次の方法で共有


Bastion の共有可能リンクを作成する

Bastion の共有可能リンク機能を使用すると、ユーザーは、Azure portal にアクセスせずに、Azure Bastion を使用してターゲット リソース (仮想マシンまたは仮想マシン スケール セット) に接続できます。 この記事は、共有可能リンク機能を使用して、既存の Azure Bastion デプロイの共有可能リンクを作成する際に役立ちます。

Azure 資格情報がないユーザーが共有可能リンクをクリックすると、RDP または SSH を使用してターゲット リソースにサインインするようにユーザーに求める Web ページが開きます。 ユーザーは、そのターゲット リソースに対して構成した内容に基づき、ユーザー名とパスワードまたは秘密キーを使用して認証します。 共有可能リンクには資格情報は含まれていません。管理者はサインイン資格情報をユーザーに提供する必要があります。

既定では、組織内のユーザーには共有リンクへの読み取りアクセス権のみ付与されます。 ユーザーが読み取りアクセス権を持っている場合、共有リンクの使用と表示のみ行うことができ、共有可能リンクを作成したり削除したりすることはできません。 詳細については、この記事の「アクセス許可」セクションを参照してください。

考慮事項

  • 現在、共有可能リンクは、テナント間でピアリングされた仮想ネットワークではサポートされていません。
  • 現在、共有可能リンクは、Virtual WAN ではサポートされていません。
  • 共有可能リンクは、オンプレミスまたは Azure 以外の仮想マシンと Virtual Machine Scale Sets への接続をサポートしていません。
  • この機能には Standard SKU が必要です。
  • Bastion では、共有可能なリンクに対して一度に 50 個の要求 (作成と削除を含む) のみがサポートされます。
  • Bastion では、各 Bastion リソースの共有可能なリンクは 500 個のみサポートされます。

前提条件

  • Azure Bastion は仮想ネットワークにデプロイされます。 手順については、チュートリアル: 手動設定を使用した Bastion のデプロイに関するページを参照してください。

  • この機能に Standard SKU を使用するように Bastion を構成する必要がある。 共有可能リンク機能を構成するときに、SKU を Basic から Standard に更新できます。

  • Bastion リソースがデプロイされている仮想ネットワークまたは直接ピアリングされた仮想ネットワークに、共有可能リンクを作成する VM リソースが含まれている。

VM への共有可能リンクを作成するには、まずその機能を有効にする必要があります。

  1. Azure portal で、bastion リソースに移動します。

  2. [Bastion] ページの左側のペインで、[構成] をクリックします。

    共有可能リンクが選択されている [構成] の設定を示すスクリーンショット。

  3. [構成] ページの [レベル] で、[Standard] を選択します (まだ選択されていない場合)。 この機能には Standard SKU が必要です。

  4. 一覧表示されている機能から [共有可能リンク] を選択して、共有可能リンク機能を有効にします。

  5. 目的の設定が選択されていることを確認してから、[適用] をクリックします。

  6. Bastion により、bastion ホストの設定の更新が即座に開始されます。 更新には約 10 分かかります。

このセクションでは、共有可能リンクを作成する各リソースを指定します

  1. Azure portal で、bastion リソースに移動します。

  2. bastion ページの左側のペインで、[共有可能リンク] をクリックします。 [+ 追加] をクリックして、[共有可能リンクの作成] ページを開きます。

    [+ 追加] が表示された [共有可能リンク] ページのスクリーンショット。

  3. [共有可能リンクの作成] ページで、共有可能リンクを作成するリソースを選択します。 特定のリソースを選択することも、すべてを選択することもできます。 選択したリソースごとに、個別の共有可能リンクが作成されます。 [適用] をクリックしてリンクを作成します。

    共有可能リンクを作成するための [共有可能リンク] ページのスクリーンショット。

  4. リンクが作成されたら、[共有可能リンク] ページでそれらを表示できます。 次の例は、複数のリソースのリンクを示しています。 各リソースに個別のリンクがあり、リンクの状態が [有効] になっていることがわかります。 リンクを共有するには、それをコピーして、ユーザーに送信します。 リンクには認証資格情報は含まれていません。

    使用可能なすべてのリソース リンクが表示された [共有可能リンク] ページのスクリーンショット。

VM への接続

  1. ユーザーはリンクを受信すると、ブラウザーでそのリンクを開きます。

  2. 左隅で、ユーザーはクリップボードにコピーされたテキストと画像を表示するかどうかを選択できます。 ユーザーは必要な情報を入力し、[ログイン] をクリックして接続します。 共有リンクには認証資格情報は含まれていません。 管理者は、サインイン資格情報をユーザーに提供する必要があります。 カスタムのポートとプロトコルがサポートされています。

    ブラウザーでの共有可能リンクを使用した bastion へのサインインを示すスクリーンショット。

注意

リンクを開けなくなった場合は、組織内の誰かがそのリソースを削除したことを意味します。 リスト内の共有リンクは引き続き表示されますが、ターゲット リソースに接続されなくなり、接続エラーが発生します。 リスト内の共有リンクを削除することも、監査のために保持しておくこともできます。

  1. Azure portal で、[Bastion resource] (Bastion リソース) -> [共有可能リンク] に移動します。

  2. [共有可能リンク] ページで、削除するリソース リンクを選択し、[削除] をクリックします。

    削除するリンクの選択を示すスクリーンショット。

アクセス許可

共有可能リンク機能へのアクセス許可は、アクセス制御 (IAM) を使用して構成されます。 既定では、組織内のユーザーには共有リンクへの読み取りアクセス権のみ付与されます。 ユーザーが読み取りアクセス権を持っている場合、共有リンクの使用と表示のみ行うことができ、共有リンクを作成したり削除したりすることはできません。

共有リンクを作成または削除するためのアクセス許可をユーザーに付与するには、次の手順を使用します。

  1. Azure portal で、Bastion ホストに移動します。

  2. [アクセス制御 (IAM)] ページに移動します。

  3. [Microsoft.Network/bastionHosts] セクションで、次のアクセス許可を構成します。

    • その他: bastion 内の VM の共有可能な URL を作成し、URL を返します。
    • その他: bastion 内の指定された VM の共有可能な URL を削除します。
    • その他: bastion 内の指定されたトークンの共有可能な URL を削除します。

    これらは、次の PowerShell コマンドレットに対応しています。

    • Microsoft.Network/bastionHosts/createShareableLinks/action
    • Microsoft.Network/bastionHosts/deleteShareableLinks/action
    • Microsoft.Network/bastionHosts/deleteShareableLinksByToken/action
    • Microsoft.Network/bastionHosts/getShareableLinks/action - これが有効になっていない場合、ユーザーは共有可能リンクを表示できません。

次のステップ