Создание подключения RDP к виртуальной машине Windows с помощью Бастиона Azure

В этой статье описывается, как создать безопасное подключение RDP к виртуальным машинам Windows с помощью Бастиона Azure. Вы можете подключиться через портал Azure (на основе браузера) через указанный IP-адрес или использовать собственный клиент на локальном компьютере Windows. При использовании Бастиона Azure виртуальные машины не требуют клиента, агента или дополнительного программного обеспечения. Бастион Azure безопасно подключается ко всем виртуальным машинам в виртуальной сети без предоставления портов RDP/SSH общедоступному Интернету. Дополнительные сведения см. в статье "Что такое Бастион Azure"?

Сведения о собственных подключениях клиентов с помощью Azure CLI (включая SSH и туннель), см. в статье "Подключение к виртуальной машине с помощью собственного клиента". Сведения о подключении к виртуальной машине Windows с помощью SSH см. в статье "Создание подключения SSH к виртуальной машине Windows".

На следующей схеме показана выделенная архитектура развертывания с помощью подключения RDP.

Предпосылки

Прежде чем начать, убедитесь, что вы соответствуете следующим критериям:

Узел службы Azure Bastion, развернутый в виртуальной сети, где находится виртуальная машина, или в связанной виртуальной сети. Сведения о настройке узла Бастиона см. в статье "Создание узла бастиона". Необходимый номер SKU зависит от метода подключения:

Способ подключения	Минимальный номер SKU	Дополнительная настройка
Портал Azure (браузер)	Basic	Нет
Портал Azure с пользовательскими портами	Стандарт	Нет
Подключение на основе IP-адресов	Стандарт	Подключение на основе IP-адресов включено
Нативный клиент (RDP)	Стандарт	Поддержка собственного клиента включена

Пользователи, подключающиеся через RDP, должны иметь права на целевую виртуальную машину. Если пользователь не является локальным администратором, добавьте их в группу пользователей удаленных рабочих столов .
Бастион Azure использует порт RDP 3389 по умолчанию. Для кастомных портов требуется SKU уровня "Стандартный" или выше. Сведения об обновлении см. в статье об обновлении номера SKU.
Виртуальная машина Windows в виртуальной сети (или доступная из виртуальной сети для IP-подключений).
Обязательные роли:
- роль читателя на виртуальной машине;
- Роль читателя в сетевом интерфейсном контроллере с IP-адресом виртуальной машины.
- Роль пользователя с правами чтения в ресурсе Azure Bastion.
- Роль читателя в виртуальной сети целевой виртуальной машины (если развертывание Bastion находится в одноранговой виртуальной сети).
- Роль входа администратора виртуальной машины или имени входа пользователя виртуальной машины (требуется только для проверки подлинности идентификатора Microsoft Entra).

См. дополнительные требования в разделе "Бастион Azure".

Методы аутентификации

Следующие методы проверки подлинности доступны для подключений RDP через Бастион Azure. Выберите метод проверки подлинности, чтобы просмотреть соответствующие шаги.

Метод аутентификации	Поддерживаемые методы подключения	Минимальный номер SKU
Microsoft Entra ID (Предварительная версия для RDP)	Портал Azure, собственный клиент	Базовый (портал), Стандартный (собственный клиент)
Имя пользователя и пароль	Портал Azure, IP-адрес (портал), собственный клиент	Базовый (портал), Стандартный (IP-адрес, собственный клиент)
Kerberos	Портал Azure	Basic

Подключение к виртуальной машине с помощью RDP

Выберите метод подключения, чтобы просмотреть соответствующие шаги. Перейдя на страницу подключения Бастиона, выберите метод проверки подлинности.

Используйте портал Azure для создания подключения RDP на основе браузера к виртуальной машине Windows. Этот метод подключается непосредственно через браузер. На локальном компьютере нет собственного клиента RDP или дополнительного программного обеспечения. SKU "Базовый" или выше требуется, или SKU "Стандартный", если вам нужны пользовательские порты.

На портале Azure выберите виртуальную машину. На левой панели выберите "Подключиться", а затем выберите Бастион.
На вкладке "Параметры подключения " выберите протокол RDP и введите номер порта, если он был изменен из значения по умолчанию 3389.
Выберите свой способ проверки подлинности. Рекомендуется использовать идентификатор Microsoft Entra (предварительная версия). Другие параметры см. в разделе "Методы проверки подлинности".
Выберите "Подключиться ", чтобы открыть подключение RDP к виртуальной машине на новой вкладке браузера.

Замечание

См. советы по устранению неполадок в статьях «Устранение неполадок подключений RDP» и «Устранение неполадок входа Microsoft Entra для виртуальной машины Windows в Azure или с поддержкой Arc Windows Server».

Подключитесь к виртуальной машине Windows с локального компьютера Windows с помощью Azure CLI (az network bastion rdp). Для этого метода требуется набор SKU "Стандартный" или выше с включенной поддержкой собственного клиента.

Когда пользователь подключается к виртуальной машине Windows через RDP, он должен иметь права на целевую виртуальную машину. Если пользователь не является локальным администратором, добавьте пользователя в группу пользователей удаленных рабочих столов на целевой виртуальной машине.

Войдите в учетную запись Azure с помощью az login. Если у вас несколько подписок, их можно просмотреть с помощью az account list и выбрать подписку, содержащую ресурс Бастиона, с помощью az account set --subscription "<subscription ID>".

Чтобы подключиться через RDP, используйте следующий пример.

az network bastion rdp --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId>"

После выполнения команды появится запрос на ввод учетных данных. Вы можете использовать локальное имя пользователя и пароль или учетные данные Microsoft Entra. После входа в целевую виртуальную машину, родной клиент на вашем компьютере откроется с сеансом вашей виртуальной машины через MSTSC.

Это важно

Удаленное подключение к виртуальным машинам, присоединенным к идентификатору Microsoft Entra, разрешено только с компьютеров с Windows 10 или более поздних версий, зарегистрированных в Microsoft Entra (начиная с Windows 10 20H1), присоединенных к Microsoft Entra, или гибридного подключения Microsoft Entra к тому же каталогу, что и виртуальная машина.

Указание метода проверки подлинности

При необходимости можно также указать метод проверки подлинности в рамках команды.

Проверка подлинности Microsoft Entra: для Windows 10 версии 20H2+, Windows 11 21H2+ и Windows Server 2022, используйте --enable-mfa. Дополнительные сведения см. в статье az network bastion rdp — необязательные параметры.

Укажите пользовательский порт

Можно указать пользовательский порт при подключении к виртуальной машине Windows с помощью RDP.

Один из сценариев, в котором это может быть особенно полезно, будет подключаться к виртуальной машине Windows через порт 22. Это возможный обходной путь для ограничения, связанного с командой az network bastion ssh, которую нельзя использовать встроенным клиентом Windows для подключения к виртуальной машине Windows.

Чтобы указать пользовательский порт, включите поле --resource-port в команду входа, как показано в следующем примере.

az network bastion rdp --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId>" --resource-port "22"

RDP на IP-адрес виртуальной машины Windows

Вы также можете подключиться к частному IP-адресу виртуальной машины вместо идентификатора ресурса. Проверка подлинности Microsoft Entra, а также пользовательские порты и протоколы не поддерживаются при использовании этого типа подключения. Дополнительные сведения о подключениях на основе IP-адресов см. в разделе "Подключение к виртуальной машине — IP-адрес".

Используя команду az network bastion, замените --target-resource-id на --target-ip-address и указанный IP-адрес, чтобы подключиться к вашей виртуальной машине.

az network bastion rdp --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-address "<VMIPAddress>"

Сведения о подключениях SSH и туннелях см. в разделе "Подключение к виртуальной машине с помощью бастиона" и собственного клиента Windows.

Ограничения

Подключения на основе IP-адресов: Подключение на основе IP-адресов не работает с принудительным туннелированием по VPN или когда маршрут по умолчанию объявлен по каналу ExpressRoute. Бастион Azure требует доступа к Интернету, а принудительное туннелирование или объявление маршрута по умолчанию приводит к потере трафика.
Подключения на основе IP-адресов: UDR не поддерживается в подсети Бастиона, включая подключения на основе IP-адресов.
Подключения на основе IP-адресов: Пользовательские порты и протоколы в настоящее время не поддерживаются при подключении к виртуальной машине через собственный клиент с IP-подключениями.
Идентификатор Microsoft Entra: Проверка подлинности Microsoft Entra не поддерживается для подключений RDP на основе IP-адресов. Подключения SSH на основе IP через собственный клиент поддерживают проверку подлинности Entra ID. Для получения сведений о проверке подлинности Entra ID см. Сведения о проверке подлинности Microsoft Entra ID.
Запись сеанса: Проверка подлинности RDP + Entra ID на портале не может использоваться одновременно с записью графического сеанса.

Дальнейшие шаги

Подключение к виртуальной машине Windows с помощью SSH
Что такое Azure Bastion?
Настройте аутентификацию Microsoft Entra ID для доступа на основе удостоверений.
Настройте проверку подлинности Kerberos для виртуальных машин, присоединенных к домену.
Передача файлов на виртуальную машину с помощью собственного клиента.
Настройте общую ссылку для пользователей без доступа к порталу Azure.
Azure Bastion часто задаваемые вопросы

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-03-12

Поделиться через

Включение IP-подключения

Подключение с помощью IP-адреса