このセクションでは、Azure portal を使って、既存の Azure 第 2 世代 VM でトラステッド起動を有効にする手順について説明します。
- Azure portal にログインします
- 仮想マシンの世代が V2 であることを確認し、VM を [停止] します。
- VM の [プロパティ] の [概要] ページで、[セキュリティの種類] から [Standard] を選びます。 これにより、VM の [構成] ページに移動します。
- [構成] ページの [セキュリティの種類] セクションでドロップダウン [セキュリティの種類] を選びます。
- ドロップダウンで [トラステッド起動] を選び、チェックボックスで [セキュア ブート] と [vTPM] を有効にします。 必要な変更を行ったら [保存] をクリックします。
- 更新が正常に完了したら [構成] ページを閉じ、[概要] ページの VM のプロパティで [セキュリティの種類] を確認します。
- アップグレードされたトラステッド起動 VM を起動し、正常に開始されていることを確認し、RDP (Windows VM の場合) または SSH (Linux VM の場合) を使って VM にログインできることを確認します。
このセクションでは、Azure CLI を使って、既存の Azure 第 2 世代 VM でトラステッド起動を有効にする手順について説明します。
Azure CLI の最新版がインストールされていること、および az login で Azure アカウントにログインしていることを確認します。
- Azure サブスクリプションへのログイン
az login
az account set --subscription 00000000-0000-0000-0000-000000000000
- VM の割り当てを解除する
az vm deallocate \
--resource-group myResourceGroup --name myVm
--security-type
を TrustedLaunch
に設定して、トラステッド起動を有効にします。
az vm update \
--resource-group myResourceGroup --name myVm \
--security-type TrustedLaunch \
--enable-secure-boot true --enable-vtpm true
- 前のコマンドの出力を検証します。
securityProfile
構成はコマンド出力と共に返されます。
{
"securityProfile": {
"securityType": "TrustedLaunch",
"uefiSettings": {
"secureBootEnabled": true,
"vTpmEnabled": true
}
}
}
- VM を起動します。
az vm start \
--resource-group myResourceGroup --name myVm
- アップグレードされたトラステッド起動 VM を起動し、正常に開始されていることを確認し、RDP (Windows VM の場合) または SSH (Linux VM の場合) を使って VM にログインできることを確認します。
このセクションでは、Azure PowerShell を使って、既存の Azure 第 2 世代 VM でトラステッド起動を有効にする手順について説明します。
Azure PowerShell の最新版がインストールされていること、および Connect-AzAccount で Azure アカウントにログインしていることを確認します。
- Azure サブスクリプションへのログイン
Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
- VM の割り当てを解除する
Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm
--security-type
を TrustedLaunch
に設定して、トラステッド起動を有効にします。
Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
| Update-AzVM -SecurityType TrustedLaunch `
-EnableSecureBoot $true -EnableVtpm $true
- 更新された VM 構成で検証
securityProfile
します。
# Following command output should be `TrustedLaunch`
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
| Select-Object -Property SecurityProfile `
-ExpandProperty SecurityProfile).SecurityProfile.SecurityType
# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
| Select-Object -Property SecurityProfile `
-ExpandProperty SecurityProfile).SecurityProfile.Uefisettings
- VM を起動します。
Start-AzVM -ResourceGroupName myResourceGroup -Name myVm
- アップグレードされたトラステッド起動 VM を起動し、正常に開始されていることを確認し、RDP (Windows VM の場合) または SSH (Linux VM の場合) を使って VM にログインできることを確認します。
このセクションでは、ARM テンプレートを使って、既存の Azure 第 2 世代 VM でトラステッド起動を有効にする手順について説明します。
Azure Resource Manager テンプレートは JavaScript Object Notation (JSON) ファイルであり、プロジェクトのインフラストラクチャと構成が定義されています。 このテンプレートでは、宣言型の構文が使用されています。 デプロイしようとしているものを、デプロイを作成する一連のプログラミング コマンドを記述しなくても記述できます。
- テンプレートを確認します。
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"vmsToUpgrade": {
"type": "object",
"metadata": {
"description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
}
},
"vTpmEnabled": {
"type": "bool",
"defaultValue": true,
"metadata": {
"description": "Specifies whether vTPM should be enabled on the virtual machine."
}
}
},
"resources": [
{
"type": "Microsoft.Compute/virtualMachines",
"apiVersion": "2022-11-01",
"name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
"location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
"properties": {
"securityProfile": {
"uefiSettings": {
"secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
"vTpmEnabled": "[parameters('vTpmEnabled')]"
},
"securityType": "TrustedLaunch"
}
},
"copy": {
"name": "vmCopy",
"count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
}
}
]
}
TrustedLaunch
のセキュリティの種類に更新する仮想マシンを使用して パラメータ json ファイルを編集します。
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"vmsToUpgrade": {
"value": {
"virtualMachines": [
{
"vmName": "myVm01",
"location": "westus3",
"secureBootEnabled": true
},
{
"vmName": "myVm02",
"location": "westus3",
"secureBootEnabled": true
}
]
}
}
}
}
パラメータ ファイルの定義
プロパティ |
プロパティの説明 |
テンプレート値の例 |
vmName |
Azure 第 2 世代 VM の名前 |
"myVM" |
location |
Azure 第 2 世代 VM の場所 |
"westus3" |
secureBootEnabled |
トラステッド起動のセキュリティの種類でセキュア ブートを有効にする |
true |
- 更新するすべての Azure 第 2 世代 VM の割り当てを解除します。
Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
- ARM テンプレートのデプロイを実行します。
$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"
New-AzResourceGroupDeployment `
-ResourceGroupName $resourceGroupName `
-TemplateFile $templateFile -TemplateParameterFile $parameterFile
- デプロイが成功したことを確認します。 Azure portal を使用して、VM のセキュリティの種類と UEFI 設定を確認します。 概要ページの [セキュリティの種類] セクションを確認します。
- アップグレードされたトラステッド起動 VM を起動し、正常に開始されていることを確認し、RDP (Windows VM の場合) または SSH (Linux VM の場合) を使って VM にログインできることを確認します。