Развертывание виртуальной машины с включенным доверенным запуском

Применимо к: ✔️ Виртуальные машины Linux ✔️ Виртуальные машины Windows ✔️ Универсальные масштабируемые наборы

Доверенный запуск — это способ повысить безопасность виртуальных машин поколения 2. Доверенный запуск защищает от сложных и постоянных атак путем сочетания инфраструктурных технологий, таких как vTPM и безопасная загрузка.

Необходимые компоненты

• Необходимо подключить подписку к Microsoft Defender для облака, если это еще не сделано. Microsoft Defender для облака имеет уровень "Бесплатный", который предоставляет очень полезные аналитические сведения для различных ресурсов Azure и гибридных ресурсов. Доверенный запуск использует Defender для облака, чтобы получить несколько рекомендаций относительно работоспособности виртуальной машины.

• Назначение инициатив по политикам Azure для подписки. Эти инициативы политик необходимо назначить только один раз для каждой подписки. При этом будут автоматически установлены все необходимые расширения на всех поддерживаемых виртуальных машинах.

  • Настройте предварительные требования для включения гостевой аттестации на виртуальных машинах с поддержкой доверенного запуска.

  • Настройте компьютеры для автоматической установки агентов Azure Monitor и Azure Security на виртуальных машинах.

• Разрешить тег службы AzureAttestation в правилах исходящего трафика NSG, чтобы разрешить трафик для Microsoft Аттестация Azure. Ознакомьтесь с тегами службы виртуальной сети.

• Убедитесь, что политики брандмауэра разрешают доступ *.attest.azure.net.

Примечание.

Если вы используете образ Linux и ожидаете, что виртуальная машина может иметь драйверы ядра либо без знака, либо не подписаны поставщиком дистрибутива Linux, то вам может потребоваться отключить безопасную загрузку. В портал Azure на странице "Создание виртуальной машины" параметра "Тип безопасности" с выбранным параметром "Доверенный запуск Виртуальные машины" щелкните "Настройка функций безопасности" и un проверка поле "Включить безопасную загрузку" проверка box. В CLI, PowerShell или SDK задайте для параметра безопасной загрузки значение false.

Развертывание виртуальной машины с доверенным запуском

Создайте виртуальную машину с включенным доверенным запуском. Выберите вариант ниже.

Портал

1. Войдите на портал Azure.
2. Найдите раздел Виртуальные машины.
3. В разделе Службы выберите Виртуальные машины.
4. На странице Виртуальные машины выберите Добавить, а затем — Виртуальная машина.
5. На вкладке Сведения о проекте должна быть выбрана правильная подписка.
6. В разделе Группа ресурсов выберите Создать и введите имя группы ресурсов либо выберите имеющуюся группу из раскрывающегося списка.
7. В разделе Сведения об экземпляре введите имя виртуальной машины и выберите регион, который поддерживает доверенный запуск.
8. В поле Тип безопасности выберите Доверенный запуск виртуальных машин. Это приведет к отображению трех дополнительных параметров: безопасная загрузка, vTPM и мониторинг целостности. Выберите вариант для своего развертывания. Дополнительные сведения о функциях безопасности с поддержкой доверенного запуска.
9. В разделе Образ выберите образ из рекомендованных образов 2-го поколения, совместимых с доверенным запуском. Список см. в разделе "Доверенный запуск".

   Совет

   Если вы не видите в раскрывающемся списке версию образа 2-го поколения, выберите Просмотреть все образы, а затем измените фильтр Тип безопасности на Доверенный запуск.

10. Выберите размер виртуальной машины, который поддерживает доверенный запуск. Ознакомьтесь со списком поддерживаемых размеров.
11. Введите данные учетной записи администратора, а затем задайте правила для входящих портов.
12. Внизу страницы выберите Проверить и создать.
13. На странице Создание виртуальной машины отобразятся сведения о развертываемой виртуальной машине. Когда проверка отобразится как пройденная, выберите Создать.

Развертывание виртуальной машины может занять несколько минут.

CLI

Убедитесь, что запущена последняя версия Azure CLI.

Войдите в Azure, используя команду az login.

az login 

Создайте виртуальную машину с доверенным запуском.

az group create -n myresourceGroup -l eastus 

az vm create \
   --resource-group myResourceGroup \
   --name myVM \
   --image Canonical:UbuntuServer:18_04-lts-gen2:latest \
   --admin-username azureuser \
   --generate-ssh-keys \
   --security-type TrustedLaunch \
   --enable-secure-boot true \ 
   --enable-vtpm true 

Для существующих виртуальных машин можно включить или отключить параметры безопасной загрузки и vTPM. Обновление виртуальной машины с параметрами безопасной загрузки и vTPM активирует автоматическую перезагрузку.

az vm update \
   --resource-group myResourceGroup \
   --name myVM \
   --enable-secure-boot true \
   --enable-vtpm true 

Дополнительные сведения об установке мониторинга целостности загрузки с помощью расширения аттестации гостей см. в разделе "Целостность загрузки".

PowerShell

Чтобы подготовить к работе виртуальную машину с доверенным запуском, сначала необходимо включить TrustedLaunch с помощью командлета Set-AzVmSecurityProfile. Затем можно использовать командлет Set-AzVmUefi, чтобы задать конфигурацию для vTPM и безопасной загрузки. Используйте приведенный ниже фрагмент кода для быстрого запуска, не забудьте заменить значения в этом примере собственными.

$rgName = "myResourceGroup"
$location = "West US"
$vmName = "myTrustedVM"
$vmSize = Standard_B2s
$publisher = "MicrosoftWindowsServer"
$offer = "WindowsServer"
$sku = "2019-datacenter-gensecond"
$version = latest
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine."

$vm = New-AzVMConfig -VMName $vmName -VMSize $vmSize 

$vm = Set-AzVMOperatingSystem `
   -VM $vm -Windows `
   -ComputerName $vmName `
   -Credential $cred `
   -ProvisionVMAgent `
   -EnableAutoUpdate 

$vm = Add-AzVMNetworkInterface -VM $vm `
   -Id $NIC.Id 

$vm = Set-AzVMSourceImage -VM $vm `
   -PublisherName $publisher `
   -Offer $offer `
   -Skus $sku `
   -Version $version 

$vm = Set-AzVMOSDisk -VM $vm `
   -StorageAccountType "StandardSSD_LRS" `
   -CreateOption "FromImage" 

$vm = Set-AzVmSecurityProfile -VM $vm `
   -SecurityType "TrustedLaunch" 

$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 

New-AzVM -ResourceGroupName $rgName -Location $location -VM $vm 

Шаблон

Виртуальные машины с доверенным запуском можно развертывать с помощью шаблона быстрого запуска.

Linux

Windows

Развертывание доверенной виртуальной машины запуска из образа коллекции вычислений Azure

Доверенные виртуальные машины Запуска Azure поддерживают создание и совместное использование пользовательских образов с помощью коллекции вычислений Azure. Существует два типа изображений, которые можно создать на основе типов безопасности образа:

• Рекомендуемые образы поддерживаемыхдоверенных виртуальных машин запуска — это образы, в которых источник не содержит сведения о состоянии гостевой виртуальной машиныTrustedLaunchSupported и может использоваться для создания виртуальных машин поколения 2 или доверенных виртуальных машин запуска.
• Образы доверенной виртуальной машины запуска — это образы, в которых источник обычно содержит сведения о состоянии гостевой виртуальной машиныTrustedLaunch и может использоваться для создания только доверенных виртуальных машин запуска.

Поддерживаемые образы доверенной виртуальной машины запуска

Для следующих источников изображений необходимо задать TrustedLaunchsupportedтип безопасности определения образа:

• Виртуальный жесткий диск операционной системы 2-го поколения
• Управляемый образ 2-го поколения
• Версия образа коллекции 2-го поколения

Сведения о состоянии гостевой виртуальной машины не должны быть включены в источник образа.

Полученную версию образа можно использовать для создания виртуальных машин Azure 2-го поколения или доверенных виртуальных машин запуска.

Эти образы можно совместно использовать с помощью коллекции вычислений Azure — прямая общая коллекция и коллекция вычислений Azure — коллекция сообщества

Примечание.

Виртуальный жесткий диск ОС, управляемый образ или версия образа коллекции должны быть созданы на основе образа 2-го поколения, совместимого с доверенными виртуальными машинами запуска.

Портал

1. Войдите на портал Azure.
2. Поиск и выбор версий образов виртуальной машины в строке поиска
3. На странице версий образов виртуальной машины нажмите кнопку "Создать".
4. На странице "Создание образа виртуальной машины" на вкладке "Основные сведения":
   1. Выберите подписку Azure.
   2. Выберите существующую группу ресурсов или создайте новую.
   3. Выберите регион Azure.
   4. Введите номер версии образа.
   5. Для источника выберите служба хранилища BLOB-объекты (VHD) или Управляемый образ или другую версию образа виртуальной машины
   6. Если вы выбрали служба хранилища BLOB-объекты (VHD), введите виртуальный жесткий диск ОС (без состояния гостевой виртуальной машины). Обязательно используйте виртуальный жесткий диск 2-го поколения.
   7. Если выбран управляемый образ, выберите существующий управляемый образ виртуальной машины 2-го поколения.
   8. Если выбрана версия образа виртуальной машины, выберите существующую версию образа коллекции виртуальной машины 2-го поколения.
   9. Для целевой коллекции вычислений Azure выберите или создайте коллекцию, чтобы предоставить общий доступ к изображению.
   10. Для состояния операционной системы выберите "Обобщенный " или "Специализированный " в зависимости от варианта использования. Если вы используете управляемый образ в качестве источника, всегда выберите "Обобщенный". Если вы используете большой двоичный объект хранилища (VHD) и хотите выбрать обобщенный, выполните действия, чтобы обобщить виртуальный жесткий диск Linux или обобщение виртуального жесткого диска Windows, прежде чем продолжить. Если вы используете существующую версию образа виртуальной машины, выберите "Обобщенный " или "Специализированный " на основе того, что используется в определении исходного образа виртуальной машины.
   11. Для определения образа целевой виртуальной машины нажмите кнопку "Создать".
   12. В области определения образа виртуальной машины введите имя определения. Убедитесь, что для типа безопасности задано значение Trustedlaunch Supported. Введите сведения о издателе, предложении и номере SKU. Затем нажмите кнопку "ОК".
5. На вкладке репликации введите количество реплика и целевые области для реплика изображения при необходимости.
6. На вкладке "Шифрование" введите сведения, связанные с шифрованием SSE, при необходимости.
7. Выберите Review + Create (Просмотреть и создать).
8. После успешной проверки конфигурации нажмите кнопку "Создать ", чтобы завершить создание образа.
9. После создания версии образа нажмите кнопку "Создать виртуальную машину".
10. На странице "Создание виртуальной машины" в разделе Группа ресурсов выберите Создать и введите имя группы ресурсов либо выберите имеющуюся группу из раскрывающегося списка.
11. В разделе Сведения об экземпляре введите имя виртуальной машины и выберите регион, который поддерживает доверенный запуск.
12. Выберите доверенные виртуальные машины запуска в качестве типа безопасности. Флажки Безопасная загрузка и vTPM установлены по умолчанию.
13. Введите данные учетной записи администратора, а затем задайте правила для входящих портов.
14. На странице проверки просмотрите сведения о виртуальной машине.
15. После успешной проверки нажмите кнопку "Создать ", чтобы завершить создание виртуальной машины.

CLI

Убедитесь, что запущена последняя версия Azure CLI.

Войдите в Azure, используя команду az login.

az login 

Создание определения образа с типом безопасности TrustedLaunchSupported

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunchSupported

Создайте версию образа с помощью виртуального жесткого диска ОС. Убедитесь, что виртуальный жесткий диск Linux был обобщен перед отправкой в большой двоичный объект учетной записи хранения Azure, выполнив описанные здесь действия.

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--os-vhd-storage-account /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/imageGroups/providers/Microsoft.Storage/storageAccounts/mystorageaccount \
--os-vhd-uri https://mystorageaccount.blob.core.windows.net/container/path_to_vhd_file

Создание доверенной виртуальной машины запуска из приведенной выше версии образа

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

PowerShell

Создание определения образа с типом безопасности TrustedLaunchSupported

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunchSupported'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

Чтобы создать версию образа, можно использовать существующую версию образа коллекции 2-го поколения, которая была обобщена во время создания.

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/galleries/MyGallery/images/Gen2VMImageDef/versions/0.0.1"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

Создание доверенной виртуальной машины запуска из приведенной выше версии образа

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

Доверенные образы запуска виртуальных машин

Для следующих источников изображений необходимо задать TrustedLaunchтип безопасности определения образа:

• Запись доверенного запуска виртуальной машины
• Управляемый диск ОС
• Моментальный снимок управляемого диска ОС

Полученная версия образа может использоваться только для создания виртуальных машин доверенного запуска Azure.

Портал

1. Войдите на портал Azure.
2. Чтобы создать образ коллекции вычислений Azure на виртуальной машине, откройте существующую виртуальную машину доверенного запуска и выберите Записать.
3. На странице создания образа разрешите коллекции доступ к образу в качестве версии образа виртуальной машины, Создание управляемых образов не поддерживается для виртуальных машин доверенного запуска.
4. Создайте новую целевую коллекцию вычислений Azure или выберите существующую коллекцию.
5. Выберите для параметра Состояние операционной системы значение Универсальная или Специализированная. Если вы хотите создать универсальный образ, убедитесь, что вы подготовили виртуальную машину, чтобы удалить связанную с ней информацию, прежде чем выбирать этот параметр. Если на вашей виртуальной машине Windows с доверенным запуском включено шифрование на основе Bitlocker, вы не сможете подготовить ее.
6. Создайте определение образа, указав имя, издателя, предложение и номер SKU. Для параметра Тип безопасности определения образа уже указано значение Доверенный запуск.
7. Укажите номер версии для образа.
8. При необходимости измените параметры репликации.
9. В нижней части страницы Создание изображения нажмите Просмотр и создание, а после прохождения проверки нажмите кнопку Создать.
10. После создания версии образа перейдите непосредственно к версии образа. Кроме того, можно перейти к требуемой версии образа с помощью определения образа.
11. На странице Версия образа виртуальной машины выберите + Создать виртуальную машину, чтобы открыть страницу "Создание виртуальной машины".
12. На странице "Создание виртуальной машины" в разделе Группа ресурсов выберите Создать и введите имя группы ресурсов либо выберите имеющуюся группу из раскрывающегося списка.
13. В разделе Сведения об экземпляре введите имя виртуальной машины и выберите регион, который поддерживает доверенный запуск.
14. Значения образа и типа безопасности уже заполнены на основе версии выбранного образа. Флажки Безопасная загрузка и vTPM установлены по умолчанию.
15. Введите данные учетной записи администратора, а затем задайте правила для входящих портов.
16. Внизу страницы выберите Проверить и создать.
17. На странице проверки просмотрите сведения о виртуальной машине.
18. После успешной проверки нажмите кнопку "Создать ", чтобы завершить создание виртуальной машины.

Если вы хотите использовать управляемый диск или моментальный снимок управляемого диска в качестве источника версии образа (вместо виртуальной машины доверенного запуска):

1. Войдите на портал.
2. Введите версий образов виртуальной машины для поиска и щелкните Создать.
3. Укажите подписку, группу ресурсов, регион и номер версии образа.
4. Укажите источник для параметра Диски и (или) моментальные снимки
5. Выберите диск ОС в качестве управляемого диска или моментального снимка управляемого диска в раскрывающемся списке.
6. Выберите Целевая Коллекция вычислений Azure, чтобы создать образ и предоставить к нему доступ. Если коллекция не существует, создайте новую.
7. Выберите для параметра Состояние операционной системы значение Универсальная или Специализированная. Если вы хотите создать универсальный образ, убедитесь, что вы подготовили диск или моментальный снимок, чтобы удалить связанную с виртуальной машиной информацию.
8. Для параметра Целевое определение образа виртуальной машины выберите "Создать". В открывшемся окне выберите имя определения образа и убедитесь, что для параметра Тип безопасности задано значение Доверенный запуск. Укажите сведения о издателе, предложении и номере SKU и щелкните ОК.
9. Вкладку Репликация при необходимости можно использовать для установки количества реплик и целевых регионов для репликации образа.
10. Вкладку Шифрование при необходимости также можно использовать для предоставления информации, связанной с шифрованием SSE.
11. Щелкните Создать на вкладке Просмотр и создание, чтобы создать образ.
12. После успешного создания версии образа выберите + Создать виртуальную машину, чтобы перейти на страницу создания виртуальной машины.
13. Выполните шаги 12–18, как упоминание ранее, чтобы создать виртуальную машину доверенного запуска с помощью этой версии образа

CLI

Убедитесь, что запущена последняя версия Azure CLI.

Войдите в Azure, используя команду az login.

az login 

Создание определения образа с типом безопасности TrustedLaunch

az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
--gallery-name MyGallery --gallery-image-definition MyImageDef \ 
--publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
--os-type Linux --os-state Generalized \ 
--hyper-v-generation V2 \ 
--features SecurityType=TrustedLaunch

Чтобы создать версию образа, мы можем захватить существующую виртуальную машину доверенного запуска на базе Linux. Подготовьте виртуальную машину доверенного запуска перед созданием версии образа.

az sig image-version create --resource-group MyResourceGroup \
--gallery-name MyGallery --gallery-image-definition MyImageDef \
--gallery-image-version 1.0.0 \
--managed-image /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM

Если управляемый диск или моментальный снимок управляемого диска необходимо использовать в качестве источника образа для версии образа, измените --managed-image в приведенной выше команде на --os-snapshot и укажите диск или имя ресурса моментального снимка.

Создание доверенной виртуальной машины запуска из приведенной выше версии образа

adminUsername=linuxvm
az vm create --resource-group MyResourceGroup \
    --name myTrustedLaunchVM \
    --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
    --size Standard_D2s_v5 \
    --security-type TrustedLaunch \
    --enable-secure-boot true \ 
    --enable-vtpm true \
    --admin-username $adminUsername \
    --generate-ssh-keys

PowerShell

Создание определения образа с типом безопасности TrustedLaunch

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$publisherName = "TrustedlaunchPublisher"
$offerName = "TrustedlaunchOffer"
$skuName = "TrustedlaunchSku"
$description = "My gallery"
$SecurityType = @{Name='SecurityType';Value='TrustedLaunch'}
$features = @($SecurityType)
New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features

Чтобы создать версию образа, мы можем захватить существующую виртуальную машину доверенного запуска на базе Windows. Подготовьте виртуальную машину доверенного запуска перед созданием версии образа.

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$galleryImageVersionName = "1.0.0"
$sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/virtualMachines/myVM"
New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId

Создание доверенной виртуальной машины запуска из приведенной выше версии образа

$rgName = "MyResourceGroup"
$galleryName = "MyGallery"
$galleryImageDefinitionName = "MyImageDef"
$location = "eastus"
$vmName = "myVMfromImage"
$vmSize = "Standard_D2s_v5"
$imageDefinition = Get-AzGalleryImageDefinition `
   -GalleryName $galleryName `
   -ResourceGroupName $rgName `
   -Name $galleryImageDefinitionName
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine"
# Network pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig `
   -Name mySubnet `
   -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork `
   -ResourceGroupName $rgName `
   -Location $location `
   -Name MYvNET `
   -AddressPrefix 192.168.0.0/16 `
   -Subnet $subnetConfig
$pip = New-AzPublicIpAddress `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name "mypublicdns$(Get-Random)" `
  -AllocationMethod Static `
  -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
   -Name myNetworkSecurityGroupRuleRDP  `
   -Protocol Tcp `
  -Direction Inbound `
   -Priority 1000 `
   -SourceAddressPrefix * `
   -SourcePortRange * `
   -DestinationAddressPrefix * `
   -DestinationPortRange 3389 `
   -Access Deny
$nsg = New-AzNetworkSecurityGroup `
   -ResourceGroupName $rgName `
   -Location $location `
  -Name myNetworkSecurityGroup `
  -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface `
   -Name myNic `
   -ResourceGroupName $rgName `
   -Location $location `
  -SubnetId $vnet.Subnets[0].Id `
  -PublicIpAddressId $pip.Id `
  -NetworkSecurityGroupId $nsg.Id
$vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
      Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
      Set-AzVMSourceImage -Id $imageDefinition.Id | `
      Add-AzVMNetworkInterface -Id $nic.Id
$vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 
New-AzVM `
   -ResourceGroupName $rgName `
   -Location $location `
   -VM $vm

Проверка или обновление параметров

Для виртуальных машин, созданных с включенным доверенным запуском, можно просмотреть конфигурацию доверенного запуска, перейдя на страницу обзора виртуальной машины в портал Azure. На вкладке Свойства отображается состояние функций доверенного запуска:

Чтобы изменить конфигурацию доверенного запуска, в меню слева в разделе Параметры выберите "Конфигурация". Вы можете включить или отключить безопасную загрузку, vTPM и мониторинг целостности из раздела "Тип безопасности". После завершения выберите команду Сохранить в верхней части страницы.

Если виртуальная машина работает, вы получите сообщение о том, что она будет перезапущена. Чтобы изменения вступили в силу, выберите Да и дождитесь перезапуска виртуальной машины.

Следующие шаги

Дополнительные сведения о доверенном запуске и мониторинге целостности загрузки виртуальных машин.