共用方式為

設定磁碟和 VM 範本以部署受防護的 VM

  • 發行項

重要

此版本的 Virtual Machine Manager (VMM) 已終止支援。 建議您 升級至 VMM 2022

您可以在 System Center - Virtual Machine Manager (VMM) 使用已簽署的虛擬機硬碟 (VHDX) ,以及選擇性地使用 VM 範本部署受防護的虛擬機。 本文說明如何將已簽署的範本磁碟新增至 VMM、設定防護公用程式磁碟、部署新的受防護 VM,以及將現有的 VM 轉換為 VMM 中的受防護 VM。

在您開始使用 Intune 之前

  • 用於建立受防護的 VM 範本的已簽署範本磁碟,必須具有系列和版本標示。
  • 要新增已簽署範本磁碟的 VMM 程式庫,必須可從將佈建受防護 VM 的雲端存取。
  • 共用程式庫應加入將佈建受防護 VM 的雲端 (非唯讀模式)。

將受防護 VM 的已簽署範本磁碟新增至 VMM 程式庫

您可以透過兩種方式來部署受防護的 VM︰直接從已簽署的範本磁碟進行部署,或將現有的 VM 轉換成受防護的 VM。

已簽署的範本磁碟可確保租使用者尚未修改磁碟內容,並讓租使用者以加密方式安全地將部署秘密,例如系統管理員密碼和憑證傳輸至 VM。 因此,建議您從已簽署的範本磁碟部署受防護的 VM。

若要準備將已簽署的範本磁碟新增至 VMM 程式庫,請完成下列步驟:

  1. 在執行 Windows Server 2016 和 [桌面體驗] 的電腦或已安裝遠端伺服器管理工具的 Windows 10 電腦上,準備好已簽署的範本磁碟
  1. 在執行 Windows Server 2016 或 2019 的電腦上準備已簽署的範本磁碟,其中包含桌面體驗或更新版本,或安裝遠端伺服器管理工具 Windows 10 或 Windows 11。

  1. 依預設,將範本磁碟複製到連結庫共用 (\\<vmmserver>\MSSCVMMLibrary\VHD) ,然後重新整理連結庫伺服器。

  2. 若要提供 VMM 範本磁碟上作業系統的相關信息,請在 [連結 ] 中,以滑鼠右鍵按兩下磁碟 >屬性

  3. 在 [作業系統] 中,選取安裝在磁碟上的作業系統。 這會向 VMM 指出 VHDX 不是空白。 磁碟名稱旁邊的盾牌圖示,表示它為受防護的 VM 的已簽署範本磁碟。 提供磁碟 系列發行 的相關信息,以及讓租使用者 Azure Pack 自助式入口網站中的資源可供使用, (選擇性) 。

    已簽署範本磁碟的 [磁碟屬性] 視窗螢幕快照。

  4. 選取 [確定 ] 以儲存已簽署範本磁碟的屬性。

建立受防護的 VM 範本

您可以選擇性地使用已簽署的範本磁碟來建立受防護的 VM 範本。 VM 範本可定義虛擬機器資源,例如作業系統磁碟的 CPU 計數、RAM 和網路功能。

受防護的 VM 範本與一般的 VM 範本稍微有些不同。 某些設定是固定的;例如,VM 必須是已啟用安全開機的第 2 代 VM。 遵循下列步驟以建立 VM 範本︰

  1. 選取 [ 連結庫>建立 VM 範本]。 在 [選取來源] 中,選取 [使用現有的 VM 範本] 或儲存在連結庫 >[瀏覽] 中的虛擬硬碟。
  2. 選取已簽署的範本磁碟、指定範本名稱和選擇性描述,然後選取 [ 確定]。
  3. 在 [ 設定硬體] 中,指定您從範本建立之 VM 的硬體屬性。 請確定至少有一個 NIC 已設定且可供使用。 透過遠端桌面連線、Windows 遠端管理或其他需要網路的遠端管理工具,連線到受防護 VM 的租用戶。
  4. 如果您想要在租用戶集區中使用靜態 IP 位址,您需要讓您的租用戶知道。 租使用者需要提供具有值的回應檔案,其會為其特製化受防護的 VM。 必須有特殊、已知的預留位置值,才能支援靜態 IP 集區。
  5. 在 [ 設定作業系統] 中,指定操作系統版本、計算機名稱、產品密鑰和時區。 租使用者提供安全的資訊,例如防護數據檔中的系統管理員密碼 (。PDK) ,其會在布建新的 VM 時提供。 如果您指定產品金鑰,請確定它對範本磁碟上的作業系統有效。 如果不是,VM 將不會成功布建。 建立 VM 樣本之後,請確定它可供租用戶系統管理員使用者角色使用。 租用戶接著將可以使用範本來佈建新的 VM。

設定防護協助程式 VHD

現有的 Windows VM 也可以轉換成受防護的 VM,並搭配使用防護協助程式 VHD。 協助程式 VHD 是特殊磁碟,備有加密另一個 VM 之作業系統磁碟機的工具。 VMM 必須使用協助程式 VHD 進行設定,才能防護現有的 VM。

  1. 在執行 Windows Server 2016 或已安裝遠端伺服器管理工具之 Windows 10 的電腦上,準備好協助程式 VHD
  2. 複製協助程式 VHD 到程式庫共用,並重新整理程式庫伺服器。
  3. 在 VMM 控制台中,選取 [ 設定>主機守護者服務設定]。
  4. 在 [防護協助程式 VHD] 區段中,選取 [ 流覽 ],然後從連結庫共用中的檔案清單中選取協助程式 VHD。
  5. 按一下 [完成] 儲存設定。

設定防護協助程式 VHD 之後,您可以繼續防護現有的 VM

後續步驟

檢閱佈建受防護的 VM以了解如何在 VMM 運算網狀架構中部署受防護的虛擬機器。