本節將逐步說明如何使用 Azure 入口網站,在現有的 Azure 第 2 代 VM 上啟用受信任的啟動。
- 登入 Azure 入口網站
- 驗證虛擬機產生是 V2 和 停止 VM。
- 在 [VM 屬性] 的 [概觀] 頁面上,選取 [安全性類型] 底下的 [標準]。 這會流覽至 VM 的 [設定 ] 頁面。
- 選取 [組態] 頁面 [安全性類型] 區段底下的 [安全性類型] 下拉式清單。
- 在 下拉式清單中選取 [信任啟動 ],然後選取複選框以啟用 安全開機 和 vTPM。 進行必要的變更之後,按兩下 [ 儲存 ]。
- 在更新成功完成後關閉 [組態] 頁面,並在 [概觀] 頁面上的 [VM 屬性] 下驗證 [安全性類型]。
- 啟動升級的信任啟動 VM,並確定它已成功啟動,並確認您能夠使用 RDP(適用於 Windows VM)或 SSH(適用於 Linux VM)登入 VM。
本節將逐步說明如何使用 Azure CLI 在現有的 Azure 第 2 代 VM 上啟用受信任的啟動。
請確定您已安裝最新的 Azure CLI,並使用 az login 登入 Azure 帳戶。
- 登入 Azure 訂用帳戶
az login
az account set --subscription 00000000-0000-0000-0000-000000000000
- 解除分配 VM
az vm deallocate \
--resource-group myResourceGroup --name myVm
- 將設定
--security-type
為 來 TrustedLaunch
啟用 [信任啟動]。
az vm update \
--resource-group myResourceGroup --name myVm \
--security-type TrustedLaunch \
--enable-secure-boot true --enable-vtpm true
- 驗證 上一個命令的輸出。
securityProfile
組態會使用命令輸出傳回。
{
"securityProfile": {
"securityType": "TrustedLaunch",
"uefiSettings": {
"secureBootEnabled": true,
"vTpmEnabled": true
}
}
}
- 啟動 VM。
az vm start \
--resource-group myResourceGroup --name myVm
- 啟動升級的信任啟動 VM,並確定它已成功啟動,並確認您能夠使用 RDP(適用於 Windows VM)或 SSH(適用於 Linux VM)登入 VM。
本節將逐步說明如何使用 Azure PowerShell 在現有的 Azure 第 2 代 VM 上啟用受信任的啟動。
請確定您已安裝最新的 Azure PowerShell,並且已使用 連線-AzAccount 登入 Azure 帳戶。
- 登入 Azure 訂用帳戶
Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
- 解除分配 VM
Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm
- 將設定
--security-type
為 來 TrustedLaunch
啟用 [信任啟動]。
Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
| Update-AzVM -SecurityType TrustedLaunch `
-EnableSecureBoot $true -EnableVtpm $true
- 在更新的 VM 組態中驗證
securityProfile
。
# Following command output should be `TrustedLaunch`
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
| Select-Object -Property SecurityProfile `
-ExpandProperty SecurityProfile).SecurityProfile.SecurityType
# Following command output should return `SecureBoot` and `vTPM` settings
(Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
| Select-Object -Property SecurityProfile `
-ExpandProperty SecurityProfile).SecurityProfile.Uefisettings
- 啟動 VM。
Start-AzVM -ResourceGroupName myResourceGroup -Name myVm
- 啟動升級的信任啟動 VM,並確定它已成功啟動,並確認您能夠使用 RDP(適用於 Windows VM)或 SSH(適用於 Linux VM)登入 VM。
本節逐步說明如何使用 ARM 範本在現有的 Azure 第 2 代 VM 上啟用受信任的啟動。
Azure Resource Manager 範本是 JavaScript 物件表示法 (JSON) 檔案,可定義專案的基礎結構和組態。 範本使用宣告式語法。 您不需要撰寫程式設計命令順序來建立部署,即可描述預定的部署。
- 檢閱範本。
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"vmsToUpgrade": {
"type": "object",
"metadata": {
"description": "Specifies the list of Gen2 virtual machines to be upgraded to Trusted launch."
}
},
"vTpmEnabled": {
"type": "bool",
"defaultValue": true,
"metadata": {
"description": "Specifies whether vTPM should be enabled on the virtual machine."
}
}
},
"resources": [
{
"type": "Microsoft.Compute/virtualMachines",
"apiVersion": "2022-11-01",
"name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
"location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
"properties": {
"securityProfile": {
"uefiSettings": {
"secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
"vTpmEnabled": "[parameters('vTpmEnabled')]"
},
"securityType": "TrustedLaunch"
}
},
"copy": {
"name": "vmCopy",
"count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
}
}
]
}
- 使用 虛擬機編輯參數 json 檔案,以使用
TrustedLaunch
安全性類型更新。
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"vmsToUpgrade": {
"value": {
"virtualMachines": [
{
"vmName": "myVm01",
"location": "westus3",
"secureBootEnabled": true
},
{
"vmName": "myVm02",
"location": "westus3",
"secureBootEnabled": true
}
]
}
}
}
}
參數檔案定義
屬性 |
屬性的描述 |
範例範本值 |
vmName |
Azure 第 2 代 VM 的名稱 |
“myVm” |
location |
Azure 第 2 代 VM 的位置 |
“westus3” |
secureBootEnabled |
使用受信任的啟動安全性類型啟用安全開機 |
true |
- 解除分配 所有要更新的 Azure 第 2 代 VM。
Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
- 執行ARM範本部署。
$resourceGroupName = "myResourceGroup"
$parameterFile = "folderPathToFile\parameters.json"
$templateFile = "folderPathToFile\template.json"
New-AzResourceGroupDeployment `
-ResourceGroupName $resourceGroupName `
-TemplateFile $templateFile -TemplateParameterFile $parameterFile
- 確認部署成功。 使用 Azure 入口網站 檢查 VM 的安全性類型和 UEFI 設定。 檢查 [概觀] 頁面中的 [安全性類型] 區段。
- 啟動升級的信任啟動 VM,並確定它已成功啟動,並確認您能夠使用 RDP(適用於 Windows VM)或 SSH(適用於 Linux VM)登入 VM。