Partager via


Créer un groupe de sécurité pour les hôtes protégés et inscrire le groupe auprès de SGH

Important

Le mode AD est déconseillé à compter de Windows Server 2019. Pour les environnements où l’attestation TPM n’est pas possible, configurez l’attestation de clé d’hôte. L’attestation de clé d’hôte fournit une assurance similaire au mode AD et est plus simple à configurer.

Cette rubrique décrit les étapes intermédiaires pour préparer les hôtes Hyper-V à devenir des hôtes protégés à l’aide de l’attestation approuvée par l’administrateur (mode AD). Avant d’effectuer ces étapes, réalisez les étapes décrites dans Configuration du DNS d’infrastructure pour les hôtes qui deviendront des hôtes protégés.

Créer un groupe de sécurité et ajouter des hôtes

  1. Créez un groupe de sécurité GLOBAL dans le domaine d’infrastructure et ajoutez des hôtes Hyper-V qui exécuteront des machines virtuelles dotées d’une protection maximale. Redémarrez les hôtes pour mettre à jour leur appartenance au groupe.

  2. Utilisez Get-ADGroup pour obtenir l’identificateur de sécurité (SID) du groupe de sécurité et le fournir à l’administrateur SGH.

    Get-ADGroup "Guarded Hosts"
    

    Commande Get-AdGroup avec sortie

Inscrivez le SID du groupe de sécurité auprès de SGH

  1. Sur un serveur SGH, exécutez la commande suivante pour inscrire le groupe de sécurité auprès de SGH. Réexécutez la commande si nécessaire pour des groupes supplémentaires. Fournir un nom convivial pour le groupe. Il n’a pas besoin de correspondre au nom du groupe de sécurité Active Directory.

    Add-HgsAttestationHostGroup -Name "<GuardedHostGroup>" -Identifier "<SID>"
    
  2. Pour vérifier que le groupe a été ajouté, exécutez Get-HgsAttestationHostGroup.

Étape suivante

Références supplémentaires