Bereitstellen einer VM mit aktiviertem vertrauenswürdigem Start

1. Melden Sie sich beim Azure-Portal an.

2. Suchen Sie nach Virtuellen Computern.

3. Wählen Sie unter Dienste die Option Virtuelle Computer aus.

4. Wählen Sie auf der Seite VMs die Option Hinzufügen und dann VM aus.

5. Stellen Sie sicher, dass unter Projektdetails das richtige Abonnement ausgewählt ist.

6. Wählen Sie unter Ressourcengruppe die Option Neu erstellen aus. Geben Sie einen Namen für Ihre Ressourcengruppe ein, oder wählen Sie eine vorhandene Ressourcengruppe aus der Dropdownliste aus.

7. Geben Sie unter Instanzdetails einen Namen für den VM-Namen ein, und wählen Sie eine Region aus, die vertrauenswürdigen Start unterstützt.

8. Wählen Sie als Sicherheitstyp die Option VM mit vertrauenswürdigem Start aus. Wenn die Optionen Sicherer Start, vTPM und Integritätsüberwachung angezeigt werden, wählen Sie die entsprechenden Optionen für Ihre Bereitstellung aus. Weitere Informationen finden Sie unter Sicherheitsfeatures mit aktiviertem vertrauenswürdigem Start.

   

9. Wählen Sie unter Image ein Image aus Empfohlene Gen 2-Images mit Kompatibilität für vertrauenswürdigen Start aus. Eine Liste finden Sie unter Vertrauenswürdiger Start.

   Tipp

   Wenn die Gen2-Version des von Ihnen gewünschten Images in der Dropdownliste nicht angezeigt wird, wählen Sie Alle Images anzeigen aus. Ändern Sie dann den Filter Sicherheitstyp in Vertrauenswürdiger Start.

10. Wählen Sie eine VM-Größe, die „Vertrauenswürdiger Start“ unterstützt. Weitere Informationen finden Sie in der Liste der unterstützten Größen.

11. Geben Sie die Informationen für das Administratorkonto und dann die Regeln für eingehende Ports ein.

12. Wählen Sie unten auf der Seite die Option Überprüfen + Erstellen aus.

13. Auf der Seite Erstellen einer VM sehen Sie die Informationen über die VM, die Sie bereitstellen möchten. Nachdem die Überprüfung als „bestanden“ angezeigt wird, wählen Sie Erstellen aus.

Die Bereitstellung der VM dauert ein paar Minuten.

Stellen Sie sicher, dass Sie die aktuelle Version der Azure CLI ausführen.

1. Anmelden bei Azure mithilfe von az login.

   az login 
   

2. Erstellen Sie eine VM mit vertrauenswürdigem Start.

   az group create -n myresourceGroup -l eastus 
   
   az vm create \
      --resource-group myResourceGroup \
      --name myVM \
      --image Canonical:UbuntuServer:18_04-lts-gen2:latest \
      --admin-username azureuser \
      --generate-ssh-keys \
      --security-type TrustedLaunch \
      --enable-secure-boot true \ 
      --enable-vtpm true 
   

3. Für vorhandene VMs können Sie die Einstellungen für den sicheren Start und vTPM aktivieren oder deaktivieren. Das Aktualisieren der VM mit Einstellungen für sicheren Start und vTPM löst den automatischen Neustart aus.

   az vm update \
      --resource-group myResourceGroup \
      --name myVM \
      --enable-secure-boot true \
      --enable-vtpm true 
   

Weitere Informationen zum Installieren der Startintegritätsüberwachung über die Erweiterung „Gastnachweis“ finden Sie unter Startintegrität.

Um eine VM mit vertrauenswürdigem Start bereitstellen zu können, muss sie zunächst mithilfe des Cmdlets Set-AzVmSecurityProfile mit dem Parameter TrustedLaunch aktiviert werden. Anschließend können Sie das Cmdlet Set-AzVmUefi verwenden, um die Konfiguration für vTPM und sicheren Start festzulegen. Verwenden Sie den folgenden Codeschnipsel als Schnellstart. Denken Sie daran, die Werte in diesem Beispiel durch Ihre eigenen Werte zu ersetzen.

$rgName = "myResourceGroup"
$location = "West US"
$vmName = "myTrustedVM"
$vmSize = Standard_B2s
$publisher = "MicrosoftWindowsServer"
$offer = "WindowsServer"
$sku = "2019-datacenter-gensecond"
$version = latest
$cred = Get-Credential `
   -Message "Enter a username and password for the virtual machine."

$vm = New-AzVMConfig -VMName $vmName -VMSize $vmSize 

$vm = Set-AzVMOperatingSystem `
   -VM $vm -Windows `
   -ComputerName $vmName `
   -Credential $cred `
   -ProvisionVMAgent `
   -EnableAutoUpdate 

$vm = Add-AzVMNetworkInterface -VM $vm `
   -Id $NIC.Id 

$vm = Set-AzVMSourceImage -VM $vm `
   -PublisherName $publisher `
   -Offer $offer `
   -Skus $sku `
   -Version $version 

$vm = Set-AzVMOSDisk -VM $vm `
   -StorageAccountType "StandardSSD_LRS" `
   -CreateOption "FromImage" 

$vm = Set-AzVmSecurityProfile -VM $vm `
   -SecurityType "TrustedLaunch" 

$vm = Set-AzVmUefi -VM $vm `
   -EnableVtpm $true `
   -EnableSecureBoot $true 

New-AzVM -ResourceGroupName $rgName -Location $location -VM $vm 

Sie können VMs mit vertrauenswürdigem Start mithilfe einer Schnellstartvorlage bereitstellen.

Linux

Windows

1. Melden Sie sich beim Azure-Portal an.
2. Suchen Sie in der Suchleiste nach VM-Imageversionen und wählen Sie diese aus.
3. Wählen Sie auf der Seite VM-Imageversionen die Option Erstellen aus.
4. Auf der Seite VM-Imageversion erstellen, auf der Registerkarte Grundlagen:
   1. Wählen Sie das Azure-Abonnement aus.
   2. Wählen Sie eine vorhandene Ressourcengruppe aus, oder erstellen Sie eine neue Ressourcengruppe.
   3. Wählen Sie die Azure-Region aus.
   4. Geben Sie eine Imageversionsnummer ein.
   5. Wählen Sie für Quelle entweder Speicherblobs (VHD), Verwaltetes Image oder eine andere VM-Imageversion aus.
   6. Wenn Sie Speicher-Blobs (VHD) ausgewählt haben, geben Sie eine Betriebssystemdatenträger-VHD (ohne den VM-Gaststatus) ein. Stellen Sie sicher, dass Sie eine Gen2-VHD verwenden.
   7. Wenn Sie Verwaltetes Image ausgewählt haben, wählen Sie ein vorhandenes verwaltetes Image einer Gen2-VM aus.
   8. Wenn Sie die VM-Imageversion ausgewählt haben, wählen Sie eine vorhandene Katalogimageversion einer Gen2-VM aus.
   9. Wählen oder erstellen Sie einen Katalog für Ziel-Azure Compute Gallery, um das Image freizugeben.
   10. Wählen Sie für den Betriebssystemzustand je nach Ihrem Anwendungsfall Generalisiert oder Spezialisiert aus. Wenn Sie ein verwaltetes Image als Quelle verwenden, wählen Sie immer Generalisiert aus. Wenn Sie ein Speicher-Blob (VHD) verwenden und Generalisiert auswählen möchten, führen Sie die Schritte aus, um eine Linux-VHD zu generalisieren oder eine Windows-VHD zu generalisieren, bevor Sie fortfahren. Wenn Sie eine vorhandene VM-Imageversion verwenden, wählen Sie Generalisiert oder Spezialisiert aus, je nachdem, was in der VM-Imagedefinition der Quelle verwendet wird.
   11. Wählen Sie für die Ziel-VM-Imagedefinition die Option Neu erstellen aus.
   12. Geben Sie im Bereich VM-Imagedefinition erstellen einen Namen für die Definition ein. Stellen Sie sicher, dass der Sicherheitstyp auf Unterstützung für vertrauenswürdigen Start festgelegt ist. Geben Sie Herausgeber, Angebot und SKU-Informationen an. Wählen Sie dann OK aus.
5. Geben Sie auf der Registerkarte Replikation die Replikatanzahl und die Zielregionen für die Imagereplikation ein, sofern erforderlich.
6. Geben Sie auf der Registerkarte Verschlüsselung Informationen im Zusammenhang mit der SSE-Verschlüsselung ein, falls erforderlich.
7. Klicken Sie auf Überprüfen + erstellen.
8. Nachdem die Konfiguration erfolgreich überprüft wurde, wählen Sie Erstellen aus, um das Erstellen des Images abzuschließen.
9. Nachdem die Imageversion erfolgreich erstellt wurde, wählen Sie VM erstellen aus.
10. Wählen Sie auf der Seite VM erstellen unter Ressourcengruppe die Option Neu erstellen aus. Geben Sie einen Namen für Ihre Ressourcengruppe ein, oder wählen Sie eine vorhandene Ressourcengruppe aus der Dropdownliste aus.
11. Geben Sie unter Instanzdetails einen Namen für den VM-Namen ein, und wählen Sie eine Region aus, die vertrauenswürdigen Start unterstützt.
12. Wählen Sie als Sicherheitstyp die Option VM mit vertrauenswürdigem Start aus. Die Kontrollkästchen Sicherer Start und vTPM sind standardmäßig aktiviert.
13. Geben Sie die Informationen für das Administratorkonto und dann die Regeln für eingehende Ports ein.
14. Überprüfen Sie auf der Überprüfungsseite die Details des virtuellen Computers.
15. Wenn die Überprüfung erfolgreich verläuft, wählen Sie Erstellen aus, um das Erstellen der VM abzuschließen.

Stellen Sie sicher, dass Sie die aktuelle Version der Azure CLI ausführen.

1. Anmelden bei Azure mithilfe von az login.

   az login 
   

2. Erstellen Sie eine Imagedefinition mit dem Sicherheitstyp TrustedLaunchSupported.

   az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
   --gallery-name MyGallery --gallery-image-definition MyImageDef \ 
   --publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
   --os-type Linux --os-state Generalized \ 
   --hyper-v-generation V2 \ 
   --features SecurityType=TrustedLaunchSupported
   

3. Verwenden Sie eine VHD mit Betriebssystemdatenträger, um eine Imageversion zu erstellen. Stellen Sie sicher, dass die Linux-VHD generalisiert wurde, bevor Sie diese in ein Azure Storage-Kontoblob hochladen, indem Sie die Schritte unter Vorbereiten von Linux für die Imageerstellung in Azure verwenden.

   az sig image-version create --resource-group MyResourceGroup \
   --gallery-name MyGallery --gallery-image-definition MyImageDef \
   --gallery-image-version 1.0.0 \
   --os-vhd-storage-account /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/imageGroups/providers/Microsoft.Storage/storageAccounts/mystorageaccount \
   --os-vhd-uri https://mystorageaccount.blob.core.windows.net/container/path_to_vhd_file
   

4. Erstellen Sie eine VM mit vertrauenswürdigem Start aus der vorherigen Imageversion.

   adminUsername=linuxvm
   az vm create --resource-group MyResourceGroup \
       --name myTrustedLaunchVM \
       --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
       --size Standard_D2s_v5 \
       --security-type TrustedLaunch \
       --enable-secure-boot true \ 
       --enable-vtpm true \
       --admin-username $adminUsername \
       --generate-ssh-keys
   

1. Erstellen Sie eine Imagedefinition mit dem Sicherheitstyp TrustedLaunchSupported.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $publisherName = "TrustedlaunchPublisher"
   $offerName = "TrustedlaunchOffer"
   $skuName = "TrustedlaunchSku"
   $description = "My gallery"
   $SecurityType = @{Name='SecurityType';Value='TrustedLaunchSupported'}
   $features = @($SecurityType)
   New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features
   

2. Um eine Imageversion zu erstellen, können Sie eine vorhandene Gen2-Katalogimageversion verwenden, die während der Erstellung generalisiert wurde.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $galleryImageVersionName = "1.0.0"
   $sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/galleries/MyGallery/images/Gen2VMImageDef/versions/0.0.1"
   New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId
   

3. Erstellen Sie eine VM mit vertrauenswürdigem Start aus der vorherigen Imageversion.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $vmName = "myVMfromImage"
   $vmSize = "Standard_D2s_v5"
   $imageDefinition = Get-AzGalleryImageDefinition `
      -GalleryName $galleryName `
      -ResourceGroupName $rgName `
      -Name $galleryImageDefinitionName
   $cred = Get-Credential `
      -Message "Enter a username and password for the virtual machine"
   # Network pieces
   $subnetConfig = New-AzVirtualNetworkSubnetConfig `
      -Name mySubnet `
      -AddressPrefix 192.168.1.0/24
   $vnet = New-AzVirtualNetwork `
      -ResourceGroupName $rgName `
      -Location $location `
      -Name MYvNET `
      -AddressPrefix 192.168.0.0/16 `
      -Subnet $subnetConfig
   $pip = New-AzPublicIpAddress `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name "mypublicdns$(Get-Random)" `
     -AllocationMethod Static `
     -IdleTimeoutInMinutes 4
   $nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
      -Name myNetworkSecurityGroupRuleRDP  `
      -Protocol Tcp `
     -Direction Inbound `
      -Priority 1000 `
      -SourceAddressPrefix * `
      -SourcePortRange * `
      -DestinationAddressPrefix * `
      -DestinationPortRange 3389 `
      -Access Deny
   $nsg = New-AzNetworkSecurityGroup `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name myNetworkSecurityGroup `
     -SecurityRules $nsgRuleRDP
   $nic = New-AzNetworkInterface `
      -Name myNic `
      -ResourceGroupName $rgName `
      -Location $location `
     -SubnetId $vnet.Subnets[0].Id `
     -PublicIpAddressId $pip.Id `
     -NetworkSecurityGroupId $nsg.Id
   $vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
         Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
         Set-AzVMSourceImage -Id $imageDefinition.Id | `
         Add-AzVMNetworkInterface -Id $nic.Id
   $vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
   $vm = Set-AzVmUefi -VM $vm `
      -EnableVtpm $true `
      -EnableSecureBoot $true 
   New-AzVM `
      -ResourceGroupName $rgName `
      -Location $location `
      -VM $vm
   

1. Melden Sie sich beim Azure-Portal an.
2. Um ein Azure Compute Gallery-Image aus einer VM zu erstellen, öffnen Sie eine vorhandene VM mit vertrauenswürdigem Start, und wählen Sie Aufzeichnen aus.
3. Erlauben Sie auf der Seite Erstellen eines Images, dass das Image als VM-Imageversion für den Katalog freigegeben werden kann. Die Erstellung von verwalteten Images wird für VMs mit vertrauenswürdigem Start nicht unterstützt.
4. Erstellen Sie eine neue Azure Compute Gallery-Instanz als Ziel oder wählen Sie einen vorhandenen Katalog aus.
5. Wählen Sie Generalisiert oder Spezialisiert als Betriebssystemstatus aus. Wenn Sie ein generalisiertes Image erstellen möchten, stellen Sie sicher, dass Sie die VM generalisieren, um computerspezifische Informationen zu entfernen, bevor Sie diese Option auswählen. Wenn Verschlüsselung auf Bitlocker-Basis auf Ihrer Windows-VM mit vertrauenswürdigem Start aktiviert ist, können Sie diese möglicherweise nicht generalisieren.
6. Erstellen Sie eine neue Imagedefinition, indem Sie einen Namen, einen Herausgeber, ein Angebot und SKU-Details bereitstellen. Der Sicherheitstyp der Imagedefinition sollte bereits auf Vertrauenswürdiger Start festgelegt sein.
7. Geben Sie eine Versionsnummer für die Imageversion ein.
8. Ändern Sie falls notwendig die Replikationsoptionen.
9. Wählen Sie unten auf der Seite Image erstellen die Option Überprüfen + Erstellen aus. Nachdem die Überprüfung als „bestanden“ angezeigt wird, wählen Sie Erstellen aus.
10. Nachdem die Imageversion erstellt wurde, wechseln Sie direkt zur Imageversion. Alternativ können Sie über die Imagedefinition zur gewünschten Imageversion wechseln.
11. Wählen Sie auf der Seite VM-Imageversion die Option + VM erstellen aus, um zur Seite Erstellen einer VM zu wechseln.
12. Wählen Sie auf der Seite VM erstellen unter Ressourcengruppe die Option Neu erstellen aus. Geben Sie einen Namen für Ihre Ressourcengruppe ein, oder wählen Sie eine vorhandene Ressourcengruppe aus der Dropdownliste aus.
13. Geben Sie unter Instanzdetails einen Namen für den VM-Namen ein, und wählen Sie eine Region aus, die vertrauenswürdigen Start unterstützt.
14. Das Image und der Sicherheitstyp sind bereits basierend auf der ausgewählten Imageversion ausgefüllt. Die Kontrollkästchen Sicherer Start und vTPM sind standardmäßig aktiviert.
15. Geben Sie die Informationen für das Administratorkonto und dann die Regeln für eingehende Ports ein.
16. Wählen Sie unten auf der Seite die Option Überprüfen + Erstellen aus.
17. Überprüfen Sie auf der Überprüfungsseite die Details des virtuellen Computers.
18. Wenn die Überprüfung erfolgreich verläuft, wählen Sie Erstellen aus, um das Erstellen der VM abzuschließen.

Wenn Sie entweder einen verwalteten Datenträger oder eine Momentaufnahme eines verwalteten Datenträgers als Quelle der Imageversion verwenden möchten (anstelle einer VM mit vertrauenswürdigem Start), führen Sie die folgenden Schritte aus.

1. Melden Sie sich beim Azure-Portal an.
2. Suchen Sie nach VM-Imageversionen, und wählen Sie Erstellen aus.
3. Geben Sie das Abonnement, die Ressourcengruppe, die Region und die Imageversionsnummer an.
4. Wählen Sie als Quelle Datenträger und/oder Momentaufnahmen aus.
5. Wählen Sie den Betriebssystemdatenträger als „verwalteten Datenträger“ oder „Momentaufnahme eines verwalteten Datenträgers“ aus der Dropdownliste aus.
6. Wählen Sie eine Ziel-Azure Compute Gallery aus, um das Image zu erstellen und zu teilen. Wenn kein Katalog vorhanden ist, erstellen Sie einen neuen Katalog.
7. Wählen Sie Generalisiert oder Spezialisiert als Betriebssystemstatus aus. Wenn Sie ein generalisiertes Image erstellen möchten, stellen Sie sicher, dass Sie den Datenträger oder die Momentaufnahme generalisieren, um computerspezifische Informationen zu entfernen.
8. Wählen Sie für die Ziel-VM-Imagedefinition die Option Neu erstellen aus. Wählen Sie im dann sich öffnenden Fenster einen Imagedefinitionsnamen aus, und stellen Sie sicher, dass Sicherheitstyp auf Vertrauenswürdiger Start festgelegt ist. Geben Sie den Herausgeber, das Angebot und die SKU-Informationen an, und wählen Sie OK aus.
9. Mit der Registerkarte Replikation können die Replikatanzahl und die Zielregionen für die Imagereplikation festgelegt werden, falls erforderlich.
10. Die Registerkarte Verschlüsselung kann auch verwendet werden, um bei Bedarf die auf die SSE-Verschlüsselung bezogenen Informationen anzugeben.
11. Wählen Sie auf der Registerkarte Überprüfen + erstellen die Option Erstellen aus, um das Image zu erstellen.
12. Sobald die Imageversion erfolgreich erstellt ist, wählen Sie + VM erstellen aus, um zur Seite Erstellen einer VM zu wechseln.
13. Führen Sie wie zuvor erwähnt die Schritte 12 bis 18 aus, um mithilfe dieser Imageversion eine VM mit vertrauenswürdigem Start zu erstellen.

Stellen Sie sicher, dass Sie die aktuelle Version der Azure CLI ausführen.

1. Anmelden bei Azure mithilfe von az login.

   az login 
   

2. Erstellen Sie eine Imagedefinition mit dem Sicherheitstyp TrustedLaunch.

   az sig image-definition create --resource-group MyResourceGroup --location eastus \ 
   --gallery-name MyGallery --gallery-image-definition MyImageDef \ 
   --publisher TrustedLaunchPublisher --offer TrustedLaunchOffer --sku TrustedLaunchSku \ 
   --os-type Linux --os-state Generalized \ 
   --hyper-v-generation V2 \ 
   --features SecurityType=TrustedLaunch
   

3. Um eine Imageversion zu erstellen, können Sie eine vorhandene Linux-basierte VM mit vertrauenswürdigem Start auf Linux-Basis aufzeichnen. Generalisieren Sie die VM mit vertrauenswürdigem Start, bevor Sie die Imageversion erstellen.

   az sig image-version create --resource-group MyResourceGroup \
   --gallery-name MyGallery --gallery-image-definition MyImageDef \
   --gallery-image-version 1.0.0 \
   --managed-image /subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM
   

   Wenn ein verwalteter Datenträger oder eine Momentaufnahme eines verwalteten Datenträgers als Imagequelle für die Imageversion verwendet werden muss, ersetzen Sie --managed-image im vorherigen Befehl durch --os-snapshot, und geben Sie den Ressourcennamen des Datenträgers oder der Momentaufnahme an.

4. Erstellen Sie eine VM mit vertrauenswürdigem Start aus der vorherigen Imageversion.

   adminUsername=linuxvm
   az vm create --resource-group MyResourceGroup \
       --name myTrustedLaunchVM \
       --image "/subscriptions/00000000-0000-0000-0000-00000000xxxx/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/galleries/MyGallery/images/MyImageDef" \
       --size Standard_D2s_v5 \
       --security-type TrustedLaunch \
       --enable-secure-boot true \ 
       --enable-vtpm true \
       --admin-username $adminUsername \
       --generate-ssh-keys
   

1. Erstellen Sie eine Imagedefinition mit dem Sicherheitstyp TrustedLaunch.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $publisherName = "TrustedlaunchPublisher"
   $offerName = "TrustedlaunchOffer"
   $skuName = "TrustedlaunchSku"
   $description = "My gallery"
   $SecurityType = @{Name='SecurityType';Value='TrustedLaunch'}
   $features = @($SecurityType)
   New-AzGalleryImageDefinition -ResourceGroupName $rgName -GalleryName $galleryName -Name $galleryImageDefinitionName -Location $location -Publisher $publisherName -Offer $offerName -Sku $skuName -HyperVGeneration "V2" -OsState "Generalized" -OsType "Windows" -Description $description -Feature $features
   

2. Um eine Imageversion zu erstellen, können Sie eine vorhandene Windows-basierte VM mit vertrauenswürdigem Start aufzeichnen. Generalisieren Sie die VM mit vertrauenswürdigem Start, bevor Sie die Imageversion erstellen.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $galleryImageVersionName = "1.0.0"
   $sourceImageId = "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myVMRG/providers/Microsoft.Compute/virtualMachines/myVM"
   New-AzGalleryImageVersion -ResourceGroupName $rgName -GalleryName $galleryName -GalleryImageDefinitionName $galleryImageDefinitionName -Name $galleryImageVersionName -Location $location -SourceImageId $sourceImageId
   

3. Erstellen Sie eine VM mit vertrauenswürdigem Start aus der vorherigen Imageversion.

   $rgName = "MyResourceGroup"
   $galleryName = "MyGallery"
   $galleryImageDefinitionName = "MyImageDef"
   $location = "eastus"
   $vmName = "myVMfromImage"
   $vmSize = "Standard_D2s_v5"
   $imageDefinition = Get-AzGalleryImageDefinition `
      -GalleryName $galleryName `
      -ResourceGroupName $rgName `
      -Name $galleryImageDefinitionName
   $cred = Get-Credential `
      -Message "Enter a username and password for the virtual machine"
   # Network pieces
   $subnetConfig = New-AzVirtualNetworkSubnetConfig `
      -Name mySubnet `
      -AddressPrefix 192.168.1.0/24
   $vnet = New-AzVirtualNetwork `
      -ResourceGroupName $rgName `
      -Location $location `
      -Name MYvNET `
      -AddressPrefix 192.168.0.0/16 `
      -Subnet $subnetConfig
   $pip = New-AzPublicIpAddress `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name "mypublicdns$(Get-Random)" `
     -AllocationMethod Static `
     -IdleTimeoutInMinutes 4
   $nsgRuleRDP = New-AzNetworkSecurityRuleConfig `
      -Name myNetworkSecurityGroupRuleRDP  `
      -Protocol Tcp `
     -Direction Inbound `
      -Priority 1000 `
      -SourceAddressPrefix * `
      -SourcePortRange * `
      -DestinationAddressPrefix * `
      -DestinationPortRange 3389 `
      -Access Deny
   $nsg = New-AzNetworkSecurityGroup `
      -ResourceGroupName $rgName `
      -Location $location `
     -Name myNetworkSecurityGroup `
     -SecurityRules $nsgRuleRDP
   $nic = New-AzNetworkInterface `
      -Name myNic `
      -ResourceGroupName $rgName `
      -Location $location `
     -SubnetId $vnet.Subnets[0].Id `
     -PublicIpAddressId $pip.Id `
     -NetworkSecurityGroupId $nsg.Id
   $vm = New-AzVMConfig -vmName $vmName -vmSize $vmSize | `
         Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
         Set-AzVMSourceImage -Id $imageDefinition.Id | `
         Add-AzVMNetworkInterface -Id $nic.Id
   $vm = Set-AzVMSecurityProfile -SecurityType "TrustedLaunch" -VM $vm
   $vm = Set-AzVmUefi -VM $vm `
      -EnableVtpm $true `
      -EnableSecureBoot $true 
   New-AzVM `
      -ResourceGroupName $rgName `
      -Location $location `
      -VM $vm