Einführung in den vertrauenswürdigen Start für Azure Arc-VMs auf Azure Stack HCI, Version 23H2
Gilt für: Azure Stack HCI, Version 23H2
In diesem Artikel wird der vertrauenswürdige Start für virtuelle Azure Arc-Computer (VMs) auf Azure Stack HCI, Version 23H2, vorgestellt. Mit Azure-Portal oder mithilfe von Azure-Befehlszeilenschnittstelle (CLI) können Sie einen vertrauenswürdigen Arc-Start erstellen.
Einführung
Der vertrauenswürdige Start für Azure Arc-VMs unterstützt den sicheren Start, das virtuelle Trusted Platform Module (vTPM) und die vTPM-Statusübertragung, wenn ein virtueller Computer innerhalb eines Clusters migriert oder fehlschlägt.
Der vertrauenswürdige Start ist ein Sicherheitstyp, der beim Erstellen von Arc-VMs auf Azure Stack HCI angegeben werden kann. Weitere Informationen finden Sie unter "Vertrauenswürdiger Start" für Azure Arc-VMs auf Azure Stack HCI.
Funktionen und Vorteile
| Funktion | Vorteil |
|---|---|
| Sicherer Start | Trägt dazu bei, das Risiko von Schadsoftware (Rootkits) während des Starts zu verringern, indem sichergestellt wird, dass Startkomponenten von vertrauenswürdigen Herausgebern signiert sind. |
| vTPM | Virtualisierte Version eines Hardware-TPM, das als dedizierter Tresor für Schlüssel, Zertifikate und geheime Schlüssel dient. |
| vTPM-Statusübertragung | Behält vTPM bei, wenn die VM innerhalb eines Clusters migriert oder fehlschlägt. |
| Virtualisierungsbasierte Sicherheit (VBS) | Gast in der VM kann isolierte Speicherregionen mithilfe der VBS-Unterstützung erstellen. |
Hinweis
Die Überprüfung der VM-Gaststartintegrität ist nicht verfügbar.
Leitfaden
IgvmAgent ist eine Komponente, die auf allen Knoten im Azure Stack HCI-Cluster installiert ist. Sie ermöglicht beispielsweise die Unterstützung für isolierte VMs wie vertrauenswürdige Start arc-VMs.
Im Rahmen der Erstellung des vertrauenswürdigen Starts von Arc VM erstellt Hyper-V VM-Dateien auf dem Datenträger, um den VM-Zustand zu speichern. Standardmäßig ist der Zugriff auf diese VM-Dateien auf Hostserveradministratoren beschränkt. Hostadministratoren müssen sicherstellen, dass der Speicherort, an dem diese VM-Dateien gespeichert werden, immer erneut Standard entsprechend zugriffsgeschützt ist.
Gastbetriebssystemimages
Die folgenden VM-Gastbetriebssystemimages von Azure Marketplace werden unterstützt. Das VM-Image kann mit Azure-Portal oder Azure CLI erstellt werden.
Weitere Informationen finden Sie unter Create Azure Stack HCI VM image using Azure Marketplace.
| Name | Herausgeber | Angebot | SKU | Versionsnummer |
|---|---|---|---|---|
| Windows 11 Enterprise Multisitzung, Version 22H2 – Gen2 | microsoftwindowsdesktop | Windows-11 | win11-22h2-avd | 22621.2428.231001 |
| Windows 11 Enterprise Multisitzung, Version 22H2 + Microsoft 365 Apps (Vorschau) – Gen2 | microsoftwindowsdesktop | windows11preview | win11-22h2-avd-m365 | 22621.382.220810 |
| Windows 11 Enterprise Multisitzung, Version 21H2 – Gen2 | microsoftwindowsdesktop | Windows-11 | win11-21h2-avd | 22000.2538.231001 |
| Windows 11 Enterprise Multisitzung, Version 21H2 + Microsoft 365 Apps – Gen2 | microsoftwindowsdesktop | office-365 | win10-21h2-avd-m365-g2 | 19044.3570.231010 |
Hinweis
VM-Gastimages, die außerhalb von Azure Marketplace abgerufen wurden, werden nicht unterstützt.
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für