テナント用のシールドされた VM: テンプレート ディスクの作成 (省略可能)
新しいシールドされた VM を作成するには、特別に準備された署名済みテンプレート ディスクを使用する必要があります。 署名付きテンプレート ディスクのメタデータは、作成後にディスクが変更されないようにするのに役立ちます。また、テナントとして、シールドされた VM の作成に使用できるディスクを制限できます。 このディスクを提供する方法の 1 つは、このトピックで説明するように、テナントで作成することです。
重要
必要に応じて、ホスティング サービス プロバイダーによって提供されるテンプレート ディスクを代わりに使用することもできます。 これを行う場合は、そのテンプレート ディスクを使用してテスト VM を展開し、独自のツール (ウイルス対策、脆弱性スキャナーなど) を実行して、実際には信頼できる状態でディスクが検証されるようにすることが重要です。
オペレーティングシステムの VHDX を準備する
シールドされたテンプレート ディスクを作成するには、まず、テンプレート ディスク ウィザードを使用して実行される OS ディスクを準備する必要があります。 このディスクは、シールドされた VM の OS ディスクとして使用されます。 既存のツールを使用して、Microsoft Desktop Image Service Manager (DISM) などのこのディスクを作成するか、空の VHDX で VM を手動で設定して、そのディスクに OS をインストールすることができます。 ディスクを設定するときは、第 2 世代またはシールドされた VM に固有の次の要件に従う必要があります:
| VHDX の要件 | 理由 |
|---|---|
| GUID パーティション テーブル (GPT) ディスクである必要がある | UEFI をサポートする第 2 世代仮想マシンのために必要 |
| ディスクの種類は、動的ではなく基本である必要があります。 注: これは、Hyper-V でサポートされている "動的に拡張された" VHDX 機能ではなく、論理ディスクの種類を参照します。 |
BitLocker はダイナミック ディスクをサポートしていません。 |
| ディスクには、少なくとも 2 つのパーティションがあります。 1 つのパーティションに Windows がインストールされているドライブを含める必要があります。 これは、BitLocker が暗号化するドライブです。 もう 1 つのパーティションはアクティブなパーティションで、ブートローダーを含み、コンピューターを起動できるように暗号化されていません。 | BitLocker に必要 |
| ファイルシステムが NTFS | BitLocker に必要 |
| VHDX にインストールされているオペレーティング システムは、次のいずれかになります: - Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、または Windows Server 2012 - Windows 10、Windows 8.1、 Windows 8 |
第 2 世代仮想マシンと Microsoft セキュア ブート テンプレートをサポートするために必要 |
| オペレーティング システムは一般化されている必要があります (sysprep.exe を実行) | テンプレートのプロビジョニングには、特定のテナントのワークロードに対応する VM が含まれます |
注意
この段階では、テンプレート ディスクを VMM ライブラリにコピーしないでください。
Nano Server テンプレート ディスクを作成するために必要なパッケージ
シールドされた VM でゲスト OS として Nano Server を実行する予定がある場合は、Nano Server イメージに次のパッケージが含まれていることを確認する必要があります:
- Microsoft-NanoServer-Guest-Package
- Microsoft-NanoServer-SecureStartup-Package
テンプレートのオペレーティング システムで Windows Update を実行する
テンプレート ディスクで、オペレーティング システムに最新の Windows 更新プログラムがすべてインストールされていることを確認します。 最近リリースされた更新プログラムは、テンプレートのオペレーティング システムが最新ではない場合に、完了できない可能性があるプロセスであるエンドツーエンドのシールドプロセスの信頼性を向上させます。
テンプレート ディスクの作成ウィザードを使用して VHDX に署名して保護する
シールドされた VM でテンプレート ディスクを使用するには、ディスクが署名され、BitLocker で暗号化されている必要があります。 これを行うには、シールドされたテンプレート ディスク作成ウィザードを使用します。 このウィザードでは、ディスクのハッシュが生成され、ボリューム署名カタログ (VSC) に追加されます。 VSC は、指定した証明書を使用して署名されます。テナント用に展開されているディスクが変更されていないこと、またはテナントが信頼していないディスクに置き換えられていないことを確認するために、プロビジョニング プロセス中に使用されます。 最後に、VM のプロビジョニング時に暗号化用にディスクを準備するために、ディスクのオペレーティングシステム (まだ存在していない場合) に BitLocker がインストールされます。
注意
テンプレート ディスク ウィザードによって、指定したテンプレート ディスクがインプレースで変更されます。 後でディスクを更新するためにウィザードを実行する前に、保護されていない VHDX のコピーを作成することもできます。 テンプレート ディスク ウィザードを使用して保護されているディスクを変更することはできません。
Windows Server 2016 を実行しているコンピューターで次の手順を実行します (保護されたホストまたは VMM サーバーである必要はありません):
オペレーティング システムの VHDX をサーバーに準備する際に作成した一般化された VHDX をコピーします (サーバーにまだ存在していない場合)。
コンピューターのリモート サーバー管理ツールから、シールドされたVM ツール機能をインストールします。
Install-WindowsFeature RSAT-Shielded-VM-Tools -Restart新しいシールドされた VM のテンプレート ディスクとなる VHDX に署名するための証明書を取得または作成します。 この証明書の詳細は、信頼できるディスクとしてディスクを承認するシールド データ ファイルに組み込まれます。 そのため、お客様とホスティング サービス プロバイダーが信頼している証明機関からこの証明書を取得することが重要です。 ホストとテナントの両方であるエンタープライズ シナリオでは、PKI からこの証明書を発行することを検討できます。
テスト環境を設定していて、自己署名証明書を使用してテンプレートディスクに署名する場合は、コンピューターで次のようなコマンドを実行します:
New-SelfSignedCertificate -DnsName publisher.fabrikam.comスタートメニューの [管理ツール] フォルダーからテンプレート ディスク ウィザードを起動するか、コマンド プロンプトに「TemplateDiskWizard.exe」と入力します。
[証明書] ページで、[参照] をクリックして証明書の一覧を表示します。 ディスク テンプレートへの署名に使用する証明書を選択します。 [OK] をクリックし、 [次へ] をクリックします。
[仮想ディスク] ページで、[参照] をクリックして、準備した VHDX を選択し、[次へ] をクリックします。
[署名カタログ] ページで、フレンドリ ディスク名 とバージョンを指定します。 これらのフィールドは、ディスクが署名された後に識別できるようにするために用意されています。
たとえば、ディスク名として「WS2016」と入力します。バージョンは 1.0.0.0 です
ウィザードの [設定の確認] ページで選択内容を確認します。 [生成] をクリックすると、ウィザードはテンプレート ディスクで BitLocker を有効にし、ディスクのハッシュを計算して、ボリューム署名カタログを作成します。これは VHDX メタデータに格納されます。
署名プロセスが完了するまで待ってから、テンプレート ディスクをマウントまたは移動します。 ディスクのサイズによっては、このプロセスが完了するまでに時間がかかることがあります。
[概要] ページには、ディスク テンプレート、テンプレートに署名するために使用される証明書、および証明書の発行者に関する情報が表示されます。 [閉じる] をクリックしてウィザードを終了します。
シールドされたディスク テンプレートを、「シールドされた VM を定義するシールドデータの作成」で説明されているように、作成するシールド データ ファイルと共にホスティング サービス プロバイダーに提供します。