Créer un groupe de sécurité pour les hôtes protégés et inscrire le groupe auprès de SGH
Important
Le mode AD est déconseillé à compter de Windows Server 2019. Pour les environnements où l’attestation TPM n’est pas possible, configurez l’attestation de clé d’hôte. L’attestation de clé d’hôte fournit une assurance similaire au mode AD et est plus simple à configurer.
Cette rubrique décrit les étapes intermédiaires pour préparer les hôtes Hyper-V à devenir des hôtes protégés à l’aide de l’attestation approuvée par l’administrateur (mode AD). Avant d’effectuer ces étapes, réalisez les étapes décrites dans Configuration du DNS d’infrastructure pour les hôtes qui deviendront des hôtes protégés.
Créer un groupe de sécurité et ajouter des hôtes
Créez un groupe de sécurité GLOBAL dans le domaine d’infrastructure et ajoutez des hôtes Hyper-V qui exécuteront des machines virtuelles dotées d’une protection maximale. Redémarrez les hôtes pour mettre à jour leur appartenance au groupe.
Utilisez Get-ADGroup pour obtenir l’identificateur de sécurité (SID) du groupe de sécurité et le fournir à l’administrateur SGH.
Get-ADGroup "Guarded Hosts"
Inscrivez le SID du groupe de sécurité auprès de SGH
Sur un serveur SGH, exécutez la commande suivante pour inscrire le groupe de sécurité auprès de SGH. Réexécutez la commande si nécessaire pour des groupes supplémentaires. Fournir un nom convivial pour le groupe. Il n’a pas besoin de correspondre au nom du groupe de sécurité Active Directory.
Add-HgsAttestationHostGroup -Name "<GuardedHostGroup>" -Identifier "<SID>"
Pour vérifier que le groupe a été ajouté, exécutez Get-HgsAttestationHostGroup.