シールドされた VM をデプロイするためのディスクと VM テンプレートを設定する

シールドされた仮想マシンは、署名付き仮想マシン ハード ディスク (VHDX) を使用し、必要に応じて VM テンプレートを使用して、System Center Virtual Machine Manager (VMM) コンピューティング ファブリックにデプロイします。 この記事では、署名付きテンプレート ディスクを VMM に追加する方法、シールド ユーティリティ ディスクを構成する方法、新しいシールドされた VM を展開する方法、および VMM で既存の VM をシールドされた VM に変換する方法について説明します。

開始する前に

• シールドされた VM テンプレートの作成に使用する署名付きテンプレート ディスクには、ファミリとバージョンがマークされている必要があります。
• 署名済みテンプレート ディスクを追加する VMM ライブラリには、シールドされた VM がプロビジョニングされるクラウドからアクセスできる必要があります。
• 共有されているライブラリは、シールドされた VM がプロビジョニングされるクラウドに追加する必要があります (読み取り専用モードではありません)。

シールドされた VM の署名付きテンプレート ディスクを VMM ライブラリに追加する

シールドされた VM は、2 つの方法でデプロイできます。署名されたテンプレート ディスクから直接デプロイするか、既存の VM をシールドされた VM に変換します。

署名付きテンプレート ディスクは、ディスクの内容が変更されていないことをテナントに保証し、管理者パスワードや証明書などのデプロイ シークレットを暗号化された方法で VM に安全に転送できるようにします。 このため、署名されたテンプレート ディスクからシールドされた VM をデプロイすることをお勧めします。

署名されたテンプレート ディスクを準備して VMM ライブラリに追加するには、次の手順を実行します。

1. Windows Server 2025 または 2022 または 2019 デスクトップ エクスペリエンスを実行しているコンピューター、または Remote Server 管理ツールがインストールされた Windows 10 または Windows 11 で署名付きテンプレート ディスクを準備します。

2. テンプレート ディスクをライブラリ共有 (既定では \\<vmmserver>\MSSCVMMLibrary\VHDs) にコピーし、ライブラリ サーバーを更新します。

3. VMM にテンプレート ディスク上のオペレーティング システムに関する情報を入力するには、[ライブラリ] で、ディスクを右クリックして [プロパティ] に進みます。

4. オペレーティング システムで、ディスクにインストールされているオペレーティング システムを選択します。 これは、VHDX が空白ではないことを VMM に示します。 ディスク名の横にあるシールド アイコンは、シールドされた VM の署名付きテンプレート ディスクとして示されます。 ディスクの Family と Release に関する情報を指定して、テナントの Azure Pack セルフサービス ポータルでリソースを使用できるようにします (省略可能)。

   

5. OK を選択して、署名されたテンプレート ディスクのプロパティを保存します。

シールドされた VM テンプレートを作成する

必要に応じて、署名付きテンプレート ディスクを使用してシールドされた VM テンプレートを作成できます。 VM テンプレートは、OS ディスクの CPU 数、RAM、ネットワークなどの仮想マシン リソースを定義します。

シールドされた VM のテンプレートは、通常の VM テンプレートとは若干異なります。 一部の設定は固定されています。たとえば、VM はセキュア ブートが有効な第 2 世代 VM である必要があります。 次のように VM テンプレートを作成します。

1. Library> VM テンプレートの作成を選択します。 ソースの選択で、ライブラリに格納されている既存の VM テンプレートまたは仮想ハード ディスクを使用する >Browse を選択します。
2. 署名されたテンプレート ディスクを選択し、テンプレート名とオプションの説明を指定して、 OKを選択します。
3. 構成ハードウェアで、テンプレートから作成する VM のハードウェア プロパティを指定します。 少なくとも 1 つの NIC が構成され、使用可能であることを確認します。 テナントは、リモート デスクトップ接続、Windows リモート管理、またはネットワークを必要とするその他のリモート管理ツールを介して、シールドされた VM に接続します。
4. テナント プールで静的 IP アドレス指定を使用する場合は、テナントに通知する必要があります。 テナントは、値を含む応答ファイルを提供する必要があります。これは、シールドされた VM を特殊化します。 静的 IP プールをサポートするには、よく知られている特別なプレースホルダー値が必要です。
5. オペレーティング システムの構成で、OS のバージョン、コンピューター名、プロダクト キー、タイム ゾーンを指定します。 テナントは、シールド データ ファイル内の管理者パスワードなどのセキュリティで保護された情報を提供します (.PDK)、新しい VM をプロビジョニングするときに提供されます。 プロダクト キーを指定する場合は、テンプレート ディスク上のオペレーティング システムに対して有効であることを確認します。 そうでない場合、VM は正常にプロビジョニングされません。 VM テンプレートが作成されたら、テナント管理者ユーザー ロールで使用できることを確認します。 テナントは、それを使用して新しい VM をプロビジョニングできます。

シールド ヘルパー VHD を構成する

既存の Windows VM は、シールド ヘルパー VHD を使用してシールドされた VM に変換することもできます。 ヘルパー VHD は、別の VM のオペレーティング システム ドライブを暗号化するためのツールを備えた特殊なディスクです。 既存の VM をシールドする前に、VMM をヘルパー VHD で構成する必要があります。

1. Remote Server 管理ツールがインストールされている Windows Server 2019 以降または Windows 10/11 を実行しているコンピューターでヘルパー VHDを準備します。

1. ヘルパー VHD ライブラリ共有にコピーし、ライブラリ サーバーを更新します。
2. VMM コンソールで、 Settings>Host Guardian Service Settings を選択します。
3. [シールド ヘルパー VHD] セクションで Browse を選択し、ライブラリ共有内のファイルの一覧からヘルパー VHD を選択します。
4. [完了] を選択して構成を保存します。

シールド ヘルパー VHD が構成されている場合は、既存の VM をシールド 進むことができます。

次のステップ

シールドされた VM のプロビジョニング 確認し VMM コンピューティング ファブリックにシールドされた仮想マシンを展開する方法を理解します。