既存の Azure VM でトラステッド起動を有効にする

適用対象: ✔️ Linux VM ✔️ Windows VM ✔️ 第 2 世代 VM

Azure Virtual Machines では、トラステッド起動のセキュリティの種類にアップグレードすることで、既存の Azure 第 2 世代 VM でトラステッド起動を有効にできます。

トラステッド起動は、Azure 第 2 世代 VM で基本的なコンピューティング セキュリティを有効にする方法です。 トラステッド起動では、VM 上のセキュア ブート、vTPM、ブートの整合性の監視などのインフラストラクチャ テクノロジを組み合わせることで、ブート キットやルートキットなどの高度で永続的な攻撃手法から Virtual Machines を保護します。

重要

• 第 2 世代 VM で有効になっている場合は、トラステッド起動アップグレードを実行する前に、カスタマー マネージド キーを使用したサーバー側暗号化 (SSE-CMK) を無効にする必要があります。 トラステッド起動アップグレードが完了したら、SSE-CMK 暗号化を再度有効にする必要があります。
• 既存の Azure 第 1 世代 VM でのトラステッド起動の有効化のサポートは現在、プライベート プレビュー段階です。 プレビューにアクセスするには、登録リンク https://aka.ms/Gen1ToTLUpgrade を使用します。
• 既存の Azure Virtual Machine Scale Sets (VMSS) の Uniform と Flex でのトラステッド起動の有効化は現在サポートされていません。

前提条件

• Azure 第 2 世代 VM は次で構成されます。
  • トラステッド起動でサポートされるサイズ ファミリ
  • トラステッド起動でサポートされる OS イメージ。 カスタム OS イメージまたはディスクの場合、基本イメージはトラステッド起動対応である必要があります。
• Azure 第 2 世代 VM では、トラステッド起動で現在サポートされていない機能は使用されていません。
• トラステッド起動のセキュリティの種類を有効にする前に、Azure 第 2 世代 VM を停止して割り当てを解除する必要があります。
• Azure Backup は、VM に対して有効になっている場合、拡張バックアップ ポリシーを使用して構成する必要があります。 "Standard ポリシー" バックアップ保護を使って構成されている第 2 世代 VM に対しては、トラステッド起動のセキュリティの種類を有効にできません。
  • 既存の Azure VM バックアップは、プライベート プレビュー移行機能を使用して、標準から拡張ポリシーに移行できます。 リンク https://aka.ms/formBackupPolicyMigration を使用してプレビューへのオンボーディング要求を送信します。

ベスト プラクティス

• 第 2 世代のテスト VM でトラステッド起動を有効にし、運用環境のワークロードに関連付けられている第 2 世代 VM でトラステッド起動を有効にする前に、前提条件を満たすために変更が必要かどうかを確認します。
• トラステッド起動のセキュリティの種類を有効にする前に、運用環境のワークロードに関連付けられている Azure 第 2 世代 VM に対して復元ポイントを作成します。 復元ポイントを使用して、ディスクと第 2 世代 VM を以前の既知の状態で再作成できます。

既存の VM でトラステッド起動を有効にする

Note

• トラステッド起動を有効にすると、現在、仮想マシンを Standard (非トラステッド起動構成) のセキュリティの種類にロールバックすることはできません。
• vTPM は既定で有効になっています。
• カスタム署名されていないカーネルまたはドライバーを使用していない場合は、セキュア ブートを有効にすることをお勧めします (既定では有効になっていません)。 セキュア ブートでは、ブートの整合性が維持され、VM の基本的なセキュリティが有効になります。

ポータル

このセクションでは、Azure portal を使って、既存の Azure 第 2 世代 VM でトラステッド起動を有効にする手順について説明します。

1. Azure portal にログインします
2. 仮想マシンの世代が V2 であることを確認し、VM を [停止] します。

3. VM の [プロパティ] の [概要] ページで、[セキュリティの種類] から [Standard] を選びます。 これにより、VM の [構成] ページに移動します。

4. [構成] ページの [セキュリティの種類] セクションでドロップダウン [セキュリティの種類] を選びます。

5. ドロップダウンで [トラステッド起動] を選び、チェックボックスで [セキュア ブート] と [vTPM] を有効にします。 必要な変更を行ったら [保存] をクリックします。

Note

• Azure Compute Gallery (ACG)、マネージド イメージ、OS ディスクを使って作成された第 2 世代 VM は、Portal ではトラステッド起動にアップグレードできません。 OS バージョンがトラステッド起動でサポートされていることを確認し、PowerShell、CLI、または ARM テンプレートを使ってアップグレードを実行してください。

6. 更新が正常に完了したら [構成] ページを閉じ、[概要] ページの VM のプロパティで [セキュリティの種類] を確認します。

7. アップグレードされたトラステッド起動 VM を起動し、正常に開始されていることを確認し、RDP (Windows VM の場合) または SSH (Linux VM の場合) を使って VM にログインできることを確認します。

CLI

このセクションでは、Azure CLI を使って、既存の Azure 第 2 世代 VM でトラステッド起動を有効にする手順について説明します。

Azure CLI の最新版がインストールされていること、および az login で Azure アカウントにログインしていることを確認します。

1. Azure サブスクリプションへのログイン

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

2. VM の割り当てを解除する

az vm deallocate \
    --resource-group myResourceGroup --name myVm

3. --security-type を TrustedLaunch に設定して、トラステッド起動を有効にします。

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type TrustedLaunch \
    --enable-secure-boot true --enable-vtpm true

4. 前のコマンドの出力を検証します。 securityProfile 構成はコマンド出力と共に返されます。

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

5. VM を起動します。

az vm start \
    --resource-group myResourceGroup --name myVm

6. アップグレードされたトラステッド起動 VM を起動し、正常に開始されていることを確認し、RDP (Windows VM の場合) または SSH (Linux VM の場合) を使って VM にログインできることを確認します。

PowerShell

このセクションでは、Azure PowerShell を使って、既存の Azure 第 2 世代 VM でトラステッド起動を有効にする手順について説明します。

Azure PowerShell の最新版がインストールされていること、および Connect-AzAccount で Azure アカウントにログインしていることを確認します。

1. Azure サブスクリプションへのログイン

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

2. VM の割り当てを解除する

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

3. --security-type を TrustedLaunch に設定して、トラステッド起動を有効にします。

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType TrustedLaunch `
        -EnableSecureBoot $true -EnableVtpm $true

4. 更新された VM 構成で検証securityProfileします。

# Following command output should be `TrustedLaunch`

(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings

5. VM を起動します。

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

6. アップグレードされたトラステッド起動 VM を起動し、正常に開始されていることを確認し、RDP (Windows VM の場合) または SSH (Linux VM の場合) を使って VM にログインできることを確認します。

[テンプレート]

このセクションでは、ARM テンプレートを使って、既存の Azure 第 2 世代 VM でトラステッド起動を有効にする手順について説明します。

Azure Resource Manager テンプレートは JavaScript Object Notation (JSON) ファイルであり、プロジェクトのインフラストラクチャと構成が定義されています。 このテンプレートでは、宣言型の構文が使用されています。 デプロイしようとしているものを、デプロイを作成する一連のプログラミング コマンドを記述しなくても記述できます。

1. テンプレートを確認します。

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "type": "object",
            "metadata": {
                "description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
            }
        },
        "vTpmEnabled": {
            "type": "bool",
            "defaultValue": true,
            "metadata": {
                "description": "Specifies whether vTPM should be enabled on the virtual machine."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Compute/virtualMachines",
            "apiVersion": "2022-11-01",
            "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
            "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
            "properties": {
                "securityProfile": {
                    "uefiSettings": {
                        "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                        "vTpmEnabled": "[parameters('vTpmEnabled')]"
                    },
                    "securityType": "TrustedLaunch"
                }
            },
            "copy": {
                "name": "vmCopy",
                "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
            }
        }
    ]
}

2. TrustedLaunch のセキュリティの種類に更新する仮想マシンを使用して パラメータ json ファイルを編集します。

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "value": {
                "virtualMachines": [
                    {
                        "vmName": "myVm01",
                        "location": "westus3",
						            "secureBootEnabled": true
                    },
                    {
                        "vmName": "myVm02",
                        "location": "westus3",
						            "secureBootEnabled": true
                    }
                ]
            }
        }
    }
}

パラメータ ファイルの定義

プロパティ	プロパティの説明	テンプレート値の例
vmName	Azure 第 2 世代 VM の名前	"myVM"
location	Azure 第 2 世代 VM の場所	"westus3"
secureBootEnabled	トラステッド起動のセキュリティの種類でセキュア ブートを有効にする	true

3. 更新するすべての Azure 第 2 世代 VM の割り当てを解除します。

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01

4. ARM テンプレートのデプロイを実行します。

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

5. デプロイが成功したことを確認します。 Azure portal を使用して、VM のセキュリティの種類と UEFI 設定を確認します。 概要ページの [セキュリティの種類] セクションを確認します。

6. アップグレードされたトラステッド起動 VM を起動し、正常に開始されていることを確認し、RDP (Windows VM の場合) または SSH (Linux VM の場合) を使って VM にログインできることを確認します。

次のステップ

(推奨) アップグレード後に、ブートの整合性の監視を有効にして、Microsoft Defender for Cloud を使って VM の正常性を監視できます。

トラステッド起動の詳細と、よく寄せられる質問を確認します