(プレビュー) 既存の Azure 第 1 世代 VM をトラステッド起動にアップグレードする

2025-02-27

適用対象: ✔️ Linux VM ✔️ Windows VM ✔️ 第 1 世代 VM

Azure Virtual Machines では、セキュリティタイプをトラステッド起動にアップグレードすることで、第 1 世代仮想マシン (VM) を第 2 世代にアップグレードできます。

トラステッド起動は、Azure 第 2 世代 VM で基本的なコンピューティングセキュリティを実現し、ブートキットやルートキットなどの高度で持続的な攻撃手法から保護できる方法の 1 つです。これを実現するには、VM 上でセキュアブート、仮想トラステッドプラットフォームモジュール (vTPM)、ブート整合性監視などのインフラストラクチャテクノロジを組み合わせます。

重要

既存の第 1 世代 VM のトラステッド起動へのアップグレードは、現在プレビュー段階でサポートされています。 トラステッド起動を有効にせずに第 1 世代 VM を第 2 世代にアップグレードすることは、サポートされていません。

前提条件

サブスクリプションは、Microsoft.Compute 名前空間の下で Gen1ToTLMigrationPreview 機能をプレビューするためにオンボードされています。「Azure サブスクリプションでプレビュー機能を設定する」を参照してください
Azure VM は次を使用して構成されています。
- トラステッド起動でサポートされるサイズファミリ。
- トラステッド起動がサポートされているバージョンのオペレーティングシステム (OS) (Windows Server 2016、Debian、Azure Linux を除く)。カスタム OS イメージまたはディスクの場合、基本イメージは "トラステッド起動対応" である必要があります。
Azure VM では、トラステッド起動で現在サポートされていない機能は使用されていません。
Azure Backup は、VM に対して有効になっている場合、拡張バックアップポリシーを使用して構成する必要があります。 Standard ポリシーのバックアップ保護を使って構成されている VM に対しては、トラステッド起動のセキュリティタイプを有効にすることはできません。
- 既存の Azure VM バックアップは、Standard から Enhanced ポリシーに移行できます。「Azure VM バックアップを Standard から Enhanced 拡張ポリシーに移行する (プレビュー)」の手順に従ってください。
運用環境のワークロードに関連付けられている第 1 世代の VM をトラステッド起動にアップグレードする前に、テスト用の第 1 世代 VM をトラステッド起動にアップグレードし、前提条件を満たすために変更が必要かどうかを判断します。
BitLocker を含め、有効になっている Windows OS ボリューム暗号化 がある場合は、アップグレードの前に無効にします. これらの Windows OS ボリューム暗号化は、アップグレードが成功した後に再度有効にする必要があります。この操作は、データディスクまたは Linux OS ボリュームに対しては必要ありません。

サポートされていない第 1 世代 VM の構成

第 1 世代からトラステッド起動 VM へのアップグレードは、第 1 世代 VM が次を使用して構成されている場合はサポートされません。

運用ワークロード: プレビュー機能は、テスト、評価、フィードバック用にのみ使用してください。運用ワークロードは推奨されていません。
オペレーティングシステム: Windows Server 2016、Azure Linux、Debian、その他の、トラステッド起動でサポートされているオペレーティングシステム (OS) のバージョン、に記載されていないオペレーティングシステム。 Windows Server 2016 の場合のみ、ゲストオペレーティングシステムを Windows Server 2019 または 2022 に更新することで、この問題を回避できます。
VM サイズ: トラステッド起動でサポートされているサイズファミリに記載されていない VM サイズが構成された第 1 世代 VM。回避策として、VM サイズを、トラステッド起動でサポートされている VM サイズファミリに更新できます。
Azure Backup: 標準ポリシーを使用して、Azure Backup で構成された第 1 世代 VM。回避策としては、第 1 世代 VM バックアップを、標準ポリシーから拡張ポリシーに移行します。
BitLocker または同等の暗号化: Windows 第 1 世代 VM のゲストオペレーティングシステムボリュームは、BitLocker または同等の暗号化テクノロジを使用して暗号化されています。回避策としては、アップグレードの前に Windows OS ボリュームの暗号化を無効にし、トラステッド起動のアップグレードが正常に完了した後で再度有効にします。

ベストプラクティス

トラステッド起動のセキュリティタイプを有効にする前に、運用ワークロードに関連付けられている Azure VM に対して復元ポイントを作成します。復元ポイントを使用すると、ディスクと VM を、明確にわかる以前の状態で再作成できます。
トラステッド起動のアップグレードを実行する前に、「既知の問題」をレビューしてください。
アップグレードの一環として、MBR to GPT conversion の後に Windows OS ディスクシステムボリュームを拡張することはできません。将来の準備として、トラステッド起動へのアップグレード前に、システムボリュームを拡張することをお勧めします。
Windows OS ディスクボリュームは、コマンド Defrag C: /U /V を使用して最適化する必要があります。 OS ボリュームの最適化により、パーティションの末尾を解放することで、MBR (マスターブートレコード) から GPT (GUID パーティションテーブル) への変換におけるエラーのリスクが軽減されます。「defrag」を参照してください。

ゲストオペレーティングシステムボリュームを更新する

第 2 世代 VM には、次の構成のゲストオペレーティングシステムボリュームが必要です。

GPT ディスクのレイアウト: 第 1 世代 VM のゲストオペレーティングシステムボリュームは、主に MBR に設定されており、GPT への更新が必要です
EFI システムパーティション: 第 1 世代 VM のゲストオペレーティングシステムボリュームには、ほとんどの場合、このパーティションは含まれていません。

Azure 第 1 世代 VM をトラステッド起動にアップグレードする前に、必要な構成で OS ボリュームの更新を完了してください。

重要

ガイダンスとして公開された PowerShell ベースのオーケストレーションスクリプトでは、Windows と Linux の MBR2GPT 検証や Windows OS の変換を含む、すべてのアップグレード手順がオーケストレーションされています。ガイダンススクリプトと必要なドキュメントには、Azure 第 1 世代から第 2 世代へのトラステッド起動 VM アップグレードの GitHub リポジトリでアクセスできます
運用環境のワークロードに関連付けられている第 1 世代の VM をトラステッド起動にアップグレードする前に、テスト用の第 1 世代 VM をトラステッド起動にアップグレードし、前提条件を満たすために変更が必要かどうかを判断します。

Windows
Linux

組み込みの MBR2GPT.exe ユーティリティを使用すると、GPT ディスクレイアウトを有効にして、第 2 世代へのアップグレードに必要な EFI system partition を追加できます。

注意事項

MBR to GPT conversion の後は、Windows OS ディスクシステムボリュームを拡張することはできなくなります。将来の準備のため、アップグレードを実行する前に、システムボリュームを拡張することをお勧めします。

Note

Windows Server 2016 は、MBR2GPT.exe をサポートしていません。回避策としては、ゲストオペレーティングシステムを Windows Server 2019 または 2022 に更新した後で、MBR to GPT conversion を実行します。「Azure で Windows Server を実行している VM のインプレースアップグレード」を参照してください。

変換を実行するために、RDP またはリモートで第 1 世代 Windows VM に接続します。
コマンド MBR2GPT /validate /allowFullOS を実行し、Disk layout validation が正常に完了したことを確認します。 Disk layout validation が失敗した場合には、続行しないでください。一般的な原因とエラーに関する解決策の一覧については、「既知の問題」を参照してください。詳細とトラブルシューティングについては、「MBR2GPT のトラブルシューティング」を参照してください。

コマンド MBR2GPT /convert /allowFullOS を実行して、MBR から GPT への変換を実施します。成功した出力の例:

If conversion is successful the disk can only be booted in GPT mode.
These changes cannot be undone!

MBR2GPT: Attempting to convert disk 0
MBR2GPT: Retrieving layout of disk
MBR2GPT: Validating layout, disk sector size is: 512 bytes
MBR2GPT: Trying to shrink the OS partition
MBR2GPT: Creating the EFI system partition
MBR2GPT: Installing the new boot files
MBR2GPT: Performing the layout conversion
MBR2GPT: Migrating default boot entry
MBR2GPT: Adding recovery boot entry
MBR2GPT: Fixing drive letter mapping
MBR2GPT: Conversion completed successfully
MBR2GPT: Before the new system can boot properly you need to switch the firmware to boot to UEFI mode!

重要

既存の Azure 第 1 世代 Linux VM のトラステッド起動へのアップグレードは、Azure Marketplace で発行されたサポート対象の OS イメージを使用して作成された (Debian、Azure Linux を除く) VM に対してのみサポートされます。

Azure Marketplace で発行された、保証済みディストリビューション (Canonical、RHEL、SUSE) イメージを使用して作成された Azure 第 1 世代 Linux VM では、ゲストオペレーティングシステムボリュームに変更を加える必要はありません。つまり、これらには既に GPT ディスクレイアウトが含まれ、EFI system partition が構成済みだということです。 Azure Linux および Debian を含め、このアップグレードサポートを必要とする他の Azure 第 1 世代 Linux VM については、Linux 第 1 世代からトラステッド起動へのアップグレードのサポートに登録を提出してください。

次のコマンドを使用して、トラステッド起動アップグレードについての、ゲストオペレーティングシステムボリュームの準備状況を検証します。検証手順のいずれかが失敗した場合は、トラステッド起動へのアップグレードを続行しないでください。

検証コマンドを実行するために、SSH またはリモートで第 1 世代 Linux VM に接続します。
ブートデバイスを特定し、変数に格納します。
bootDevice=$(echo "/dev/$(sudo lsblk -no pkname $(sudo df /boot | awk 'NR==2 {print $1}'))")
ブートデバイスのディスクの種類を確認します。コマンドの出力には、gpt が返されている必要があります。
sudo blkid $bootDevice -o value -s PTTYPE
ブートボリュームで EFI system partition が使用可能かどうかを確認します。コマンドの出力には、\dev\sda3 などの特定のパーティションが返されている必要があります。
sudo fdisk -l $bootDevice | grep EFI | awk '{print $1}'
EFI マウントポイントが構成されていることを確認します。コマンドの出力には、/boot/efi present in /etc/fstab が返されている必要があります
sudo grep -qs '/boot/efi' /etc/fstab && echo '/boot/efi present in /etc/fstab' || echo '/boot/efi missing in /etc/fstab'

第 1 世代 VM をトラステッド起動にアップグレードする

Note

現在、トラステッド起動を有効にした後に、VM を Standard セキュリティの種類 (トラステッドではない起動構成) にロールバックすることはできません。
vTPM は既定で有効になっています。
カスタムの署名されていないカーネルまたはドライバーを使用していない場合は、セキュアブートを有効にすることをお勧めします。これは、既定では有効になっていません。セキュアブートでは、ブートの整合性が維持され、VM の基本的なセキュリティが有効になります。

Azure PowerShell の最新版がインストールされていること、および Connect-AzAccount で Azure アカウントにサインイン済みであることを確認します。

重要

ガイダンスとして公開された PowerShell ベースのオーケストレーションスクリプトでは MBR2GPT 変換を含むすべてのアップグレード手順がオーケストレーションされています。ガイダンススクリプトと必要なドキュメントには、Azure 第 1 世代から第 2 世代へのトラステッド起動 VM アップグレードの GitHub リポジトリでアクセスできます

既存の第 1 世代 VM を第 2 世代にアップグレードし、Azure PowerShell を使用してトラステッド起動を有効にするための手順に従います。

VM の Azure サブスクリプションにサインインします。

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

VM の割り当てを解除します。

Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm

-SecurityType を TrustedLaunch に設定して、トラステッド起動を有効にします。

Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Update-AzVM -SecurityType TrustedLaunch `
        -EnableSecureBoot $true -EnableVtpm $true

更新された VM 構成で securityProfile を検証します。

# Following command output should be `TrustedLaunch`

(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.SecurityType

# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
    | Select-Object -Property SecurityProfile `
        -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings

VM を起動します。

Start-AzVM -ResourceGroupName myResourceGroup -Name myVm

アップグレードされたトラステッド起動 VM を起動します。 RDP (Windows VM の場合) または SSH (Linux VM の場合) を使用して VM にサインインできることを確認します。

既存の第 1 世代 VM を第 2 世代にアップグレードし、Azure CLI を使用してトラステッド起動を有効にするための手順に従います。

Azure CLI の最新版がインストールされていること、および az login で Azure アカウントにサインイン済みであることを確認します。

VM の Azure サブスクリプションにサインインします。

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

VM の割り当てを解除します。

az vm deallocate \
   --resource-group myResourceGroup --name myVm

--security-type を TrustedLaunch に設定して、トラステッド起動を有効にします。

az vm update \
    --resource-group myResourceGroup --name myVm \
    --security-type TrustedLaunch \
    --enable-secure-boot true --enable-vtpm true

前のコマンドの出力を確認します。 securityProfile 構成がコマンド出力と共に返されることを確認します。

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

VM を起動します。

az vm start \
    --resource-group myResourceGroup --name myVm

アップグレードされたトラステッド起動 VM を起動します。 RDP (Windows VM の場合) または SSH (Linux VM の場合) を使用して VM にサインインできることを確認します。

ARM テンプレートを使って、既存の Azure 第 2 世代 VM でトラステッド起動を有効にするには、次の手順に従います。

Azure Resource Manager テンプレートは JavaScript Object Notation (JSON) ファイルであり、プロジェクトのインフラストラクチャと構成が定義されています。このテンプレートでは、宣言型の構文が使用されています。デプロイしようとしているものを、デプロイを作成する一連のプログラミングコマンドを記述しなくても記述できます。

テンプレートを確認します。

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "type": "object",
            "metadata": {
                "description": "Specifies the list of Azure virtual machines to be upgraded to Trusted launch."
            }
        },
        "vTpmEnabled": {
            "type": "bool",
            "defaultValue": true,
            "metadata": {
                "description": "Specifies whether vTPM should be enabled on the virtual machine."
            }
        }
    },
    "resources": [
        {
            "type": "Microsoft.Compute/virtualMachines",
            "apiVersion": "2022-11-01",
            "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
            "___location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].___location]",
            "properties": {
                "securityProfile": {
                    "uefiSettings": {
                        "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                        "vTpmEnabled": "[parameters('vTpmEnabled')]"
                    },
                    "securityType": "TrustedLaunch"
                }
            },
            "copy": {
                "name": "vmCopy",
                "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
            }
        }
    ]
}

TrustedLaunch のセキュリティの種類で更新される VM を含む parameters JSON ファイルを編集します。

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "vmsToUpgrade": {
            "value": {
                "virtualMachines": [
                    {
                        "vmName": "myVm01",
                        "___location": "westus3",
                        "secureBootEnabled": true
                    },
                    {
                        "vmName": "myVm02",
                        "___location": "westus3",
                        "secureBootEnabled": true
                    }
                ]
            }
        }
    }
}

パラメータファイルの定義

プロパティ	プロパティの説明	テンプレート値の例
vmName	Azure VM の名前。	`myVm`
___location	Azure VM の場所。	`westus3`
secureBootEnabled	トラステッド起動のセキュリティの種類でセキュアブートを有効にする。	`true`

更新するすべての Azure VM の割り当てを解除します。
```
Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
```

ARM テンプレートのデプロイを実行します。

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

VM のトラステッド起動プロパティを示すスクリーンショット。

アップグレードされたトラステッド起動 VM を起動します。 RDP (Windows VM の場合) または SSH (Linux VM の場合) を使用して VM にサインインできることを確認します。

既知の問題

Windows 10 VM のトラステッド起動アップグレード後に Windows 11 の起動が失敗する

Windows 10 第 1 世代 VM が正常にトラステッド起動にアップグレードされ、その後、Windows 11 のインプレースアップグレードが成功しました。ただし、Azure VM が停止しエラーが表示された状態で起動した後は、Windows 11 の起動が失敗します。

解決策: この問題は、24H2 ビルドバージョン 26100.2314 で修正されています。

Azure Windows VM の起動の失敗を示すスクリーンショット。

[Windows]　MBR から GPT への変換が、EFI システムパーティションのスペースが見つかりません、というエラーで失敗する

このエラーは、次のいずれかの理由で発生します。

システムボリュームに空き領域がない
システムボリュームが破損してます。ディスク管理コンソールで数 MB ずつボリュームを縮小することで検証できます。システムボリュームを修復するには、コマンド chkdsk C:/v/f を使用します。
Virtual Disk サービスが実行されていないか、正常な通信を行うことができません。サービスのスタートアップの種類を、Manual に設定する必要があります。
Optimize Drives サービスが実行されていないか、正常な通信を行うことができません。サービスのスタートアップの種類を、Manual に設定する必要があります。
システムボリュームディスクが、既に 4 つの MBR パーティション (MBR ディスクレイアウトでサポートされる最大数) で構成されています。 EFI システムパーティション用のスペースを確保するには、パーティションの 1 つを削除する必要があります。
1. ReAgentc /info を実行して、回復によってアクティブに使用されているパーティションを識別します。例: Windows RE ___location: \\?\GLOBALROOT\device\harddisk0\partition4\Recovery\WindowsRE
2. PowerShell コマンドレット Get-Partition -DiskNumber 0 を実行して、構成されている現在のパーティションを識別します。
3. PowerShell コマンドレット Remove-Partition -DiskNumber 0 -PartitionNumber X を実行して、手順 1 で示されているような、回復サービスでアクティブに使用されていない追加の回復パーティションを削除します。

[Windows] MBR to GPT が、ReAgent.xml の更新に失敗する

Windows 10 などの特定の Windows OS バージョンの場合、MBR2GPT は、パススルーエラー MBR2GPT: Failed to update ReAgent.xml, please try to manually disable and enable WinRE. を生成します

この警告は、MBR2GPT.exe が C:\Windows\System32\Recovery\ReAgent.xml 内で、回復パーティションの GUID を更新できなかったことを示します。この問題が原因で、ゲストオペレーティングシステムの機能、Windows 11 へのアップグレードなど追加のアップグレードの完了、アップグレード後の Windows 11 の正常な動作などについての問題が発生することはありません。 ReAgent.xml は、Windows 11 のアップグレード後に正しい GUID で更新されます。つまり、MBR2GPT 変換と Windows 11 アップグレードの間で何もアクションを実行しなければ、ReAgent.xml の GUID 値は Windows 回復構成と同期されます。

この警告を手動で修正するには、Windows 11 のアップグレード前に一覧に示されている手順を使用して、MBR2GPT 変換後または第 1 世代からトラステッド起動へのアップグレード後に、WinRE を無効にし再度有効にすることができます。これらの手順は、ReAgent.xml 内で WinRE GUID を強制的に同期します

第 1 世代 -> トラステッド起動へのアップグレードを完了します。
reagentc /disable を実行します。
reagentc /enable を実行します。
reagentc /info を実行します。
C:\Windows\System32\Recovery\ReAgent.xml を開き、XML ファイルの中の BCD GUID が、手順 4 の出力と一致しているかどうかを検証します。

[Windows] アップグレード後に、D ドライブがシステム予約済みに割り当てられる

一時記憶域ドライブの割り当て英字 'D' が、第 1 世代 VM へのアップグレード後に、以前システム予約済みに割り当てられていた文字 'E' を使用して変更されます。この問題を回避するには、アップグレード後に以下の手順を手動で実行します。

アップグレード後にサーバー上のディスクを確認し、システム予約済みパーティションに英字の D が付いている場合は、次の操作を行います。

ページファイルを D: から C: に再構成します
VM を再起動する
パーティションから英字の D: を削除します
VM を再起動し、英文字 D: の一時ストレージディスクを表示します

トラステッド起動へのアップグレード後に VM イメージ参照が変更されない

Azure 第 1 世代 VM をトラステッド起動にアップグレードした後も、イメージ参照にはソースが第 1 世代 OS イメージとして反映されます。イメージ参照が更新されないのは既知の制限事項であり、第 1 世代からトラステッド起動 VM へのアップグレードサポートが一般提供でリリースされる際に対処されます。

よく寄せられる質問

トラステッド起動の前提条件に適合しない第 1 世代 VM がある場合はどうなりますか?

トラステッド起動にアップグレードするための前提条件を満たしていない第 1 世代 VM については、前提条件を満たす方法を模索してください。たとえば、サポートされていない仮想マシンサイズを使用している場合は、トラステッド起動を利用可能な、同等のトラステッド起動サポート済みサイズを探します。

第 2 世代 (トラステッド起動なし) のみへのアップグレードが、サポートされていないのはなぜですか?

トラステッド起動により、追加コストなしで、Azure 第 2 世代 VM での基礎的なコンピューティングセキュリティが有効になります。また、トラステッド起動 VM は、ほぼ第 2 世代 VM と同等です。そのため、トラステッド起動を有効にせずに第 2 世代 VM にのみアップグレードすることに、追加的な利点はありません。

新しい仮想マシンとスケールセットの展開でトラステッド起動を有効にするには、「トラステッド起動の仮想マシンを展開する」を参照してください。
ブート整合性の監視を有効にし、Microsoft Defender for Cloud を使用してブート整合性の監視と VM の正常性の監視を有効にします。
トラステッド起動の詳細を学習し、よく寄せられる質問を確認します。

次の方法で共有

(プレビュー) 既存の Azure 第 1 世代 VM をトラステッド起動にアップグレードする

前提条件

サポートされていない第 1 世代 VM の構成

ベスト プラクティス

ゲスト オペレーティング システム ボリュームを更新する