保護されたホストのセキュリティ グループを作成し、グループを HGS に登録する
重要
AD モードは、Windows Server 2019 から非推奨になりました。 TPM 構成証明ができない環境では、ホスト キーの構成証明を構成します。 ホスト キーの構成証明は、AD モードと同様の保証を提供し、設定が簡単です。
このトピックでは、管理者によって信頼された構成証明 (AD モード) を使用して、Hyper-V ホストを保護されたホストにするための中間手順について説明します。 これらの手順を実行する前に、保護されたホストになるホストのファブリック DNS を構成する方法に関するページの手順を完了します。
セキュリティ グループを作成してホストを追加する
ファブリック ドメインに新しい GLOBAL セキュリティ グループを作成し、シールドされた VM を実行する Hyper-V ホストを追加します。 ホストを再起動して、グループ メンバーシップを更新します。
Get-ADGroup を使用して、セキュリティ グループのセキュリティ識別子 (SID) を取得し、HGS 管理者に提供します。
Get-ADGroup "Guarded Hosts"
セキュリティ グループの SID を HGS に登録する
HGS サーバーで次のコマンドを実行して、セキュリティ グループを HGS に登録します。 必要に応じて、追加のグループに対してコマンドを再び実行します。 グループのフレンドリ名を指定します。 Active Directory セキュリティ グループ名と一致する必要はありません。
Add-HgsAttestationHostGroup -Name "<GuardedHostGroup>" -Identifier "<SID>"
グループが追加されたのを確認するには、Get-HgsAttestationHostGroup を実行します。