共用方式為


為 Bastion 建立可共用連結

Bastion 可共用連結功能可讓使用者使用 Azure Bastion 連線到目標資源 (虛擬機器或虛擬機器擴展集),而不需存取Azure 入口網站。 本文可協助您使用「可共用連結」功能來建立現有 Azure Bastion 部署的可共用連結。

當沒有 Azure 認證的使用者按一下可共用連結時,網頁隨即開啟,提示使用者透過 RDP 或 SSH 登入目標資源。 用戶會根據目標資源所設定的內容,使用使用者名稱和密碼或私鑰進行驗證。 可共用連結不包含任何認證 - 系統管理員必須提供登入認證給使用者。

根據預設,組織中的使用者只有 共享連結的讀取 許可權。 如果使用者具有 讀取 許可權,他們只能使用和檢視共享連結,但無法建立或刪除可共用的連結。 如需詳細資訊,請參閱本文的權限一節。

考量

  • 租用戶之間的對等互連虛擬網路目前不支援可共享連結。
  • 目前不支援透過虛擬 WAN 的可共用連結。
  • 可共用連結不支援連線到內部部署或非 Azure 虛擬機,虛擬機器擴展集。
  • 此功能需要標準 SKU。
  • Bastion 一次只支援 50 個可共用連結的要求,包括建立和刪除。
  • Bastion 僅支援每個 Bastion 資源 500 個可共用連結。

必要條件

  • Azure Bastion 會部署到您的虛擬網路。 請參閱教學課程:使用手動設定部署 Bastion,以取得相關步驟。

  • Bastion 必須設定為使用此功能的 [標準] SKU。 當您設定可共用連結功能時,可以將 SKU 從 [基本] 更新為 [標準]。

  • 部署 Bastion 資源的虛擬網路或直接對等互連的虛擬網路包含您想要建立可共用連結的 VM 資源。

您必須先啟用此功能,才能建立 VM 的可共用連結。

  1. 在 Azure 入口網站中,移至您的堡壘資源。

  2. 在 [堡壘] 頁面上,按一下左窗格中的 [設定]

    已選取可共用連結的組態設定螢幕快照。

  3. 在 [設定] 頁面上,針對 [階層],選取 [標準] (若尚未選取的話)。 此功能需要標準 SKU

  4. 從列出的功能中選取 [可共用連結],以啟用可共用連結功能。

  5. 確認您已選取想要的設定,然後按一下 [套用]

  6. Bastion 會立即開始更新堡壘主機的設定。 更新需要大約 10 分鐘的時間。

在本節中,您會指定要建立可共用連結的每個資源

  1. 在 Azure 入口網站中,移至您的堡壘資源。

  2. 在堡壘頁面上,按一下左窗格中的 [可共用連結]。 按一下 [+ 新增] 以開啟 [建立可共用連結] 頁面。

    具有 + 新增的可共用連結頁面螢幕快照。

  3. 在 [建立可共用連結] 頁面上,選取您要建立可共用連結的資源。 您可以選取特定資源,也可以全部選取。 系統會為每個選取的資源建立個別的可共享連結。 按一下 [套用],即可建立連結。

    可共用連結頁面的螢幕快照,用來建立可共享連結。

  4. 建立連結後,您可以在 [可共用連結] 頁面上檢視這些連結。 下列範例顯示多項資源的連結。 您可以看到每個資源都有個別的連結,且連結狀態為 [作用中]。 若要共用連結,請加以複製,然後將其傳送給使用者。 此連結不包含驗證認證。

    可共用連結頁面的螢幕快照,以顯示所有可用的資源連結。

連線至 VM

  1. 使用者收到鏈接之後,使用者會在其瀏覽器中開啟連結。

  2. 在左上角,使用者可以選取是否要查看複製到剪貼簿的文字和影像。 使用者輸入必要的資訊,然後按一下 [登入] 進行連線。 共用的連結不包含驗證認證。 管理員必須將登入認證提供給使用者。 支援自訂連接埠和通訊協定。

    使用瀏覽器中可共用連結登入防禦的螢幕快照。

注意

如果再也無法開啟連結,這表示組織中的某人已刪除該資源。 雖然您仍可在清單中看到共用的連結,但其再也無法連線到目標資源,並會導致連線錯誤。 您可以刪除清單中共用的連結,或予以保留以供稽核之用。

  1. 在 Azure 入口網站中,移至您的 Bastion 資源 -> 可共用連結

  2. 在 [可共用連結] 頁面上,選取您要刪除的資源連結,然後按一下 [刪除]

    選取要刪除的連結螢幕快照。

權限

可共用連結功能的權限是使用存取控制 (IAM) 來設定。 根據預設,組織中的使用者只有 共享連結的讀取 許可權。 如果使用者具有 讀取 許可權,他們只能使用和檢視共享連結,但無法建立或刪除共享連結。

若要給與某人建立或刪除共用連結的權限,請使用下列步驟:

  1. 在 Azure 入口網站中,移至 Bastion 主機。

  2. 移至 [存取控制 (IAM)] 頁面。

  3. 在 Microsoft.Network/bastionHosts 區段中,設定下列權限:

    • 其他:為堡壘下的 VM 建立可共用的 URL 並傳回 URL。
    • 其他:刪除堡壘下所提供 VM 的可共用 URL。
    • 其他:刪除防禦下所提供權杖的可共用 URL。

    這些對應至下列 PowerShell Cmdlet:

    • Microsoft.Network/bastionHosts/createShareableLinks/action
    • Microsoft.Network/bastionHosts/deleteShareableLinks/action
    • Microsoft.Network/bastionHosts/deleteShareableLinksByToken/action
    • Microsoft.Network/bastionHosts/getShareableLinks/action - 若未啟用,使用者就無法看到可共用連結。

下一步