Présentation du lancement approuvé pour les machines virtuelles Azure Arc sur Azure Stack HCI, version 23H2

S’applique à : Azure Stack HCI, version 23H2

Cet article présente le lancement approuvé pour les machines virtuelles Azure Arc sur Azure Stack HCI, version 23H2. Vous pouvez créer une machine virtuelle Arc de lancement approuvé à l’aide de Portail Azure ou à l’aide de interface de ligne de commande Azure (CLI).

Introduction

Le lancement approuvé pour les machines virtuelles Azure Arc prend en charge le démarrage sécurisé, le module de plateforme sécurisée (vTPM) et le transfert d’état vTPM lorsqu’une machine virtuelle migre ou bascule au sein d’un cluster.

Le lancement approuvé est un type de sécurité qui peut être spécifié lors de la création de machines virtuelles Arc sur Azure Stack HCI. Pour plus d’informations, consultez Lancement approuvé pour les machines virtuelles Azure Arc sur Azure Stack HCI.

Avantages et fonctionnalités clés

Fonctionnalité Avantage
Démarrage sécurisé Permet de réduire le risque de programmes malveillants (rootkits) pendant le démarrage en vérifiant que les composants de démarrage sont signés par des éditeurs approuvés.
vTPM Version virtualisée d’un module TPM matériel qui sert de coffre dédié pour les clés, certificats et secrets.
Transfert d’état vTPM Conserve vTPM lorsque la machine virtuelle migre ou bascule au sein d’un cluster.
Sécurité basée sur la virtualisation (VBS) L’invité de la machine virtuelle peut créer des régions isolées de mémoire à l’aide de la prise en charge de VBS.

Remarque

La vérification de l’intégrité du démarrage invité de la machine virtuelle n’est pas disponible.

Assistance

  • IgvmAgent est un composant installé sur tous les nœuds du cluster Azure Stack HCI. Il permet la prise en charge des machines virtuelles isolées telles que les machines virtuelles Arc de lancement approuvées, par exemple.

  • Dans le cadre de la création d’une machine virtuelle Arc de lancement approuvé, Hyper-V crée des fichiers de machine virtuelle sur le disque pour stocker l’état de la machine virtuelle. Par défaut, l’accès à ces fichiers de machine virtuelle est limité aux administrateurs de serveur hôte. Les administrateurs hôtes doivent s’assurer que l’emplacement où ces fichiers de machine virtuelle sont stockés reste toujours restreint de manière appropriée.

  • Le trafic réseau de migration dynamique des machines virtuelles n’est pas chiffré. Nous vous recommandons vivement d’activer une technologie de chiffrement de couche réseau telle que IPsec pour protéger le trafic réseau de migration dynamique.

Images du système d’exploitation invité

Les images de système d’exploitation invité de machine virtuelle suivantes de Place de marché Azure sont prises en charge. L’image de machine virtuelle peut être créée à l’aide de Portail Azure ou d’Azure CLI.

Pour plus d’informations, consultez Créer une image de machine virtuelle Azure Stack HCI à l’aide de Place de marché Azure.

Nom Serveur de publication Offer SKU Numéro de version
Windows 11 Entreprise multisession, version 22H2 - Gen2 microsoftwindowsdesktop windows-11 win11-22h2-avd 22621.2428.231001
Windows 11 Entreprise multisession, version 22H2 + Applications Microsoft 365 (préversion) - Gen2 microsoftwindowsdesktop windows11preview win11-22h2-avd-m365 22621.382.220810
Windows 11 Entreprise multisession, version 21H2 - Gen2 microsoftwindowsdesktop windows-11 win11-21h2-avd 22000.2538.231001
Windows 11 Entreprise multisession, version 21H2 + Applications Microsoft 365 - Gen2 microsoftwindowsdesktop office-365 win10-21h2-avd-m365-g2 19044.3570.231010

Remarque

Les images invitées de machine virtuelle obtenues en dehors de Place de marché Azure ne sont pas prises en charge.

Étapes suivantes