VMM で保護されたホストをプロビジョニングする

  • [アーティクル]

この記事では、保護された Hyper-V ホストを System Center Virtual Machine Manager (VMM) コンピューティング ファブリックに展開する方法について説明します。 保護されたファブリックの詳細については を参照してください。

VMM ファブリックで保護された Hyper-V ホストを設定するには、いくつかの方法があります。

  • 既存のホストを保護されたホストとして構成します: シールドされた VM を実行するように既存のホストを構成できます。
  • 新しい保護されたホストを追加またはプロビジョニングします: このホストは次のようになります。
    • 既存の Windows Server コンピューター (Hyper-V ロールの有無にかかわらず)
    • ベアメタル コンピューター

VMM ファブリックで保護されたホストを次のように設定します。

  1. グローバル HGS 設定の構成: VMM は、保護されたすべてのホストを同じホスト ガーディアン サービス (HGS) サーバーに接続して、ホスト間でシールドされた VM を正常に移行できるようにします。 すべての保護されたホストに適用されるグローバル HGS 設定を指定し、グローバル設定をオーバーライドするホスト固有の設定を指定できます。 設定は次のとおりです。

    • 構成証明 URL: ホストが HGS 構成証明サービスへの接続に使用する URL。 このサービスは、シールドされた VM を実行するホストを承認します。
    • キー保護サーバーの URL: VM の暗号化を解除するために必要なキーを取得するためにホストが使用する URL。 ホストは、キーを取得するために構成証明を渡す必要があります。
    • コード整合性ポリシー: コード整合性ポリシーは、保護されたホストで実行できるソフトウェアを制限します。 TPM 構成証明を使用するように HGS を構成する場合は、HGS サーバーによって承認されたコード整合性ポリシーを使用するように保護されたホストを構成する必要があります。 VMM でコード整合性ポリシーの場所を指定し、ホストに展開できます。 これは省略可能であり、保護されたファブリックを管理する必要はありません。
    • VM シールド ヘルパー VHD: 既存の VM をシールドされた VM に変換するために使用される、特別に準備された仮想ハード ディスク。 既存の VM をシールドする場合は、この設定を構成する必要があります。

  2. クラウドの構成: 保護されたホストが VMM クラウドに含まれる場合は、クラウドでシールドされた VM をサポートできるようにする必要があります。

開始する前に

先に進む前に、ホスト ガーディアン サービスをデプロイして構成したことを確認します。 HGS の構成の詳細については Windows Server のドキュメントを参照してください。

さらに、保護されたホストになるホストが、保護されたホストの前提条件を満たしていることを確認します。

  • オペレーティング システム: ホスト サーバーは Windows Server Datacenter を実行する必要があります。 保護されたホストには Server Core を使用することをお勧めします。
  • 役割と機能: ホスト サーバーは Hyper-V ロールとホスト ガーディアン Hyper-V サポート機能を実行している必要があります。 ホスト ガーディアン Hyper-V サポートを使用すると、ホストは HGS と通信して、その正常性を証明し、シールドされた VM のキーを要求できます。 ホストが Nano Server を実行している場合は、Compute、SCVMM-Package、SCVMM-Compute、SecureStartup、および ShieldedVM パッケージがインストールされている必要があります。
  • TPM 構成証明: HGS が TPM 構成証明を使用するように構成されている場合、ホスト サーバーは次の条件を満たす必要があります。
    • UEFI 2.3.1c と TPM 2.0 モジュールを使用する
    • UEFI モードで起動します (BIOS または legacy モードではありません )
    • セキュア ブートを有効にする
  • HGS 登録: Hyper-V ホストを HGS に登録する必要があります。 登録方法は、HGS が AD 構成証明と TPM 構成証明のどちらを使用しているかによって異なります。 詳細情報
  • ライブ マイグレーション: シールドされた VM をライブ マイグレーションする場合は、2 つ以上の保護されたホストをデプロイする必要があります。
  • ドメイン: 保護されたホストと VMM サーバーは、同じドメインまたは双方向の信頼を持つドメイン内にある必要があります。

グローバル HGS 設定を構成する

VMM コンピューティング ファブリックに保護されたホストを追加する前に、ファブリックの HGS に関する情報を使用して VMM を構成する必要があります。 VMM によって管理されているすべての保護されたホストに対して、同じ HGS が使用されます。

  1. HGS 管理者からファブリックの構成証明とキー保護 URL を取得します。

  2. VMM コンソールで、 Settings>Host Guardian Service Settings を選択します。

  3. それぞれのフィールドに構成証明 URL とキー保護 URL を入力します。 現時点では、コード整合性ポリシーと VM シールド ヘルパー VHD セクションを構成する必要はありません。

    グローバル HGS 設定ウィンドウのスクリーンショット。

  4. [完了] を選択して構成を保存します。

新しい保護されたホストを追加またはプロビジョニングする

  1. ホストを追加します。
    • Windows Server を実行している既存のサーバーを保護された Hyper-V ホストとして追加する場合は、 ファブリックに追加します
    • ベア メタル コンピューターから Hyper-V ホストをプロビジョニングする場合は、 これらの前提条件と手順を確認してください

      Note

      ホストをプロビジョニングするときに、保護された状態でホストを展開できます (リソースの追加ウィザード >OS 設定>保護されたホストとして構成)。

  2. 次のセクションに進み、ホストを保護されたホストとして構成します。

既存のホストを保護されたホストとして構成する

VMM によって管理されている既存の Hyper-V ホストを保護されたホストとして構成するには、次の手順を実行します。

  1. ホストを メンテナンス モードで配置します

  2. [すべてのホスト] で、ホストを右クリックし、[プロパティ]>[ホスト ガーディアン サービス] の順に選択します。

    [ホストを保護されたホストとして有効にする] のスクリーンショット。

  3. ホスト ガーディアン Hyper-V サポート機能を有効にし、ホストを構成する場合に選択します。

    Note

    • グローバル構成証明とキー保護サーバーの URL がホストに設定されます。
    • VMM コンソールの外部でこれらの URL を変更する場合は、VMM でも URL を更新する必要があります。 そうしないと、VMM は、URL が再び一致するまで、ホスト上にシールドされた VM を配置しません。 また、[ Enable ボックスをオフにして再チェックして、VMM で構成された URL を使用してホストを再構成することもできます。

  4. VMM を使用してコード整合性ポリシーを管理している場合は、2 番目のチェック ボックスを有効にして、システムに適したポリシーを選択できます。

  5. OKを選択して、ホストの構成を更新します。

  6. ホストをメンテナンス モードから外します。

VMM は、追加時およびホストの状態が更新されるたびに、ホストが構成証明に合格することを確認します。 VMM では、構成証明に合格したホスト上にシールドされた VM のみが展開および移行されます。 ホストの構成証明の状態は、 Properties>Status>HGS クライアント全体で確認できます。

VMM クラウドで保護されたホストを有効にする

クラウドで保護されたホストをサポートできるようにする:

  1. VMM コンソールで、 VM とサービス>Clouds を選択します。 クラウド名を右クリックして、[プロパティ] を選択します。
  2. General>Shielded VM のサポートで、このプライベート クラウドで [Supported] を選択

VMM を使用したコード整合性ポリシーの管理と展開

TPM 構成証明を使用するように構成された保護されたファブリックでは、各ホストを、ホスト ガーディアン サービスによって信頼されるコード整合性ポリシーで構成する必要があります。 コード整合性ポリシーの管理を容易にするために、必要に応じて VMM を使用して、保護されたホストに新しいポリシーまたは更新されたポリシーを展開できます。

VMM によって管理される保護されたホストにコード整合性ポリシーを展開するには、次の手順を実行します。

  1. 環境内の参照ホストごとに コード整合性ポリシーを作成します。 保護されたホストの一意のハードウェアとソフトウェアの構成ごとに異なる CI ポリシーが必要です。
  2. セキュリティで保護されたファイル共有に CI ポリシーを格納します。 保護された各ホストのコンピューター アカウントには、共有への 読み取りアクセス が必要です。 信頼された管理者のみが書き込みアクセス権を持つ必要があります。
  3. VMM コンソールで、 Settings>Host Guardian Service Settings を選択します。
  4. [コード整合性ポリシー] セクションで Add を選択し、フレンドリ名と CI ポリシーへのパスを指定します。 一意の CI ポリシーごとにこの手順を繰り返します。 どのホストに適用する必要があるポリシーを識別するのに役立つ方法でポリシーに名前を付けます。 コード整合性ポリシーの追加のスクリーンショット。
  5. [完了] を選択して構成を保存します。

ここで、保護されたホストごとに、次の手順を実行してコード整合性ポリシーを適用します。

  1. ホストを メンテナンス モードで配置します

  2. [すべてのホスト] で、ホストを右クリックし、[プロパティ]>[ホスト ガーディアン サービス] の順に選択します。

    コード整合性ポリシーの適用のスクリーンショット。

  3. コード整合性ポリシーを使用してホストを構成するオプションを有効にする場合に選択します。 次に、システムに適したポリシーを選択します。

  4. OK を選択して、構成の変更を適用します。 ホストを再起動して、新しいポリシーを適用できます。

  5. ホストをメンテナンス モードから外します。

警告

ホストの正しいコード整合性ポリシーを選択していることを確認します。 互換性のないポリシーがホストに適用されている場合、一部のアプリケーション、ドライバー、またはオペレーティング システム コンポーネントが機能しなくなる可能性があります。

ファイル共有のコード整合性ポリシーを更新し、保護されたホストも更新する場合は、次の手順を実行します。

  1. ホストを メンテナンス モードで配置します
  2. [すべてのホスト] で、ホストを右クリックし、[最新のコード整合性ポリシーの適用] をクリックします。
  3. ホストをメンテナンス モードから外します。

次のステップ