Distribuire una macchina virtuale con avvio attendibile abilitato

Si applica a: ✔️ Macchine virtuali Linux Macchine ✔️ virtuali ✔️ Windows Set di scalabilità flessibili Set ✔️ di scalabilità uniformi.

L'avvio attendibile è un modo per migliorare la sicurezza delle macchine virtuali di seconda generazione . L'avvio attendibile protegge da tecniche di attacco avanzate e persistenti combinando tecnologie di infrastruttura come vTPM e avvio protetto.

Prerequisiti

• È consigliabile eseguire l'onboarding della sottoscrizione per Microsoft Defender per il cloud, se non lo è già. Microsoft Defender per il cloud ha un livello gratuito, che offre informazioni utili per varie risorse di Azure e ibride. Con l'assenza di MDC, gli utenti della macchina virtuale Avvio attendibile non possono monitorare l'integrità dell'avvio della macchina virtuale.

• Assegnare le iniziative di Criteri di Azure alla sottoscrizione. Queste iniziative di criteri devono essere assegnate una sola volta per ogni sottoscrizione. I criteri consentono di distribuire, controllare l'avvio attendibile Macchine virtuali durante l'installazione automatica di tutte le estensioni necessarie in tutte le macchine virtuali supportate.

  • Configurare l'avvio attendibile Macchine virtuali'iniziativa di criteri predefinita
  • Configurare i prerequisiti per abilitare l'attestazione guest nelle macchine virtuali abilitate per l'avvio attendibile.
  • Configurare i computer per installare automaticamente gli agenti di Monitoraggio di Azure e sicurezza di Azure nelle macchine virtuali.

• Consenti tag del servizio AzureAttestation nelle regole in uscita del gruppo di sicurezza di rete per consentire il traffico per Microsoft attestazione di Azure. Fare riferimento ai tag del servizio di rete virtuale.

• Assicurarsi che i criteri firewall consentano l'accesso a *.attest.azure.net.

Nota

Se si usa un'immagine Linux e si prevede che la macchina virtuale disponga di driver kernel non firmati o non firmati dal fornitore della distribuzione Linux, è consigliabile disattivare l'avvio protetto. Nel portale di Azure, nella pagina "Crea una macchina virtuale" per il parametro "Tipo di sicurezza" con l'opzione "Avvio attendibile Macchine virtuali" selezionata, fare clic su "Configura funzionalità di sicurezza" e deselezionare la casella di controllo "Abilita avvio protetto". In Interfaccia della riga di comando, PowerShell o SDK impostare il parametro di avvio protetto su false.

Distribuire una macchina virtuale di avvio attendibile

Creare una macchina virtuale con avvio attendibile abilitato. Scegliere una delle opzioni seguenti:

Portale

1. Accedere al portale di Azure.
2. Cercare Macchine virtuali.
3. In Servizi selezionare Macchine virtuali.
4. Nella pagina Macchine virtuali selezionare Aggiungi e quindi Macchina virtuale.
5. In Dettagli progetto verificare che sia selezionata la sottoscrizione corretta.
6. In Gruppo di risorse selezionare Crea nuovo e digitare un nome per il gruppo di risorse oppure selezionare un gruppo di risorse esistente nell'elenco a discesa.
7. In Dettagli istanza digitare un nome per il nome della macchina virtuale e scegliere un'area che supporti l'avvio attendibile.
8. Per Tipo di sicurezza selezionare Macchine virtuali di avvio attendibile. In questo modo vengono visualizzate altre tre opzioni: Avvio protetto, vTPM e Monitoraggio dell'integrità. Selezionare le opzioni appropriate per la distribuzione. Per altre informazioni sulle funzionalità di sicurezza abilitate per l'avvio attendibile.
9. In Immagine selezionare un'immagine dalle immagini consigliate di seconda generazione compatibili con l'avvio attendibile. Per un elenco, vedere Avvio attendibile.

   Suggerimento

   Se non viene visualizzata la versione gen 2 dell'immagine desiderata nell'elenco a discesa, selezionare Visualizza tutte le immagini e quindi modificare il filtro Tipo di sicurezza su Avvio attendibile.

10. Selezionare una dimensione della macchina virtuale che supporta l'avvio attendibile. Vedere l'elenco delle dimensioni supportate.
11. Immettere le informazioni sull'account amministratore e quindi le regole delle porte in ingresso.
12. Nella parte inferiore della pagina selezionare Rivedi e crea
13. Nella pagina Crea una macchina virtuale è possibile visualizzare i dettagli sulla macchina virtuale che si sta per distribuire. Dopo che la convalida viene visualizzata come superata, selezionare Crea.

La distribuzione della macchina virtuale richiede alcuni minuti.

CLI

Assicurarsi di eseguire la versione più recente dell'interfaccia della riga di comando di Azure.

Accedere al portale di Azure con az login.

az login 

Creare una macchina virtuale con Avvio attendibile.

az group create -n myresourceGroup -l eastus 

az vm create \
   --resource-group myResourceGroup \
   --name myVM \
   --image Canonical:UbuntuServer:18_04-lts-gen2:latest \
   --admin-username azureuser \
   --generate-ssh-keys \
   --security-type TrustedLaunch \
   --enable-secure-boot true \ 
   --enable-vtpm true 

Per le macchine virtuali esistenti, è possibile abilitare o disabilitare le impostazioni di avvio protetto e vTPM. L'aggiornamento della macchina virtuale con impostazioni di avvio protetto e vTPM attiva il riavvio automatico.

az vm update \
   --resource-group myResourceGroup \
   --name myVM \
   --enable-secure-boot true \
   --enable-vtpm true 

Per altre informazioni sull'installazione del monitoraggio dell'integrità di avvio tramite l'estensione Attestazione guest, vedere Integrità dell'avvio.

PowerShell

Per effettuare il provisioning di una macchina virtuale con avvio attendibile, è prima necessario abilitarla con il TrustedLaunchSet-AzVmSecurityProfile cmdlet . È quindi possibile usare il cmdlet Set-AzVmUefi per impostare la configurazione vTPM e SecureBoot. Usare il frammento di codice seguente come guida introduttiva, ricordare di sostituire i valori in questo esempio con i propri.

$rgName = "myResourceGroup"
$location = "West US"
$vmName = "myTrustedVM"
$vmSize = Standard_B2s
$publisher = "MicrosoftWindowsServer"
$offer = "WindowsServer"
$sku = "2019-datacenter-gensecond"
$version = latest
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine."

$vm = New-AzVMConfig -VMName $vmName -VMSize $vmSize 

$vm = Set-AzVMOperatingSystem `
   -VM $vm -Windows `
   -ComputerName $vmName `
   -Credential $cred `
   -ProvisionVMAgent `
   -EnableAutoUpdate 

$vm = Add-AzVMNetworkInterface -VM $vm `
   -Id $NIC.Id 

$vm = Set-AzVMSourceImage -VM $vm `
   -PublisherName $publisher `
   -Offer $offer `
   -Skus $sku `
   -Version $version 

$vm = Set-AzVMOSDisk -VM $vm `
   -StorageAccountType "StandardSSD_LRS" `
   -CreateOption "FromImage" 

$vm = Set-AzVmSecurityProfile -VM $vm `
   -SecurityType "TrustedLaunch" 

$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 

New-AzVM -ResourceGroupName $rgName -Location $location -VM $vm 

Modello

È possibile distribuire macchine virtuali di avvio attendibili usando un modello di avvio rapido:

Linux

Windows

Distribuire una macchina virtuale di avvio attendibile da un'immagine della raccolta di calcolo di Azure

Le macchine virtuali di avvio attendibili di Azure supportano la creazione e la condivisione di immagini personalizzate tramite Azure Compute Gallery. Esistono due tipi di immagini che è possibile creare, in base ai tipi di sicurezza dell'immagine:

• Le immagini supportate () per l'avvioTrustedLaunchSupported attendibile consigliatesono immagini in cui l'origine non dispone di informazioni sullo stato guest della macchina virtuale e possono essere usate per creare macchine virtuali di seconda generazione o macchine virtuali di avvio attendibile.
• Le immagini di vm di avvio attendibili (TrustedLaunch) sono immagini in cui l'origine ha in genere informazioni sullo stato guest della macchina virtuale e possono essere usate per creare solo macchine virtuali di avvio attendibili.

Immagini supportate della macchina virtuale di avvio attendibile

Per le origini di immagine seguenti, il tipo di sicurezza nella definizione dell'immagine deve essere impostato su TrustedLaunchsupported:

• Disco rigido virtuale del sistema operativo gen2
• Immagine gestita Gen2
• Versione dell'immagine della raccolta Gen2

Nessuna informazione sullo stato guest della macchina virtuale deve essere inclusa nell'origine dell'immagine.

La versione dell'immagine risultante può essere usata per creare macchine virtuali di Azure Gen2 o macchine virtuali di avvio trusted.

Queste immagini possono essere condivise usando Raccolta di calcolo di Azure - Raccolta condivisa diretta e Raccolta di calcolo di Azure - Raccolta community.

Nota

Il disco rigido virtuale del sistema operativo, l'immagine gestita o la versione dell'immagine della raccolta deve essere creato da un'immagine gen2 compatibile con le macchine virtuali di avvio attendibili.

Portale

1. Accedere al portale di Azure.
2. Cercare e selezionare le Versioni delle immagini della macchina virtuale nella barra di ricerca
3. Nella pagina Versioni delle immagini della macchina virtuale selezionare Crea.
4. Nella pagina Crea versione dell'immagine della macchina virtuale, all’interno della scheda Informazioni di base:
   1. Selezionare l’abbonamento di Azure.
   2. Selezionare un gruppo di risorse esistente o crearne uno nuovo.
   3. Selezionare l'area di Azure.
   4. Immettere un numero di versione dell'immagine.
   5. Per Origine selezionare BLOB di archiviazione (VHD) o Immagine gestita o un'altra versione dell'immagine della macchina virtuale
   6. Se è stato selezionato BLOB di archiviazione (VHD),, immettere un disco VHD del sistema operativo (senza lo stato guest della macchina virtuale). Assicurarsi di usare un VHD di seconda generazione.
   7. Se è stata selezionata Immagine gestita, selezionare un'immagine gestita esistente di una macchina virtuale di seconda generazione.
   8. Se è stata selezionata la versione dell'immagine della macchina virtuale, selezionare una versione dell'immagine della raccolta esistente di una macchina virtuale gen2.
   9. In Raccolta di calcolo di Azure di destinazione selezionare o creare una raccolta per condividere l'immagine.
   10. In Stato del sistema operativo selezionare Generalizzato o Specializzato a seconda del caso d'uso. Se si usa un'immagine gestita come origine, selezionare sempre Generalizzata. Se si usa un BLOB di archiviazione (VHD) e si vuole selezionare Generalizzata, seguire la procedura per generalizzare un VHD Linux o generalizzare un VHD Windows prima di continuare. Se si usa una versione dell'immagine di macchina virtuale esistente, selezionare Generalizzata o Specializzata in base a ciò che viene usato nella definizione dell'immagine della macchina virtuale di origine.
   11. In Definizione immagine macchina virtuale di destinazione selezionare Crea nuovo.
   12. Nel riquadro Crea una definizione di immagine di macchina virtuale immettere un nome per la definizione. Assicurarsi che il tipo di sicurezza sia impostato su Trustedlaunch Supported. Immettere le informazioni sull'editore, sull'offerta e sullo SKU. Quindi selezionare OK.
5. Nella scheda Replica immettere il numero di repliche e le aree di destinazione per la replica di immagini, se necessario.
6. Nella scheda Crittografia immettere le informazioni correlate alla crittografia SSE, se necessario.
7. Selezionare Rivedi e crea.
8. Dopo la convalida della configurazione, selezionare Crea per completare la creazione dell'immagine.
9. Dopo aver creato la versione dell'immagine, selezionare Crea macchina virtuale.
10. Nella pagina Crea una macchina virtuale, in Gruppo di risorse selezionare Crea nuovo e digitare un nome per il gruppo di risorse o selezionare un gruppo di risorse esistente nell'elenco a discesa.
11. In Dettagli istanza digitare un nome per il nome della macchina virtuale e scegliere un'area che supporti l'avvio attendibile.
12. Selezionare Avvio attendibile di macchine virtuali come tipo di sicurezza. Le caselle di controllo Avvio protetto e vTPM sono abilitate per impostazione predefinita.
13. Immettere le informazioni sull'account amministratore e quindi le regole delle porte in ingresso.
14. Nella pagina di convalida esaminare i dettagli della macchina virtuale.
15. Al termine della convalida, selezionare Crea per completare la creazione della macchina virtuale.

CLI

Assicurarsi di eseguire la versione più recente dell'interfaccia della riga di comando di Azure.

Accedere al portale di Azure con az login.

az login 

Creare una definizione di immagine con TrustedLaunchSupported tipo di sicurezza.

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunchSupported

Usare un disco rigido virtuale del sistema operativo per creare una versione dell'immagine. Assicurarsi che il disco rigido virtuale Linux sia stato generalizzato prima del caricamento in un BLOB dell'account di archiviazione di Azure seguendo la procedura descritta qui.

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--os-vhd-storage-account /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/imageGroups/providers/Microsoft.Storage/storageAccounts/mystorageaccount \
--os-vhd-uri https://mystorageaccount.blob.core.windows.net/container/path_to_vhd_file

Creare una macchina virtuale di avvio attendibile dalla versione dell'immagine precedente.

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

PowerShell

Creare una definizione di immagine con TrustedLaunchSupported tipo di sicurezza.

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunchSupported'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

Per creare una versione dell'immagine, è possibile usare una versione dell'immagine della raccolta Gen2 esistente, generalizzata durante la creazione.

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/galleries/MyGallery/images/Gen2VMImageDef/versions/0.0.1"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

Creare una macchina virtuale di avvio attendibile dalla versione dell'immagine precedente

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

Immagini di macchine virtuali di avvio attendibili

Per le origini di immagine seguenti, il tipo di sicurezza nella definizione dell'immagine deve essere impostato su TrustedLaunch:

• Acquisizione di macchine virtuali di avvio attendibile
• Disco del sistema operativo gestito
• Snapshot del disco del sistema operativo gestito

La versione dell'immagine risultante può essere usata solo per creare macchine virtuali di avvio attendibili di Azure.

Portale

1. Accedere al portale di Azure.
2. Per creare un'immagine della raccolta di calcolo di Azure da una macchina virtuale, aprire una macchina virtuale di avvio attendibile esistente e selezionare Acquisisci.
3. Nella pagina Crea un'immagine riportata di seguito, consentire la condivisione dell'immagine alla raccolta come versione dell'immagine della macchina virtuale. La creazione di immagini gestite non è supportata per le macchine virtuali di avvio attendibile.
4. Creare una nuova raccolta di calcolo di Azure di destinazione o selezionare una raccolta esistente.
5. Selezionare lo stato del sistema operativo come Generalizzato o Specializzato. Se si vuole creare un'immagine generalizzata, assicurarsi di generalizzare la macchina virtuale per rimuovere le informazioni specifiche del computer prima di selezionare questa opzione. Se la crittografia basata su Bitlocker è abilitata nella macchina virtuale Windows di avvio attendibile, potrebbe non essere possibile generalizzare lo stesso.
6. Creare una nuova definizione di immagine specificando un nome, un editore, un'offerta e i dettagli dello SKU. Il tipo di sicurezza della definizione dell'immagine deve essere già impostato su Avvio attendibile.
7. Specificare un numero di versione per la versione dell'immagine.
8. Modificare le opzioni di replica, se necessario.
9. Nella parte inferiore della pagina Crea un'immagine selezionare Rivedi e crea e quando la convalida viene visualizzata come superata, selezionare Crea.
10. Dopo aver creato la versione dell'immagine, passare direttamente alla versione dell'immagine. In alternativa, è possibile passare alla versione dell'immagine richiesta tramite la definizione dell'immagine.
11. Nella pagina Versione dell'immagine della macchina virtuale selezionare + Crea macchina virtuale da visualizzare nella pagina Crea macchina virtuale.
12. Nella pagina Crea una macchina virtuale, in Gruppo di risorse selezionare Crea nuovo e digitare un nome per il gruppo di risorse o selezionare un gruppo di risorse esistente nell'elenco a discesa.
13. In Dettagli istanza digitare un nome per il nome della macchina virtuale e scegliere un'area che supporti l'avvio attendibile.
14. L'immagine e il tipo di sicurezza sono già popolati in base alla versione dell'immagine selezionata. Le caselle di controllo Avvio protetto e vTPM sono abilitate per impostazione predefinita.
15. Immettere le informazioni sull'account amministratore e quindi le regole delle porte in ingresso.
16. Nella parte inferiore della pagina selezionare Rivedi e crea
17. Nella pagina di convalida esaminare i dettagli della macchina virtuale.
18. Al termine della convalida, selezionare Crea per completare la creazione della macchina virtuale.

Se si vuole usare un disco gestito o uno snapshot del disco gestito come origine della versione dell'immagine (anziché una macchina virtuale di avvio attendibile), seguire questa procedura.

1. Accedere al portale
2. Cercare Versioni immagine macchina virtuale e selezionare Crea
3. Specificare la sottoscrizione, il gruppo di risorse, l'area e il numero di versione dell'immagine
4. Selezionare l'origine come dischi e/o snapshot
5. Selezionare il disco del sistema operativo come disco gestito o uno snapshot del disco gestito dall'elenco a discesa
6. Selezionare una raccolta di calcolo di Azure di destinazione per creare e condividere l'immagine. Se non esiste alcuna raccolta, creare una nuova raccolta.
7. Selezionare lo stato del sistema operativo come Generalizzato o Specializzato. Se si vuole creare un'immagine generalizzata, assicurarsi di generalizzare il disco o lo snapshot per rimuovere informazioni specifiche del computer.
8. Per Definizione immagine macchina virtuale di destinazione selezionare Crea nuovo. Nella finestra visualizzata selezionare un nome di definizione dell'immagine e assicurarsi che il tipo di sicurezza sia impostato su Avvio attendibile. Specificare le informazioni sull'editore, l'offerta e lo SKU e selezionare OK.
9. La scheda Replica può essere usata per impostare il numero di repliche e le aree di destinazione per la replica di immagini, se necessario.
10. La scheda Crittografia può essere usata anche per fornire informazioni correlate alla crittografia SSE, se necessario.
11. Selezionare Crea nella scheda Rivedi e crea per creare l'immagine
12. Dopo aver creato correttamente la versione dell'immagine, selezionare + Crea macchina virtuale per accedere alla pagina Crea macchina virtuale.
13. Seguire i passaggi da 12 a 18 come indicato in precedenza per creare una macchina virtuale di avvio attendibile usando questa versione dell'immagine

CLI

Assicurarsi di eseguire la versione più recente dell'interfaccia della riga di comando di Azure.

Accedere al portale di Azure con az login.

az login 

Creare una definizione di immagine con TrustedLaunch tipo di sicurezza

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunch

Per creare una versione dell'immagine, è possibile acquisire una macchina virtuale di avvio attendibile basata su Linux esistente. Generalizzare la macchina virtuale di avvio attendibile prima di creare la versione dell'immagine.

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--managed-image /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM

Se un disco gestito o uno snapshot del disco gestito deve essere usato come origine dell'immagine per la versione dell'immagine, sostituire --managed-image nel comando precedente con --os-snapshot e specificare il disco o il nome della risorsa snapshot

Creare una macchina virtuale di avvio attendibile dalla versione dell'immagine precedente

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

PowerShell

Creare una definizione di immagine con TrustedLaunch tipo di sicurezza

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunch'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

Per creare una versione dell'immagine, è possibile acquisire una macchina virtuale di avvio attendibile basata su Windows esistente. Generalizzare la macchina virtuale di avvio attendibile prima di creare la versione dell'immagine.

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/virtualMachines/myVM"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

Creare una macchina virtuale di avvio attendibile dalla versione dell'immagine precedente

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

Criteri predefiniti di avvio attendibili

Per aiutare gli utenti finali ad adottare Avvio attendibile, sono disponibili criteri di Azure per aiutare i proprietari di risorse ad adottare Avvio attendibile. L'obiettivo principale consiste nell'aiutare a convertire la generazione 1 e 2 Macchine virtuali in grado di supportare l'avvio attendibile. La macchina virtuale deve disporre di un singolo criterio abilitato per l'avvio attendibile controlla se la macchina virtuale, attualmente abilitata con configurazioni di sicurezza di avvio attendibile. I dischi e il sistema operativo supportati per l'avvio attendibile controllano se le macchine virtuali create in precedenza hanno il sistema operativo di seconda generazione e le dimensioni della macchina virtuale per distribuire macchine virtuali di avvio attendibile. Questi due criteri si riuniscono per rendere i criteri di avvio attendibile initative, consentendo di raggruppare diverse definizioni di criteri correlate per semplificare le assegnazioni e le risorse di gestione per includere la configurazione Avvio attendibile.

Per altre informazioni e per iniziare la distribuzione, vedere Criteri predefiniti di avvio attendibile.

---

Verificare o aggiornare le impostazioni

Per le macchine virtuali create con avvio attendibile abilitato, è possibile visualizzare la configurazione di avvio attendibile visitando la pagina Panoramica per la macchina virtuale nel portale di Azure. La scheda Proprietà mostrerà lo stato delle funzionalità di avvio attendibile:

Per modificare la configurazione di avvio attendibile, nel menu a sinistra, nella sezione Impostazioni selezionare Configurazione. È possibile abilitare o disabilitare Avvio protetto, vTPM e Monitoraggio dell'integrità dalla sezione Tipo di sicurezza. Al termine, selezionare Salva nella parte superiore della pagina.

Se la macchina virtuale è in esecuzione, viene visualizzato un messaggio che informa che la macchina virtuale verrà riavviata. Selezionare Sì e attendere il riavvio della macchina virtuale per rendere effettive le modifiche.

Passaggi successivi

Altre informazioni sull'avvio attendibile e sul monitoraggio dell'integrità dell'avvio.