既存の Uniform Scale Set で信頼された起動を有効にする

2025-06-18

適用対象: ✔️ 均一スケールセット ✔️ Flex スケールセット ❌ Service Fabric

Azure 仮想マシンスケールセットでは、信頼された起動セキュリティの種類にアップグレードすることで、既存の Uniform Scale Sets 仮想マシン (VM) での信頼された起動を有効にできます。

トラステッド起動は、Azure 第 2 世代の仮想マシンとスケールセット上での基本的なコンピューティングセキュリティを実現し、それらをブートキットやルートキットなどの高度で永続的な攻撃手法から保護します。これは、スケールセット上でセキュアブート、vTPM、ブート整合性監視などのインフラストラクチャテクノロジを組み合わせることによって実現されます。

制限事項

データディスクが接続されている既存の仮想マシンスケールセットで信頼された起動を有効にするには、アップグレードモードを最大サージでローリングアップグレードに設定する必要があります
- スケールセットがデータディスクで構成されているかどうかを検証するには、[> メニューのスケールセット -Disks に移動します。>データディスクの見出しで[データディスク] の下にあるチェックをオンにします。
既存の仮想マシンスケールセット Flex でのトラステッド起動の有効化は現在プレビュー段階です。既存の Flex スケールセットプレビューで信頼できる起動を有効にするプレビューに登録する
既存の Service Fabric クラスターおよび Service Fabric マネージドクラスターでのトラステッド起動の有効化は現在サポートされていません。

前提条件

スケールセットは、信頼された起動で現在サポートされていない機能には依存しません。
スケールセットは、トラステッド起動がサポートされているサイズファミリで構成する必要があります
注
- 仮想マシンのサイズは、トラステッド起動のアップグレードに合わせて変更できます。アップグレードの失敗を回避するために、新しい VM サイズ用のクォータが存在していることを確認します。「vCPU クォータの確認」を参照してください。
- 仮想マシンのサイズに変更すると、新しいサイズで仮想マシンインスタンスが再作成され、個々の仮想マシンインスタンスのダウンタイムが必要になります。これは、スケールセットのダウンタイムを回避するために、ローリングアップグレードの方法で実行できます。
スケールセットは、トラステッド起動がサポートされている OS イメージで構成する必要があります。 Azure Compute Gallery OS イメージに関しては、イメージ定義が TrustedLaunchSupported としてマークされていることを確認します

既存のスケールセットユニフォームでトラステッド起動を有効にする

次の手順では、Azure portal を使用して既存の均一スケールセットで信頼された起動を有効にする方法について詳しく説明します。

(省略可能)スケールセットのサイズ: [Size] の下の [Availability + scale] に移動します。> 現在のサイズファミリが信頼できる起動セキュリティ構成でサポートされていない場合は、[スケールセットのサイズを変更する] ->クリックして適用します。
OS イメージ: Operating systemの下のSettingsに移動します->Change image referenceをクリックします。
OS イメージ参照を、Gen2 トラステッド起動がサポートされている OS イメージに更新します。 Azure Compute Gallery の OS イメージを使用する場合、ソース Gen2 イメージに TrustedLaunchSupported セキュリティタイプが設定されていることを確認してください。> [適用] をクリックします。
セキュリティの種類: スケールセットのページで [Standard]<をクリックするか、の下のに移動します。
Configurationページのセキュリティの種類のドロップダウンをStandardからTrusted launchに更新し、Enable secure bootとEnable vTPMにチェックを入れて、信頼された起動セキュリティの構成を有効にします。 [ Yes ] をクリックして変更を確定します。
注
- vTPM は既定で有効になっています。
- カスタム署名されていないカーネルまたはドライバーを使用していない場合は、セキュアブートを有効にする必要があります (既定では有効になっていません)。セキュアブートでは、ブートの整合性が維持され、VM の基本的なセキュリティが有効になります。
スケールセットの Overview ページで変更を検証します。
(推奨) ゲスト構成証明拡張機能: スケールセットリソースにゲスト構成証明 (GA) 拡張機能を追加します。これにより、スケールセットのブート整合性監視が可能になります。
スケールセットユニフォームのアップグレードモードが Manual に設定されている場合は、VM インスタンスを手動で更新します。

次の手順では、 ARM テンプレートを使用して、既存の均一スケールセットで信頼された起動を有効にする方法について詳しく説明します。

既存の ARM テンプレートデプロイコードを使用して信頼された起動を有効にするには、次の変更を行います。完全なテンプレートについては、「クイックスタートトラステッド起動スケールセット ARM テンプレート」を参照してください。

重要

トラステッド起動セキュリティタイプが利用できるのは、スケールセット apiVersion2020-12-01 以上においてです。アップグレード前に API バージョンが正しく設定されていることを確認します。

OS イメージ: OS イメージ参照を Gen2 トラステッド起動がサポートされている OS イメージに更新します。 Azure Compute Gallery OS イメージを使用している場合は、ソースの Gen2 イメージが TrustedLaunchSupported セキュリティタイプを持っていることを確認します。

"storageProfile": { 
        "osDisk": { 
            "createOption": "FromImage", 
            "caching": "ReadWrite" 
        }, 
        "imageReference": { 
            "publisher": "MicrosoftWindowsServer", 
            "offer": "WindowsServer", 
            "sku": "2022-datacenter-azure-edition", 
            "version": "latest" 
        } 
}

(省略可能) スケールセットのサイズ: 現在のサイズファミリが信頼できる起動セキュリティ構成でサポートされていない場合は、スケールセットのサイズを変更します。
```
    "sku": { 
        "name": "Standard_D2s_v3", 
        "tier": "Standard", 
        "capacity": "[parameters('instanceCount')]" 
    } 
```
セキュリティプロファイル: virtualMachineProfile の下に securityProfile ブロックを追加して、トラステッド起動セキュリティ構成を有効にします。

注

推奨設定: vTPM: true と secureBoot: OS で署名されていないカスタムドライバーまたはカーネルを使用している場合は、 truesecureBoot を false に設定する必要があります。
```
"securityProfile": { 
    "securityType": "TrustedLaunch", 
    "uefiSettings": { 
      "secureBootEnabled": true, 
      "vTpmEnabled": true
    } 
}
```

(推奨) ゲスト構成証明拡張機能: スケールセットリソースにゲスト構成証明 (GA) 拡張機能を追加します。これにより、スケールセットのブート整合性監視が可能になります。

重要

ゲスト構成証明拡張機能では、secureBoot と vTPM が true に設定されている必要があります。

{ 
    "condition": "[and(parameters('vTPM'), parameters('secureBoot'))]", 
    "type": "Microsoft.Compute/virtualMachineScaleSets/extensions", 
    "apiVersion": "2022-03-01", 
    "name": "[format('{0}/{1}', parameters('vmssName'), GuestAttestation)]", 
    "___location": "[parameters('___location')]", 
    "properties": { 
      "publisher": "Microsoft.Azure.Security.WindowsAttestation", 
      "type": "GuestAttestation", 
      "typeHandlerVersion": "1.0", 
      "autoUpgradeMinorVersion": true, 
      "enableAutomaticUpgrade": true, 
      "settings": { 
        "AttestationConfig": { 
          "MaaSettings": { 
            "maaEndpoint": "[substring('emptystring', 0, 0)]", 
            "maaTenantName": "GuestAttestation" 
          } 
        } 
      } 
    }, 
    "dependsOn": [ 
      "[resourceId('Microsoft.Compute/virtualMachineScaleSets', parameters('vmssName'))]" 
    ] 
}

拡張機能の発行元の名前:

OS の種類	拡張機能の発行元の名前
ウィンドウズ	Microsoft.Azure.Security.WindowsAttestation
Linux	Microsoft.Azure.Security.LinuxAttestation

テンプレートに加えられた変更を確認します。

展開して、既存のスケールセットのトラステッド起動とロールバック (必要な場合) へのアップグレードをサポートする完全なサンプル ARM テンプレートを表示します。

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vmSku": {
      "type": "string",
      "defaultValue": "Standard_D2s_v3",
      "metadata": {
        "description": "Size of VMs in the VM Scale Set."
      }
    },
    "sku": {
      "type": "string",
      "defaultValue": "2022-datacenter-azure-edition",
      "allowedValues": [
        "2022-datacenter-azure-edition"
      ],
      "metadata": {
        "description": "The Windows version for the VM. This will pick a fully patched image of this given Windows version."
      }
    },
    "vmssName": {
      "type": "string",
      "maxLength": 61,
      "metadata": {
        "description": "String used as a base for naming resources. Must be 3-61 characters in length and globally unique across Azure. A hash is prepended to this string for some resources, and resource-specific information is appended."
      }
    },
    "instanceCount": {
      "type": "int",
      "defaultValue": 2,
      "maxValue": 100,
      "minValue": 1,
      "metadata": {
        "description": "Number of VM instances (100 or less)."
      }
    },
    "adminUsername": {
      "type": "string",
      "metadata": {
        "description": "Admin username on all VMs."
      }
    },
    "adminPassword": {
      "type": "securestring",
      "metadata": {
        "description": "Admin password on all VMs."
      }
    },
    "___location": {
      "type": "string",
      "defaultValue": "[resourceGroup().___location]",
      "metadata": {
        "description": "Location for all resources."
      }
    },
    "publicIpName": {
      "type": "string",
      "defaultValue": "myPublicIP",
      "metadata": {
        "description": "Name for the Public IP used to access the virtual machine Scale set."
      }
    },
    "publicIPAllocationMethod": {
      "type": "string",
      "defaultValue": "Static",
      "allowedValues": [
        "Dynamic",
        "Static"
      ],
      "metadata": {
        "description": "Allocation method for the Public IP used to access the virtual machine set."
      }
    },
    "publicIpSku": {
      "type": "string",
      "defaultValue": "Standard",
      "allowedValues": [
        "Basic",
        "Standard"
      ],
      "metadata": {
        "description": "SKU for the Public IP used to access the virtual machine Scale set."
      }
    },
    "dnsLabelPrefix": {
      "type": "string",
      "defaultValue": "[toLower(format('{0}-{1}', parameters('vmssName'), uniqueString(resourceGroup().id)))]",
      "metadata": {
        "description": "Unique DNS Name for the Public IP used to access the virtual machine Scale set."
      }
    },
    "healthExtensionProtocol": {
      "type": "string",
      "defaultValue": "TCP",
      "allowedValues": [
        "TCP",
        "HTTP",
        "HTTPS"
      ]
    },
    "healthExtensionPort": {
      "type": "int",
      "defaultValue": 3389
    },
    "healthExtensionRequestPath": {
      "type": "string",
      "defaultValue": "/"
    },
    "overprovision": {
      "type": "bool",
      "defaultValue": false
    },
    "upgradePolicy": {
      "type": "string",
      "defaultValue": "Manual",
      "allowedValues": [
        "Manual",
        "Rolling",
        "Automatic"
      ]
    },
    "maxBatchInstancePercent": {
      "type": "int",
      "defaultValue": 20
    },
    "maxUnhealthyInstancePercent": {
      "type": "int",
      "defaultValue": 20
    },
    "maxUnhealthyUpgradedInstancePercent": {
      "type": "int",
      "defaultValue": 20
    },
    "pauseTimeBetweenBatches": {
      "type": "string",
      "defaultValue": "PT5S"
    },
    "securityType": {
      "type": "string",
      "defaultValue": "TrustedLaunch",
      "allowedValues": [
        "Standard",
        "TrustedLaunch"
      ],
      "metadata": {
        "description": "Security Type of the Virtual Machine."
      }
    },
    "encryptionAtHost": {
        "type": "bool",
        "defaultValue": false,
        "metadata": {
            "description": "This property can be used by user in the request to enable or disable the Host Encryption for the virtual machine or virtual machine Scale set. This will enable the encryption for all the disks including Resource/Temp disk at host itself. The default behavior is: The Encryption at host will be disabled unless this property is set to true for the resource."
        }
    }
  },
  "variables": {
    "namingInfix": "[toLower(substring(format('{0}{1}', parameters('vmssName'), uniqueString(resourceGroup().id)), 0, 9))]",
    "addressPrefix": "10.0.0.0/16",
    "subnetPrefix": "10.0.0.0/24",
    "virtualNetworkName": "[format('{0}vnet', variables('namingInfix'))]",
    "subnetName": "[format('{0}subnet', variables('namingInfix'))]",
    "loadBalancerName": "[format('{0}lb', variables('namingInfix'))]",
    "natPoolName": "[format('{0}natpool', variables('namingInfix'))]",
    "bePoolName": "[format('{0}bepool', variables('namingInfix'))]",
    "natStartPort": 50000,
    "natEndPort": 50119,
    "natBackendPort": 3389,
    "nicName": "[format('{0}nic', variables('namingInfix'))]",
    "ipConfigName": "[format('{0}ipconfig', variables('namingInfix'))]",
    "imageReference": {
      "2022-datacenter-azure-edition": {
        "publisher": "MicrosoftWindowsServer",
        "offer": "WindowsServer",
        "sku": "[parameters('sku')]",
        "version": "latest"
      }
    },
    "extensionName": "GuestAttestation",
    "extensionPublisher": "Microsoft.Azure.Security.WindowsAttestation",
    "extensionVersion": "1.0",
    "maaTenantName": "GuestAttestation",
    "maaEndpoint": "[substring('emptyString', 0, 0)]",
    "uefiSettingsJson": {
        "secureBootEnabled": true,
        "vTpmEnabled": true
    },
    "rollingUpgradeJson": {
      "maxBatchInstancePercent": "[parameters('maxBatchInstancePercent')]",
      "maxUnhealthyInstancePercent": "[parameters('maxUnhealthyInstancePercent')]",
      "maxUnhealthyUpgradedInstancePercent": "[parameters('maxUnhealthyUpgradedInstancePercent')]",
      "pauseTimeBetweenBatches": "[parameters('pauseTimeBetweenBatches')]"
    }
  },
  "resources": [
    {
      "type": "Microsoft.Network/virtualNetworks",
      "apiVersion": "2022-05-01",
      "name": "[variables('virtualNetworkName')]",
      "___location": "[parameters('___location')]",
      "properties": {
        "addressSpace": {
          "addressPrefixes": [
            "[variables('addressPrefix')]"
          ]
        },
        "subnets": [
          {
            "name": "[variables('subnetName')]",
            "properties": {
              "addressPrefix": "[variables('subnetPrefix')]"
            }
          }
        ]
      }
    },
    {
      "type": "Microsoft.Network/publicIPAddresses",
      "apiVersion": "2022-05-01",
      "name": "[parameters('publicIpName')]",
      "___location": "[parameters('___location')]",
      "sku": {
        "name": "[parameters('publicIpSku')]"
      },
      "properties": {
        "publicIPAllocationMethod": "[parameters('publicIPAllocationMethod')]",
        "dnsSettings": {
          "domainNameLabel": "[parameters('dnsLabelPrefix')]"
        }
      }
    },
    {
      "type": "Microsoft.Network/loadBalancers",
      "apiVersion": "2022-05-01",
      "name": "[variables('loadBalancerName')]",
      "___location": "[parameters('___location')]",
      "sku": {
        "name": "[parameters('publicIpSku')]",
        "tier": "Regional"
      },
      "properties": {
        "frontendIPConfigurations": [
          {
            "name": "LoadBalancerFrontEnd",
            "properties": {
              "publicIPAddress": {
                "id": "[resourceId('Microsoft.Network/publicIPAddresses', parameters('publicIpName'))]"
              }
            }
          }
        ],
        "backendAddressPools": [
          {
            "name": "[variables('bePoolName')]"
          }
        ],
        "inboundNatPools": [
          {
            "name": "[variables('natPoolName')]",
            "properties": {
              "frontendIPConfiguration": {
                "id": "[resourceId('Microsoft.Network/loadBalancers/frontendIPConfigurations', variables('loadBalancerName'), 'loadBalancerFrontEnd')]"
              },
              "protocol": "Tcp",
              "frontendPortRangeStart": "[variables('natStartPort')]",
              "frontendPortRangeEnd": "[variables('natEndPort')]",
              "backendPort": "[variables('natBackendPort')]"
            }
          }
        ]
      },
      "dependsOn": [
        "[resourceId('Microsoft.Network/publicIPAddresses', parameters('publicIpName'))]"
      ]
    },
    {
      "type": "Microsoft.Compute/virtualMachineScaleSets",
      "apiVersion": "2022-03-01",
      "name": "[parameters('vmssName')]",
      "___location": "[parameters('___location')]",
      "sku": {
        "name": "[parameters('vmSku')]",
        "tier": "Standard",
        "capacity": "[parameters('instanceCount')]"
      },
      "properties": {
        "virtualMachineProfile": {
          "storageProfile": {
            "osDisk": {
              "createOption": "FromImage",
              "caching": "ReadWrite"
            },
            "imageReference": "[variables('imageReference')[parameters('sku')]]"
          },
          "osProfile": {
            "computerNamePrefix": "[variables('namingInfix')]",
            "adminUsername": "[parameters('adminUsername')]",
            "adminPassword": "[parameters('adminPassword')]"
          },
          "securityProfile": {
              "encryptionAtHost": "[parameters('encryptionAtHost')]",
              "securityType": "[parameters('securityType')]",
              "uefiSettings": "[if(equals(parameters('securityType'), 'TrustedLaunch'), variables('uefiSettingsJson'), null())]"
              
          },
          "networkProfile": {
            "networkInterfaceConfigurations": [
              {
                "name": "[variables('nicName')]",
                "properties": {
                  "primary": true,
                  "ipConfigurations": [
                    {
                      "name": "[variables('ipConfigName')]",
                      "properties": {
                        "subnet": {
                          "id": "[resourceId('Microsoft.Network/virtualNetworks/subnets', variables('virtualNetworkName'), variables('subnetName'))]"
                        },
                        "loadBalancerBackendAddressPools": [
                          {
                            "id": "[resourceId('Microsoft.Network/loadBalancers/backendAddressPools', variables('loadBalancerName'), variables('bePoolName'))]"
                          }
                        ],
                        "loadBalancerInboundNatPools": [
                          {
                            "id": "[resourceId('Microsoft.Network/loadBalancers/inboundNatPools', variables('loadBalancerName'), variables('natPoolName'))]"
                          }
                        ]
                      }
                    }
                  ]
                }
              }
            ]
          },
          "extensionProfile": {
            "extensions": [
              {
                "name": "HealthExtension",
                "properties": {
                  "publisher": "Microsoft.ManagedServices",
                  "type": "ApplicationHealthWindows",
                  "typeHandlerVersion": "1.0",
                  "autoUpgradeMinorVersion": false,
                  "settings": {
                    "protocol": "[parameters('healthExtensionProtocol')]",
                    "port": "[parameters('healthExtensionPort')]",
                    "requestPath": "[if(equals(parameters('healthExtensionProtocol'), 'TCP'), null(), parameters('healthExtensionRequestPath'))]"
                  }
                }
              }
            ]
          },
          "diagnosticsProfile": {
            "bootDiagnostics": {
              "enabled": true
            }
          }
        },
        "orchestrationMode": "Uniform",
        "overprovision": "[parameters('overprovision')]",
        "upgradePolicy": {
          "mode": "[parameters('upgradePolicy')]",
          "rollingUpgradePolicy": "[if(equals(parameters('upgradePolicy'), 'Rolling'), variables('rollingUpgradeJson'), null())]",
          "automaticOSUpgradePolicy": {
            "enableAutomaticOSUpgrade": true
          }
        }
      },
      "dependsOn": [
        "[resourceId('Microsoft.Network/loadBalancers', variables('loadBalancerName'))]",
        "[resourceId('Microsoft.Network/virtualNetworks', variables('virtualNetworkName'))]"
      ]
    },
    {
      "condition": "[and(equals(parameters('securityType'), 'TrustedLaunch'), and(equals(variables('uefiSettingsJson').secureBootEnabled, true()), equals(variables('uefiSettingsJson').vTpmEnabled, true())))]",
      "type": "Microsoft.Compute/virtualMachineScaleSets/extensions",
      "apiVersion": "2022-03-01",
      "name": "[format('{0}/{1}', parameters('vmssName'), variables('extensionName'))]",
      "___location": "[parameters('___location')]",
      "properties": {
        "publisher": "[variables('extensionPublisher')]",
        "type": "[variables('extensionName')]",
        "typeHandlerVersion": "[variables('extensionVersion')]",
        "autoUpgradeMinorVersion": true,
        "enableAutomaticUpgrade": true,
        "settings": {
          "AttestationConfig": {
            "MaaSettings": {
              "maaEndpoint": "[variables('maaEndpoint')]",
              "maaTenantName": "[variables('maaTenantName')]"
            }
          }
        }
      },
      "dependsOn": [
        "[resourceId('Microsoft.Compute/virtualMachineScaleSets', parameters('vmssName'))]"
      ]
    }
  ]
}

ARM テンプレートのデプロイを実行します。

$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile $templateFile -TemplateParameterFile $parameterFile

デプロイが成功したことを確認します。 Azure portal を使用して、スケールセットユニフォームのセキュリティタイプと UEFI 設定を確認します。概要ページの [セキュリティの種類] セクションを確認します。
スケールセットユニフォームのアップグレードモードが Manual に設定されている場合は、VM インスタンスを手動で更新します。
```
$resourceGroupName = "myResourceGroup"
$vmssName = "VMScaleSet001"
Update-AzVmssInstance -ResourceGroupName $resourceGroupName -VMScaleSetName $vmssName -InstanceId "0"
```

このセクションでは、Azure CLI を使用して既存の Azure スケールセットユニフォームリソースでトラステッド起動を有効にする手順について説明します。

最新バージョンの Azure CLI がインストールされ、 az login を使用して Azure アカウントにログインしていることを確認します。

注

vTPM は既定で有効になっています。
カスタム署名されていないカーネルまたはドライバーを使用していない場合は、セキュアブートを有効にする必要があります (既定では有効になっていません)。セキュアブートでは、ブートの整合性が維持され、VM の基本的なセキュリティが有効になります。

Azure サブスクリプションへのログイン

az login

az account set --subscription 00000000-0000-0000-0000-000000000000

--security-type を TrustedLaunch、virtualMachineProfile.storageProfile.imageReference.sku を Gen2 トラステッド起動がサポートされている OS イメージ、--vm-sku を Gen2 トラステッド起動がサポートされている VM サイズに設定してコマンド az vmss update を使用してトラステッド起動を有効にします。
```
az vmss update --name MyScaleSet `
    --resource-group MyResourceGroup `
    --set virtualMachineProfile.storageProfile.imageReference.sku='2022-datacenter-azure-edition' `
    --security-type TrustedLaunch --enable-secure-boot $true --enable-vtpm $true
```
注

az vmss updateで使用される OS イメージ SKU は、同じ OS イメージパブリッシャーとオファーの SKU である必要があります。

前のコマンドの出力を検証します。 securityProfile 構成はコマンド出力と共に返されます。

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

スケールセットユニフォームのアップグレードモードが Manual に設定されている場合は、VM インスタンスを手動で更新します。
```
az vmss update-instances --instance-ids 1 --name MyScaleSet --resource-group MyResourceGroup
```
スケールセットユニフォームのアップグレードモードが RollingUpgrade に設定されている場合は、ローリングアップグレードを開始します。
```
az vmss rolling-upgrade start --name MyScaleSet --resource-group MyResourceGroup
```

このセクションでは、Azure PowerShell を使用して、既存の Azure 仮想マシンスケールセットユニフォームでトラステッド起動を有効にする手順について説明します。

最新の Azure PowerShell がインストールされ、 Connect-AzAccount を使用して Azure アカウントにログインしていることを確認します。

注

vTPM は既定で有効になっています。
カスタム署名されていないカーネルまたはドライバーを使用していない場合は、セキュアブートを有効にする必要があります (既定では有効になっていません)。セキュアブートでは、ブートの整合性が維持され、VM の基本的なセキュリティが有効になります。

Azure サブスクリプションへのログイン

Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000

-SecurityType を TrustedLaunch、ImageReferenceSku を Gen2 トラステッド起動がサポートされている OS イメージ、-SkuName を Gen2 トラステッド起動がサポートされている VM サイズに設定してコマンド Update-AzVMSS を使用してトラステッド起動を有効にします。

$vmss = Get-AzVmss -VMScaleSetName MyVmssName -ResourceGroupName MyResourceGroup

# Enable Trusted Launch
Set-AzVmssSecurityProfile -virtualMachineScaleSet $vmss -SecurityType TrustedLaunch

# Enable Trusted Launch settings
Set-AzVmssUefi -VirtualMachineScaleSet $vmss -EnableVtpm $true -EnableSecureBoot $true

Update-AzVmss -ResourceGroupName $vmss.ResourceGroupName `
    -VMScaleSetName $vmss.Name -VirtualMachineScaleSet $vmss `
    -SecurityType TrustedLaunch -EnableVtpm $true -EnableSecureBoot $true `
    -ImageReferenceSku 2022-datacenter-azure-edition

注

Update-AzVMSS コマンドで使用される OS イメージ SKU は、同じ OS イメージパブリッシャーとオファーからのものである必要があります。

Get-AzVMSS コマンド出力で securityProfile 構成が返されることを確認します。

{
  "securityProfile": {
    "securityType": "TrustedLaunch",
    "uefiSettings": {
      "secureBootEnabled": true,
      "vTpmEnabled": true
    }
  }
}

スケールセットユニフォームのアップグレードモードが Manual に設定されている場合は、VM インスタンスを手動で更新します。
```
Update-AzVmssInstance -ResourceGroupName "MyResourceGroup" -VMScaleSetName "MyScaleSet" -InstanceId "0"
```
スケールセットユニフォームのアップグレードモードが RollingUpgrade に設定されている場合は、ローリングアップグレードを開始します。
```
Start-AzVmssRollingOSUpgrade -ResourceGroupName "MyResourceGroup" -VMScaleSetName "MyScaleSet"
```

ロールバック

トラステッド起動から以前の正常な構成へと変更をロールバックするには、スケールセットの securityType を Standard に設定する必要があります。

OS イメージ: Operating systemの下のSettingsに移動します。 Change image referenceをクリックします。
OS イメージ参照を最新の既知の正常な構成に更新する -> [ 適用] をクリックします。
セキュリティの種類: 「Configuration」ページに移動し、「Settings - >」の下にあるConfigurationページのセキュリティタイプのドロップダウンをTrusted launchからStandardに更新して、Trusted Launchセキュリティ構成を無効にします。 [ Yes ] をクリックして変更を確定します。 $[Standard security type]$標準セキュリティの種類$ ドロップダウンのスクリーンショット。$
スケールセットの Overview ページで変更を検証します。
スケールセットユニフォームのアップグレードモードが Manual に設定されている場合は、VM インスタンスを手動で更新します。

トラステッド起動から以前の正常な構成へと変更をロールバックするには、以下に示すように securityProfile を Standard に設定します。必要に応じて、他のパラメーターの変更 (OS イメージ、VM サイズ) を元に戻し、「既存のスケールセットでトラステッド起動を有効にする」で説明されている手順 5 から 8 を繰り返すこともできます

"securityProfile": {
    "securityType": "Standard",
    "uefiSettings": "[null()]"
}

注

均一スケールセットを信頼された起動から信頼されていない起動構成にロールバックするためには、Azure CLI バージョン 2.62.0 以降が必要です。

トラステッド起動から以前の正常な構成へと変更をロールバックするには、以下のように --security-type を Standard に設定します。必要に応じて、他のパラメーターの変更 (OS イメージ、仮想マシンサイズ) を元に戻し、「既存のスケールセットでトラステッド起動を有効にする」で説明されている手順 2 から 5 を繰り返すこともできます

az vmss update --name MyScaleSet `
        --resource-group MyResourceGroup `
        --security-type Standard

トラステッド起動から以前の正常な構成へと変更をロールバックするには、以下のように -SecurityType を Standard に設定します。必要に応じて、他のパラメーターの変更 (OS イメージ、仮想マシンサイズ) を元に戻し、「既存のスケールセットでトラステッド起動を有効にする」で説明されている手順 2 から 5 を繰り返すこともできます

$vmss = Get-AzVmss -VMScaleSetName MyVmssName -ResourceGroupName MyResourceGroup

# Roll-back Trusted Launch
Set-AzVmssSecurityProfile -virtualMachineScaleSet $vmss -SecurityType Standard

Update-AzVmss -ResourceGroupName $vmss.ResourceGroupName `
    -VMScaleSetName $vmss.Name -VirtualMachineScaleSet $vmss `
    -SecurityType Standard `
    -ImageReferenceSku 2022-datacenter-azure-edition

次のステップ

(推奨) アップグレード後に、ブートの整合性の監視を有効にして、Microsoft Defender for Cloud を使って VM の正常性を監視できます。

トラステッド起動の詳細を学習し、よく寄せられる質問を確認します。

次の方法で共有

既存の Uniform Scale Set で信頼された起動を有効にする

制限事項

前提条件

既存のスケール セット ユニフォームでトラステッド起動を有効にする

ロールバック

次のステップ

フィードバック

その他のリソース

既存のスケールセットユニフォームでトラステッド起動を有効にする