Поделиться через

Настройка аутентификации Microsoft Entra ID для Azure Bastion

Аутентификация с помощью Microsoft Entra ID для Бастиона Azure позволяет войти на виртуальные машины с помощью корпоративной учетной записи вместо учетных данных локальной виртуальной машины. При аутентификации с помощью Entra ID вы можете применить многофакторную аутентификацию (MFA), использовать политики условного доступа и централизовать управление идентификацией на ваших виртуальных машинах Azure.

Замечание

Проверка подлинности идентификатора Microsoft Entra для подключений RDP на портале доступна в общедоступной предварительной версии. Проверка подлинности идентификатора Microsoft Entra для подключений SSH на портале общедоступна.

Необходимые условия

Перед настройкой проверки подлинности Entra ID проверьте следующее:

  • Узел Бастиона Azure: Узел Бастиона, развернутый в виртуальной сети, где находится виртуальная машина, или в одноранговой виртуальной сети. Минимальный номер SKU зависит от метода подключения:

    Способ подключения Минимальный номер SKU
    Портал Azure (RDP или SSH) Basic
    Родной клиент (RDP с --enable-mfa) Стандарт
    Собственный клиент (SSH с --auth-type AAD) Стандарт

  • Поддерживаемые операционные системы:

    • Виртуальные машины Windows (RDP): Windows 10 версии 20H2 или более поздней версии, Windows 11 21H2 или более поздней версии или Windows Server 2022 или более поздней версии.
    • Виртуальные машины Linux (SSH): Любой дистрибутив Linux, поддерживающий расширение AADSSHLoginForLinux.

  • Подключения локального клиента: Azure CLI версии 2.32 или более поздней. Запустите az extension add --name ssh , чтобы установить расширение SSH. Дополнительные сведения о настройке см. в разделе "Настройка бастиона" для собственных подключений клиентов.

Обзор аутентификации Entra ID

Аутентификация Entra ID поддерживает подключения как RDP, так и SSH. Поток проверки подлинности работает следующим образом:

  1. Вы инициируете подключение к виртуальной машине через Бастион Azure.
  2. Бастион перенаправляет вас на Microsoft Entra ID для аутентификации, где оцениваются политики многофакторной аутентификации (MFA) и условного доступа.
  3. После успешной проверки подлинности Bastion управляет подключением к целевой виртуальной машине.
  4. Расширение уровня виртуальной машины (AADLoginForWindows или AADSSHLoginForLinux) проверяет маркер Entra ID и предоставляет доступ на основе вашей назначенной роли.

Проверка подлинности Entra ID доступна двумя способами подключения:

  • Портал Azure: Подключитесь непосредственно с портала Azure с помощью RDP (виртуальные машины Windows) или SSH (виртуальные машины Linux). Требуется базовый SKU или более высокий.
  • Локальный клиент" Подключитесь к Azure CLI с вашего локального компьютера, используя команду az network bastion rdp или az network bastion ssh. Требуется Стандартный SKU или более высокий уровень.

При выполнении всех требований идентификатор Microsoft Entra отображается как параметр проверки подлинности по умолчанию на странице подключения Бастиона на портале Azure. Если какое-либо требование не выполнено, параметр не отображается.

Замечание

Опыт входа в систему различается в зависимости от методов подключения. Подключения портала используют аутентификацию без пароля — вы входите с помощью учетных данных Entra ID и не нуждаетесь в пароле для локальной виртуальной машины. После завершения MFA собственный клиент RDP запрашивает ввод пароля. Дополнительные сведения см. в статье «Вход с использованием аутентификации с паролем или без пароля с использованием Microsoft Entra ID».

Назначьте роли

Пользователям, подключающимся с проверкой подлинности Entra ID, требуется одно из следующих назначений ролей:

Также требуются следующие назначения ролей Reader для соответствующих ресурсов:

  • роль читателя на виртуальной машине;
  • Роль чтеца на сетевом адаптере с частным IP-адресом виртуальной машины.
  • Роль пользователя с правами чтения в ресурсе Azure Bastion.
  • Роль читателя в виртуальной сети целевой виртуальной машины (если развертывание Bastion находится в одноранговой виртуальной сети).

Назначение ролей можно выполнять на уровне виртуальной машины, группы ресурсов или подписки.

Выполните следующие действия, чтобы назначить необходимые роли с помощью портала Azure:

  1. На портале Azure перейдите к виртуальной машине, которую вы хотите настроить.
  2. В меню слева выберите Управление доступом (IAM).
  3. Выберите Добавить>Добавить назначение ролей.
  4. На вкладке "Роль" найдите и выберите имя входа администратора виртуальной машины (или имя входа пользователя виртуальной машины для стандартного доступа). Нажмите кнопку Далее.
  5. На вкладке "Участники" выберите +Выбрать участников, найдите пользователя или группу, выберите их и нажмите кнопку "Выбрать".
  6. Выберите Проверить + Назначить, чтобы завершить назначение роли.
  7. Повторите предыдущие шаги, чтобы назначить необходимые роли читателя на виртуальной машине, сетевом адаптере, ресурсе Бастиона и виртуальной сети.

Установка расширения виртуальной машины

Расширение виртуальной машины проверяет токен Entra ID и предоставляет доступ к виртуальной машине. Вы можете включить расширение во время создания виртуальной машины, выбрав имя входа с помощью идентификатора Microsoft Entra, или добавить его в существующую виртуальную машину, выполнив следующие действия.

Установите расширение AADLoginForWindows на виртуальных машинах Windows.

Поддерживаемые операционные системы: Windows 10 версии 20H2 или более поздней версии, Windows 11 21H2 или более поздней версии, Windows Server 2022 или более поздней версии.

Портал Azure

  1. На портале Azure перейдите к виртуальной машине Windows.
  2. Выберите "Расширения и приложения " в меню слева.
  3. Щелкните + Добавить.
  4. Найдите AADLoginForWindows, выберите расширение и нажмите кнопку "Далее".
  5. Выберите "Просмотр и создание", а затем нажмите кнопку "Создать ", чтобы установить расширение.
  6. Дождитесь завершения настройки расширения. Убедитесь, что состояние на странице "Расширения и приложения" показывает , что подготовка выполнена успешно.

Azure CLI (Интерфейс командной строки для Azure)

az vm extension set \
  --publisher Microsoft.Azure.ActiveDirectory \
  --name AADLoginForWindows \
  --resource-group "<ResourceGroupName>" \
  --vm-name "<VMName>"

Подсказка

Подробные инструкции по настройке см. в статье "Включение входа Microsoft Entra" для виртуальной машины Windows в Azure или включение входа Microsoft Entra для виртуальной машины Linux в Azure.

Подключение с помощью аутентификации Entra ID

После завершения назначений ролей и установки расширения виртуальной машины можно подключиться к виртуальной машине с помощью аутентификации Entra ID. При выполнении всех требований идентификатор Microsoft Entra отображается как параметр проверки подлинности по умолчанию на странице подключения Бастиона на портале Azure.

Подключитесь к виртуальной машине Windows через RDP с проверкой подлинности Entra ID на портале Azure. Требуется базовый SKU или выше.

  1. На портале Azure перейдите к виртуальной машине Windows. Выберите Подключить>Bastion.
  2. В разделе параметры подключения установите протокол на RDP. Введите номер порта, если он был изменен с 3389 по умолчанию.
  3. Для типа проверки подлинности выберите идентификатор Microsoft Entra (предварительная версия). Если этот параметр не отображается, убедитесь, что расширение виртуальной машины установлено и назначены необходимые роли.
  4. Выберите "Подключиться" , чтобы открыть подключение RDP на новой вкладке браузера.
  5. При появлении запроса войдите с помощью учетных данных идентификатора Microsoft Entra. Многофакторная проверка подлинности (MFA) и политики условного доступа оцениваются на этом шаге.

Замечание

Если возникают проблемы при входе, см. статью "Устранение неполадок при входе в Систему Microsoft Entra".

Ограничения

  • Аутентификация RDP и идентификация Entra ID на портале нельзя использовать одновременно с записью графического сеанса.
  • Проверка подлинности Microsoft Entra ID не поддерживается для RDP или SSH подключений, основанных на IP.
  • Аутентификация с идентификатором Microsoft Entra поддерживается только для подключений к порталу через RDP для виртуальных машин Windows и SSH для виртуальных машин Linux.
  • Для подключений RDP собственного клиента удаленное подключение к виртуальным машинам, присоединенным к Microsoft Entra ID, разрешено только с компьютеров с Windows 10 или более поздних версий, зарегистрированных в Microsoft Entra, присоединенных к Microsoft Entra, или имеющих гибридное подключение Microsoft Entra к тому же каталогу, что и у виртуальной машины.

Дальнейшие действия

  • Last updated on