次の方法で共有


Azure Local バージョン 23H2 での Azure Arc VM の信頼できる起動の概要

適用対象: Azure Local バージョン 23H2

この記事では、Azure Local バージョン 23H2 での Azure Arc 仮想マシン (VM) の信頼された起動について説明します。 信頼された起動 Arc VM は、Azure portal または Azure コマンド ライン インターフェイス (CLI) を使用して作成できます。

はじめに

Azure Arc VM の信頼された起動では、クラスター内で VM が移行またはフェールオーバーされるときに、セキュア ブート、仮想トラステッド プラットフォーム モジュール (vTPM)、vTPM 状態転送がサポートされます。

信頼できる起動は、Azure Local で Arc VM を作成するときに指定できるセキュリティの種類です。 詳細については、「 Azure Local での Azure Arc VM のTrusted 起動」を参照してください。

機能と利点

機能 長所
セキュア ブート ブート コンポーネントが信頼された発行元によって署名されていることを確認することで、ブート中のマルウェア (ルートキット) のリスクを軽減するのに役立ちます。
vTPM キー、証明書、シークレットの専用コンテナーとして機能するハードウェア TPM の仮想化バージョン。
vTPM 状態の転送 VM がクラスター内で移行またはフェールオーバーするときに vTPM を保持します。
仮想化ベースのセキュリティ (VBS) VM 内のゲストは、VBS サポートを使用して、メモリの分離領域を作成できます。

Note

VM ゲスト のブート整合性検証は使用できません。

ガイダンス

  • IgvmAgent は、Azure ローカル システム内のすべてのノードにインストールされるコンポーネントです。 たとえば、信頼された起動 Arc VM などの分離 VM のサポートが可能になります。

  • 信頼された起動 Arc VM の作成の一環として、Hyper-V は VM の状態を格納するためにディスク上に VM ファイルを作成します。 既定では、これらの VM ファイルへのアクセスはホスト サーバー管理者に制限されます。 ホスト管理者は、これらの VM ファイルが格納されている場所が常に適切にアクセス制限された状態であることを確認する必要があります。

  • VM ライブ マイグレーション ネットワーク トラフィックは暗号化されません。 ライブ マイグレーション ネットワーク トラフィックを保護するために、IPsec などのネットワーク層暗号化テクノロジを有効にすることを強くお勧めします。

ゲスト オペレーティング システム イメージ

Azure Marketplace の次の VM ゲスト OS イメージがサポートされています。 VM イメージは、Azure portal または Azure CLI を使用して作成できます。

詳細については、「 Azure Marketplace を使用して Azure ローカル VM イメージを作成するを参照してください。

Name 発行元 プラン SKU バージョン番号
Windows 11 Enterprise マルチセッション バージョン 22H2 - Gen2 microsoftwindowsdesktop windows-11 win11-22h2-avd 22621.2428.231001
Windows 11 Enterprise マルチセッション バージョン 22H2 + Microsoft 365 アプリ (プレビュー) - Gen2 microsoftwindowsdesktop windows11preview win11-22h2-avd-m365 22621.382.220810
Windows 11 Enterprise マルチセッション バージョン 21H2 - Gen2 microsoftwindowsdesktop windows-11 win11-21h2-avd 22000.2538.231001
Windows 11 Enterprise マルチセッション バージョン 21H2 + Microsoft 365 アプリ - Gen2 microsoftwindowsdesktop office-365 win10-21h2-avd-m365-g2 19044.3570.231010

Note

Azure Marketplace の外部で取得された VM ゲスト イメージはサポートされていません。

次のステップ