管理者が信頼する構成証明を使用して Hyper-V ホストを承認する

• 適用対象:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

重要

管理者によって信頼された構成証明 (AD モード) は、Windows Server 2019 以降では非推奨とされます。 TPM 構成証明ができない環境では、ホスト キーの構成証明を構成します。 ホスト キーの構成証明は、AD モードと同様の保証を提供し、設定が簡単です。

AD モードで保護されたホストを承認するには:

1. ファブリック ドメインで、Hyper-V ホストをセキュリティ グループに追加します。
2. HGS ドメインで、セキュリティ グループの SID を HGS に登録します。

Hyper-V ホストをセキュリティ グループに追加し、ホストを再起動する

1. ファブリック ドメインに GLOBAL セキュリティ グループを作成し、シールドされた VM を実行する Hyper-V ホストを追加します。 ホストを再起動して、グループ メンバーシップを更新します。

2. Get-ADGroup を使用して、セキュリティ グループのセキュリティ識別子 (SID) を取得し、HGS 管理者に提供します。

   Get-ADGroup "Guarded Hosts"
   

   

セキュリティ グループの SID を HGS に登録します

1. ファブリック管理者から保護されたホストのセキュリティ グループの SID を取得し、次のコマンドを実行してセキュリティ グループを HGS に登録します。 必要に応じて、追加のグループに対してコマンドを再び実行します。 グループのフレンドリ名を指定します。 Active Directory セキュリティ グループ名と一致する必要はありません。

   Add-HgsAttestationHostGroup -Name "<GuardedHostGroup>" -Identifier "<SID>"
   

2. グループが追加されたのを確認するには、 Get-HgsAttestationHostGroup を実行します。