Azure Stack HCI バージョン 23H2 での Azure Arc VM の信頼された起動の概要
適用対象: Azure Stack HCI バージョン 23H2
この記事では、Azure Stack HCI バージョン 23H2 での Azure Arc 仮想マシン (VM) の信頼された起動について説明します。 信頼された起動 Arc VM は、Azure portal または Azure コマンド ライン インターフェイス (CLI) を使用して作成できます。
はじめに
Azure Arc VM の信頼された起動では、クラスター内で VM が移行またはフェールオーバーされるときに、セキュア ブート、仮想トラステッド プラットフォーム モジュール (vTPM)、vTPM 状態転送がサポートされます。
信頼された起動は、Azure Stack HCI で Arc VM を作成するときに指定できるセキュリティの種類です。 詳細については、「 Azure Stack HCI での Azure Arc VM のTrusted 起動を参照してください。
機能と利点
| 機能 | ベネフィット |
|---|---|
| セキュア ブート | ブート コンポーネントが信頼された発行元によって署名されていることを確認することで、ブート中のマルウェア (ルートキット) のリスクを軽減するのに役立ちます。 |
| vTPM | キー、証明書、シークレットの専用コンテナーとして機能するハードウェア TPM の仮想化バージョン。 |
| vTPM 状態の転送 | VM がクラスター内で移行またはフェールオーバーするときに vTPM を保持します。 |
| 仮想化ベースのセキュリティ (VBS) | VM 内のゲストは、VBS サポートを使用して、メモリの分離領域を作成できます。 |
Note
VM ゲスト のブート整合性検証は使用できません。
ガイダンス
IgvmAgent は、Azure Stack HCI クラスター内のすべてのノードにインストールされるコンポーネントです。 たとえば、信頼された起動 Arc VM などの分離 VM のサポートが可能になります。
信頼された起動 Arc VM の作成の一環として、Hyper-V は VM の状態を格納するためにディスク上に VM ファイルを作成します。 既定では、これらの VM ファイルへのアクセスはホスト サーバー管理者に制限されます。 ホスト管理者は、これらの VM ファイルが格納されている場所が常に適切にアクセス制限された状態であることを確認する必要があります。
VM ライブ マイグレーション ネットワーク トラフィックは暗号化されません。 ライブ マイグレーション ネットワーク トラフィックを保護するために、IPsec などのネットワーク層暗号化テクノロジを有効にすることを強くお勧めします。
ゲスト オペレーティング システム イメージ
Azure Marketplace の次の VM ゲスト OS イメージがサポートされています。 VM イメージは、Azure portal または Azure CLI を使用して作成できます。
詳細については、「 Azure Marketplace を使用して Azure Stack HCI VM イメージを作成するを参照してください。
| 名前 | 発行元 | プラン | SKU | バージョン番号 |
|---|---|---|---|---|
| Windows 11 Enterprise マルチセッション バージョン 22H2 - Gen2 | microsoftwindowsdesktop | windows-11 | win11-22h2-avd | 22621.2428.231001 |
| Windows 11 Enterprise マルチセッション バージョン 22H2 + Microsoft 365 アプリ (プレビュー) - Gen2 | microsoftwindowsdesktop | windows11preview | win11-22h2-avd-m365 | 22621.382.220810 |
| Windows 11 Enterprise マルチセッション バージョン 21H2 - Gen2 | microsoftwindowsdesktop | windows-11 | win11-21h2-avd | 22000.2538.231001 |
| Windows 11 Enterprise マルチセッション バージョン 21H2 + Microsoft 365 アプリ - Gen2 | microsoftwindowsdesktop | office-365 | win10-21h2-avd-m365-g2 | 19044.3570.231010 |
Note
Azure Marketplace の外部で取得された VM ゲスト イメージはサポートされていません。