Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
本文介绍如何通过 Azure 门户安全地无缝地创建与位于Azure虚拟网络中的Windows VM 的 RDP 连接。 使用Azure Bastion时,VM 不需要客户端、代理或其他软件。 还可以使用 SSH 连接到Windows VM。 有关详细信息,请参阅 创建与 Windows VM 的 SSH 连接。
Azure Bastion为预配虚拟网络中的所有 VM 提供安全连接。 使用 Azure Bastion可保护虚拟机免受向外界公开 RDP/SSH 端口,同时仍使用 RDP/SSH 提供安全访问。 有关详细信息,请参阅 什么是 Azure Bastion?
注意
Entra ID 身份验证用于 RDP 连接现在已公开预览! 有关详细信息,请参阅 Microsoft Entra ID。
先决条件
在开始之前,请验证是否满足以下条件:
一个已配置 Bastion 主机的 VNet。
- 请确保已为 VM 所在的虚拟网络设置Azure Bastion主机。 在虚拟网络中预配和部署 Bastion 服务后,便可以使用它连接到此虚拟网络中的任何 VM。
- 若要设置Azure Bastion主机,请参阅 创建堡垒主机。 如果计划配置自定义端口值,请确保在配置 Bastion 时选择标准或更高级别的 SKU。
虚拟网络中的Windows虚拟机。
必需的角色
- 虚拟机上的读者角色。
- NIC 上的读者角色(使用虚拟机的专用 IP)。
- Azure Bastion 资源的读取者角色。
- 目标虚拟机的虚拟网络上的读取者角色(如果 Bastion 部署位于对等虚拟网络中)。
Microsoft Entra ID身份验证(预览版)
注意
Microsoft Entra ID门户中 RDP 连接的身份验证支持仅支持Windows VM。 有关与 Linux VM 的 SSH 连接,请参阅 使用 SSH 连接到 Linux VM。
如果满足以下先决条件,Microsoft Entra ID将成为连接到 VM 的默认选项。 如果未满足任何先决条件,Microsoft Entra ID将不会显示为连接方法。 若要了解有关 Azure 虚拟机的 Entra ID 身份验证的详细信息,请参阅 在 Azure 或已启用 Arc 的 Windows Server 中启用 Microsoft Entra 登录以用于 Windows 虚拟机。
先决条件:
确保虚拟机符合以下要求:Windows 10 20H2 或更高版本、Windows 11 21H2 或更高版本,或Windows Server 2022或更高版本。
应在 VM 上启用 AADLoginForWindows 扩展。 可以通过在创建虚拟机时勾选“使用 Microsoft Entra ID 登录”的框,或将 AADLogin 扩展添加到已存在的虚拟机上,来启用 Microsoft Entra ID 登录。
应在 VM 上为用户配置以下所需角色之一:
- 虚拟机管理员登录:如果要使用管理员权限登录,则需要此角色。
- 虚拟机用户登录:如果要使用常规用户权限登录,则需要此角色。
使用以下步骤通过Microsoft Entra ID进行身份验证。
若要使用Microsoft Entra ID进行身份验证,请配置以下设置。
设置 Description 连接设置 仅适用于高于基本 SKU 的 SKU。 协议 选择 RDP。 端口 指定端口号。 身份验证类型 从下拉列表中选择Microsoft Entra ID(预览版)。 若要在新的浏览器选项卡中使用 VM,请选择“在新建浏览器选项卡中打开”。
单击“ 连接 ”以连接到 VM。
局限性
- 门户中的 RDP + Entra ID 身份验证支持不能与图形会话录制同时使用。
端口
若要连接到Windows VM,必须在Windows VM 上打开以下端口:
入站端口:RDP (3389) 或
入站端口:自定义值(然后,通过Azure Bastion连接到 VM 时需要指定此自定义端口)
注意
如果要指定自定义端口值,则必须使用标准 SKU 或更高版本配置Azure Bastion。 基本 SKU 不允许指定自定义端口。
目标 VM 上的权限
当用户通过 RDP 连接到 Windows VM 时,他们必须拥有目标 VM 上的权限。 如果用户不是本地管理员,请将用户添加到目标 VM 上的Remote Desktop用户组。
有关其他要求,请参阅 Azure Bastion FAQ。
连接
在 Azure 门户中,转到要连接到的虚拟机。 在“ 概述 ”页上,选择 “连接”,然后从下拉列表中选择 Bastion 以打开 Bastion 页面。 还可以从左窗格中选择 Bastion 。
在 Bastion 页上,输入所需的身份验证凭据,然后单击“ 连接”。 如果您使用标准 SKU 配置了堡垒主机,您将在此页上看到其他凭据选项。 如果 VM 已加入域,则必须使用以下格式: username@domain.com
单击 “连接”时,通过 Bastion 连接到此虚拟机的 RDP 连接将使用端口 443 和 Bastion 服务在浏览器中打开(通过 HTML5)。 以下示例显示与新浏览器选项卡中Windows 11虚拟机的连接。看到的页面取决于要连接到的 VM。
使用 VM 时,使用键盘快捷键可能不会导致与本地计算机上的快捷键相同的行为。 例如,从Windows客户端连接到 Windows VM 时,Ctrl+Alt+END 是本地计算机上的 Ctrl+Alt+Delete 的键盘快捷方式。 若要在连接到 Windows VM 时从 Mac 执行此作,键盘快捷方式为 Fn+Ctrl+Alt+Backspace。
后续步骤
有关更多连接信息,请阅读 Bastion 常见问题解答 。