在 VMM 網狀架構中布建受防護的虛擬機

  • 發行項

本文說明如何在 System Center Virtual Machine Manager (VMM) 計算網狀架構中部署受防護的虛擬機。

您可以透過幾種方式在 VMM 中部署受防護的 VM:

  • 將現有的 VM 轉換成受防護的 VM。
  • 使用已簽署的虛擬機硬碟 (VHDX) 和選擇性的 VM 範本,建立新的受防護 VM。

注意

您可能會遇到使用負載平衡器或 WAN 優化裝置透過網路部署受防護虛擬機的問題。 封包在傳輸期間不需要修改,受防護 VM 才能成功部署。

在您開始使用 Intune 之前

觀看 影片,提供在 VMM 中布建受防護 VM 的快速、兩分鐘概觀。 然後,請確定您已完成下列動作:

  1. 準備 HGS 伺服器:您應該已部署 HGS 伺服器。 深入了解

  2. 設定 VMM:您必須在 VMM 中設定全域 HGS 設定,並設定至少一個受防護主機。 如果受防護主機屬於雲端,則應啟用雲端以支援受防護的 VM。 深入了解

  3. 準備受防護的 VHDX 和 VM 範本:您應該從受防護虛擬硬碟 (VHDX) 部署受防護的 VM,以及選擇性地使用 VM 範本。 深入瞭解 如何準備這些內容。

    注意

    您無法使用服務範本來建立受防護的 VM。 請改用腳本。

  4. 準備防護數據檔:若要在 VMM 連結庫中使用已簽署的範本磁碟,租用戶必須準備一或多個防護數據檔。 此檔案包含租使用者部署 VM 所需的所有秘密,包括用來特製化 VM、憑證和系統管理員帳戶密碼的自動安裝檔案。 檔案也會指定租使用者信任哪些受防護網狀架構來裝載其 VM,以及已簽署範本磁碟的相關信息。 檔案已加密,且只能由租使用者信任的受防護網狀架構中的主機讀取。 深入了解

  5. 設定主機群組:為了方便管理,我們建議將受防護主機放在專用的 VMM 主機群組中。

  6. 確認現有的 VM 需求:如果您想要將現有的 VM 轉換為受防護,請注意下列事項:

    • VM 必須是第 2 代,且已啟用 Microsoft Windows 安全開機範本
    • 磁碟上的作業系統必須是下列其中一項:
    • Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
    • Windows 10、Windows 8.1、Windows 8
    • VM 的 OS 磁碟必須使用 GUID 分割區數據表。 這是第 2 代 VM 支援 UEFI 的必要專案。
    • VM 必須是第 2 代,且已啟用 Microsoft Windows 安全開機範本
    • 磁碟上的作業系統必須是下列其中一項:
    • Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
    • Windows 10
    • VM 的 OS 磁碟必須使用 GUID 分割區數據表。 這是第 2 代 VM 支援 UEFI 的必要專案。
    • VM 必須是第 2 代,且已啟用 Microsoft Windows 安全開機範本
    • 磁碟上的作業系統必須是下列其中一項:
      • Windows Server 2022、Windows Server 2019、Windows Server 2016
      • Windows 11、Windows 10
    • VM 的 OS 磁碟必須使用 GUID 分割區數據表。 這是第 2 代 VM 支援 UEFI 的必要專案。

  7. 設定協助程式 VHD:裝載服務提供者必須建立作為協助程式 VHD 的 VM,以轉換現有的機器。 深入了解

將防護數據檔新增至 VMM

您必須先產生防護數據檔,並將它新增至 VMM,才能將現有的 VM 轉換為受防護的 VM,或從範本布建新的受防護 VM。

如果您尚未匯入防護資料檔,請完成下列步驟:

  1. 如果您還沒有防護數據檔,請建立防護數據檔 。 請確定防護數據檔會授權裝載網狀架構 VMM 管理以執行受防護的 VM。
  2. 在 VMM 控制台中,選取 [連結庫>匯入防護數據>流覽],然後選取防護數據檔。
  3. 在 [名稱] 中指定防護數據檔的易記名稱,並選擇性地新增描述。 建議您指出防護數據檔是否要與其名稱中的現有或新的 VM 搭配使用,以便更輕鬆地再次尋找。
  4. 選取 [ 入] 以在 VMM 中儲存防護數據。

若要管理匯入的防護數據檔,請移至 [連結庫>VM 防護數據] (在 [配置檔] 底下)。

布建新的受防護 VM

  1. 在開始之前,請確定您已具備所有必要條件。
  2. [VM 和服務] 中,選取 [ 建立虛擬機 ] 以開啟 [建立虛擬機精靈]。
  3. [選取來源] 中,選取 [使用現有的虛擬機、VM 範本或虛擬硬碟>流覽]。
  4. 選取受防護的 VM 範本或已簽署的範本磁碟。 兩者都是由盾牌圖示 VMM 中的盾牌圖示影像。所識別。
  5. [選取防護數據檔] 中,選取 [ 流覽],然後選取防護數據檔。 只會顯示可用來建立新受防護 VM 的防護數據檔。 選取 [確定>下一步] 繼續。
  6. 請遵循 這些指示 來完成精靈,並在主機/雲端上部署 VM。

當您完成精靈時,VMM 會從磁碟或範本建立新的受防護 VM:

  1. 範本磁碟 (VHDX) 檔案會從 VMM 連結庫複製。
  2. VM 佈建會將防護數據檔中的數據解密、完成unattend.xml檔案中的任何替代字串,並將其他檔案從防護數據檔複製到操作系統磁碟驅動器(例如 RDP 憑證)。
  3. VM 會重新啟動、自定義,並使用 BitLocker 重新加密。 BitLocker 完整磁碟區加密金鑰會儲存在新 VM 的虛擬 TPM 中。
  4. 當unattend.xml檔案中的關機命令執行時,就會完成 VM 自定義;VM 會保持關閉狀態。 如果自定義停滯,請在未受防護的 VM 上執行unattend.xml檔案,或使用允許控制台存取的加密支援防護數據檔來檢查該檔案。
  5. 在 VMM 偵測到特製化完成之後,它會更新其狀態以指出 VM 已建立,如果選取,則會啟動 VM。

防護現有 VM

您可以針對目前在 VMM 網狀架構中未受防護的主機上執行的 VM 啟用防護。

  1. 在開始之前,請確定您已具備所有必要條件。
  2. 讓 VM 離線。
  3. 建議您先在所有連結至 VM 的磁碟上啟用 BitLocker,再將其移至受防護主機。
  4. 選取 VM >屬性>防護,然後選取防護數據檔。
  5. 關閉 VM、從非受防護主機導出,並將其匯入至受防護主機。 只有受防護主機可以存取 VM 數據。

下一步

請參閱 管理虛擬機設定 ,以瞭解如何設定 VM 的效能和可用性設定。