Déployer une machine virtuelle avec le lancement fiable activé

S’applique aux : ✔️ Machines virtuelles Linux ✔️ Machines virtuelles Windows ✔️ Groupes identiques flexibles ✔️ Groupes identiques uniformes

Le lancement fiable est un moyen d’améliorer la sécurité des machines virtuelles de génération 2. Le lancement fiable protège contre les techniques d’attaque avancées et persistantes en combinant des technologies d’infrastructure comme vTPM et l’amorçage sécurisé.

Prérequis

• Vous devez intégrer votre abonnement à Microsoft Defender pour le cloud si ce n’est déjà fait. Microsoft Defender pour le cloud dispose d’un niveau gratuit qui offre des Insights très utiles pour diverses ressources Azure et hybrides. Le lancement fiable tire parti de Defender pour le cloud afin de proposer plusieurs recommandations concernant l’intégrité de la machine virtuelle.

• Attribuez des initiatives de stratégie Azure à votre abonnement. Ces initiatives de stratégie ne doivent être attribuées qu’une seule fois par abonnement. Cette opération installe automatiquement toutes les extensions requises sur toutes les machines virtuelles prises en charge.

  • Configurez les prérequis pour activer l’Attestation d’invité sur les machines virtuelles compatibles avec le Lancement fiable.

  • Configurez des machines pour installer automatiquement les agents Azure Monitor et Azure Security sur des machines virtuelles.

• Autoriser l’étiquette de service AzureAttestation dans les règles de trafic sortant du groupe de sécurité réseau pour autoriser le flux pour Microsoft Azure Attestation. Balises de service du réseau virtuel.

• Vérifiez que les stratégies de pare-feu autorisent l’accès à *.attest.azure.net.

Notes

Si vous utilisez une image Linux et que vous prévoyez la possibilité que la machine virtuelle ait des pilotes de noyau non signés ou non signés par le fournisseur de distribution Linux, vous pouvez envisager de désactiver le démarrage sécurisé. Dans le Portail Azure, dans la page « Créer une machine virtuelle » pour le paramètre « Type de sécurité » avec l’option « Machines virtuelles de lancement fiable » sélectionnée, cliquez sur « Configurer les fonctionnalités de sécurité » et décochez la case « Activer le démarrage sécurisé ». Dans l’interface CLI, PowerShell ou le Kit de développement logiciel (SDK), définissez le paramètre de démarrage sécurisé sur la valeur false.

Déployer une machine virtuelle de lancement fiable

Créez une machine virtuelle avec le lancement fiable activé. Choisissez l’une des options suivantes :

Portail

1. Connectez-vous au portail Azure.
2. Recherchez Machines virtuelles.
3. Sous Services, sélectionnez Machines virtuelles.
4. Dans la page Machines virtuelles, sélectionnez Ajouter, puis Machine virtuelle.
5. Sous Détails du projet, vérifiez que l’abonnement approprié est sélectionné.
6. Sous Groupe de ressources, sélectionnez Créer et spécifiez un nom pour votre groupe de ressources ou sélectionnez un groupe de ressources existant dans la liste déroulante.
7. Sous Détails de l’instance, spécifiez un nom pour la machine virtuelle et choisissez une région qui prend en charge le lancement fiable.
8. Pour Type de sécurité, sélectionnez Machines virtuelles de lancement fiable. Trois options supplémentaires s’affichent : Démarrage sécurisé, vTPM et Surveillance de l’intégrité. Sélectionnez les options appropriées pour votre déploiement. Pour en savoir plus sur les fonctionnalités de sécurité activées pour le lancement fiable.
9. Sous Image, sélectionnez une image parmi les images de génération 2 recommandées compatibles avec le lancement fiable. Pour une liste, consultez lancement fiable.

   Conseil

   Si vous ne voyez pas la version génération 2 de l’image que vous souhaitez dans la liste déroulante, sélectionnez Afficher toutes les images, puis définissez le filtre Type de sécurité sur Lancement fiable.

10. Sélectionnez une taille de machine virtuelle qui prend en charge le lancement fiable. Consultez la liste des tailles prises en charge.
11. Renseignez les informations du Compte d’administrateur, puis les Règles de port entrant.
12. Au bas de la page, sélectionnez Vérifier + créer
13. Sur la page Créer une machine virtuelle, vous pouvez voir les détails de la machine virtuelle que vous allez déployer. Une fois la validation réussie, sélectionnez Créer.

Quelques minutes sont nécessaires pour le déploiement de votre machine virtuelle.

INTERFACE DE LIGNE DE COMMANDE

Vérifiez que vous utilisez bien la dernière version d’Azure CLI

Connectez-vous au portail Azure à l’aide de az login.

az login 

Créez une machine virtuelle avec lancement fiable.

az group create -n myresourceGroup -l eastus 

az vm create \
   --resource-group myResourceGroup \
   --name myVM \
   --image Canonical:UbuntuServer:18_04-lts-gen2:latest \
   --admin-username azureuser \
   --generate-ssh-keys \
   --security-type TrustedLaunch \
   --enable-secure-boot true \ 
   --enable-vtpm true 

Pour des machines virtuelles existantes, vous pouvez activer ou désactiver les paramètres d’amorçage sécurisé et de vTPM. La mise à jour de la machine virtuelle avec les paramètres d’amorçage sécurisé et de vTPM déclenche un redémarrage automatique.

az vm update \
   --resource-group myResourceGroup \
   --name myVM \
   --enable-secure-boot true \
   --enable-vtpm true 

PowerShell

Pour pouvoir approvisionner une machine virtuelle avec un lancement fiable, il faut que celle-ci ait été activée avec le paramètre TrustedLaunch à l’aide de la cmdlet Set-AzVmSecurityProfile. Vous pouvez ensuite utiliser la cmdlet Set-AzVmUefi pour définir la configuration de vTPM et SecureBoot. Utilisez l’extrait de code ci-dessous comme démarrage rapide, en veillant à remplacer les valeurs de cet exemple par les vôtres.

$rgName = "myResourceGroup"
$location = "West US"
$vmName = "myTrustedVM"
$vmSize = Standard_B2s
$publisher = "MicrosoftWindowsServer"
$offer = "WindowsServer"
$sku = "2019-datacenter-gensecond"
$version = latest
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine."

$vm = New-AzVMConfig -VMName $vmName -VMSize $vmSize 

$vm = Set-AzVMOperatingSystem `
   -VM $vm -Windows `
   -ComputerName $vmName `
   -Credential $cred `
   -ProvisionVMAgent `
   -EnableAutoUpdate 

$vm = Add-AzVMNetworkInterface -VM $vm `
   -Id $NIC.Id 

$vm = Set-AzVMSourceImage -VM $vm `
   -PublisherName $publisher `
   -Offer $offer `
   -Skus $sku `
   -Version $version 

$vm = Set-AzVMOSDisk -VM $vm `
   -StorageAccountType "StandardSSD_LRS" `
   -CreateOption "FromImage" 

$vm = Set-AzVmSecurityProfile -VM $vm `
   -SecurityType "TrustedLaunch" 

$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 

New-AzVM -ResourceGroupName $rgName -Location $location -VM $vm 

Modèle

Vous pouvez déployer des machines virtuelles de lancement fiable à l’aide d’un modèle de démarrage rapide :

Linux

Windows

Déployer une machine virtuelle de lancement fiable à partir d’une image Azure Compute Gallery

Les machines virtuelles de lancement fiable Azure prennent en charge la création et le partage d’images personnalisées à l’aide de Azure Compute Gallery. Vous pouvez créer deux types d’images, en fonction des types de sécurité de l’image :

• Recommandation : Les images prises en charge par les machines virtuelles de lancement fiable (TrustedLaunchSupported) sont des images dans lesquelles la source n’a pas d’informations sur l’état d’invité de la machine virtuelle. Elles peuvent être utilisées pour créer des machines virtuelles de génération 2 ou des machines virtuelles de lancement fiable.
• Les images de machine virtuelle de lancement fiable (TrustedLaunch) sont des images où la source contient généralement des informations sur l’état d’invité de la machine virtuelle. Elles peuvent être utilisées pour créer uniquement des machines virtuelles de lancement fiable.

Images prises en charge par les machines virtuelles de lancement fiable

Pour les sources d’images suivantes, le type de sécurité sur la définition d’image doit être défini sur TrustedLaunchsupported :

• Disque dur virtuel du système d’exploitation Gen2
• Image managée Gen2
• Obtenir la version de l’image Gallery Gen2

Aucune information d’état Invité de machine virtuelle ne doit être incluse dans la source de l’image.

La version d’image obtenue peut être utilisée pour créer des machines virtuelles Azure Gen2 ou des machines virtuelles de lancement fiable.

Ces images peuvent être partagées à l’aide de Azure Compute Gallery – Galerie partagée directe et Azure Compute Gallery – Galerie de la communauté

Notes

Vous devez créer le disque dur virtuel du système d’exploitation, l’image managée ou la version d’image de galerie à partir d’une image Gen2 compatible avec les machines virtuelles de lancement fiable.

Portail

1. Connectez-vous au portail Azure.
2. Dans la barre de recherche, recherchez et sélectionnez Versions d’image de machine virtuelle
3. Sur la page Versions d’image de machine virtuelle, sélectionnez Créer.
4. Sur la page Créer une version d’image de machine virtuelle, sous l’onglet De base :
   1. Sélectionnez l’abonnement Azure.
   2. Sélectionnez ou créez un groupe de ressources.
   3. Sélectionnez la région Azure.
   4. Entrez un numéro de version d’image.
   5. Pour Source, sélectionnez Objets blob de stockage (VHD) ou Image managée, ou une autre version d’image de machine virtuelle
   6. Si vous avez sélectionné Blobs de stockage (VHD),, entrez un disque dur virtuel de système d’exploitation (sans l’état invité de machine virtuelle). Veillez à utiliser un disque dur virtuel de deuxième génération.
   7. Si vous avez sélectionné Image managée, sélectionnez une image managée existante d’une machine virtuelle de deuxième génération.
   8. Si vous avez sélectionné Version de l’image de machine virtuelle, sélectionnez une version d’image de galerie existante d’une machine virtuelle Gen2.
   9. Pour Azure Compute Gallery cible, sélectionnez ou créez une galerie pour partager l’image.
   10. Pour État du système d’exploitation, sélectionnez Généralisé ou Spécialisé, selon votre cas d’usage. Si vous utilisez une image managée comme source, sélectionnez toujours Généralisé. Si vous utilisez un objet blob de stockage (VHD) et que vous souhaitez sélectionner Généralisé, suivez la procédure pour généraliser un disque dur virtuel Linux ou généraliser un disque dur virtuel Windows avant de continuer. Si vous utilisez une version d’image de machine virtuelle existante, sélectionnez Généralisé ou Spécialisé en fonction de ce qui est utilisé dans la définition de l’image de machine virtuelle source.
   11. Pour Définition d’image de machine virtuelle cible, sélectionnez Créer nouveau.
   12. Dans le volet Créer une définition d’image de machine virtuelle, entrez un nom pour la définition. Vérifiez que le type de sécurité est défini sur Lancement fiable pris en charge. Entrez les informations sur l’éditeur, l’offre et la référence SKU. Ensuite, sélectionnez OK.
5. Sous l’onglet Réplication, entrez le nombre de réplicas et les régions cibles pour la réplication d’images, si besoin.
6. Sous l’onglet Chiffrement, entrez les informations relatives au chiffrement SSE, si nécessaire.
7. Sélectionnez Vérifier + créer.
8. Une fois la configuration validée, sélectionnez Créer pour terminer la création de l’image.
9. Une fois la version de l’image créée, sélectionnez Créer une machine virtuelle.
10. Dans la page Création d’une machine virtuelle, sous Groupe de ressources, sélectionnez Créer et spécifiez un nom pour votre groupe de ressources ou sélectionnez un groupe de ressources existant dans la liste déroulante.
11. Sous Détails de l’instance, spécifiez un nom pour la machine virtuelle et choisissez une région qui prend en charge le lancement fiable.
12. Pour Type de sécurité, sélectionnez Machines virtuelles de lancement fiable. Les cases à cocher Démarrage sécurisé et vTPM sont cochées par défaut.
13. Renseignez les informations du Compte d’administrateur, puis les Règles de port entrant.
14. Sur la page de validation, vérifiez les détails de la machine virtuelle.
15. Après la réussite de la validation de l’image, sélectionnez Créer pour terminer la création de l’image.

INTERFACE DE LIGNE DE COMMANDE

Vérifiez que vous utilisez bien la dernière version d’Azure CLI

Connectez-vous au portail Azure à l’aide de az login.

az login 

Créer une définition d’image avec le type de sécurité TrustedLaunchSupported

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunchSupported

Utilisez un disque dur virtuel du système d’exploitation pour créer une version d’image. Vérifiez que le disque dur virtuel Linux a été généralisé avant le chargement dans un objet blob de compte de stockage Azure en suivant les étapes décrites ici

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--os-vhd-storage-account /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/imageGroups/providers/Microsoft.Storage/storageAccounts/mystorageaccount \
--os-vhd-uri https://mystorageaccount.blob.core.windows.net/container/path_to_vhd_file

Créer une machine virtuelle de lancement fiable à partir de la version d’image ci-dessus

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

PowerShell

Créer une définition d’image avec le type de sécurité TrustedLaunchSupported

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunchSupported'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

Pour créer une version d’image, nous pouvons utiliser une version d’image de galerie Gen2 existante qui a été généralisée lors de la création.

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/galleries/MyGallery/images/Gen2VMImageDef/versions/0.0.1"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

Créer une machine virtuelle de lancement fiable à partir de la version d’image ci-dessus

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

Images de machine virtuelle de lancement fiable

Pour les sources d’images suivantes, le type de sécurité sur la définition d’image doit être défini sur TrustedLaunch :

• Capture de machine virtuelle de lancement fiable
• Disque de système d’exploitation managé
• Capture instantanée de disque de système d’exploitation managé

La version d’image obtenue ne peut être utilisée que pour créer des machines virtuelles de lancement fiable Azure.

Portail

1. Connectez-vous au portail Azure.
2. Pour créer une image de Azure Compute Gallery à partir d’une machine virtuelle, ouvrez une machine virtuelle de lancement fiable existante, puis sélectionnez Capturer.
3. Dans la page Créer une image qui suit, autorisez le partage de l’image dans la galerie en tant que version d’image de machine virtuelle. La création d’images managées n’est pas prise en charge pour les machines virtuelles à lancement fiable.
4. Créez une nouvelle cible Azure Compute Gallery ou sélectionnez une galerie existante.
5. Pour État du système d’exploitation, sélectionnez Généralisé ou Spécialisé. Si vous souhaitez créer une image généralisée, veillez à généraliser la machine virtuelle pour supprimer des informations spécifiques de la machine avant de sélectionner cette option. Si le chiffrement basé sur Bitlocker est activé sur votre machine virtuelle Windows à lancement fiable, sa généralisation ne sera peut-être pas possible.
6. Créez une définition d’image en fournissant un nom, un éditeur, une offre et des détails de référence SKU. Le type de sécurité de la définition d’image doit être déjà défini sur Lancement fiable.
7. Indiquez un numéro de version pour la version de l’image.
8. Modifiez les options de réplication si nécessaire.
9. En bas de la page Créer une image, sélectionnez Vérifier + créer et lorsque la validation s’affiche comme réussie, sélectionnez Créer.
10. Une fois la version de l’image créée, accédez directement à la version de l’image. Vous pouvez également accéder à la version d’image requise via la définition d’image.
11. Dans la page Version de l’image de machine virtuelle, sélectionnez + Créer une machine virtuelle pour accéder à la page Créer une machine virtuelle.
12. Dans la page Création d’une machine virtuelle, sous Groupe de ressources, sélectionnez Créer et spécifiez un nom pour votre groupe de ressources ou sélectionnez un groupe de ressources existant dans la liste déroulante.
13. Sous Détails de l’instance, spécifiez un nom pour la machine virtuelle et choisissez une région qui prend en charge le lancement fiable.
14. L’image et le type de sécurité sont déjà remplis en fonction de la version d’image sélectionnée. Les cases à cocher Démarrage sécurisé et vTPM sont cochées par défaut.
15. Renseignez les informations du Compte d’administrateur, puis les Règles de port entrant.
16. Au bas de la page, sélectionnez Vérifier + créer
17. Sur la page de validation, vérifiez les détails de la machine virtuelle.
18. Après la réussite de la validation de l’image, sélectionnez Créer pour terminer la création de l’image.

Si vous souhaitez utiliser un disque managé ou un instantané de disque managé comme source de version d’image (plutôt qu’une machine virtuelle à lancement fiable), procédez comme suit :

1. Connectez-vous au portail
2. Recherchez des versions d’image de machine virtuelle et sélectionnez Créer
3. Indiquez l’abonnement, le groupe de ressources, la région et le numéro de version d’image
4. Sélectionnez la source en tant que disques et/ou instantanés
5. Sélectionnez le disque du système d’exploitation en tant que disque managé ou capture instantanée de disque managé dans la liste déroulante
6. Sélectionnez une instance Azure Compute Gallery cible pour créer et partager l’image. En l’absence de galerie, créez-en une.
7. Pour État du système d’exploitation, sélectionnez Généralisé ou Spécialisé. Si vous souhaitez créer une image généralisée, veillez à généraliser le disque ou l’instantané pour supprimer des informations spécifiques de la machine.
8. Pour la définition d’image de machine virtuelle cible , sélectionnez Créer nouveau. Dans la fenêtre qui s’ouvre, sélectionnez un nom de définition d’image et vérifiez que le type de sécurité est défini sur Lancement fiable. Fournissez les informations sur l’éditeur, l’offre et la référence SKU, puis sélectionnez OK.
9. L’onglet Réplication peut être utilisé pour définir le nombre de réplicas et les régions cibles pour la réplication d’images, si besoin.
10. L’onglet Chiffrement peut également être utilisé pour fournir des informations relatives au chiffrement SSE, si besoin.
11. Sélectionnez Créer dans l’onglet Vérifier + créer pour créer l’image
12. Une fois la version d’image créée, sélectionnez + Créer une machine virtuelle pour accéer à la page Créer une machine virtuelle.
13. Suivez les étapes 12 à 18 comme indiqué précédemment pour créer une machine virtuelle à lancement fiable à l’aide de cette version d’image

INTERFACE DE LIGNE DE COMMANDE

Vérifiez que vous utilisez bien la dernière version d’Azure CLI

Connectez-vous au portail Azure à l’aide de az login.

az login 

Créer une définition d’image avec le type de sécurité TrustedLaunch

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunch

Pour créer une version d’image, nous pouvons capturer une machine virtuelle à lancement fiable basée sur Linux existante. Généralisez la machine virtuelle à lancement fiable avant de créer la version de l’image.

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--managed-image /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM

Si un disque managé ou un instantané de disque managé doit être utilisé comme source d’image pour la version d’image, remplacez --managed-image dans la commande ci-dessus par --os-snapshot et indiquez le disque ou le nom de la ressource d’instantané.

Créer une machine virtuelle de lancement fiable à partir de la version d’image ci-dessus

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

PowerShell

Créer une définition d’image avec le type de sécurité TrustedLaunch

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunch'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

Pour créer une version d’image, nous pouvons capturer une machine virtuelle à lancement fiable basée sur Windows existante. Généralisez la machine virtuelle à lancement fiable avant de créer la version de l’image.

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/virtualMachines/myVM"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

Créer une machine virtuelle de lancement fiable à partir de la version d’image ci-dessus

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

Vérifier ou mettre à jour vos paramètres

Pour les machines virtuelles créées avec l’option de lancement fiable activée, vous pouvez afficher la configuration du lancement fiable en consultant la page Vue d’ensemble de la machine virtuelle dans le portail Azure. L’onglet Propriétés affiche l’état des fonctionnalités de lancement fiable :

Pour modifier la configuration de lancement fiable, dans le menu de gauche, sous la section Paramètres, sélectionnez Configuration. Vous pouvez activer ou désactiver Démarrage sécurisé, vTPM et Surveillance de l’intégrité à partir de la section Type de sécurité. Lorsque vous avez terminé, sélectionnez Enregistrer en haut de la page.

Si la machine virtuelle est en cours d’exécution, vous recevez un message indiquant que la machine virtuelle va être redémarrée. Sélectionnez Oui, puis attendez que la machine virtuelle redémarre pour que les modifications prennent effet.

Étapes suivantes

En savoir plus sur le lancement fiable et la Surveillance de l'intégrité du démarrage des machines virtuelles.