トラステッド起動を有効にして仮想マシンをデプロイする
-
[アーティクル]
-
-
適用対象: ✔️ Linux VM ✔️ Windows VM ✔️ フレキシブル スケール セット ✔️ 均一スケール セット。
トラステッド起動は、第 2 世代の VM のセキュリティを向上させる手段です。 トラステッド起動を使用すると、vTPM やセキュア ブートのようなインフラストラクチャ テクノロジを組み合わせることによって、高度で永続的な攻撃手法から保護されます。
前提条件
まだの場合は、サブスクリプションを Microsoft Defender for Cloud にオンボードすることをお勧めします。 Microsoft Defender for Cloud には Free レベルがあり、各種の Azure リソースやハイブリッド リソースについての有益な分析情報が得られます。 MDC がない場合、トラステッド起動仮想マシンのユーザーは、VM のブート整合性を監視できません。
Azure Policy のイニシアティブをサブスクリプションに割り当てます。 ポリシーのイニシアティブは、サブスクリプションごとに 1 回だけ割り当てる必要があります。 ポリシーは、サポートされているすべての VM に必要なすべての拡張機能を自動的にインストールしながら、トラステッド起動仮想マシンのデプロイ、監査に役立ちます。
- トラステッド起動仮想マシンの組み込みのポリシー イニシアチブを構成する
- トラステッド起動が有効な VM でゲスト構成証明を有効にするための前提条件を構成します。
- 仮想マシンに Azure Monitor と Azure Security エージェントを自動的にインストールするようにマシンを構成します。
ネットワーク セキュリティ グループのアウトバウンド規則でサービス タグ AzureAttestation を許可して、Microsoft Azure Attestation のトラフィックを許可します。 「仮想ネットワーク サービス タグ」を参照してください。
ファイアウォール ポリシーで *.attest.azure.net
へのアクセスが許可されていることを確認します。
Note
Linux イメージを使用していて、VM のカーネル ドライバーが署名されていない、または Linux ディストリビューション ベンダーによって署名されていないと思われる場合は、セキュア ブートをオフにすることを検討してください。 Azure portal では、[セキュリティの種類] パラメーターに [トラステッド起動の仮想マシン] が選択された [仮想マシンの作成] ページで、[セキュリティ機能の構成] をクリックし、[セキュア ブートを有効にする] チェックボックスをオフにします。 CLI、PowerShell、または SDK では、セキュア ブート パラメーターを false に設定します。
トラステッド起動 VM をデプロイする
トラステッド起動を有効にして仮想マシンを作成します。 以下のオプションを選択してください。
- Azure Portal にサインインします。
- 「仮想マシン」を検索します。
- [サービス] で、 [仮想マシン] を選択します。
- [仮想マシン] ページで、 [追加] を選択してから、 [仮想マシン] を選択します。
- [プロジェクトの詳細] で、正しいサブスクリプションが選択されていることを確認します。
- [リソース グループ] で [新規作成] を選択し、リソース グループの名前を入力するか、ドロップダウンから既存のリソース グループを選択します。
- [インスタンスの詳細] で、仮想マシンの名前を入力し、トラステッド起動がサポートされているリージョンを選択します。
- [セキュリティの種類] で [トラステッド起動の仮想マシン] を選択します。 これにより、[セキュア ブート]、[vTPM]、[整合性の監視] の 3 つのオプションがさらに表示されるようになります。 自分のデプロイに合った適切なオプションを選択します。 トラステッド起動が有効なセキュリティ機能の詳細を確認します。
- [イメージ] の [[トラステッド起動] と互換性のある、推奨される Gen 2 イメージ] からイメージを選択します。 一覧については、トラステッド起動に関する記事を参照してください。
ヒント
ドロップダウンに目的の Gen 2 バージョンのイメージが表示されない場合は、 [すべてのイメージを表示] を選択し、 [セキュリティの種類] フィルターを [トラステッド起動] に変更します。
- トラステッド起動がサポートされている VM サイズを選択します。 サポートされているサイズの一覧を参照してください。
- [管理者アカウント] の情報を入力した後、 [受信ポートの規則] を指定します。
- ページの下部にある [確認および作成] を選択します
- [仮想マシンの作成] ページで、デプロイしようとしている VM の詳細を確認できます。 検証結果が合格と表示されたら、 [作成] を選択します。
VM がデプロイされるまでに数分かかります。
最新バージョンの Azure CLI を実行していることを確認してください。
az login
を使用して Azure にサインインします。
az login
トラステッド起動を使用して仮想マシンを作成します。
az group create -n myresourceGroup -l eastus
az vm create \
--resource-group myResourceGroup \
--name myVM \
--image Canonical:UbuntuServer:18_04-lts-gen2:latest \
--admin-username azureuser \
--generate-ssh-keys \
--security-type TrustedLaunch \
--enable-secure-boot true \
--enable-vtpm true
既存の VM を対象に、セキュア ブートと vTPM の設定を有効または無効にすることができます。 セキュア ブートと vTPM の設定を使用して仮想マシンを更新すると、自動再起動がトリガーされます。
az vm update \
--resource-group myResourceGroup \
--name myVM \
--enable-secure-boot true \
--enable-vtpm true
ゲスト構成証明拡張機能を使用したブートの整合性の監視のインストールに関する詳細については、ブートの整合性に関する記事を参照してください。
トラステッド起動を使用して VM をプロビジョニングするためには、Set-AzVmSecurityProfile
コマンドレットを使用して、まず VM の TrustedLaunch
を有効にする必要があります。 その後、Set-AzVmUefi コマンドレットを使用して vTPM と SecureBoot の構成を設定できます。 クイック スタートとして以下のスニペットをご使用ください。ただし、この例の値は実際の値に置き換える必要があります。
$rgName = "myResourceGroup"
$location = "West US"
$vmName = "myTrustedVM"
$vmSize = Standard_B2s
$publisher = "MicrosoftWindowsServer"
$offer = "WindowsServer"
$sku = "2019-datacenter-gensecond"
$version = latest
$cred = Get-Credential `
-Message "Enter a username and password for the virtual machine."
$vm = New-AzVMConfig -VMName $vmName -VMSize $vmSize
$vm = Set-AzVMOperatingSystem `
-VM $vm -Windows `
-ComputerName $vmName `
-Credential $cred `
-ProvisionVMAgent `
-EnableAutoUpdate
$vm = Add-AzVMNetworkInterface -VM $vm `
-Id $NIC.Id
$vm = Set-AzVMSourceImage -VM $vm `
-PublisherName $publisher `
-Offer $offer `
-Skus $sku `
-Version $version
$vm = Set-AzVMOSDisk -VM $vm `
-StorageAccountType "StandardSSD_LRS" `
-CreateOption "FromImage"
$vm = Set-AzVmSecurityProfile -VM $vm `
-SecurityType "TrustedLaunch"
$vm = Set-AzVmUefi -VM $vm `
-EnableVtpm $true `
-EnableSecureBoot $true
New-AzVM -ResourceGroupName $rgName -Location $location -VM $vm
クイックスタート テンプレートを使用して、トラステッド起動 VM をデプロイできます。
Linux
Windows
Azure Compute Gallery イメージからトラステッド起動 VM をデプロイする
Azure トラステッド起動仮想マシンは、Azure Compute Gallery を使用したカスタム イメージの作成と共有をサポートしています。 イメージのセキュリティの種類に基づいて、2 種類のイメージを作成できます。
トラステッド起動 VM でサポートされるイメージ
次のイメージ ソースの場合、イメージ定義でセキュリティの種類を TrustedLaunchsupported
に設定する必要があります。
- Gen2 OS ディスク VHD
- Gen2 マネージド イメージ
- Gen2 ギャラリー イメージ バージョン
VM ゲストの状態情報はイメージ ソースに含まれません。
結果のイメージ バージョンを使って、Azure Gen2 VM またはトラステッド起動 VM を作成できます。
これらのイメージは、Azure Compute Gallery – 直接共有ギャラリーと Azure Compute Gallery - コミュニティ ギャラリーを使って共有できます。
- Azure portal にサインインします。
- 検索バーで "VM イメージ バージョン" を検索して選びます
- [VM イメージ バージョン] ページで、[作成] を選びます。
- [VM イメージ バージョンの作成] ページの [基本] タブで、次のようにします。
- Azure サブスクリプションを選択します。
- 既存のリソース グループを選択するか、新しいリソース グループを作成します。
- Azure リージョンを選択します。
- イメージのバージョン番号を入力します。
- [ソース] で、[ストレージ BLOB (VHD)] または [マネージド イメージ]、または別の [VM イメージ バージョン] を選びます
- [Storage Blobs (VHD)] (ストレージ BLOB (VHD)) を選んだ場合は、OS ディスク VHD (VM ゲスト状態なし) を入力します。 Gen 2 VHD を使っていることを確認します。
- [マネージド イメージ] を選んだ場合は、Gen 2 VM の既存のマネージド イメージを選びます。
- [VM イメージ バージョン] を選択した場合は、既存の Gen2 VM ギャラリー イメージ バージョンを選びます。
- [ターゲット Azure コンピュート ギャラリー] で、イメージを共有するギャラリーを選ぶか作成します。
- [オペレーティング システムの状態] では、ユース ケースに応じて [一般化] または [特殊化] を選びます。 ソースとしてマネージド イメージを使っている場合は、常に [一般化] を選びます。 ストレージ BLOB (VHD) を使っていて、[一般化] を選びたい場合は、続ける前に、手順に従って Linux VHD を一般化するか、、Windows VHD を一般化します。 既存の VM イメージ バージョンを使用している場合は、ソース VM イメージ定義で使用されている内容に基づいて [一般化] または [特殊化] を選択します。
- [ターゲット VM イメージ定義] で、[新規作成] を選びます。
- [VM イメージ定義の作成] ペインで、定義の名前を入力します。 [セキュリティの種類] が [トラステッド起動がサポートされています] に設定されていることを確認します。 発行元、オファー、SKU の情報を入力します。 次に、[OK] を選びます。
- 必要に応じて、[レプリケーション] タブで、イメージ レプリケーションのレプリカ数とターゲット リージョンを入力します。
- [暗号化] タブで、必要に応じて SSE 暗号化関連の情報を入力します。
- [確認および作成] を選択します。
- 構成を確認して問題がなければ、[作成] を選んでイメージの作成を完了します。
- イメージ バージョンが作成されたら、[VM の作成] を選びます。
- [仮想マシンの作成] ページの [リソース グループ] で、[新規作成] を選択し、リソース グループの名前を入力するか、ドロップダウンから既存のリソース グループを選択します。
- [インスタンスの詳細] で、仮想マシンの名前を入力し、トラステッド起動がサポートされているリージョンを選択します。
- [セキュリティの種類] で [トラステッド起動の仮想マシン] を選びます。 [セキュア ブート] と [vTPM] のチェックボックスは、既定で有効になっています。
- [管理者アカウント] の情報を入力した後、 [受信ポートの規則] を指定します。
- 検証ページで、VM の詳細を確認します。
- 検証で問題がなければ、[作成] を選んで VM の作成を完了します。
最新バージョンの Azure CLI を実行していることを確認してください。
az login
を使用して Azure にサインインします。
az login
セキュリティの種類として TrustedLaunchSupported
を使用してイメージ定義を作成します。
az sig image-definition create --resource-group MyResourceGroup --location eastus \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \
--os-type Linux --os-state Generalized \
--hyper-v-generation V2 \
--features SecurityType=TrustedLaunchSupported
OS ディスク VHD を使用してイメージ バージョンを作成します。 ここで説明されている手順に従って、Azure ストレージ アカウント BLOB にアップロードする前に、Linux VHD が一般化されていることを確認します。
az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--os-vhd-storage-account /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/imageGroups/providers/Microsoft.Storage/storageAccounts/mystorageaccount \
--os-vhd-uri https://mystorageaccount.blob.core.windows.net/container/path_to_vhd_file
上記のイメージ バージョンから、トラステッド起動 VM を作成します。
adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
--name myTrustedLaunchVM \
--image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
--size Standard_D2s_v5 \
--security-type TrustedLaunch \
--enable-secure-boot true \
--enable-vtpm true \
--admin-username $adminUsername \
--generate-ssh-keys
セキュリティの種類として TrustedLaunchSupported
を使用してイメージ定義を作成します。
$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunchSupported'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features
イメージ バージョンを作成するには、作成時に一般化された既存の Gen2 ギャラリー イメージ バージョンを使用できます。
$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/galleries/MyGallery/images/Gen2VMImageDef/versions/0.0.1"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId
上記のイメージ バージョンから、トラステッド起動 VM を作成します
$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
-GalleryName $galleryName `
-ResourceGroupName $rgName `
-Name $galleryImageDefinitionName
$cred = Get-Credential `
-Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
-Name mySubnet `
-AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
-ResourceGroupName $rgName `
-Location $location `
-Name MYvNET `
-AddressPrefix 192.168.0.0/16 `
-Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
-ResourceGroupName $rgName `
-Location $location `
-Name "mypublicdns$(Get-Random)" `
-AllocationMethod Static `
-IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
-Name myNetworkSecurityGroupRuleRDP `
-Protocol Tcp `
-Direction Inbound `
-Priority 1000 `
-SourceAddressPrefix * `
-SourcePortRange * `
-DestinationAddressPrefix * `
-DestinationPortRange 3389 `
-Access Deny
$nsg = New-AzNetworkSecurityGroup `
-ResourceGroupName $rgName `
-Location $location `
-Name myNetworkSecurityGroup `
-SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
-Name myNic `
-ResourceGroupName $rgName `
-Location $location `
-SubnetId $vnet.Subnets[0].Id `
-PublicIpAddressId $pip.Id `
-NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
Set-AzVMSourceImage -Id $imageDefinition.Id | `
Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
-EnableVtpm $true `
-EnableSecureBoot $true
New-AzVM `
-ResourceGroupName $rgName `
-Location $location `
-VM $vm
トラステッド起動 VM イメージ
次のイメージ ソースの場合、イメージ定義でセキュリティの種類を TrustedLaunch
に設定する必要があります。
- トラステッド起動 VM キャプチャ
- マネージド OS ディスク
- マネージド OS ディスク スナップショット
結果のイメージ バージョンは、Azure トラステッド起動 VM の作成にのみ使用できます。
- Azure Portal にサインインします。
- VM から Azure Compute Gallery イメージを作成するには、既存のトラステッド起動 VM を開き、[キャプチャ] を選択します。
- それに続く [イメージの作成] ページでは、イメージをギャラリーに対して、VM イメージの 1 つのバージョンとして共有することを許可します。 マネージド イメージの作成は、トラステッド起動 VM ではサポートされていません。
- 新しいターゲットの Azure Compute Gallery を作成するか、既存のギャラリーを選択します。
- [オペレーティング システムの状態] は、[一般化] または [特殊化] のいずれかとして選択します。 一般化されたイメージを作成する場合は、このオプションを選択する前に、VM を一般化してマシン固有の情報を削除するようにしてください。 トラステッド起動 Windows VM で Bitlocker ベースの暗号化が有効になっている場合、同じものを一般化できない可能性があります。
- 名前、発行元、オファー、SKU の詳細を指定して、新しいイメージ定義を作成します。 イメージ定義の [セキュリティの種類] は、既に [トラステッド起動] に設定されている必要があります。
- イメージのバージョンについて、バージョン番号を指定します。
- 必要に応じてレプリケーション オプションを変更します。
- [イメージの作成] ページの下部で、[確認と作成] を選択し、検証に合格したと表示されたら、[作成] を選択します。
- イメージのバージョンが作成されたら、そのイメージのバージョンに直接移動します。 または、イメージ定義から、必要なイメージのバージョンに移動できます。
- [VM イメージのバージョン] ページで [+ VM の作成] を選択し、[仮想マシンの作成] ページを開きます。
- [仮想マシンの作成] ページの [リソース グループ] で、[新規作成] を選択し、リソース グループの名前を入力するか、ドロップダウンから既存のリソース グループを選択します。
- [インスタンスの詳細] で、仮想マシンの名前を入力し、トラステッド起動がサポートされているリージョンを選択します。
- イメージとセキュリティの種類は、選択したイメージのバージョンに基づいて既に設定されています。 [セキュア ブート] と [vTPM] のチェックボックスは、既定で有効になっています。
- [管理者アカウント] の情報を入力した後、 [受信ポートの規則] を指定します。
- ページの下部にある [確認および作成] を選択します
- 検証ページで、VM の詳細を確認します。
- 検証で問題がなければ、[作成] を選んで VM の作成を完了します。
イメージ バージョンのソースとして (トラステッド起動 VM の代わりに) マネージド ディスクまたはマネージド ディスク スナップショットを使用する場合は、次の手順を使用します。
- ポータルにサインインします。
- [VM イメージ バージョン] を検索して [作成] を選択します。
- サブスクリプション、リソース グループ、リージョン、イメージ バージョン番号を指定します。
- ソースは [ディスクやスナップショット] を選択します。
- ドロップダウン リストから OS ディスクをマネージド ディスクまたはマネージド ディスク スナップショットとして選択します。
- イメージを作成および共有するための [ターゲット Azure Compute Gallery] を選択します。 ギャラリーが存在しない場合は、新しいギャラリーを作成します。
- [オペレーティング システムの状態] は、[一般化] または [特殊化] のいずれかとして選択します。 一般化されたイメージを作成する場合は、ディスクまたはスナップショットを一般化してマシン固有の情報を削除するようにしてください。
- [ターゲット VM イメージ定義] で、[新規作成] を選択します。 表示されたウィンドウで、イメージ定義の名前を選択し、[セキュリティの種類] が [トラステッド起動] に設定されていることを確認します。 パブリッシャー、オファー、SKU の情報を指定して [OK] を選択します。
- 必要に応じて、[レプリケーション] タブを使用して、イメージ レプリケーションのレプリカ数とターゲット リージョンを設定できます。
- 必要に応じて、[暗号化] タブを使用して SSE 暗号化に関連する情報を提供することもできます。
- [確認と作成] タブで [作成] を選択してイメージを作成します。
- イメージ バージョンが正常に作成されたら、[+ VM の作成] を選択し、[仮想マシンの作成] ページを開きます。
- 前述の手順 12 から 18 に従い、このイメージ バージョンを使用してトラステッド起動 VM を作成します。
最新バージョンの Azure CLI を実行していることを確認してください。
az login
を使用して Azure にサインインします。
az login
セキュリティの種類として TrustedLaunch
を使用してイメージ定義を作成します
az sig image-definition create --resource-group MyResourceGroup --location eastus \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \
--os-type Linux --os-state Generalized \
--hyper-v-generation V2 \
--features SecurityType=TrustedLaunch
イメージ バージョンを作成するために、既存の Linux ベースのトラステッド起動 VM をキャプチャできます。 イメージ バージョンを作成する前に、トラステッド起動 VM を一般化します。
az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--managed-image /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM
マネージド ディスクまたはマネージド ディスク スナップショットをイメージ バージョンのイメージ ソースとして使用する必要がある場合は、上記のコマンドの --managed-image を --os-snapshot に置き換えて、ディスクまたはスナップショット リソース名を指定します。
上記のイメージ バージョンから、トラステッド起動 VM を作成します
adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
--name myTrustedLaunchVM \
--image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
--size Standard_D2s_v5 \
--security-type TrustedLaunch \
--enable-secure-boot true \
--enable-vtpm true \
--admin-username $adminUsername \
--generate-ssh-keys
セキュリティの種類として TrustedLaunch
を使用してイメージ定義を作成します
$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunch'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features
イメージ バージョンを作成するために、既存の Windows ベースのトラステッド起動 VM をキャプチャできます。 イメージ バージョンを作成する前に、トラステッド起動 VM を一般化します。
$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/virtualMachines/myVM"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId
上記のイメージ バージョンから、トラステッド起動 VM を作成します
$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
-GalleryName $galleryName `
-ResourceGroupName $rgName `
-Name $galleryImageDefinitionName
$cred = Get-Credential `
-Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
-Name mySubnet `
-AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
-ResourceGroupName $rgName `
-Location $location `
-Name MYvNET `
-AddressPrefix 192.168.0.0/16 `
-Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
-ResourceGroupName $rgName `
-Location $location `
-Name "mypublicdns$(Get-Random)" `
-AllocationMethod Static `
-IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
-Name myNetworkSecurityGroupRuleRDP `
-Protocol Tcp `
-Direction Inbound `
-Priority 1000 `
-SourceAddressPrefix * `
-SourcePortRange * `
-DestinationAddressPrefix * `
-DestinationPortRange 3389 `
-Access Deny
$nsg = New-AzNetworkSecurityGroup `
-ResourceGroupName $rgName `
-Location $location `
-Name myNetworkSecurityGroup `
-SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
-Name myNic `
-ResourceGroupName $rgName `
-Location $location `
-SubnetId $vnet.Subnets[0].Id `
-PublicIpAddressId $pip.Id `
-NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
Set-AzVMSourceImage -Id $imageDefinition.Id | `
Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
-EnableVtpm $true `
-EnableSecureBoot $true
New-AzVM `
-ResourceGroupName $rgName `
-Location $location `
-VM $vm
トラステッド起動の組み込みポリシー
エンド ユーザーがトラステッド起動を採用できるように、リソース所有者がトラステッド起動を採用するのに役立つ Azure ポリシーがあります。 主な目的は、トラステッド起動対応の第 1 世代と第 2 世代の Virtual Machines を支援することです。 仮想マシンでトラステッド起動を有効にする必要がありますの単一ポリシーは、仮想マシンが現在トラステッド起動セキュリティ構成で有効になっているかどうかをチェックします。 トラステッド起動でサポートされるディスクと OSは、以前に作成された仮想マシンに、トラステッド起動仮想マシンをデプロイするための対応の第 2 世代オペレーティング システムと仮想マシン サイズがあるかどうかを確認します。 これら 2 つのポリシーは、トラステッド起動ポリシー イニシアチブを構成するためにまとめられ、関連するいくつかのポリシー定義をグループ化して、トラステッド起動構成に含める割り当てと管理リソースを簡略化します。
詳細を確認し、トラステッド起動組み込みポリシーのデプロイを開始してください。
設定を確認または更新する
トラステッド起動を有効にして作成された VM の場合は、Azure portal で VM の [概要] ページに移動することにより、トラステッド起動の構成を表示できます。 [プロパティ] タブには、トラステッド起動機能のステータスが表示されます。
トラステッド起動の構成を変更するには、左側のメニューの [設定] セクションで [構成] を選択します。 セキュア ブート、vTPM、整合性の監視は、[セキュリティの種類] セクションで有効または無効にすることができます。 完了したら、ページの上部で [保存] を選択します。
VM が実行中である場合、VM が再起動されるというメッセージが表示されます。 [はい] を選択した後、VM が再起動されて変更が有効になるまで待ちます。
次のステップ
トラステッド起動とブート整合性の監視 の VM の詳細を確認します。