Distribuire una macchina virtuale con avvio attendibile abilitato

Si applica a: ✔️ Macchine virtuali ✔️ Linux Macchine virtuali ✔️ Windows Set di scalabilità flessibili Set ✔️ di scalabilità uniformi

L'avvio attendibile è un modo per migliorare la sicurezza delle macchine virtuali di seconda generazione . L'avvio attendibile protegge da tecniche di attacco avanzate e persistenti combinando tecnologie di infrastruttura come vTPM e avvio protetto.

Prerequisiti

• Se non è già stato fatto, è necessario eseguire l'onboarding della sottoscrizione per Microsoft Defender per il cloud. Microsoft Defender per il cloud ha un livello gratuito, che offre informazioni molto utili per varie risorse di Azure e ibride. L'avvio attendibile sfrutta Defender per il cloud per visualizzare più raccomandazioni relative all'integrità delle macchine virtuali.

• Assegnare le iniziative di Criteri di Azure alla sottoscrizione. Queste iniziative di criteri devono essere assegnate una sola volta per ogni sottoscrizione. Verranno installate automaticamente tutte le estensioni necessarie in tutte le macchine virtuali supportate.

  • Configurare i prerequisiti per abilitare l'attestazione guest nelle macchine virtuali abilitate per l'avvio attendibile.

  • Configurare i computer per installare automaticamente gli agenti di Monitoraggio di Azure e sicurezza di Azure nelle macchine virtuali.

• Consentire il tag del servizio AzureAttestation nelle regole in uscita del gruppo di sicurezza di rete per consentire il traffico per Microsoft attestazione di Azure. Fare riferimento ai tag del servizio di rete virtuale.

• Assicurarsi che i criteri firewall consentano l'accesso a *.attest.azure.net.

Nota

Se si usa un'immagine Linux e si prevede che la macchina virtuale disponga di driver kernel non firmati o non firmati dal fornitore della distribuzione Linux, è consigliabile disattivare l'avvio protetto. Nel portale di Azure, nella pagina "Crea una macchina virtuale" per il parametro "Tipo di sicurezza" con l'opzione "Avvio attendibile Macchine virtuali" selezionata, fare clic su "Configura funzionalità di sicurezza" e deselezionare la casella di controllo "Abilita avvio protetto". In Interfaccia della riga di comando, PowerShell o SDK impostare il parametro di avvio protetto su false.

Distribuire una macchina virtuale di avvio attendibile

Creare una macchina virtuale con avvio attendibile abilitato. Scegliere una delle opzioni seguenti:

Portale

1. Accedi al portale di Azure.
2. Cercare Macchine virtuali.
3. In Servizi selezionare Macchine virtuali.
4. Nella pagina Macchine virtuali selezionare Aggiungi e quindi Macchina virtuale.
5. In Dettagli progetto verificare che sia selezionata la sottoscrizione corretta.
6. In Gruppo di risorse selezionare Crea nuovo e digitare un nome per il gruppo di risorse oppure selezionare un gruppo di risorse esistente nell'elenco a discesa.
7. In Dettagli istanza digitare un nome per il nome della macchina virtuale e scegliere un'area che supporti l'avvio attendibile.
8. Per Tipo di sicurezza selezionare Macchine virtuali di avvio attendibile. Verranno visualizzate altre tre opzioni: Avvio protetto, vTPM e Monitoraggio dell'integrità. Selezionare le opzioni appropriate per la distribuzione. Per altre informazioni sulle funzionalità di sicurezza abilitate per l'avvio attendibile.
9. In Immagine selezionare un'immagine dalle immagini consigliate di seconda generazione compatibili con l'avvio attendibile. Per un elenco, vedere Avvio attendibile.

   Suggerimento

   Se non viene visualizzata la versione gen 2 dell'immagine desiderata nell'elenco a discesa, selezionare Visualizza tutte le immagini e quindi modificare il filtro Tipo di sicurezza su Avvio attendibile.

10. Selezionare una dimensione della macchina virtuale che supporta l'avvio attendibile. Vedere l'elenco delle dimensioni supportate.
11. Immettere le informazioni sull'account Amministrazione istrator e quindi le regole delle porte in ingresso.
12. Nella parte inferiore della pagina selezionare Rivedi e crea
13. Nella pagina Crea una macchina virtuale è possibile visualizzare i dettagli sulla macchina virtuale che si sta per distribuire. Dopo che la convalida viene visualizzata come superata, selezionare Crea.

La distribuzione della macchina virtuale richiederà alcuni minuti.

CLI

Assicurarsi di eseguire la versione più recente dell'interfaccia della riga di comando di Azure

Accedere al portale di Azure con az login.

az login 

Creare una macchina virtuale con Avvio attendibile.

az group create -n myresourceGroup -l eastus 

az vm create \
   --resource-group myResourceGroup \
   --name myVM \
   --image Canonical:UbuntuServer:18_04-lts-gen2:latest \
   --admin-username azureuser \
   --generate-ssh-keys \
   --security-type TrustedLaunch \
   --enable-secure-boot true \ 
   --enable-vtpm true 

Per le macchine virtuali esistenti, è possibile abilitare o disabilitare le impostazioni di avvio protetto e vTPM. L'aggiornamento della macchina virtuale con le impostazioni di avvio protetto e vTPM attiverà il riavvio automatico.

az vm update \
   --resource-group myResourceGroup \
   --name myVM \
   --enable-secure-boot true \
   --enable-vtpm true 

Per altre informazioni sull'installazione del monitoraggio dell'integrità di avvio tramite l'estensione Attestazione guest, vedere Integrità dell'avvio.

PowerShell

Per effettuare il provisioning di una macchina virtuale con avvio attendibile, è prima necessario abilitarla con il TrustedLaunchSet-AzVmSecurityProfile cmdlet . È quindi possibile usare il cmdlet Set-AzVmUefi per impostare la configurazione vTPM e SecureBoot. Usare il frammento di codice seguente come guida introduttiva, ricordare di sostituire i valori in questo esempio con i propri.

$rgName = "myResourceGroup"
$location = "West US"
$vmName = "myTrustedVM"
$vmSize = Standard_B2s
$publisher = "MicrosoftWindowsServer"
$offer = "WindowsServer"
$sku = "2019-datacenter-gensecond"
$version = latest
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine."

$vm = New-AzVMConfig -VMName $vmName -VMSize $vmSize 

$vm = Set-AzVMOperatingSystem `
   -VM $vm -Windows `
   -ComputerName $vmName `
   -Credential $cred `
   -ProvisionVMAgent `
   -EnableAutoUpdate 

$vm = Add-AzVMNetworkInterface -VM $vm `
   -Id $NIC.Id 

$vm = Set-AzVMSourceImage -VM $vm `
   -PublisherName $publisher `
   -Offer $offer `
   -Skus $sku `
   -Version $version 

$vm = Set-AzVMOSDisk -VM $vm `
   -StorageAccountType "StandardSSD_LRS" `
   -CreateOption "FromImage" 

$vm = Set-AzVmSecurityProfile -VM $vm `
   -SecurityType "TrustedLaunch" 

$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 

New-AzVM -ResourceGroupName $rgName -Location $location -VM $vm 

Modello

È possibile distribuire macchine virtuali di avvio attendibili usando un modello di avvio rapido:

Linux

Windows

Distribuire una macchina virtuale di avvio attendibile da un'immagine della raccolta di calcolo di Azure

Le macchine virtuali di avvio attendibili di Azure supportano la creazione e la condivisione di immagini personalizzate tramite Azure Compute Gallery. Esistono due tipi di immagini che è possibile creare, in base ai tipi di sicurezza dell'immagine:

• Le immagini supportate () per l'avvioTrustedLaunchSupported attendibile consigliatesono immagini in cui l'origine non dispone di informazioni sullo stato guest della macchina virtuale e possono essere usate per creare macchine virtuali di seconda generazione o macchine virtuali di avvio attendibile.
• Le immagini di vm di avvio attendibili (TrustedLaunch) sono immagini in cui l'origine ha in genere informazioni sullo stato guest della macchina virtuale e possono essere usate per creare solo macchine virtuali di avvio attendibili.

Immagini supportate della macchina virtuale di avvio attendibile

Per le origini di immagine seguenti, il tipo di sicurezza nella definizione dell'immagine deve essere impostato su TrustedLaunchsupported:

• Disco rigido virtuale del sistema operativo gen2
• Immagine gestita gen2
• Versione dell'immagine della raccolta Gen2

Nessuna informazione sullo stato guest della macchina virtuale deve essere inclusa nell'origine dell'immagine.

La versione dell'immagine risultante può essere usata per creare macchine virtuali di Azure Gen2 o macchine virtuali di avvio trusted.

Queste immagini possono essere condivise tramite La raccolta di calcolo di Azure - Raccolta condivisa diretta e Raccolta di calcolo di Azure - Raccolta community

Nota

Il disco rigido virtuale del sistema operativo, l'immagine gestita o la versione dell'immagine della raccolta deve essere creato da un'immagine gen2 compatibile con le macchine virtuali di avvio attendibili.

Portale

1. Accedi al portale di Azure.
2. Cercare e selezionare le versioni delle immagini della macchina virtuale nella barra di ricerca
3. Nella pagina Versioni dell'immagine della macchina virtuale selezionare Crea.
4. Nella pagina Crea versione dell'immagine della macchina virtuale, nella scheda Informazioni di base:
   1. Selezionare la sottoscrizione di Azure.
   2. Selezionare un gruppo di risorse esistente o crearne uno nuovo.
   3. Selezionare l'area di Azure.
   4. Immettere un numero di versione dell'immagine.
   5. In Origine selezionare Archiviazione BLOB (VHD) o Immagine gestita o un'altra versione dell'immagine della macchina virtuale
   6. Se è stato selezionato Archiviazione BLOB (VHD), immettere un disco rigido virtuale del disco del sistema operativo (senza lo stato guest della macchina virtuale). Assicurarsi di usare un disco rigido virtuale di seconda generazione.
   7. Se è stata selezionata l'immagine gestita, selezionare un'immagine gestita esistente di una macchina virtuale di seconda generazione.
   8. Se è stata selezionata la versione dell'immagine della macchina virtuale, selezionare una versione dell'immagine della raccolta esistente di una macchina virtuale gen2.
   9. Per La raccolta di calcolo di Azure di destinazione selezionare o creare una raccolta per condividere l'immagine.
   10. In Stato del sistema operativo selezionare Generalizzato o Specializzato a seconda del caso d'uso. Se si usa un'immagine gestita come origine, selezionare sempre Generalizzata. Se si usa un BLOB di archiviazione (VHD) e si vuole selezionare Generalizzato, seguire la procedura per generalizzare un disco rigido virtuale Linux o generalizzare un disco rigido virtuale Windows prima di continuare. Se si usa una versione dell'immagine di macchina virtuale esistente, selezionare Generalizzata o Specializzata in base a ciò che viene usato nella definizione dell'immagine della macchina virtuale di origine.
   11. Per Definizione immagine macchina virtuale di destinazione selezionare Crea nuovo.
   12. Nel riquadro Crea una definizione di immagine di macchina virtuale immettere un nome per la definizione. Assicurarsi che il tipo di sicurezza sia impostato su Trustedlaunch Supported. Immettere le informazioni sull'editore, l'offerta e lo SKU. Selezionare quindi OK.
5. Nella scheda Replica immettere il numero di repliche e le aree di destinazione per la replica di immagini, se necessario.
6. Nella scheda Crittografia immettere S edizione Standard informazioni correlate alla crittografia, se necessario.
7. Selezionare Rivedi e crea.
8. Dopo la convalida della configurazione, selezionare Crea per completare la creazione dell'immagine.
9. Dopo aver creato la versione dell'immagine, selezionare Crea macchina virtuale.
10. Nella pagina Crea una macchina virtuale, in Gruppo di risorse selezionare Crea nuovo e digitare un nome per il gruppo di risorse o selezionare un gruppo di risorse esistente nell'elenco a discesa.
11. In Dettagli istanza digitare un nome per il nome della macchina virtuale e scegliere un'area che supporti l'avvio attendibile.
12. Selezionare Avvio attendibile di macchine virtuali come tipo di sicurezza. Le caselle di controllo Avvio protetto e vTPM sono abilitate per impostazione predefinita.
13. Immettere le informazioni sull'account Amministrazione istrator e quindi le regole delle porte in ingresso.
14. Nella pagina di convalida esaminare i dettagli della macchina virtuale.
15. Al termine della convalida, selezionare Crea per completare la creazione della macchina virtuale.

CLI

Assicurarsi di eseguire la versione più recente dell'interfaccia della riga di comando di Azure

Accedere al portale di Azure con az login.

az login 

Creare una definizione di immagine con TrustedLaunchSupported tipo di sicurezza

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunchSupported

Usare un disco rigido virtuale del sistema operativo per creare una versione dell'immagine. Assicurarsi che il disco rigido virtuale Linux sia stato generalizzato prima del caricamento in un BLOB dell'account di archiviazione di Azure seguendo la procedura descritta qui

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--os-vhd-storage-account /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/imageGroups/providers/Microsoft.Storage/storageAccounts/mystorageaccount \
--os-vhd-uri https://mystorageaccount.blob.core.windows.net/container/path_to_vhd_file

Creare una macchina virtuale di avvio attendibile dalla versione dell'immagine precedente

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

PowerShell

Creare una definizione di immagine con TrustedLaunchSupported tipo di sicurezza

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunchSupported'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

Per creare una versione dell'immagine, è possibile usare una versione dell'immagine della raccolta Gen2 esistente generalizzata durante la creazione.

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/galleries/MyGallery/images/Gen2VMImageDef/versions/0.0.1"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

Creare una macchina virtuale di avvio attendibile dalla versione dell'immagine precedente

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

Immagini di macchine virtuali di avvio attendibili

Per le origini di immagine seguenti, il tipo di sicurezza nella definizione dell'immagine deve essere impostato su TrustedLaunch:

• Acquisizione di macchine virtuali di avvio attendibile
• Disco del sistema operativo gestito
• Snapshot del disco del sistema operativo gestito

La versione dell'immagine risultante può essere usata solo per creare macchine virtuali di avvio attendibili di Azure.

Portale

1. Accedi al portale di Azure.
2. Per creare un'immagine della raccolta di calcolo di Azure da una macchina virtuale, aprire una macchina virtuale di avvio attendibile esistente e selezionare Acquisisci.
3. Nella pagina Crea un'immagine riportata di seguito, consentire la condivisione dell'immagine alla raccolta come versione dell'immagine della macchina virtuale. La creazione di immagini gestite non è supportata per le macchine virtuali di avvio attendibili.
4. Creare una nuova raccolta di calcolo di Azure di destinazione o selezionare una raccolta esistente.
5. Selezionare lo stato del sistema operativo come Generalizzato o Specializzato. Se si vuole creare un'immagine generalizzata, assicurarsi di generalizzare la macchina virtuale per rimuovere le informazioni specifiche del computer prima di selezionare questa opzione. Se la crittografia basata su Bitlocker è abilitata nella macchina virtuale Windows di avvio attendibile, potrebbe non essere possibile generalizzare lo stesso.
6. Creare una nuova definizione di immagine specificando un nome, un editore, un'offerta e i dettagli dello SKU. Il tipo di sicurezza della definizione dell'immagine deve essere già impostato su Avvio attendibile.
7. Specificare un numero di versione per la versione dell'immagine.
8. Modificare le opzioni di replica, se necessario.
9. Nella parte inferiore della pagina Crea un'immagine selezionare Rivedi e crea e quando la convalida viene visualizzata come superata, selezionare Crea.
10. Dopo aver creato la versione dell'immagine, passare direttamente alla versione dell'immagine. In alternativa, è possibile passare alla versione dell'immagine richiesta tramite la definizione dell'immagine.
11. Nella pagina Versione dell'immagine della macchina virtuale selezionare + Crea macchina virtuale da visualizzare nella pagina Crea macchina virtuale.
12. Nella pagina Crea una macchina virtuale, in Gruppo di risorse selezionare Crea nuovo e digitare un nome per il gruppo di risorse o selezionare un gruppo di risorse esistente nell'elenco a discesa.
13. In Dettagli istanza digitare un nome per il nome della macchina virtuale e scegliere un'area che supporti l'avvio attendibile.
14. L'immagine e il tipo di sicurezza sono già popolati in base alla versione dell'immagine selezionata. Le caselle di controllo Avvio protetto e vTPM sono abilitate per impostazione predefinita.
15. Immettere le informazioni sull'account Amministrazione istrator e quindi le regole delle porte in ingresso.
16. Nella parte inferiore della pagina selezionare Rivedi e crea
17. Nella pagina di convalida esaminare i dettagli della macchina virtuale.
18. Al termine della convalida, selezionare Crea per completare la creazione della macchina virtuale.

Se si vuole usare un disco gestito o uno snapshot del disco gestito come origine della versione dell'immagine (anziché una macchina virtuale di avvio attendibile), seguire questa procedura

1. Accedere al portale
2. Cercare Versioni immagine macchina virtuale e selezionare Crea
3. Specificare la sottoscrizione, il gruppo di risorse, l'area geografica e il numero di versione dell'immagine
4. Selezionare l'origine come dischi e/o snapshot
5. Selezionare il disco del sistema operativo come disco gestito o uno snapshot del disco gestito dall'elenco a discesa
6. Selezionare una raccolta di calcolo di Azure di destinazione per creare e condividere l'immagine. Se non esiste alcuna raccolta, creare una nuova raccolta.
7. Selezionare lo stato del sistema operativo come Generalizzato o Specializzato. Se si vuole creare un'immagine generalizzata, assicurarsi di generalizzare il disco o lo snapshot per rimuovere informazioni specifiche del computer.
8. Per Definizione immagine macchina virtuale di destinazione selezionare Crea nuovo. Nella finestra visualizzata selezionare un nome di definizione dell'immagine e assicurarsi che il tipo di sicurezza sia impostato su Avvio attendibile. Specificare le informazioni sull'editore, l'offerta e lo SKU e selezionare OK.
9. La scheda Replica può essere usata per impostare il numero di repliche e le aree di destinazione per la replica di immagini, se necessario.
10. La scheda Crittografia può essere usata anche per fornire informazioni correlate alla crittografia S edizione Standard, se necessario.
11. Selezionare Crea nella scheda Rivedi e crea per creare l'immagine
12. Dopo aver creato correttamente la versione dell'immagine, selezionare + Crea macchina virtuale per accedere alla pagina Crea macchina virtuale.
13. Seguire i passaggi da 12 a 18 come indicato in precedenza per creare una macchina virtuale di avvio attendibile usando questa versione dell'immagine

CLI

Assicurarsi di eseguire la versione più recente dell'interfaccia della riga di comando di Azure

Accedere al portale di Azure con az login.

az login 

Creare una definizione di immagine con TrustedLaunch tipo di sicurezza

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunch

Per creare una versione dell'immagine, è possibile acquisire una macchina virtuale di avvio attendibile basata su Linux esistente. Generalizzare la macchina virtuale di avvio attendibile prima di creare la versione dell'immagine.

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--managed-image /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM

Se un disco gestito o uno snapshot del disco gestito deve essere usato come origine dell'immagine per la versione dell'immagine, sostituire --managed-image nel comando precedente con --os-snapshot e specificare il disco o il nome della risorsa snapshot

Creare una macchina virtuale di avvio attendibile dalla versione dell'immagine precedente

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

PowerShell

Creare una definizione di immagine con TrustedLaunch tipo di sicurezza

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunch'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

Per creare una versione dell'immagine, è possibile acquisire una macchina virtuale di avvio attendibile basata su Windows esistente. Generalizzare la macchina virtuale di avvio attendibile prima di creare la versione dell'immagine.

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/virtualMachines/myVM"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

Creare una macchina virtuale di avvio attendibile dalla versione dell'immagine precedente

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

Verificare o aggiornare le impostazioni

Per le macchine virtuali create con avvio attendibile abilitato, è possibile visualizzare la configurazione di avvio attendibile visitando la pagina Panoramica per la macchina virtuale nel portale di Azure. La scheda Proprietà mostrerà lo stato delle funzionalità di avvio attendibile:

Per modificare la configurazione di avvio attendibile, nel menu a sinistra, nella sezione Impostazioni selezionare Configurazione. È possibile abilitare o disabilitare Avvio protetto, vTPM e Monitoraggio dell'integrità dalla sezione Tipo di sicurezza. Al termine, selezionare Salva nella parte superiore della pagina.

Se la macchina virtuale è in esecuzione, si riceverà un messaggio che informa che la macchina virtuale verrà riavviata. Selezionare Sì e attendere il riavvio della macchina virtuale per rendere effettive le modifiche.

Passaggi successivi

Altre informazioni sull'avvio attendibile e sul monitoraggio dell'integrità dell'avvio.