表示 VMM VHDX 不是空白。 磁碟名稱旁的防護圖示表示其為受防護 VM 的已簽署範本磁碟。 提供磁碟系列和發行的相關信息,以及讓租使用者 Azure Pack 自助入口網站中的資源可供使用(選擇性)。
選取 [ 確定 ] 以儲存已簽署範本磁碟的屬性。
建立受防護的 VM 範本
您可以選擇性地使用已簽署的範本磁碟來建立受防護的 VM 範本。 VM 樣本會定義虛擬機資源,例如 OS 磁碟的 CPU 計數、RAM 和網路功能。
受防護 VM 的範本會與一般 VM 樣本稍有不同。 部分設定已修正;例如,VM 必須是已啟用安全開機的第 2 代 VM。 建立 VM 範本,如下所示:
- 選取 [連結庫>建立 VM 範本]。 在 [選取來源] 中,選取 [使用現有的 VM 範本] 或儲存在連結庫 >[瀏覽] 中的虛擬硬碟。
- 選取已簽署的範本磁碟、指定範本名稱和選擇性描述,然後選取 [ 確定]。
- 在 [ 設定硬體] 中,指定您從範本建立的 VM 的硬體屬性。 請確定至少有一個 NIC 已設定且可供使用。 租用戶會透過遠端桌面連線、Windows 遠端管理或其他需要網路的遠端管理工具連線到受防護的 VM。
- 如果您想要在租用戶集區中使用靜態 IP 尋址,您必須讓租使用者知道。 租使用者需要提供具有值的回應檔案,其專門為它們提供受防護的 VM。 支援靜態IP集區需要特殊的已知佔位元值。
- 在 [ 設定作業系統] 中,指定操作系統版本、計算機名稱、產品密鑰和時區。 租使用者會提供安全資訊,例如防護數據檔中的系統管理員密碼(。PDK),它們會在布建新的 VM 時提供。 如果您指定產品金鑰,請確定它適用於樣本磁碟上的作業系統。 如果不是,VM 將不會成功布建。 建立 VM 樣本之後,請確定其可供租用戶系統管理員使用者角色使用。 租用戶接著可以使用它來布建新的 VM。
設定防護協助程式 VHD
現有的 Windows VM 也可以使用防護協助程式 VHD,轉換為受防護的 VM。 協助程式 VHD 是一個特殊磁碟,其備妥工具可加密另一部 VM 的作業系統磁碟驅動器。 VMM 必須使用協助程式 VHD 進行設定,才能防護現有的 VM。
- 在執行 Windows Server 2016 或更新版本或 Windows 10 或 Windows 11 且已安裝遠端伺服器管理工具的電腦上,準備協助程式 VHD。
- 將協助程式 VHD 複製到連結庫共用,然後重新整理連結庫伺服器。
- 在 VMM 控制台中,選取 [設定>主機守護者服務設定]。
- 在 [防護協助程式 VHD] 區段中,選取 [ 流覽 ],然後從連結庫共用中的檔案清單中選取協助程式 VHD。
- 按一下 [完成] 儲存設定。
設定防護協助程式 VHD 後,您可以繼續 防護現有的 VM。
下一步
檢閱 布建受防護的 VM ,以瞭解如何在 VMM 計算網狀架構中部署受防護的虛擬機。