ブランチ オフィスに関する考慮事項

このガイドでは、ブランチ オフィス内でシールドされた仮想マシンを実行するためのベスト プラクティス、および Hyper-V ホストで HGS への接続が限定される時間がある可能性のあるその他のリモート シナリオについて説明します。

フォールバック構成

Windows Server バージョン1709以降では、プライマリ HGS が応答していないときに使用するために、Hyper-V ホスト上にホストガーディアンサービスの URL の追加セットを構成できます。 これにより、ローカルの HGS クラスターを実行できます。ローカルの HGS クラスターは、ローカルサーバーがダウンしている場合に、企業のデータセンターの HGS にフォールバックする機能で、プライマリサーバーとして使用されます。

フォールバックオプションを使用するには、2つの HGS サーバーをセットアップする必要があります。 Windows Server 2019 または Windows Server 2016 を実行し、同じクラスターまたは異なるクラスターの一部にすることができます。 クラスターが異なる場合は、運用方法を確立して、2つのサーバー間で構成証明ポリシーが同期されていることを確認する必要があります。 どちらも、シールドされた VM を実行するように Hyper-V ホストを正しく承認し、シールドされた VM を起動するために必要なキーマテリアルを持っている必要があります。 2つのクラスター間で共有暗号化証明書と署名証明書のペアを選択するか、別の証明書を使用して、シールドシールドされた VM を構成して、シールドデータファイル内のガーディアン (暗号化/署名証明書ペア) の両方を承認することができます。

次に、hyper-v ホストを Windows server バージョン1709または Windows server 2019 にアップグレードし、次のコマンドを実行します:

# Replace https://hgs.primary.com and https://hgs.backup.com with your own domain names and protocols
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

フォールバックサーバーの構成を解除するには、両方のフォールバックパラメーターを省略するだけです:

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation'

Hyper-V ホストがプライマリサーバーとフォールバックサーバーの両方で構成証明を渡すには、両方の HGS クラスターで構成証明情報が最新の状態であることを確認する必要があります。 さらに、仮想マシンの TPM の暗号化を解除するために使用する証明書は、両方の HGS クラスターで使用できる必要があります。 各 HGS を異なる証明書で構成し、両方の VM が信頼するように構成するか、両方の HGS クラスターに証明書の共有セットを追加することができます。

フォールバック URL を使用してブランチオフィスで HGS を構成する方法の詳細については、ブログ記事「 Windows Server バージョン1709のシールドされた VM のブランチオフィスサポートの向上」を参照してください。

オフライン モード

オフラインモードでは、HGS に到達できない場合に、シールドされた VM の電源をオンにすることができます。 Hyper-V ホストのセキュリティ構成が変更されていない場合に限ります。 オフラインモードは、Hyper-Vホストで特別なバージョンの VM TPM キー保護機能をキャッシュすることによって機能します。 キープロテクターは、(仮想化ベースのセキュリティ ID キーを使用して) ホストの現在のセキュリティ構成に対して暗号化されます。 ホストが HGS と通信できず、そのセキュリティ構成が変更されていない場合は、キャッシュされたキー保護機能を使用して、シールドされた VM を起動できます。 新しいコード整合性ポリシーが適用されたり、セキュアブートが無効になったりするなど、システムのセキュリティ設定が変更された場合、キャッシュされたキープロテクターは無効になり、ホストは HGS で証明する必要があります。これにより、シールドされた VM を再びオフラインにすることができます。

オフライン モードでは、ホスト ガーディアン サービス クラスターと Hyper-V ホストの両方に Insider Preview ビルド 17609 以降が必要です。 これは、既定で無効になっている HGS のポリシーによって制御されます。 オフラインモードのサポートを有効にするには、HGS ノードで次のコマンドを実行します:

Set-HgsKeyProtectionConfiguration -AllowKeyMaterialCaching:$true

キャッシュ可能なキープロテクターは各シールドされた VM に対して一意であるため、HGS でこの設定を有効にした後で、再起動せずに、シールドされた VM を起動してキャッシュ可能なキー保護機能を取得する必要があります。 シールドされた VM が古いバージョンの Windows Server を実行している Hyper-V ホストに移行する場合、または古いバージョンの HGS から新しいキー保護機能を取得する場合は、オフラインモードで起動することはできませんが、HGS へのアクセスが可能な場合はオンラインモードで実行を継続できます。