部署已啟用受信任啟動的虛擬機

適用於：✔️ Linux VM ✔️ Windows VM ✔️ 彈性擴展集 ✔️ 統一擴展集。

信任的啟動是改善第 2 代虛擬機 （VM） 安全性的方法。 信任的啟動會結合虛擬信任平台模組 （vTPM） 和安全開機等基礎結構技術，以防止進階和持續性的攻擊技術。

必要條件

• 如果訂用帳戶尚未上線，建議您將訂用帳戶上線至 適用於雲端的 Microsoft Defender。 適用於雲端的 Defender 具有免費層，可提供各種 Azure 和混合式資源的實用見解。 如果沒有 適用於雲端的 Defender，受信任的啟動 VM 使用者就無法監視 VM 的開機完整性。

• 將 Azure 原則方案指派給您的訂用帳戶。 每個訂用帳戶只需獲指派一次這些原則方案。 原則可協助部署和稽核受信任的啟動 VM，同時自動在所有支援的 VM 上安裝所有必要的擴充功能。

  • 設定受信任的啟動 VM 內建原則方案。
  • 設定必要條件，以在已啟用受信任啟動的 VM 上啟用客體證明。
  • 設定機器以在 VM 上自動安裝 Azure 監視器和 Azure 安全性代理程式。

• 允許網路安全組輸出規則中的服務標籤AzureAttestation允許 Azure 證明 流量。 如需詳細資訊，請參閱虛擬網路服務標籤。

• 請確定防火牆原則允許存取 *.attest.azure.net。

注意

如果您使用 Linux 映射，並預期 VM 可能有未簽署或未由 Linux 散發版本廠商簽署的核心驅動程式，建議您考慮關閉安全開機。 在 [Azure 入口網站] 的 [建立虛擬機] 頁面上，Security type針對已選取 [信任啟動] 虛擬機器 的參數選取 [設定安全性功能]，然後清除 [啟用安全開機] 複選框。 在 Azure CLI、PowerShell 或 SDK 中，將安全開機參數設定為 false。

部署受信任的啟動 VM

建立已啟用受信任啟動的 VM。 請選擇下列其中一個選項。

入口網站

1. 登入 Azure 入口網站。

2. 搜尋 [虛擬機器]。

3. 在 [服務] 底下，選取 [虛擬機器]。

4. 在 [ 虛擬機] 頁面上，選取 [新增]，然後選取 [ 虛擬機]。

5. 在 [專案詳細資料] 下方，確定已選取正確的訂用帳戶。

6. 在 [資源群組] 下，選取 [新建]。 輸入資源群組的名稱，或從下拉式清單中選取現有的資源群組。

7. 在 [實例詳細數據] 下，輸入 VM 名稱的名稱，然後選擇支援 [信任啟動] 的區域。

8. 針對 [ 安全性類型]，選取 [ 受信任的啟動虛擬機]。 當 [安全開機]、[vTPM] 和 [完整性監視] 選項出現時，請為您的部署選取適當的選項。 如需詳細資訊，請參閱 受信任的啟動啟用安全性功能。

   

9. 在 [映射] 底下，從 [建議的 Gen 2 映射] 中選取與信任啟動相容的映射。 如需清單，請參閱 信任啟動。

   提示

   如果您沒有在下拉式清單中看到您想要的映像 Gen2 版本，請選取 [ 查看所有映射]。 然後將 [安全性類型] 篩選條件變更為 [信任啟動]。

10. 選取支援受信任啟動的 VM 大小。 如需詳細資訊，請參閱支援的大小清單。

11. 填寫系統管理員帳戶資訊，然後填寫輸入連接埠規則。

12. 在頁面底部，選取 [ 檢閱 + 建立]。

13. 在 [ 建立虛擬機 ] 頁面上，您可以看到即將部署的 VM 相關信息。 驗證顯示通過之後，請選取 [ 建立]。

可能需要幾分鐘的時間才能部署好 VM。

CLI

請確定您執行的是最新版的 Azure CLI。

1. 使用 az login 登入 Azure。

   az login 
   

2. 建立具有受信任啟動的 VM。

   az group create -n myresourceGroup -l eastus 
   
   az vm create \
      --resource-group myResourceGroup \
      --name myVM \
      --image Canonical:UbuntuServer:18_04-lts-gen2:latest \
      --admin-username azureuser \
      --generate-ssh-keys \
      --security-type TrustedLaunch \
      --enable-secure-boot true \ 
      --enable-vtpm true 
   

3. 針對現有的 VM，您可以啟用或停用安全開機和 vTPM 設定。 使用安全開機更新 VM，vTPM 設定會觸發自動重新啟動。

   az vm update \
      --resource-group myResourceGroup \
      --name myVM \
      --enable-secure-boot true \
      --enable-vtpm true 
   

如需透過客體證明延伸模組安裝開機完整性監視的詳細資訊，請參閱開機完整性。

PowerShell

若要使用信任啟動布建 VM，必須先使用 Set-AzVmSecurityProfile Cmdlet 以 TrustedLaunch 參數啟用它。 接著，您可以使用 Set-AzVmUefi Cmdlet 來設定 vTPM 和安全開機設定。 使用下列代碼段作為快速入門。 請記得將此範例中的值取代為您自己的值。

$rgName = "myResourceGroup"
$location = "West US"
$vmName = "myTrustedVM"
$vmSize = Standard_B2s
$publisher = "MicrosoftWindowsServer"
$offer = "WindowsServer"
$sku = "2019-datacenter-gensecond"
$version = latest
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine."

$vm = New-AzVMConfig -VMName $vmName -VMSize $vmSize 

$vm = Set-AzVMOperatingSystem `
   -VM $vm -Windows `
   -ComputerName $vmName `
   -Credential $cred `
   -ProvisionVMAgent `
   -EnableAutoUpdate 

$vm = Add-AzVMNetworkInterface -VM $vm `
   -Id $NIC.Id 

$vm = Set-AzVMSourceImage -VM $vm `
   -PublisherName $publisher `
   -Offer $offer `
   -Skus $sku `
   -Version $version 

$vm = Set-AzVMOSDisk -VM $vm `
   -StorageAccountType "StandardSSD_LRS" `
   -CreateOption "FromImage" 

$vm = Set-AzVmSecurityProfile -VM $vm `
   -SecurityType "TrustedLaunch" 

$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 

New-AzVM -ResourceGroupName $rgName -Location $location -VM $vm 

範本

您可以使用快速入門範本來部署受信任的啟動 VM。

Linux

Windows

從 Azure 計算資源庫映射部署受信任的啟動 VM

Azure 信任啟動 VM 支援使用 Azure 計算資源庫建立和共用自定義映像。 您可以根據映像的安全性類型，建立兩種類型的映像：

• 建議： 支援的受信任啟動 VM 映像是TrustedLaunchSupported來源沒有 VM 客體狀態資訊的映像 ，可用來建立 第 2 代 VM 或 受信任的啟動 VM。
• 信任啟動 VM （TrustedLaunch） 映像是來源通常具有 VM 客體狀態資訊的映射，而且只能用來建立受信任的啟動 VM。

信任啟動 VM 支援的映像

針對下列映像來源，映像定義上的安全性類型應設定為 TrustedLaunchsupported：

• Gen2 操作系統 （OS） 磁碟 VHD
• Gen2 受控映像
• Gen2 資源庫映像版本

映射來源中不能包含任何 VM 客體狀態資訊。

您可以使用產生的映像版本來建立 Azure Gen2 VM 或受信任的啟動 VM。

您可以使用 Azure 計算資源庫 - 直接共用資源庫和 Azure 計算資源庫 - 社群資源庫來共用這些映像。

注意

OS 磁碟 VHD、受控映像或資源庫映像版本應該從 與受信任啟動 VM 相容的 Gen2 映像建立。

入口網站

1. 登入 Azure 入口網站。
2. 搜尋並選取 搜尋列中的 VM 映像版本 。
3. 在 [虛擬機器映像版本] 頁面上，選取 [建立]。
4. 在 [建立虛擬機器映像版本] 頁面上的 [基本] 索引標籤上：
   1. 選取 Azure 訂用帳戶。
   2. 選取現有的資源群組或建立新的資源群組。
   3. 選取 Azure 區域。
   4. 輸入映像版本號碼。
   5. 針對 [ 來源]，選取 [記憶體 Blob] 或 [VHD] 或 [受控映射 ] 或其他 VM 映射版本。
   6. 如果您選取 [記憶體 Blob (VHD)]，請輸入 OS 磁碟 VHD (不含虛擬機器客體狀態)。 請務必使用 Gen2 VHD。
   7. 如果您選取 [ 受控映射]，請選取 Gen2 VM 的現有受控映射。
   8. 如果您選取 VM 映像版本，請選取 Gen2 VM 的現有資源庫映像版本。
   9. 針對 [目標 Azure 計算資源庫]，選取或建立資源庫以共用映像。
   10. 針對 [操作系統狀態]，根據您的使用案例選取 [一般化] 或 [特製化]。 如果您使用受控映像作為來源，請一律選取 [一般化]。 如果您使用記憶體 Blob(VHD)並想要選取 [一般化]，請遵循步驟以一般化 Linux VHD或一般化 Windows VHD，再繼續進行。 如果您使用現有的 VM 映像版本，請根據來源 VM 映像定義中使用的項目選取 [一般化] 或 [特製化]。
   11. 針對 [目標虛擬機器映像定義] 選取 [新建]。
   12. 在 [ 建立 VM 映射定義 ] 窗格中，輸入定義的名稱。 請確定安全性類型已設為 Trustedlaunch Supported。 輸入發行者、供應項目和 SKU 資訊。 然後選取確定。
5. 在 [ 復寫] 索引標籤上，視需要輸入映像複寫的複本計數和目標區域。
6. 在 [ 加密] 索引標籤上，視需要輸入 SSE 加密相關信息。
7. 選取 [檢閱 + 建立] 。
8. 成功驗證組態之後，選取 [建立] 以完成映像的建立。
9. 建立映像版本之後，請選取 [建立虛擬機器]。
10. 在 [建立虛擬機] 頁面上的 [資源群組] 底下，選取 [新建]。 輸入資源群組的名稱，或從下拉式清單中選取現有的資源群組。
11. 在 [實例詳細數據] 下，輸入 VM 名稱的名稱，然後選擇支援 [信任啟動] 的區域。
12. 針對 [ 安全性類型]，選取 [ 受信任的啟動虛擬機]。 [安全開機] 和 [vTPM] 核取方塊會預設為啟用。
13. 填寫系統管理員帳戶資訊，然後填寫輸入連接埠規則。
14. 在驗證頁面上，檢閱虛擬機器的詳細資料。
15. 驗證成功之後，選取 [建立] 以完成虛擬機器的建立。

CLI

請確定您執行的是最新版的 Azure CLI。

1. 使用 az login 登入 Azure。

   az login 
   

2. 使用安全性類型建立映像定義 TrustedLaunchSupported 。

   az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
   --gallery-name MyGallery --gallery-image-definition MyImageDef \ 
   --publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
   --os-type Linux --os-state Generalized \ 
   --hyper-v-generation V2 \ 
   --features SecurityType=TrustedLaunchSupported
   

3. 使用 OS 磁碟 VHD 來建立映像版本。 使用準備Linux以進行 Azure 映像處理中的步驟，確定Linux VHD 已一般化，再將它上傳至 Azure 儲存體 帳戶 Blob。

   az sig image-version create --resource-group MyResourceGroup \
   --gallery-name MyGallery --gallery-image-definition MyImageDef \
   --gallery-image-version 1.0.0 \
   --os-vhd-storage-account /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/imageGroups/providers/Microsoft.Storage/storageAccounts/mystorageaccount \
   --os-vhd-uri https://mystorageaccount.blob.core.windows.net/container/path_to_vhd_file
   

4. 從上述映像版本建立受信任的啟動 VM。

   adminUsername=linuxvm
   az vm create --resource-group MyResourceGroup \
       --name myTrustedLaunchVM \
       --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
       --size Standard_D2s_v5 \
       --security-type TrustedLaunch \
       --enable-secure-boot true \ 
       --enable-vtpm true \
       --admin-username $adminUsername \
       --generate-ssh-keys
   

PowerShell

1. 使用安全性類型建立映像定義 TrustedLaunchSupported 。

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $publisherName = "TrustedlaunchPublisher"
   $offerName = "TrustedlaunchOffer"
   $skuName = "TrustedlaunchSku"
   $description = "My gallery"
   $SecurityType = @{Name='SecurityType';Value='TrustedLaunchSupported'}
   $features = @($SecurityType)
   New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features
   

2. 若要建立映像版本，您可以使用在建立期間一般化的現有 Gen2 資源庫映像版本。

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $galleryImageVersionName = "1.0.0"
   $sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/galleries/MyGallery/images/Gen2VMImageDef/versions/0.0.1"
   New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId
   

3. 從上述映像版本建立受信任的啟動 VM。

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $vmName = "myVMfromImage"
   $vmSize = "Standard_D2s_v5"
   $imageDefinition = Get-AzGalleryImageDefinition `
      -GalleryName $galleryName `
      -ResourceGroupName $rgName `
      -Name $galleryImageDefinitionName
   $cred = Get-Credential `
      -Message "Enter a username and password for the virtual machine"
   # Network pieces
   $subnetConfig = New-AzVirtualNetworkSubnetConfig `
      -Name mySubnet `
      -AddressPrefix 192.168.1.0/24
   $vnet = New-AzVirtualNetwork `
      -ResourceGroupName $rgName `
      -Location $location `
      -Name MYvNET `
      -AddressPrefix 192.168.0.0/16 `
      -Subnet $subnetConfig
   $pip = New-AzPublicIpAddress `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name "mypublicdns$(Get-Random)" `
     -AllocationMethod Static `
     -IdleTimeoutInMinutes 4
   $nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
      -Name myNetworkSecurityGroupRuleRDP  `
      -Protocol Tcp `
     -Direction Inbound `
      -Priority 1000 `
      -SourceAddressPrefix * `
      -SourcePortRange * `
      -DestinationAddressPrefix * `
      -DestinationPortRange 3389 `
      -Access Deny
   $nsg = New-AzNetworkSecurityGroup `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name myNetworkSecurityGroup `
     -SecurityRules $nsgRuleRDP
   $nic = New-AzNetworkInterface `
      -Name myNic `
      -ResourceGroupName $rgName `
      -Location $location `
     -SubnetId $vnet.Subnets[0].Id `
     -PublicIpAddressId $pip.Id `
     -NetworkSecurityGroupId $nsg.Id
   $vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
         Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
         Set-AzVMSourceImage -Id $imageDefinition.Id | `
         Add-AzVMNetworkInterface -Id $nic.Id
   $vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
   $vm = Set-AzVmUefi -VM $vm `
      -EnableVtpm $true `
      -EnableSecureBoot $true 
   New-AzVM `
      -ResourceGroupName $rgName `
      -Location $location `
      -VM $vm
   

受信任的啟動 VM 映像

映射定義的安全性類型應該針對下列映像來源設定為 TrustedLaunch：

• 受信任的啟動 VM 擷取
• 受控 OS 磁碟
• 受控 OS 磁碟快照集

您可以使用產生的映像版本來建立 Azure 信任的啟動 VM。

入口網站

1. 登入 Azure 入口網站。
2. 若要從 VM 建立 Azure 計算資源庫映像，請開啟現有的受信任啟動 VM，然後選取 [ 擷取]。
3. 在 [ 建立映射 ] 頁面上，允許映射以 VM 映射版本的形式共用至資源庫。 信任啟動 VM 不支援建立受控映像。
4. 建立新的目標 Azure Compute Gallery，或選取現有的資源庫。
5. 對於 [作業系統狀態]，選取 [一般化] 或 [特製化]。 如果您想要建立一般化映像，請先確定您已 將 VM 一般化為移除電腦特定資訊 ，再選取此選項。 如果您的受信任啟動 Windows VM 上已啟用 Bitlocker 型加密，您可能無法一般化。
6. 藉由提供名稱、發行者、供應專案和 SKU 詳細數據，建立新的映像定義。 映像定義的安全性類型 應該已經設定為 [信任啟動]。
7. 提供映像版本的版本號碼。
8. 視需要修改複寫選項。
9. 在 [建立映射] 頁面底部，選取 [檢閱 + 建立]。 驗證顯示通過之後，請選取 [ 建立]。
10. 建立映像版本之後，請直接移至映像版本。 或者，您可以透過映像定義移至所需的映像版本。
11. 在 [ VM 映射版本] 頁面上，選取 [+ 建立 VM ] 以移至 [ 建立虛擬機 ] 頁面。
12. 在 [建立虛擬機] 頁面上的 [資源群組] 底下，選取 [新建]。 輸入資源群組的名稱，或從下拉式清單中選取現有的資源群組。
13. 在 [實例詳細數據] 下，輸入 VM 名稱的名稱，然後選擇支援 [信任啟動] 的區域。
14. 已根據選取的映像版本填入映像和安全性類型。 [安全開機] 和 [vTPM] 核取方塊會預設為啟用。
15. 填寫系統管理員帳戶資訊，然後填寫輸入連接埠規則。
16. 在頁面底部，選取 [ 檢閱 + 建立]。
17. 在驗證頁面上，檢閱虛擬機器的詳細資料。
18. 驗證成功之後，選取 [建立] 以完成虛擬機器的建立。

如果您想要使用受控磁碟或受控磁碟快照集作為映射版本的來源（而非受信任的啟動 VM），請遵循下列步驟。

1. 登入 Azure 入口網站。
2. 搜尋 VM 映射版本 ，然後選取 [ 建立]。
3. 提供訂用帳戶、資源群組、區域和映像版本號碼。
4. 選取來源作為 [磁碟] 和/或 [快照集]。
5. 從下拉式清單中選取OS磁碟作為受控磁碟或受控磁碟快照集。
6. 選取 [目標 Azure 計算資源庫] 以建立和共用映像。 如果沒有資源庫，則請建立新的資源庫。
7. 對於 [作業系統狀態]，選取 [一般化] 或 [特製化]。 如果您想要建立一般化映像，請確定您已將磁碟或快照集一般化，以移除電腦特定資訊。
8. 針對 [ 目標 VM 映像定義 ] 選取 [新建]。 在開啟的視窗中，選取映像定義名稱，並確定 [安全性類型 ] 設定為 [信任啟動]。 提供發行者、供應專案和 SKU 資訊，然後選取 [ 確定]。
9. 如有需要，可以使用 [複寫] 索引標籤來設定映像複寫的複本計數和目標區域。
10. 如有需要，也可以使用 [ 加密 ] 索引標籤來提供 SSE 加密相關信息。
11. 在 [檢閱 + 建立] 索引卷標上選取 [建立]，以建立映射。
12. 成功建立映像版本之後，選取 [+ 建立 VM ] 以移至 [ 建立虛擬機 ] 頁面。
13. 依照先前所述的步驟 12 到 18，使用此映射版本建立受信任的啟動 VM。

CLI

請確定您執行的是最新版的 Azure CLI。

1. 使用 az login 登入 Azure。

   az login 
   

2. 使用安全性類型建立映像定義 TrustedLaunch 。

   az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
   --gallery-name MyGallery --gallery-image-definition MyImageDef \ 
   --publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
   --os-type Linux --os-state Generalized \ 
   --hyper-v-generation V2 \ 
   --features SecurityType=TrustedLaunch
   

3. 若要建立映像版本，您可以擷取現有的以Linux為基礎的受信任啟動 VM。 在建立映像版本之前，請先將受信任的啟動 VM 一般化。

   az sig image-version create --resource-group MyResourceGroup \
   --gallery-name MyGallery --gallery-image-definition MyImageDef \
   --gallery-image-version 1.0.0 \
   --managed-image /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM
   

   如果受控磁碟或受控磁碟快照集需要作為映像版本的映射來源，請將上述命令--os-snapshot中的 取代--managed-image為 ，並提供磁碟或快照集資源名稱。

4. 從上述映像版本建立受信任的啟動 VM。

   adminUsername=linuxvm
   az vm create --resource-group MyResourceGroup \
       --name myTrustedLaunchVM \
       --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
       --size Standard_D2s_v5 \
       --security-type TrustedLaunch \
       --enable-secure-boot true \ 
       --enable-vtpm true \
       --admin-username $adminUsername \
       --generate-ssh-keys
   

PowerShell

1. 使用安全性類型建立映像定義 TrustedLaunch 。

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $publisherName = "TrustedlaunchPublisher"
   $offerName = "TrustedlaunchOffer"
   $skuName = "TrustedlaunchSku"
   $description = "My gallery"
   $SecurityType = @{Name='SecurityType';Value='TrustedLaunch'}
   $features = @($SecurityType)
   New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features
   

2. 若要建立映像版本，您可以擷取現有的 Windows 型受信任啟動 VM。 在建立映像版本之前，請先將受信任的啟動 VM 一般化。

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $galleryImageVersionName = "1.0.0"
   $sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/virtualMachines/myVM"
   New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId
   

3. 從上述映像版本建立受信任的啟動 VM。

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $vmName = "myVMfromImage"
   $vmSize = "Standard_D2s_v5"
   $imageDefinition = Get-AzGalleryImageDefinition `
      -GalleryName $galleryName `
      -ResourceGroupName $rgName `
      -Name $galleryImageDefinitionName
   $cred = Get-Credential `
      -Message "Enter a username and password for the virtual machine"
   # Network pieces
   $subnetConfig = New-AzVirtualNetworkSubnetConfig `
      -Name mySubnet `
      -AddressPrefix 192.168.1.0/24
   $vnet = New-AzVirtualNetwork `
      -ResourceGroupName $rgName `
      -Location $location `
      -Name MYvNET `
      -AddressPrefix 192.168.0.0/16 `
      -Subnet $subnetConfig
   $pip = New-AzPublicIpAddress `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name "mypublicdns$(Get-Random)" `
     -AllocationMethod Static `
     -IdleTimeoutInMinutes 4
   $nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
      -Name myNetworkSecurityGroupRuleRDP  `
      -Protocol Tcp `
     -Direction Inbound `
      -Priority 1000 `
      -SourceAddressPrefix * `
      -SourcePortRange * `
      -DestinationAddressPrefix * `
      -DestinationPortRange 3389 `
      -Access Deny
   $nsg = New-AzNetworkSecurityGroup `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name myNetworkSecurityGroup `
     -SecurityRules $nsgRuleRDP
   $nic = New-AzNetworkInterface `
      -Name myNic `
      -ResourceGroupName $rgName `
      -Location $location `
     -SubnetId $vnet.Subnets[0].Id `
     -PublicIpAddressId $pip.Id `
     -NetworkSecurityGroupId $nsg.Id
   $vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
         Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
         Set-AzVMSourceImage -Id $imageDefinition.Id | `
         Add-AzVMNetworkInterface -Id $nic.Id
   $vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
   $vm = Set-AzVmUefi -VM $vm `
      -EnableVtpm $true `
      -EnableSecureBoot $true 
   New-AzVM `
      -ResourceGroupName $rgName `
      -Location $location `
      -VM $vm
   

信任的啟動內建原則

為了協助用戶採用信任的啟動，Azure 原則可用來協助資源擁有者採用受信任的啟動。 主要目標是協助轉換支援受信任啟動的第 1 代和第 2 代 VM。

虛擬機應該已啟用信任啟動單一原則，檢查 VM 目前是否已啟用信任啟動安全性設定。 信任啟動原則支援的磁碟和 OS 會檢查先前建立的 VM 是否具有能夠部署受信任啟動 VM 的第 2 代 OS 和 VM 大小。

這兩個原則結合在一起，使受信任的啟動原則計劃。 此方案可讓您將數個相關的原則定義分組，以簡化指派和管理資源，以包含受信任的啟動設定。

若要深入瞭解並開始部署，請參閱 受信任的啟動內建原則。

---

驗證或更新您的設定

針對啟用 [信任啟動] 建立的 VM，您可以移至 [Azure 入口網站] 中 VM 的 [概觀] 頁面，以檢視 [受信任的啟動] 組態。 [屬性] 索引標籤會顯示 [信任啟動] 功能的狀態。

若要變更 [信任的啟動] 組態，請在左側功能表中的 [設定] 底下，選取 [組態]。 在 [ 安全性類型 ] 區段中，您可以啟用或停用 安全開機、 vTPM 和 完整性監視。 當您完成時，選取頁面頂端的 [儲存]。

如果 VM 正在執行，您會收到 VM 將重新啟動的訊息。 選取 [ 是 ]，然後等候 VM 重新啟動，變更才會生效。

相關內容

深入瞭解 受信任的啟動 和 開機完整性監視 VM。