VMM ファブリックでシールドされた仮想マシンをプロビジョニングする

この記事では、System Center Virtual Machine Manager (VMM) コンピューティング ファブリックにシールドされた仮想マシンを展開する方法について説明します。

シールドされた VM は、次の 2 つの方法で VMM に展開できます。

• 既存の VM をシールドされた VM に変換します。
• 署名された仮想マシン ハード ディスク (VHDX) と必要に応じて VM テンプレートを使用して、新しいシールドされた VM を作成します。

Note

ロード バランサーまたは WAN 最適化デバイスを使用したネットワーク経由でのシールドされた仮想マシンのデプロイに関する問題が発生する可能性があります。 シールドされた VM を正常にデプロイするために、転送中にパケットを変更しないようにする必要があります。

開始する前に

VMM シールドされた VM のプロビジョニングについて、2 分間の簡単な概要を説明したビデオをご覧ください。 次に、次のことを行っていることを確認します。

1. HGS サーバーを準備します: HGS サーバーが展開されている必要があります。 詳細情報。

2. VMM のセットアップ: VMM でグローバル HGS 設定を構成し、少なくとも 1 つの保護されたホストを設定する必要があります。 保護されたホストがクラウドに属している場合は、シールドされた VM をサポートするためにクラウドを有効にする必要があります。 詳細情報。

3. シールドされた VHDX と VM テンプレートを準備する: シールドされた仮想ハード ディスク (VHDX) からシールドされた VM をデプロイし、必要に応じて VM テンプレートを使用する必要があります。 詳細については これらを準備する方法をご覧ください。

   Note

   サービス テンプレートを使用してシールドされた VM を作成することはできません。 代わりにスクリプトを使用してください。

4. シールド データ ファイルの準備: VMM ライブラリで署名されたテンプレート ディスクを使用するには、テナントが 1 つ以上のシールド データ ファイルを準備する必要があります。 このファイルには、VM、証明書、管理者アカウントのパスワードを特殊化するために使用される無人セットアップ ファイルなど、テナントが VM をデプロイするために必要なすべてのシークレットが含まれています。 また、このファイルは、テナントが VM をホストするために信頼する保護されたファブリックと、署名されたテンプレート ディスクに関する情報も指定します。 ファイルは暗号化され、テナントによって信頼されている保護されたファブリック内のホストのみが読み取ることができます。 詳細情報。

5. ホスト グループの設定: 管理を容易にするには、保護されたホストを専用 VMM ホスト グループに配置することをお勧めします。

6. 既存の VM 要件を確認する: 既存の VM をシールドされた VM に変換する場合は、次の点に注意してください。

   • VM は第 2 世代で、Microsoft Windows セキュア ブート テンプレートが有効になっている必要があります
   • ディスク上のオペレーティング システムは、次のいずれかである必要があります。
     • Windows Server 2025、Windows Server 2022、Windows Server 2019
     • Windows 11、Windows 10
   • VM の OS ディスクでは、GUID パーティション テーブルを使用する必要があります。 これは、第 2 世代 VM で UEFI をサポートするために必要です。

7. ヘルパー VHD の設定: ホスティング サービス プロバイダーは、既存のマシンを変換するためのヘルパー VHD として機能する VM を作成する必要があります。 詳細情報。

シールド データ ファイルを VMM に追加する

既存の VM をシールドされた VM に変換したり、テンプレートから新しいシールドされた VM をプロビジョニングしたりする前に、VM 所有者はシールド データ ファイルを生成して VMM に追加する必要があります。

シールド データ ファイルをまだインポートしていない場合は、次の手順を実行します。

1. シールド データ ファイルをまだ作成していない場合は 作成します。 シールド された VM の実行に VMM が管理するホスティング ファブリックが、シールド データ ファイルによって承認されていることを確認します。
2. VMM コンソールで、 Library>Import Shielding Data>Browse を選択し、シールド データ ファイルを選択します。
3. Name でシールド データ ファイルのフレンドリ名を指定し必要に応じて説明を追加します。 シールド データ ファイルの名前に既存の VM と新しい VM のどちらを使用するかを指定して、見つけやすくすることをお勧めします。
4. Import を選択して、VMM にシールド データを保存します。

インポートしたシールド データ ファイルを管理するには、 Library>VM Shielding Data ( Profiles の下) に移動します。

新しいシールドされた VM をプロビジョニングする

1. 開始する前にすべての前提条件が満たされていることを確認します。
2. VM とサービスで仮想マシンの作成を選択して、仮想マシンの作成ウィザードを開きます。
3. ソースの選択で、既存の仮想マシン、VM テンプレート、または仮想ハード ディスクを使用する>Browseを選択します。
4. シールドされた VM テンプレートまたは署名されたテンプレート ディスクを選択します。 どちらもシールド アイコン によって識別されます。
5. シールド データ ファイルの選択Browseを選択し、シールド データ ファイルを選択します。 新しいシールドされた VM の作成に使用できるシールド データ ファイルのみが表示されます。 [OK>次へを選択して続行します。
6. 指示に従ってウィザードを完了し、VM をホスト/クラウドにデプロイします。

ウィザードが完了すると、VMM はディスクまたはテンプレートから新しいシールドされた VM を作成します。

1. テンプレート ディスク (VHDX) ファイルが VMM ライブラリからコピーされます。
2. VM プロビジョニングでは、シールド データ ファイル内のデータの暗号化が解除され、unattend.xml ファイル内の置換文字列が完了し、シールド データ ファイルからオペレーティング システム ドライブ (RDP 証明書など) に追加のファイルがコピーされます。
3. VM が再起動され、カスタマイズされ、BitLocker で再暗号化されます。 BitLocker のフル ボリューム暗号化キーは、新しい VM の仮想 TPM に格納されます。
4. unattend.xml ファイルの shutdown コマンドが実行されると、VM のカスタマイズが完了します。VM はオフのままです。 カスタマイズが停止した場合は、シールドされていない VM で実行するか、コンソール アクセスを許可する暗号化サポートのシールド データ ファイルを使用して、unattend.xml ファイルを確認します。
5. VMM は、特殊化が完了したことを検出すると、その状態を更新して VM が作成されたことを示し、選択した場合は VM を起動します。

既存の VM をシールドする

保護されていない VMM ファブリック内のホストで現在実行されている VM のシールドを有効にすることができます。

1. 開始する前にすべての前提条件が満たされていることを確認します。
2. VM をオフラインにします。
3. 保護されたホストに移動する前に、VM に接続されているすべてのディスクで BitLocker を有効にすることをお勧めします。
4. VM >Properties>Shield を選択し、シールド データ ファイルを選択します。
5. VM をシャットダウンし、保護されていないホストからエクスポートし、保護されたホストにインポートします。 保護されたホストのみが VM データにアクセスできます。

次のステップ

管理仮想マシンの設定 VM のパフォーマンスと可用性の設定を構成する方法を確認します。