你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

部署已启用受信任启动的 VM

适用于：✔️ Linux VM ✔️ Windows VM ✔️ 灵活规模集 ✔️ 统一规模集

受信任启动是一种提高第 2 代 VM 安全性的方法。 受信任启动通过组合基础结构技术（例如 vTPM 和安全启动）来防范高级攻击和持续性攻击方法。

先决条件

• 你需要将订阅加入到 Microsoft Defender for Cloud（如尚未加入）。 Microsoft Defender for Cloud 具有一个免费层，可为各种 Azure 和混合资源提供非常有用的见解。 受信任启动利用 Defender for Cloud 来介绍有关 VM 运行状况的多个建议。

• 将 Azure 策略计划分配给订阅。 只需为每个订阅分配一次策略计划。 这会自动在所有支持的 VM 上安装全部所需扩展。

  • 配置先决条件以在启用了受信任启动的 VM 上启用来宾证明。

  • 配置计算机以在虚拟机上自动安装 Azure Monitor 和 Azure 安全代理。

• 允许 NSG 出站规则中的服务标记 AzureAttestation，以允许 Microsoft Azure 证明流量。 请参阅虚拟网络服务标记。

• 确保防火墙策略允许访问 *.attest.azure.net。

注意

如果使用的是 Linux 映像，并预计 VM 可能有 Linux 发行版供应商取消签名或未签名的内核驱动程序，则可以考虑关闭安全启动。 在 Azure 门户的“创建虚拟机”页面中，为“安全类型”参数选择“受信任启动虚拟机”，单击“配置安全功能”，然后取消选中“启用安全启动”复选框。 在 CLI、PowerShell 或 SDK 中，将安全启动参数设置为 false。

部署受信任启动 VM

创建已启用受信任启动的虚拟机。 选择下列选项之一：

门户

1. 登录 Azure 门户。
2. 搜索“虚拟机”。
3. 在“服务”下，选择“虚拟机” 。
4. 在“虚拟机”页中选择“添加”，然后选择“虚拟机”。
5. 在“项目详细信息”下，确保选择了正确的订阅。
6. 在“资源组”下选择“新建”并键入资源组的名称，或者从下拉列表中选择现有的资源组。
7. 在“实例详细信息”下，键入一个名称作为虚拟机名称，并选择一个支持受信任启动的区域。
8. 对于“安全类型”，请选择“受信任启动虚拟机”。 这将显示另外三个选项：“安全启动”、“vTPM”和“完整性监视”。 选择适合你的部署的选项。 详细了解启用了受信任启动的安全功能。
9. 在“映像”下“推荐的与受信任启动兼容的 Gen 2 映像”中选择一个映像。 如需列表，请参阅受信任启动。

   提示

   如果下拉列表中未显示你需要的 Gen 2 版本映像，请选择“查看所有映像”，然后将“安全类型”筛选器更改为“受信任启动”。

10. 选择支持受信任启动的 VM 大小。 请查看受支持的大小的列表。
11. 填写“管理员帐户”信息，然后填写“入站端口规则”。
12. 在页面底部，选择“查看 + 创建”
13. 在“创建虚拟机”页上，可以查看要部署的 VM 的详细信息。 验证显示已通过后，选择“创建”。

部署 VM 需要数分钟。

CLI

确保运行的是最新版本的 Azure CLI

使用 az login 登录到 Azure 门户。

az login 

创建具有受信任启动的虚拟机。

az group create -n myresourceGroup -l eastus 

az vm create \
   --resource-group myResourceGroup \
   --name myVM \
   --image Canonical:UbuntuServer:18_04-lts-gen2:latest \
   --admin-username azureuser \
   --generate-ssh-keys \
   --security-type TrustedLaunch \
   --enable-secure-boot true \ 
   --enable-vtpm true 

对于现有 VM，可以启用或禁用安全启动和 vTPM 设置。 如果用安全启动和 vTPM 设置更新虚拟机，则会触发自动重启。

az vm update \
   --resource-group myResourceGroup \
   --name myVM \
   --enable-secure-boot true \
   --enable-vtpm true 

有关通过来宾证明扩展安装启动完整性监视的详细信息，请参阅《启动完整性》。

PowerShell

要为 VM 配置受信任启动，首先需要使用 Set-AzVmSecurityProfile cmdlet 进行 TrustedLaunch 启用。 然后，可以使用 Set-AzVmUefi cmdlet 来设置 vTPM 和 SecureBoot 配置。 将以下代码片段作为快速入门，但务必将此示例中的值替换为自己的值。

$rgName = "myResourceGroup"
$location = "West US"
$vmName = "myTrustedVM"
$vmSize = Standard_B2s
$publisher = "MicrosoftWindowsServer"
$offer = "WindowsServer"
$sku = "2019-datacenter-gensecond"
$version = latest
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine."

$vm = New-AzVMConfig -VMName $vmName -VMSize $vmSize 

$vm = Set-AzVMOperatingSystem `
   -VM $vm -Windows `
   -ComputerName $vmName `
   -Credential $cred `
   -ProvisionVMAgent `
   -EnableAutoUpdate 

$vm = Add-AzVMNetworkInterface -VM $vm `
   -Id $NIC.Id 

$vm = Set-AzVMSourceImage -VM $vm `
   -PublisherName $publisher `
   -Offer $offer `
   -Skus $sku `
   -Version $version 

$vm = Set-AzVMOSDisk -VM $vm `
   -StorageAccountType "StandardSSD_LRS" `
   -CreateOption "FromImage" 

$vm = Set-AzVmSecurityProfile -VM $vm `
   -SecurityType "TrustedLaunch" 

$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 

New-AzVM -ResourceGroupName $rgName -Location $location -VM $vm 

模板

可以使用快速启动模板部署受信任启动 VM：

Linux

Windows

从 Azure Compute Gallery 映像部署受信任启动 VM

Azure 受信任启动虚拟机支持使用 Azure Compute Gallery 创建和共享自定义映像。 可以根据映像的安全类型创建两种类型的映像：

• 推荐：支持受信任启动 VM (TrustedLaunchSupported) 映像是源没有 VM 来宾状态信息且可用于创建第 2 代 VM 或受信任启动 VM 的映像。
• 受信任启动 VM (TrustedLaunch) 映像是源通常具有 VM 来宾状态信息且只能用于创建受信任启动 VM 的映像。

“支持受信任启动 VM”映像

对于以下映像源，映像定义上的安全类型应设置为 TrustedLaunchsupported：

• Gen2 OS 磁盘 VHD
• Gen2 托管映像
• Gen2 库映像版本

映像源中不应包含任何 VM 来宾状态信息。

生成的映像版本可用于创建 Azure Gen2 VM 或受信任启动 VM。

可以使用 Azure Compute Gallery–Direct Shared Gallery 和 Azure Compute Gallery - Community Gallery 共享这些映像

注意

应根据与受信任启动 VM 兼容的 Gen2 映像创建 OS 磁盘 VHD、托管映像或库映像版本。

Portal

1. 登录 Azure 门户。
2. 在搜索栏中搜索并选择“VM 映像版本”
3. 在“VM 映像版本”页上，选择“创建”。
4. 在“创建 VM 映像版本”页上的“基本信息”选项卡上：
   1. 选择 Azure 订阅。
   2. 选择现有资源组或创建新资源组。
   3. 选择 Azure 区域。
   4. 输入映像版本号。
   5. 对于“源”，选择“存储 Blob (VHD)”或“托管映像”或其他“VM 映像版本”
   6. 如果选择“存储 Blob (VHD)”，请输入 OS 磁盘 VHD（不包含 VM 来宾状态）。 请确保使用第 2 代 VHD。
   7. 如果选择“托管映像”，请选择第 2 代 VM 的现有托管映像。
   8. 如果选择“VM 映像版本”，请选择 Gen2 VM 的现有库映像版本。
   9. 对于“目标 Azure Compute Gallery”，选择或创建用于共享映像的库。
   10. 对于“操作系统状态”，选择“通用”或“专用”，具体取决于你的用例。 如果使用托管映像作为源，请始终选择“通用”。 如果使用存储 blob (VHD) 且想要选择“通用”，请按照步骤通用化 Linux VHD 或通用化 Windows VHD，然后再继续操作。 如果使用现有的 VM 映像版本，请根据源 VM 映像定义中使用的内容选择“通用”或“专用”。
   11. 对于“目标 VM 映像定义”，选择“新建”。
   12. 在“创建 VM 映像定义”窗格中，输入定义的名称。 确保安全类型设置为“支持 Trustedlaunch”。 输入发布者、产品/服务和 SKU 信息。 然后选择“确定”。
5. 在“复制”选项卡上，根据需要输入映像复制的副本计数和目标区域。
6. 在“加密”选项卡上，根据需要输入与 SSE 加密相关的信息。
7. 选择“查看 + 创建” 。
8. 成功验证配置后，选择“创建”以完成映像创建。
9. 创建映像版本后，选择“创建 VM”。
10. 在“创建虚拟机”页面中，在“资源组”下，选择“新建”并键入资源组的名称，或者从下拉列表中选择现有的资源组。
11. 在“实例详细信息”下，键入一个名称作为虚拟机名称，并选择一个支持受信任启动的区域。
12. 选择“受信任启动虚拟机”作为安全类型。 默认情况下启用“安全启动”和“vTPM”复选框。
13. 填写“管理员帐户”信息，然后填写“入站端口规则”。
14. 在验证页上，查看 VM 的详细信息。
15. 验证成功后，选择“创建”以完成 VM 创建。

CLI

确保运行的是最新版本的 Azure CLI

使用 az login 登录到 Azure 门户。

az login 

使用 TrustedLaunchSupported 安全类型创建映像定义

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunchSupported

使用 OS 磁盘 VHD 创建映像版本。 确保在使用此处所述步骤将 Linux VHD 上传到 Azure 存储帐户 Blob 之前，Linux VHD 已通用化

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--os-vhd-storage-account /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/imageGroups/providers/Microsoft.Storage/storageAccounts/mystorageaccount \
--os-vhd-uri https://mystorageaccount.blob.core.windows.net/container/path_to_vhd_file

从上面的映像版本创建受信任启动 VM

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

PowerShell

使用 TrustedLaunchSupported 安全类型创建映像定义

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunchSupported'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

若要创建映像版本，可以使用在创建过程中通用化的现有 Gen2 库映像版本。

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/galleries/MyGallery/images/Gen2VMImageDef/versions/0.0.1"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

从上面的映像版本创建受信任启动 VM

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

受信任启动 VM 映像

对于以下映像源，映像定义上的安全类型应设置为 TrustedLaunch：

• 受信任启动 VM 捕获
• 托管 OS 磁盘
• 托管 OS 磁盘快照

生成的映像版本只能用于创建 Azure 受信任启动 VM。

Portal

1. 登录 Azure 门户。
2. 若要从 VM 创建 Azure Compute Gallery 映像，请打开现有的受信任启动 VM，然后选择“捕获”。
3. 在随后的“创建映像”页中，允许映像作为 VM 映像版本共享到库。 受信任启动 VM 不支持创建托管映像。
4. 创建新的目标 Azure Compute Gallery 或选择现有库。
5. 将“操作系统状态”选择为“通用”或者“专用”。 如果要创建通用映像，请确保在选择此选项之前将 VM 通用化并删除计算机特定信息。 如果受信任启动 Windows VM 上启用了基于 Bitlocker 的加密，则你可能无法将其通用化。
6. 通过提供名称、发布者、产品/服务和 SKU 详细信息创建新的映像定义。 映像定义的“安全类型”应已设置为“受信任启动”。
7. 提供映像版本的版本号。
8. 根据需要修改复制选项。
9. 在“创建映像”页面的底部，选择“查看 + 创建”，当验证显示为通过时，选择“创建”。
10. 创建映像版本后，直接转到映像版本。 或者，可以通过映像定义导航到所需的映像版本。
11. 在“VM 映像版本”页上，选择“+ 创建 VM”以进入“创建虚拟机”页面。
12. 在“创建虚拟机”页面中，在“资源组”下，选择“新建”并键入资源组的名称，或者从下拉列表中选择现有的资源组。
13. 在“实例详细信息”下，键入一个名称作为虚拟机名称，并选择一个支持受信任启动的区域。
14. 已根据所选映像版本填充映像和安全类型。 默认情况下启用“安全启动”和“vTPM”复选框。
15. 填写“管理员帐户”信息，然后填写“入站端口规则”。
16. 在页面底部，选择“查看 + 创建”
17. 在验证页上，查看 VM 的详细信息。
18. 验证成功后，选择“创建”以完成 VM 创建。

如果要使用托管磁盘或托管磁盘快照作为映像版本的源（而不是受信任启动 VM），请遵循以下步骤

1. 登录门户
2. 搜索“VM 映像版本”并选择“创建”
3. 提供订阅、资源组、区域和映像版本号
4. 选择源作为“磁盘和/或快照”
5. 从下拉列表中选择 OS 磁盘作为托管磁盘或托管磁盘快照
6. 选择目标 Azure Compute Gallery 以创建和共享映像。 如果没有库，新建一个。
7. 将“操作系统状态”选择为“通用”或者“专用”。 如果要创建通用映像，请确保将磁盘或快照通用化并删除计算机特定信息。
8. 对于“目标 VM 映像定义”，选择“新建”。 在打开的窗口中，选择映像定义名称并确保“安全类型”设置为“受信任启动”。 提供发布者、产品/服务和 SKU 信息，然后选择“确定”。
9. 如果需要，可以使用“复制”选项卡设置映像复制的副本数和目标区域。
10. 如果需要，还可以使用“加密”选项卡提供 SSE 加密相关信息。
11. 在“查看 + 创建”选项卡中选择“创建”以创建映像
12. 成功创建映像版本后，选择“+ 创建 VM”以进入“创建虚拟机”页面。
13. 按照上述步骤 12 到 18 使用此映像版本创建受信任启动 VM

CLI

确保运行的是最新版本的 Azure CLI

使用 az login 登录到 Azure 门户。

az login 

使用 TrustedLaunch 安全类型创建映像定义

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunch

要创建映像版本，可以捕获现有的基于 Linux 的受信任启动 VM。 在创建映像版本之前将受信任启动 VM 通用化。

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--managed-image /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM

如果需要使用托管磁盘或托管磁盘快照作为映像版本的映像源，请将上述命令中的 --managed-image 替换为 --os-snapshot 并提供磁盘或快照资源名称

从上面的映像版本创建受信任启动 VM

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

PowerShell

使用 TrustedLaunch 安全类型创建映像定义

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunch'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

要创建映像版本，可以捕获现有的基于 Windows 的受信任启动 VM。 在创建映像版本之前将受信任启动 VM 通用化。

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/virtualMachines/myVM"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

从上面的映像版本创建受信任启动 VM

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

验证或更新设置

对于创建启用了受信任启动的 VM，可在 Azure 门户中访问 VM 的概述页面来查看受信任启动配置。 “属性”选项卡将显示受信任启动功能的状态：

若要更改受信任启动配置，请在左侧菜单中选择“设置”部分下的“配置”。 可以从“安全类型”部分启用或禁用“安全启动”、“vTPM”和“完整性监视”。 完成操作后，选择页面顶部的“保存”。

如果 VM 正在运行，则你将收到一条提示 VM 将重启的消息。 选择“是”，然后等待 VM 重启，使更改生效。

后续步骤

详细了解受信任启动和启动完整性监视 VM。