部署已啟用受信任啟動的虛擬機
適用於:✔️ Linux VM ✔️ Windows VM ✔️ 彈性擴展集 ✔️ 統一擴展集。
信任的啟動是改善第 2 代虛擬機 (VM) 安全性的方法。 信任的啟動會結合虛擬信任平台模組 (vTPM) 和安全開機等基礎結構技術,以防止進階和持續性的攻擊技術。
必要條件
如果訂用帳戶尚未上線,建議您將訂用帳戶上線至 適用於雲端的 Microsoft Defender。 適用於雲端的 Defender 具有免費層,可提供各種 Azure 和混合式資源的實用見解。 如果沒有 適用於雲端的 Defender,受信任的啟動 VM 使用者就無法監視 VM 的開機完整性。
將 Azure 原則方案指派給您的訂用帳戶。 每個訂用帳戶只需獲指派一次這些原則方案。 原則可協助部署和稽核受信任的啟動 VM,同時自動在所有支援的 VM 上安裝所有必要的擴充功能。
- 設定受信任的啟動 VM 內建原則方案。
- 設定必要條件,以在已啟用受信任啟動的 VM 上啟用客體證明。
- 設定機器以在 VM 上自動安裝 Azure 監視器和 Azure 安全性代理程式。
允許網路安全組輸出規則中的服務標籤AzureAttestation允許 Azure 證明 流量。 如需詳細資訊,請參閱虛擬網路服務標籤。
請確定防火牆原則允許存取 *.attest.azure.net。
注意
如果您使用 Linux 映射,並預期 VM 可能有未簽署或未由 Linux 散發版本廠商簽署的核心驅動程式,建議您考慮關閉安全開機。 在 [Azure 入口網站] 的 [建立虛擬機] 頁面上,Security type針對已選取 [信任啟動] 虛擬機器 的參數選取 [設定安全性功能],然後清除 [啟用安全開機] 複選框。 在 Azure CLI、PowerShell 或 SDK 中,將安全開機參數設定為 false。
部署受信任的啟動 VM
建立已啟用受信任啟動的 VM。 請選擇下列其中一個選項。
登入 Azure 入口網站。
搜尋 [虛擬機器]。
在 [服務] 底下,選取 [虛擬機器]。
在 [ 虛擬機] 頁面上,選取 [新增],然後選取 [ 虛擬機]。
在 [專案詳細資料] 下方,確定已選取正確的訂用帳戶。
在 [資源群組] 下,選取 [新建]。 輸入資源群組的名稱,或從下拉式清單中選取現有的資源群組。
在 [實例詳細數據] 下,輸入 VM 名稱的名稱,然後選擇支援 [信任啟動] 的區域。
針對 [ 安全性類型],選取 [ 受信任的啟動虛擬機]。 當 [安全開機]、[vTPM] 和 [完整性監視] 選項出現時,請為您的部署選取適當的選項。 如需詳細資訊,請參閱 受信任的啟動啟用安全性功能。
![顯示 [信任啟動] 選項的螢幕快照。](media/trusted-launch/tvm-popup.png)
在 [映射] 底下,從 [建議的 Gen 2 映射] 中選取與信任啟動相容的映射。 如需清單,請參閱 信任啟動。
提示
如果您沒有在下拉式清單中看到您想要的映像 Gen2 版本,請選取 [ 查看所有映射]。 然後將 [安全性類型] 篩選條件變更為 [信任啟動]。
選取支援受信任啟動的 VM 大小。 如需詳細資訊,請參閱支援的大小清單。
填寫系統管理員帳戶資訊,然後填寫輸入連接埠規則。
在頁面底部,選取 [ 檢閱 + 建立]。
在 [ 建立虛擬機 ] 頁面上,您可以看到即將部署的 VM 相關信息。 驗證顯示通過之後,請選取 [ 建立]。
![顯示 [信任啟動] 選項之驗證頁面的 Sceenshot。](media/trusted-launch/tvm-complete.png)
可能需要幾分鐘的時間才能部署好 VM。
請確定您執行的是最新版的 Azure CLI。
使用 az login 登入 Azure。
az login
建立具有受信任啟動的 VM。
az group create -n myresourceGroup -l eastus
az vm create \
--resource-group myResourceGroup \
--name myVM \
--image Canonical:UbuntuServer:18_04-lts-gen2:latest \
--admin-username azureuser \
--generate-ssh-keys \
--security-type TrustedLaunch \
--enable-secure-boot true \
--enable-vtpm true
針對現有的 VM,您可以啟用或停用安全開機和 vTPM 設定。 使用安全開機更新 VM,vTPM 設定會觸發自動重新啟動。
az vm update \
--resource-group myResourceGroup \
--name myVM \
--enable-secure-boot true \
--enable-vtpm true
如需透過客體證明延伸模組安裝開機完整性監視的詳細資訊,請參閱開機完整性。
若要使用信任啟動布建 VM,必須先使用 Set-AzVmSecurityProfile Cmdlet 以 TrustedLaunch 參數啟用它。 接著,您可以使用 Set-AzVmUefi Cmdlet 來設定 vTPM 和安全開機設定。 使用下列代碼段作為快速入門。 請記得將此範例中的值取代為您自己的值。
$rgName = "myResourceGroup"
$location = "West US"
$vmName = "myTrustedVM"
$vmSize = Standard_B2s
$publisher = "MicrosoftWindowsServer"
$offer = "WindowsServer"
$sku = "2019-datacenter-gensecond"
$version = latest
$cred = Get-Credential `
-Message "Enter a username and password for the virtual machine."
$vm = New-AzVMConfig -VMName $vmName -VMSize $vmSize
$vm = Set-AzVMOperatingSystem `
-VM $vm -Windows `
-ComputerName $vmName `
-Credential $cred `
-ProvisionVMAgent `
-EnableAutoUpdate
$vm = Add-AzVMNetworkInterface -VM $vm `
-Id $NIC.Id
$vm = Set-AzVMSourceImage -VM $vm `
-PublisherName $publisher `
-Offer $offer `
-Skus $sku `
-Version $version
$vm = Set-AzVMOSDisk -VM $vm `
-StorageAccountType "StandardSSD_LRS" `
-CreateOption "FromImage"
$vm = Set-AzVmSecurityProfile -VM $vm `
-SecurityType "TrustedLaunch"
$vm = Set-AzVmUefi -VM $vm `
-EnableVtpm $true `
-EnableSecureBoot $true
New-AzVM -ResourceGroupName $rgName -Location $location -VM $vm
您可以使用快速入門範本來部署受信任的啟動 VM。
Linux
Windows
從 Azure 計算資源庫映射部署受信任的啟動 VM
Azure 信任啟動 VM 支援使用 Azure 計算資源庫建立和共用自定義映像。 您可以根據映像的安全性類型,建立兩種類型的映像:
信任啟動 VM 支援的映像
針對下列映像來源,映像定義上的安全性類型應設定為 TrustedLaunchsupported:
- Gen2 操作系統 (OS) 磁碟 VHD
- Gen2 受控映像
- Gen2 資源庫映像版本
映射來源中不能包含任何 VM 客體狀態資訊。
您可以使用產生的映像版本來建立 Azure Gen2 VM 或受信任的啟動 VM。
您可以使用 Azure 計算資源庫 - 直接共用資源庫和 Azure 計算資源庫 - 社群資源庫來共用這些映像。
注意
OS 磁碟 VHD、受控映像或資源庫映像版本應該從 與受信任啟動 VM 相容的 Gen2 映像建立。
- 登入 Azure 入口網站。
- 搜尋並選取 搜尋列中的 VM 映像版本 。
- 在 [虛擬機器映像版本] 頁面上,選取 [建立]。
- 在 [建立虛擬機器映像版本] 頁面上的 [基本] 索引標籤上:
- 選取 Azure 訂用帳戶。
- 選取現有的資源群組或建立新的資源群組。
- 選取 Azure 區域。
- 輸入映像版本號碼。
- 針對 [ 來源],選取 [記憶體 Blob] 或 [VHD] 或 [受控映射 ] 或其他 VM 映射版本。
- 如果您選取 [記憶體 Blob (VHD)],請輸入 OS 磁碟 VHD (不含虛擬機器客體狀態)。 請務必使用 Gen2 VHD。
- 如果您選取 [ 受控映射],請選取 Gen2 VM 的現有受控映射。
- 如果您選取 VM 映像版本,請選取 Gen2 VM 的現有資源庫映像版本。
- 針對 [目標 Azure 計算資源庫],選取或建立資源庫以共用映像。
- 針對 [操作系統狀態],根據您的使用案例選取 [一般化] 或 [特製化]。 如果您使用受控映像作為來源,請一律選取 [一般化]。 如果您使用記憶體 Blob(VHD)並想要選取 [一般化],請遵循步驟以一般化 Linux VHD或一般化 Windows VHD,再繼續進行。 如果您使用現有的 VM 映像版本,請根據來源 VM 映像定義中使用的項目選取 [一般化] 或 [特製化]。
- 針對 [目標虛擬機器映像定義] 選取 [新建]。
- 在 [ 建立 VM 映射定義 ] 窗格中,輸入定義的名稱。 請確定安全性類型已設為 Trustedlaunch Supported。 輸入發行者、供應項目和 SKU 資訊。 然後選取確定。
- 在 [ 復寫] 索引標籤上,視需要輸入映像複寫的複本計數和目標區域。
- 在 [ 加密] 索引標籤上,視需要輸入 SSE 加密相關信息。
- 選取 [檢閱 + 建立] 。
- 成功驗證組態之後,選取 [建立] 以完成映像的建立。
- 建立映像版本之後,請選取 [建立虛擬機器]。
- 在 [建立虛擬機] 頁面上的 [資源群組] 底下,選取 [新建]。 輸入資源群組的名稱,或從下拉式清單中選取現有的資源群組。
- 在 [實例詳細數據] 下,輸入 VM 名稱的名稱,然後選擇支援 [信任啟動] 的區域。
- 針對 [ 安全性類型],選取 [ 受信任的啟動虛擬機]。 [安全開機] 和 [vTPM] 核取方塊會預設為啟用。
- 填寫系統管理員帳戶資訊,然後填寫輸入連接埠規則。
- 在驗證頁面上,檢閱虛擬機器的詳細資料。
- 驗證成功之後,選取 [建立] 以完成虛擬機器的建立。
請確定您執行的是最新版的 Azure CLI。
使用 az login 登入 Azure。
az login
使用安全性類型建立映像定義 TrustedLaunchSupported 。
az sig image-definition create --resource-group MyResourceGroup --location eastus \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \
--os-type Linux --os-state Generalized \
--hyper-v-generation V2 \
--features SecurityType=TrustedLaunchSupported
使用 OS 磁碟 VHD 來建立映像版本。 使用準備Linux以進行 Azure 映像處理中的步驟,確定Linux VHD 已一般化,再將它上傳至 Azure 儲存體 帳戶 Blob。
az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--os-vhd-storage-account /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/imageGroups/providers/Microsoft.Storage/storageAccounts/mystorageaccount \
--os-vhd-uri https://mystorageaccount.blob.core.windows.net/container/path_to_vhd_file
從上述映像版本建立受信任的啟動 VM。
adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
--name myTrustedLaunchVM \
--image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
--size Standard_D2s_v5 \
--security-type TrustedLaunch \
--enable-secure-boot true \
--enable-vtpm true \
--admin-username $adminUsername \
--generate-ssh-keys
使用安全性類型建立映像定義 TrustedLaunchSupported 。
$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunchSupported'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features
若要建立映像版本,您可以使用在建立期間一般化的現有 Gen2 資源庫映像版本。
$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/galleries/MyGallery/images/Gen2VMImageDef/versions/0.0.1"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId
從上述映像版本建立受信任的啟動 VM。
$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
-GalleryName $galleryName `
-ResourceGroupName $rgName `
-Name $galleryImageDefinitionName
$cred = Get-Credential `
-Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
-Name mySubnet `
-AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
-ResourceGroupName $rgName `
-Location $location `
-Name MYvNET `
-AddressPrefix 192.168.0.0/16 `
-Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
-ResourceGroupName $rgName `
-Location $location `
-Name "mypublicdns$(Get-Random)" `
-AllocationMethod Static `
-IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
-Name myNetworkSecurityGroupRuleRDP `
-Protocol Tcp `
-Direction Inbound `
-Priority 1000 `
-SourceAddressPrefix * `
-SourcePortRange * `
-DestinationAddressPrefix * `
-DestinationPortRange 3389 `
-Access Deny
$nsg = New-AzNetworkSecurityGroup `
-ResourceGroupName $rgName `
-Location $location `
-Name myNetworkSecurityGroup `
-SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
-Name myNic `
-ResourceGroupName $rgName `
-Location $location `
-SubnetId $vnet.Subnets[0].Id `
-PublicIpAddressId $pip.Id `
-NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
Set-AzVMSourceImage -Id $imageDefinition.Id | `
Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
-EnableVtpm $true `
-EnableSecureBoot $true
New-AzVM `
-ResourceGroupName $rgName `
-Location $location `
-VM $vm
受信任的啟動 VM 映像
映射定義的安全性類型應該針對下列映像來源設定為 TrustedLaunch:
- 受信任的啟動 VM 擷取
- 受控 OS 磁碟
- 受控 OS 磁碟快照集
您可以使用產生的映像版本來建立 Azure 信任的啟動 VM。
- 登入 Azure 入口網站。
- 若要從 VM 建立 Azure 計算資源庫映像,請開啟現有的受信任啟動 VM,然後選取 [ 擷取]。
- 在 [ 建立映射 ] 頁面上,允許映射以 VM 映射版本的形式共用至資源庫。 信任啟動 VM 不支援建立受控映像。
- 建立新的目標 Azure Compute Gallery,或選取現有的資源庫。
- 對於 [作業系統狀態],選取 [一般化] 或 [特製化]。 如果您想要建立一般化映像,請先確定您已 將 VM 一般化為移除電腦特定資訊 ,再選取此選項。 如果您的受信任啟動 Windows VM 上已啟用 Bitlocker 型加密,您可能無法一般化。
- 藉由提供名稱、發行者、供應專案和 SKU 詳細數據,建立新的映像定義。 映像定義的安全性類型 應該已經設定為 [信任啟動]。
- 提供映像版本的版本號碼。
- 視需要修改複寫選項。
- 在 [建立映射] 頁面底部,選取 [檢閱 + 建立]。 驗證顯示通過之後,請選取 [ 建立]。
- 建立映像版本之後,請直接移至映像版本。 或者,您可以透過映像定義移至所需的映像版本。
- 在 [ VM 映射版本] 頁面上,選取 [+ 建立 VM ] 以移至 [ 建立虛擬機 ] 頁面。
- 在 [建立虛擬機] 頁面上的 [資源群組] 底下,選取 [新建]。 輸入資源群組的名稱,或從下拉式清單中選取現有的資源群組。
- 在 [實例詳細數據] 下,輸入 VM 名稱的名稱,然後選擇支援 [信任啟動] 的區域。
- 已根據選取的映像版本填入映像和安全性類型。 [安全開機] 和 [vTPM] 核取方塊會預設為啟用。
- 填寫系統管理員帳戶資訊,然後填寫輸入連接埠規則。
- 在頁面底部,選取 [ 檢閱 + 建立]。
- 在驗證頁面上,檢閱虛擬機器的詳細資料。
- 驗證成功之後,選取 [建立] 以完成虛擬機器的建立。
如果您想要使用受控磁碟或受控磁碟快照集作為映射版本的來源(而非受信任的啟動 VM),請遵循下列步驟。
- 登入 Azure 入口網站。
- 搜尋 VM 映射版本 ,然後選取 [ 建立]。
- 提供訂用帳戶、資源群組、區域和映像版本號碼。
- 選取來源作為 [磁碟] 和/或 [快照集]。
- 從下拉式清單中選取OS磁碟作為受控磁碟或受控磁碟快照集。
- 選取 [目標 Azure 計算資源庫] 以建立和共用映像。 如果沒有資源庫,則請建立新的資源庫。
- 對於 [作業系統狀態],選取 [一般化] 或 [特製化]。 如果您想要建立一般化映像,請確定您已將磁碟或快照集一般化,以移除電腦特定資訊。
- 針對 [ 目標 VM 映像定義 ] 選取 [新建]。 在開啟的視窗中,選取映像定義名稱,並確定 [安全性類型 ] 設定為 [信任啟動]。 提供發行者、供應專案和 SKU 資訊,然後選取 [ 確定]。
- 如有需要,可以使用 [複寫] 索引標籤來設定映像複寫的複本計數和目標區域。
- 如有需要,也可以使用 [ 加密 ] 索引標籤來提供 SSE 加密相關信息。
- 在 [檢閱 + 建立] 索引卷標上選取 [建立],以建立映射。
- 成功建立映像版本之後,選取 [+ 建立 VM ] 以移至 [ 建立虛擬機 ] 頁面。
- 依照先前所述的步驟 12 到 18,使用此映射版本建立受信任的啟動 VM。
請確定您執行的是最新版的 Azure CLI。
使用 az login 登入 Azure。
az login
使用安全性類型建立映像定義 TrustedLaunch 。
az sig image-definition create --resource-group MyResourceGroup --location eastus \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \
--os-type Linux --os-state Generalized \
--hyper-v-generation V2 \
--features SecurityType=TrustedLaunch
若要建立映像版本,您可以擷取現有的以Linux為基礎的受信任啟動 VM。 在建立映像版本之前,請先將受信任的啟動 VM 一般化。
az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--managed-image /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM
如果受控磁碟或受控磁碟快照集需要作為映像版本的映射來源,請將上述命令--os-snapshot中的 取代--managed-image為 ,並提供磁碟或快照集資源名稱。
從上述映像版本建立受信任的啟動 VM。
adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
--name myTrustedLaunchVM \
--image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
--size Standard_D2s_v5 \
--security-type TrustedLaunch \
--enable-secure-boot true \
--enable-vtpm true \
--admin-username $adminUsername \
--generate-ssh-keys
使用安全性類型建立映像定義 TrustedLaunch 。
$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunch'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features
若要建立映像版本,您可以擷取現有的 Windows 型受信任啟動 VM。 在建立映像版本之前,請先將受信任的啟動 VM 一般化。
$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/virtualMachines/myVM"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId
從上述映像版本建立受信任的啟動 VM。
$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
-GalleryName $galleryName `
-ResourceGroupName $rgName `
-Name $galleryImageDefinitionName
$cred = Get-Credential `
-Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
-Name mySubnet `
-AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
-ResourceGroupName $rgName `
-Location $location `
-Name MYvNET `
-AddressPrefix 192.168.0.0/16 `
-Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
-ResourceGroupName $rgName `
-Location $location `
-Name "mypublicdns$(Get-Random)" `
-AllocationMethod Static `
-IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
-Name myNetworkSecurityGroupRuleRDP `
-Protocol Tcp `
-Direction Inbound `
-Priority 1000 `
-SourceAddressPrefix * `
-SourcePortRange * `
-DestinationAddressPrefix * `
-DestinationPortRange 3389 `
-Access Deny
$nsg = New-AzNetworkSecurityGroup `
-ResourceGroupName $rgName `
-Location $location `
-Name myNetworkSecurityGroup `
-SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
-Name myNic `
-ResourceGroupName $rgName `
-Location $location `
-SubnetId $vnet.Subnets[0].Id `
-PublicIpAddressId $pip.Id `
-NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
Set-AzVMSourceImage -Id $imageDefinition.Id | `
Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
-EnableVtpm $true `
-EnableSecureBoot $true
New-AzVM `
-ResourceGroupName $rgName `
-Location $location `
-VM $vm
信任的啟動內建原則
為了協助用戶採用信任的啟動,Azure 原則可用來協助資源擁有者採用受信任的啟動。 主要目標是協助轉換支援受信任啟動的第 1 代和第 2 代 VM。
虛擬機應該已啟用信任啟動單一原則,檢查 VM 目前是否已啟用信任啟動安全性設定。 信任啟動原則支援的磁碟和 OS 會檢查先前建立的 VM 是否具有能夠部署受信任啟動 VM 的第 2 代 OS 和 VM 大小。
這兩個原則結合在一起,使受信任的啟動原則計劃。 此方案可讓您將數個相關的原則定義分組,以簡化指派和管理資源,以包含受信任的啟動設定。
若要深入瞭解並開始部署,請參閱 受信任的啟動內建原則。
驗證或更新您的設定
針對啟用 [信任啟動] 建立的 VM,您可以移至 [Azure 入口網站] 中 VM 的 [概觀] 頁面,以檢視 [受信任的啟動] 組態。 [屬性] 索引標籤會顯示 [信任啟動] 功能的狀態。
若要變更 [信任的啟動] 組態,請在左側功能表中的 [設定] 底下,選取 [組態]。 在 [ 安全性類型 ] 區段中,您可以啟用或停用 安全開機、 vTPM 和 完整性監視。 當您完成時,選取頁面頂端的 [儲存]。
![顯示複選框以變更 [受信任的啟動] 設定的螢幕快照。](media/trusted-launch/verify-integrity-boot-on.png)
如果 VM 正在執行,您會收到 VM 將重新啟動的訊息。 選取 [ 是 ],然後等候 VM 重新啟動,變更才會生效。
相關內容
深入瞭解 受信任的啟動 和 開機完整性監視 VM。