使用 Azure Bastion 创建到 Windows VM 的 RDP 连接

使用 Azure 门户创建与 Windows 虚拟机的基于浏览器的 RDP 连接。 此方法直接通过浏览器进行连接。 你的电脑不需要原生 RDP 客户端或其他额外软件。 需要基础 SKU 或更高版本，如果您需要自定义端口，则需要标准 SKU。

1. 在 Azure 门户中，选择虚拟机。 在左窗格中选择 “连接”，然后选择 “Bastion”。

2. 在“ 连接设置 ”选项卡中，选择 RDP 作为协议，如果将其从默认值 3389 更改，请输入端口号。

3. 选择您的身份验证方法。 推荐 Microsoft Entra ID （预览版）。 有关其他选项，请参阅 身份验证方法。

1. 选择 “连接 ”以在新浏览器选项卡中打开与虚拟机的 RDP 连接。

使用 Azure 门户使用指定的 IP 地址创建与 Windows 虚拟机的基于浏览器的 RDP 连接。 此方法通过浏览器进行连接，不需要本地计算机上的本机 RDP 客户端或其他软件。 标准 SKU 或更高版本是必需的，必须启用 基于 IP 的连接。

启用基于 IP 的连接

在使用 IP 地址进行连接之前，必须在 Bastion 部署上启用基于 IP 的连接。

1. 在 Azure 门户中，导航到 Bastion 部署。

2. 在 “配置 ”页上，对于 “层”，验证 SKU 是否设置为 标准 SKU 或更高版本。 如果 SKU 设置为基本 SKU，请从下拉列表中选择更高的 SKU。

3. 选择 基于 IP 的连接。

4. 选择“应用”，以应用更改。 Bastion 配置需要几分钟才能完成。

5. 直接在 Bastion Connect 页上指定目标虚拟机的 IP 地址，而不是从 Azure 门户选择虚拟机。

使用 IP 地址进行连接

1. 若要使用指定的 IP 地址连接到虚拟机，请从 Bastion 建立连接，而不是直接从虚拟机页进行连接。 在 Bastion 资源上，选择 “连接” 以打开“连接”页。

2. 在 Bastion Connect 页上，对于 IP 地址，请输入目标虚拟机的 IP 地址。

   

3. 将连接设置调整为所需的 协议 （RDP）和 端口。

4. 在用户名和密码中输入凭据。

5. 选择 “连接 ”以连接到虚拟机。

有关通过 IP 地址建立的本机客户端 RDP 连接，请参阅此页面上的 “本机客户端 ”选项卡。

使用 Azure CLI 从本地 Windows 计算机连接到 Windows 虚拟机（az network bastion rdp）。 此方法需要标准 SKU或更高版本，并配置本机客户端支持。

当用户通过 RDP 连接到 Windows VM 时，他们必须拥有目标 VM 上的权限。 如果用户不是本地管理员，请将用户添加到目标 VM 上的Remote Desktop用户组。

1. 使用 az login 登录 Azure 帐户。 如果有多个订阅，可以使用 az account list 查看，并使用 az account set --subscription "<subscription ID>" 选择包含 Bastion 资源的订阅。

2. 若要通过 RDP 进行连接，请使用以下示例。

   az network bastion rdp --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId>"
   

3. 运行命令后，系统会提示你输入凭据。 你可以使用本地用户名和密码，也可以使用 Microsoft Entra 凭据。 登录到目标 VM 后，您计算机上的本机客户端会通过 MSTSC 开始您的 VM 会话。

   重要

   仅允许从 Windows 10 或更高版本的 PC 远程连接到已加入 Microsoft Entra ID 的 VM，这些 PC 必须注册为 Microsoft Entra（从 Windows 10 20H1 开始）、加入 Microsoft Entra，或以混合方式加入与 VM 所在的同一目录的 Microsoft Entra。

指定身份验证方法

（可选）还可以将身份验证方法指定为命令的一部分。

• Microsoft Entra 身份验证：对于 Windows 10 版本 20H2+、Windows 11 21H2+ 和 Windows Server 2022，请使用 --enable-mfa。 有关详细信息，请参阅 az network bastion rdp - 可选参数。

指定自定义端口

通过 RDP 连接到 Windows VM 时，可以指定自定义端口。

一种特别有用的方案是通过端口 22 连接到 Windows VM。 这是针对 az network bastion ssh 命令限制的可能解决方法，Windows 本机客户端无法使用该命令连接到 Windows VM。

若要指定自定义端口，请在登录命令中包含字段 --resource-port，如以下示例所示。

az network bastion rdp --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId>" --resource-port "22"

使用 RDP 连接到 Windows 虚拟机的 IP 地址

还可以连接到 VM 专用 IP 地址，而不是资源 ID。 使用这种类型的连接时，不支持Microsoft Entra 身份验证，也不支持自定义端口和协议。 有关基于 IP 的连接的详细信息，请参阅连接到 VM - IP 地址。

使用 az network bastion 命令将 --target-resource-id 替换为 --target-ip-address 并指定用于连接到 VM 的 IP 地址。

az network bastion rdp --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-address "<VMIPAddress>"

有关 SSH 和隧道连接，请参阅 使用 Bastion 和 Windows 本机客户端连接到 VM。