Создание подключения RDP к виртуальной машине Windows с помощью Бастиона Azure

В этой статье показано, как безопасно и легко создать подключение RDP к виртуальным машинам Windows, расположенным в виртуальной сети Azure непосредственно через портал Azure. При использовании Бастиона Azure виртуальные машины не требуют клиента, агента или дополнительного программного обеспечения. Вы также можете подключиться к виртуальной машине Windows с помощью SSH. Дополнительные сведения см. в статье "Создание подключения SSH к виртуальной машине Windows".

Бастион Azure обеспечивает безопасное подключение ко всем виртуальным машинам в виртуальной сети, в которой он развернут. Использование Бастиона Azure защищает виртуальные машины от предоставления портов RDP/SSH во внешнем мире, обеспечивая безопасный доступ с помощью RDP/SSH. Дополнительные сведения см. в статье "Что такое Бастион Azure"?

Предпосылки

Прежде чем начать, убедитесь в том, что вы соответствуете следующим критериям:

• Виртуальная сеть с узлом Bastion уже развернута.

  • Убедитесь, что вы настроили узел Бастиона Azure для виртуальной сети, в которой находится виртуальная машина. После подготовки и развертывания службы Бастиона в виртуальной сети его можно использовать для подключения к любой виртуальной машине в виртуальной сети.
  • Сведения о настройке узла Бастиона Azure см. в статье "Создание узла бастиона". Если вы планируете настроить пользовательские значения портов, при настройке Бастиона обязательно выберите SKU "Стандартный" или выше.

• Виртуальная машина Windows в виртуальной сети.

Обязательные роли

• роль читателя на виртуальной машине;
• Роль чтеца на сетевом адаптере с частным IP-адресом виртуальной машины.
• Роль пользователя с правами чтения в ресурсе Azure Bastion.
• Роль читателя в виртуальной сети целевой виртуальной машины (если развертывание Bastion находится в одноранговой виртуальной сети).

Проверка подлинности идентификатора Microsoft Entra (предварительная версия)

Если выполнены следующие предварительные требования, идентификатор Microsoft Entra становится параметром по умолчанию для подключения к виртуальной машине. Если предварительные требования не выполнены, идентификатор Microsoft Entra не будет представлен в качестве метода подключения. Дополнительные сведения об аутентификации Entra ID для машин Azure см. в статье "Включение входа Microsoft Entra" для виртуальной машины Windows в Azure или Arc с поддержкой Windows Server

Необходимые условия:

• Расширение AADLoginForWindows должно быть включено на виртуальной машине. Вход с использованием Microsoft Entra ID можно включить во время создания виртуальной машины, установив флажок напротив "Вход с Microsoft Entra ID", или путем добавления расширения AADLogin для уже существующей виртуальной машины.

• Для пользователя необходимо настроить одну из следующих обязательных ролей на виртуальной машине:

  • Имя входа администратора виртуальной машины. Эта роль необходима, если вы хотите войти с правами администратора.
  • Имя входа пользователя виртуальной машины. Эта роль необходима, если вы хотите войти с помощью обычных привилегий пользователя.

Выполните следующие действия для проверки подлинности с помощью идентификатора Microsoft Entra.

1. Чтобы пройти проверку подлинности с помощью идентификатора Microsoft Entra, настройте следующие параметры.

   Setting	Description
   Параметры подключения	Доступно только для номеров SKU выше уровня "Базовый".
   Протокол	Выберите RDP.
   Port	Укажите номер порта.
   Тип проверки подлинности	Выберите идентификатор Microsoft Entra (предварительная версия) в раскрывающемся списке.

2. Чтобы работать с виртуальной машиной на новой вкладке браузера, нажмите кнопку "Открыть" на новой вкладке браузера.

3. Нажмите кнопку "Подключиться", чтобы подключиться к виртуальной машине.

Ограничения

• Поддержка проверки подлинности RDP + Entra ID на портале не может использоваться одновременно с записью графического сеанса.

Ports

Чтобы подключиться к виртуальной машине Windows, на виртуальной машине Windows должны быть открыты следующие порты:

• Входящий порт: RDP (3389) или
• Входящий порт: настраиваемое значение (при подключении к виртуальной машине через Бастион Azure) необходимо указать этот пользовательский порт.

Права на целевую виртуальную машину

Когда пользователь подключается к виртуальной машине Windows через RDP, он должен иметь права на целевую виртуальную машину. Если пользователь не является локальным администратором, добавьте пользователя в группу пользователей удаленных рабочих столов на целевой виртуальной машине.

См. дополнительные требования в разделе "Бастион Azure".

Connect

1. На портале Azure перейдите к виртуальной машине, к которой необходимо подключиться. На странице "Обзор" выберите "Подключиться", а затем выберите бастион в раскрывающемся списке, чтобы открыть страницу Бастиона. Вы также можете выбрать Бастион на левой панели.

   

2. На странице Бастиона введите необходимые учетные данные проверки подлинности, а затем нажмите кнопку "Подключить". Если вы настроили bastion host с помощью SKU версии Standard, на этой странице появятся дополнительные параметры учетных данных. Если виртуальная машина присоединена к домену, необходимо использовать следующий формат: [email protected]

   

3. При нажатии кнопки Connect подключение RDP к этой виртуальной машине через Бастион откроется в браузере (через HTML5) с помощью порта 443 и службы бастиона. В следующем примере показано подключение к виртуальной машине Windows 11 на новой вкладке браузера. Страница, к которой вы подключаетесь, зависит от виртуальной машины, к которой вы подключаетесь.

   

   При работе с виртуальной машиной использование сочетаний клавиш может не привести к тому же поведению, что и сочетания клавиш на локальном компьютере. Например, при подключении к виртуальной машине Windows с клиентского устройства Windows комбинация клавиш CTRL+ALT+END заменяет сочетание CTRL+ALT+Delete на локальном компьютере. Чтобы выполнить это на Mac при подключении к Windows VM, используйте сочетание клавиш Fn+CTRL+ALT+Backspace.

Дальнейшие шаги

Дополнительные сведения о подключении см. в разделе "Бастион".