使用 Azure Bastion 创建与 Windows VM 的 RDP 连接

本文演示如何直接通过 Azure 门户安全无缝地与 Azure 虚拟网络中的 Windows VM 建立 RDP 连接。 使用 Azure Bastion 时，VM 不需要客户端、代理或其他软件。 也可使用 SSH 连接到 Windows VM。 有关信息，请参阅创建与 Windows VM 的 SSH 连接。

Azure Bastion 为预配它的虚拟网络中的所有 VM 提供安全连接。 使用 Azure Bastion 可防止虚拟机向外部公开 RDP/SSH 端口，同时仍然使用 RDP/SSH 提供安全访问。 有关详细信息，请参阅什么是 Azure Bastion？

先决条件

在开始之前，请验证是否满足以下条件：

• 一个已安装 Bastion 主机的 VNet。

  • 请确保已为 VM 所在的虚拟网络设置 Azure Bastion 主机。 在虚拟网络中预配和部署 Bastion 服务后，便可以使用它连接到此虚拟网络中的任何 VM。
  • 若要设置 Azure Bastion 主机，请参阅创建堡垒主机。 如果计划配置自定义端口值，请确保在配置 Bastion 时选择标准或更高级别的 SKU。

• 虚拟网络中的 Windows 虚拟机。

必需的角色

• 虚拟机上的读者角色。
• NIC 上的读者角色（使用虚拟机的专用 IP）。
• Azure Bastion 资源上的读者角色。
• 目标虚拟机的虚拟网络上的读者角色（如果 Bastion 部署位于对等互连虚拟网络中）。

端口

若要连接到 Windows VM，必须在 Windows VM 上打开以下端口：

• 入站端口：RDP (3389) 或

• 入站端口：自定义值（然后，你需要在通过 Azure Bastion 连接到 VM 时指定此自定义端口）

  注意

  如果要指定自定义端口值，则必须使用标准或更高级别的 SKU 对 Azure Bastion 进行配置。 基本 SKU 不允许指定自定义端口。

目标 VM 上的权限

用户在通过 RDP 连接到 Windows VM 时，必须对目标 VM 拥有权限。 如果用户不是本地管理员，请将其添加到目标 VM 上的远程桌面用户组。

请参阅 Azure Bastion 常见问题解答了解其他要求。

连接

1. 在 Azure 门户中，转到要连接的虚拟机。 在“概述”页上，选择“连接”，然后从下拉列表中选择 Bastion 以打开 Bastion 页。 还可以从左侧窗格选择 Bastion。

   

2. 在 Bastion 页上，输入所需的身份验证凭据，然后单击“连接”。 如果使用标准 SKU 配置了堡垒主机，将在此页上看到其他凭据选项。 如果 VM 已加入域，则必须使用以下格式：username@domain.com。

   

3. 在单击“连接”时，通过 Bastion 与此虚拟机的 RDP 连接将在浏览器中（通过 HTML5）使用端口 443 和 Bastion 服务打开。 以下示例显示了在新浏览器标签页中与 Windows 11 虚拟机的连接。你看到的页面取决于要连接到的 VM。

   

   使用 VM 时，使用键盘快捷键可能不会导致与本地计算机上的快捷键相同的行为。 例如，从 Windows 客户端连接到 Windows VM 时，CTRL+ALT+END 是本地计算机上 CTRL+ALT+Delete 的键盘快捷方式。 若要在连接到 Windows VM 时从 Mac 上执行此操作，键盘快捷方式为 Fn+CTRL+ALT+Backspace。

后续步骤

有关其他连接信息，请参阅堡垒主机常见问题解答。