トラステッド起動を有効にして VM をデプロイする
[アーティクル]
11/06/2023
14 人の共同作成者
フィードバック
この記事の内容
適用対象: ✔️ Linux VM ✔️ Windows VM ✔️ フレキシブル スケール セット ✔️ 均一スケール セット
トラステッド起動 は、第 2 世代 の VM のセキュリティを向上させる手段です。 トラステッド起動を使用すると、vTPM やセキュア ブートのようなインフラストラクチャ テクノロジを組み合わせることによって、高度で永続的な攻撃手法から保護されます。
必須コンポーネント
まだ Microsoft Defender for Cloud にサブスクリプションがオンボードされていない場合は、サブスクリプションを Microsoft Defender for Cloud にオンボード する必要があります。 Microsoft Defender for Cloud には Free レベルがあります。各種の Azure リソースやハイブリッド リソースについてのきわめて有益な分析情報が得られます。 トラステッド起動は Defender for Cloud を活用して、VM の正常性に関するさまざまな推奨事項を表示します。
Azure Policy のイニシアティブをサブスクリプションに割り当てます。 ポリシーのイニシアティブは、サブスクリプションごとに 1 回だけ割り当てる必要があります。 これによって必要な全拡張機能が、サポート対象のすべての VM に自動的にインストールされます。
NSG アウトバウンド規則でサービス タグ AzureAttestation を許可して、Microsoft Azure Attestation のトラフィックを許可します。 「仮想ネットワーク サービス タグ 」を参照してください。
ファイアウォール ポリシーで *.attest.azure.net
へのアクセスが許可されていることを確認します。
Note
Linux イメージを使用していて、VM のカーネル ドライバーが署名されていない、または Linux ディストリビューション ベンダーによって署名されていないと思われる場合は、セキュア ブートをオフにすることを検討してください。 Azure portal では、[セキュリティの種類] パラメーターに [トラステッド起動の仮想マシン] が選択された [仮想マシンの作成] ページで、[セキュリティ機能の構成] をクリックし、[セキュア ブートを有効にする] チェックボックスをオフにします。 CLI、PowerShell、または SDK では、セキュア ブート パラメーターを false に設定します。
トラステッド起動の VM をデプロイする
トラステッド起動を有効にして仮想マシンを作成します。 以下のオプションを選択してください。
Azure Portal にサインインします。
「仮想マシン 」を検索します。
[サービス] で、 [仮想マシン] を選択します。
[仮想マシン] ページで、 [追加] を選択してから、 [仮想マシン] を選択します。
[プロジェクトの詳細] で、正しいサブスクリプションが選択されていることを確認します。
[リソース グループ] で [新規作成] を選択し、リソース グループの名前を入力するか、ドロップダウンから既存のリソース グループを選択します。
[インスタンスの詳細] で、仮想マシンの名前を入力し、トラステッド起動 がサポートされているリージョンを選択します。
[セキュリティの種類] で [トラステッド起動の仮想マシン] を選択します。 これにより、さらに [セキュア ブート] 、[vTPM] 、[整合性の監視] の 3 つのオプションが表示されるようになります。 自分のデプロイに合った適切なオプションを選択します。 トラステッド起動が有効なセキュリティ機能 の詳細を確認します。
[イメージ] の [[トラステッド起動] と互換性のある、推奨される Gen 2 イメージ] からイメージを選択します。 一覧については、トラステッド起動 に関する記事を参照してください。
ヒント
ドロップダウンに目的の Gen 2 バージョンのイメージが表示されない場合は、 [すべてのイメージを表示] を選択し、 [セキュリティの種類] フィルターを [トラステッド起動] に変更します。
トラステッド起動がサポートされている VM サイズを選択します。 サポートされているサイズ の一覧を参照してください。
[管理者アカウント] の情報を入力した後、 [受信ポートの規則] を指定します。
ページの下部にある [確認および作成] を選択します
[仮想マシンの作成] ページで、デプロイしようとしている VM の詳細を確認できます。 検証結果が合格と表示されたら、 [作成] を選択します。
VM がデプロイされるまでに数分かかります。
最新バージョンの Azure CLI を実行していることを確認してください。
az login
を使用して Azure にサインインします。
az login
トラステッド起動を使用して仮想マシンを作成します。
az group create -n myresourceGroup -l eastus
az vm create \
--resource-group myResourceGroup \
--name myVM \
--image Canonical:UbuntuServer:18_04-lts-gen2:latest \
--admin-username azureuser \
--generate-ssh-keys \
--security-type TrustedLaunch \
--enable-secure-boot true \
--enable-vtpm true
既存の VM を対象に、セキュア ブートと vTPM の設定を有効または無効にすることができます。 セキュア ブートと vTPM の設定を使用して仮想マシンを更新すると、自動再起動がトリガーされます。
az vm update \
--resource-group myResourceGroup \
--name myVM \
--enable-secure-boot true \
--enable-vtpm true
ゲスト構成証明拡張機能を使用したブートの整合性の監視のインストールに関する詳細については、ブートの整合性 に関する記事を参照してください。
トラステッド起動を使用して VM をプロビジョニングするためには、Set-AzVmSecurityProfile
コマンドレットを使用して、まず VM の TrustedLaunch
を有効にする必要があります。 その後、Set-AzVmUefi コマンドレットを使用して vTPM と SecureBoot の構成を設定できます。 クイック スタートとして以下のスニペットをご使用ください。ただし、この例の値は実際の値に置き換える必要があります。
$rgName = "myResourceGroup"
$location = "West US"
$vmName = "myTrustedVM"
$vmSize = Standard_B2s
$publisher = "MicrosoftWindowsServer"
$offer = "WindowsServer"
$sku = "2019-datacenter-gensecond"
$version = latest
$cred = Get-Credential `
-Message "Enter a username and password for the virtual machine."
$vm = New-AzVMConfig -VMName $vmName -VMSize $vmSize
$vm = Set-AzVMOperatingSystem `
-VM $vm -Windows `
-ComputerName $vmName `
-Credential $cred `
-ProvisionVMAgent `
-EnableAutoUpdate
$vm = Add-AzVMNetworkInterface -VM $vm `
-Id $NIC.Id
$vm = Set-AzVMSourceImage -VM $vm `
-PublisherName $publisher `
-Offer $offer `
-Skus $sku `
-Version $version
$vm = Set-AzVMOSDisk -VM $vm `
-StorageAccountType "StandardSSD_LRS" `
-CreateOption "FromImage"
$vm = Set-AzVmSecurityProfile -VM $vm `
-SecurityType "TrustedLaunch"
$vm = Set-AzVmUefi -VM $vm `
-EnableVtpm $true `
-EnableSecureBoot $true
New-AzVM -ResourceGroupName $rgName -Location $location -VM $vm
クイックスタート テンプレートを使用して、トラステッド起動 VM をデプロイできます。
Linux
Windows
Azure Compute Gallery イメージからトラステッド起動 VM をデプロイする
Azure トラステッド起動仮想マシン は、Azure Compute Gallery を使用したカスタム イメージの作成と共有をサポートしています。 イメージのセキュリティの種類に基づいて、2 種類のイメージを作成できます。
トラステッド起動 VM でサポートされるイメージ
次のイメージ ソースの場合、イメージ定義でセキュリティの種類を TrustedLaunchsupported
に設定する必要があります。
Gen2 OS ディスク VHD
Gen2 マネージド イメージ
Gen2 ギャラリー イメージ バージョン
VM ゲストの状態情報はイメージ ソースに含まれません。
結果のイメージ バージョンを使って、Azure Gen2 VM またはトラステッド起動 VM を作成できます。
これらのイメージは、Azure Compute Gallery – 直接共有ギャラリー と Azure Compute Gallery - コミュニティ ギャラリー を使って共有できます。
Azure portal にサインインします。
検索バーで "VM イメージ バージョン " を検索して選びます
[VM イメージ バージョン] ページで、[作成] を選びます。
[VM イメージ バージョンの作成] ページの [基本] タブで、次のようにします。
Azure サブスクリプションを選択します。
既存のリソース グループを選択するか、新しいリソース グループを作成します。
Azure リージョンを選択します。
イメージのバージョン番号を入力します。
[ソース] で、[ストレージ BLOB (VHD)] または [マネージド イメージ] 、または別の [VM イメージ バージョン] を選びます
[Storage Blobs (VHD)] (ストレージ BLOB (VHD)) を選んだ場合は、OS ディスク VHD (VM ゲスト状態なし) を入力します。 Gen 2 VHD を使っていることを確認します。
[マネージド イメージ] を選んだ場合は、Gen 2 VM の既存のマネージド イメージを選びます。
[VM イメージ バージョン] を選択した場合は、既存の Gen2 VM ギャラリー イメージ バージョンを選びます。
[ターゲット Azure コンピュート ギャラリー] で、イメージを共有するギャラリーを選ぶか作成します。
[オペレーティング システムの状態] では、ユース ケースに応じて [一般化] または [特殊化] を選びます。 ソースとしてマネージド イメージを使っている場合は、常に [一般化] を選びます。 ストレージ BLOB (VHD) を使っていて、[一般化] を選びたい場合は、続ける前に、手順に従って Linux VHD を一般化 するか、、Windows VHD を一般化 します。 既存の VM イメージ バージョンを使用している場合は、ソース VM イメージ定義で使用されている内容に基づいて [一般化] または [特殊化] を選択します。
[ターゲット VM イメージ定義] で、[新規作成] を選びます。
[VM イメージ定義の作成] ペインで、定義の名前を入力します。 [セキュリティの種類] が [トラステッド起動がサポートされています] に設定されていることを確認します。 発行元、オファー、SKU の情報を入力します。 次に、[OK] を選びます。
必要に応じて、[レプリケーション] タブで、イメージ レプリケーションのレプリカ数とターゲット リージョンを入力します。
[暗号化] タブで、必要に応じて SSE 暗号化関連の情報を入力します。
[確認および作成] を選択します。
構成を確認して問題がなければ、[作成] を選んでイメージの作成を完了します。
イメージ バージョンが作成されたら、[VM の作成] を選びます。
[仮想マシンの作成] ページの [リソース グループ] で、[新規作成] を選択し、リソース グループの名前を入力するか、ドロップダウンから既存のリソース グループを選択します。
[インスタンスの詳細] で、仮想マシンの名前を入力し、トラステッド起動 がサポートされているリージョンを選択します。
[セキュリティの種類] で [トラステッド起動の仮想マシン] を選びます。 [セキュア ブート] と [vTPM] のチェックボックスは、既定で有効になっています。
[管理者アカウント] の情報を入力した後、 [受信ポートの規則] を指定します。
検証ページで、VM の詳細を確認します。
検証で問題がなければ、[作成] を選んで VM の作成を完了します。
最新バージョンの Azure CLI を実行していることを確認してください。
az login
を使用して Azure にサインインします。
az login
セキュリティの種類として TrustedLaunchSupported
を使用してイメージ定義を作成します
az sig image-definition create --resource-group MyResourceGroup --location eastus \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \
--os-type Linux --os-state Generalized \
--hyper-v-generation V2 \
--features SecurityType=TrustedLaunchSupported
OS ディスク VHD を使用してイメージ バージョンを作成します。 ここ で説明されている手順に従って、Azure ストレージ アカウント BLOB にアップロードする前に、Linux VHD が一般化されていることを確認します
az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--os-vhd-storage-account /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/imageGroups/providers/Microsoft.Storage/storageAccounts/mystorageaccount \
--os-vhd-uri https://mystorageaccount.blob.core.windows.net/container/path_to_vhd_file
上記のイメージ バージョンから、トラステッド起動 VM を作成します
adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
--name myTrustedLaunchVM \
--image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
--size Standard_D2s_v5 \
--security-type TrustedLaunch \
--enable-secure-boot true \
--enable-vtpm true \
--admin-username $adminUsername \
--generate-ssh-keys
セキュリティの種類として TrustedLaunchSupported
を使用してイメージ定義を作成します
$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunchSupported'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features
イメージ バージョンを作成するには、作成時に一般化された既存の Gen2 ギャラリー イメージ バージョンを使用できます。
$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/galleries/MyGallery/images/Gen2VMImageDef/versions/0.0.1"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId
上記のイメージ バージョンから、トラステッド起動 VM を作成します
$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
-GalleryName $galleryName `
-ResourceGroupName $rgName `
-Name $galleryImageDefinitionName
$cred = Get-Credential `
-Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
-Name mySubnet `
-AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
-ResourceGroupName $rgName `
-Location $location `
-Name MYvNET `
-AddressPrefix 192.168.0.0/16 `
-Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
-ResourceGroupName $rgName `
-Location $location `
-Name "mypublicdns$(Get-Random)" `
-AllocationMethod Static `
-IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
-Name myNetworkSecurityGroupRuleRDP `
-Protocol Tcp `
-Direction Inbound `
-Priority 1000 `
-SourceAddressPrefix * `
-SourcePortRange * `
-DestinationAddressPrefix * `
-DestinationPortRange 3389 `
-Access Deny
$nsg = New-AzNetworkSecurityGroup `
-ResourceGroupName $rgName `
-Location $location `
-Name myNetworkSecurityGroup `
-SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
-Name myNic `
-ResourceGroupName $rgName `
-Location $location `
-SubnetId $vnet.Subnets[0].Id `
-PublicIpAddressId $pip.Id `
-NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
Set-AzVMSourceImage -Id $imageDefinition.Id | `
Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
-EnableVtpm $true `
-EnableSecureBoot $true
New-AzVM `
-ResourceGroupName $rgName `
-Location $location `
-VM $vm
トラステッド起動 VM イメージ
次のイメージ ソースの場合、イメージ定義でセキュリティの種類を TrustedLaunch
に設定する必要があります。
トラステッド起動 VM キャプチャ
マネージド OS ディスク
マネージド OS ディスク スナップショット
結果のイメージ バージョンは、Azure トラステッド起動 VM の作成にのみ使用できます。
Azure Portal にサインインします。
VM から Azure Compute Gallery イメージを作成するには、既存のトラステッド起動 VM を開き、[キャプチャ] を選択します。
それに続く [イメージの作成] ページでは、イメージをギャラリーに対して、VM イメージの 1 つのバージョンとして共有することを許可します。 マネージド イメージの作成は、トラステッド起動 VM ではサポートされていません。
新しいターゲットの Azure Compute Gallery を作成するか、既存のギャラリーを選択します。
[オペレーティング システムの状態] は、[一般化] または [特殊化] のいずれかとして選択します。 一般化されたイメージを作成する場合は、このオプションを選択する前に、VM を一般化してマシン固有の情報を削除する ようにしてください。 トラステッド起動 Windows VM で Bitlocker ベースの暗号化が有効になっている場合、同じものを一般化できない可能性があります。
名前、発行元、オファー、SKU の詳細を指定して、新しいイメージ定義を作成します。 イメージ定義の [セキュリティの種類] は、既に [トラステッド起動] に設定されている必要があります。
イメージのバージョンについて、バージョン番号を指定します。
必要に応じてレプリケーション オプションを変更します。
[イメージの作成] ページの下部で、[確認と作成] を選択し、検証に合格したと表示されたら、[作成] を選択します。
イメージのバージョンが作成されたら、そのイメージのバージョンに直接移動します。 または、イメージ定義から、必要なイメージのバージョンに移動できます。
[VM イメージのバージョン] ページで [+ VM の作成] を選択し、[仮想マシンの作成] ページを開きます。
[仮想マシンの作成] ページの [リソース グループ] で、[新規作成] を選択し、リソース グループの名前を入力するか、ドロップダウンから既存のリソース グループを選択します。
[インスタンスの詳細] で、仮想マシンの名前を入力し、トラステッド起動 がサポートされているリージョンを選択します。
イメージとセキュリティの種類は、選択したイメージのバージョンに基づいて既に設定されています。 [セキュア ブート] と [vTPM] のチェックボックスは、既定で有効になっています。
[管理者アカウント] の情報を入力した後、 [受信ポートの規則] を指定します。
ページの下部にある [確認および作成] を選択します
検証ページで、VM の詳細を確認します。
検証で問題がなければ、[作成] を選んで VM の作成を完了します。
(トラステッド起動 VM の代わりに) イメージ バージョンのソースとしてマネージド ディスクまたはマネージド ディスク スナップショットを使用する場合は、次の手順を使用します。
ポータル にサインインします。
[VM イメージ バージョン] を検索して [作成] を選択します。
サブスクリプション、リソース グループ、リージョン、イメージ バージョン番号を指定します。
ソースは [ディスクやスナップショット] を選択します。
ドロップダウン リストから OS ディスクをマネージド ディスクまたはマネージド ディスク スナップショットとして選択します。
イメージを作成および共有するための [ターゲット Azure Compute Gallery] を選択します。 ギャラリーが存在しない場合は、新しいギャラリーを作成します。
[オペレーティング システムの状態] は、[一般化] または [特殊化] のいずれかとして選択します。 一般化されたイメージを作成する場合は、ディスクまたはスナップショットを一般化してマシン固有の情報を削除するようにしてください。
[ターゲット VM イメージ定義] で、[新規作成] を選択します。 表示されたウィンドウで、イメージ定義の名前を選択し、[セキュリティの種類] が [トラステッド起動] に設定されていることを確認します。 パブリッシャー、オファー、SKU の情報を指定して [OK] を選択します。
必要に応じて、[レプリケーション] タブを使用して、イメージ レプリケーションのレプリカ数とターゲット リージョンを設定できます。
必要に応じて、[暗号化] タブを使用して SSE 暗号化に関連する情報を提供することもできます。
[確認と作成] タブで [作成] を選択してイメージを作成します。
イメージ バージョンが正常に作成されたら、[+ VM の作成] を選択し、[仮想マシンの作成] ページを開きます。
前述の手順 12 から 18 に従い、このイメージ バージョンを使用してトラステッド起動 VM を作成します。
最新バージョンの Azure CLI を実行していることを確認してください。
az login
を使用して Azure にサインインします。
az login
セキュリティの種類として TrustedLaunch
を使用してイメージ定義を作成します
az sig image-definition create --resource-group MyResourceGroup --location eastus \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \
--os-type Linux --os-state Generalized \
--hyper-v-generation V2 \
--features SecurityType=TrustedLaunch
イメージ バージョンを作成するために、既存の Linux ベースのトラステッド起動 VM をキャプチャできます。 イメージ バージョンを作成する前に、トラステッド起動 VM を一般化 します。
az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--managed-image /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM
マネージド ディスクまたはマネージド ディスク スナップショットをイメージ バージョンのイメージ ソースとして使用する必要がある場合は、上記のコマンドの --managed-image を --os-snapshot に置き換えて、ディスクまたはスナップショット リソース名を指定します。
上記のイメージ バージョンから、トラステッド起動 VM を作成します
adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
--name myTrustedLaunchVM \
--image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
--size Standard_D2s_v5 \
--security-type TrustedLaunch \
--enable-secure-boot true \
--enable-vtpm true \
--admin-username $adminUsername \
--generate-ssh-keys
セキュリティの種類として TrustedLaunch
を使用してイメージ定義を作成します
$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunch'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features
イメージ バージョンを作成するために、既存の Windows ベースのトラステッド起動 VM をキャプチャできます。 イメージ バージョンを作成する前に、トラステッド起動 VM を一般化 します。
$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/virtualMachines/myVM"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId
上記のイメージ バージョンから、トラステッド起動 VM を作成します
$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
-GalleryName $galleryName `
-ResourceGroupName $rgName `
-Name $galleryImageDefinitionName
$cred = Get-Credential `
-Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
-Name mySubnet `
-AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
-ResourceGroupName $rgName `
-Location $location `
-Name MYvNET `
-AddressPrefix 192.168.0.0/16 `
-Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
-ResourceGroupName $rgName `
-Location $location `
-Name "mypublicdns$(Get-Random)" `
-AllocationMethod Static `
-IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
-Name myNetworkSecurityGroupRuleRDP `
-Protocol Tcp `
-Direction Inbound `
-Priority 1000 `
-SourceAddressPrefix * `
-SourcePortRange * `
-DestinationAddressPrefix * `
-DestinationPortRange 3389 `
-Access Deny
$nsg = New-AzNetworkSecurityGroup `
-ResourceGroupName $rgName `
-Location $location `
-Name myNetworkSecurityGroup `
-SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
-Name myNic `
-ResourceGroupName $rgName `
-Location $location `
-SubnetId $vnet.Subnets[0].Id `
-PublicIpAddressId $pip.Id `
-NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
Set-AzVMSourceImage -Id $imageDefinition.Id | `
Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
-EnableVtpm $true `
-EnableSecureBoot $true
New-AzVM `
-ResourceGroupName $rgName `
-Location $location `
-VM $vm
設定を確認または更新する
トラステッド起動を有効にして作成された VM の場合は、Azure portal で VM の [概要] ページに移動することにより、トラステッド起動の構成を表示できます。 [プロパティ] タブには、トラステッド起動機能のステータスが表示されます。
トラステッド起動の構成を変更するには、左側のメニューの [設定] セクションで [構成] を選択します。 セキュア ブート、vTPM、整合性の監視は、[セキュリティの種類] セクションで有効または無効にすることができます。 終わったら、ページの上部にある [保存] を選択します。
VM が実行中である場合、VM が再起動されるというメッセージが表示されます。 [はい] を選択した後、VM が再起動されて変更が有効になるまで待ちます。
次のステップ
トラステッド起動 とブート整合性の監視 の VM の詳細を確認します。