BLOGAzureブログ

皆さまこんにちは。SB C&Sの井上です。
今回はAzure Bastionの共有可能リンク機能についてご紹介します。

通常Azure Bastionを利用して仮想マシンに接続するためには、Azure Portalにアクセスして仮想マシンページの接続ボタンから「Bastion」を選択する必要があります。

今回ご紹介するAzure Bastionの共有可能リンク機能を利用すると、仮想マシンへの接続時にAzure Portalにサインインする必要がなくなり、事前作成されたリンクから直接仮想マシンに接続することができます。

これにより、Azure Bastionを利用して仮想マシンに接続する手順を簡略化することができます。

本編では、Azure Bastionの共有可能リンク機能で仮想マシンに接続するための前提条件と利用方法を実際の画面も踏まえてご紹介します。

• 目次
• １．Azure Bastionの共有可能リンク機能とは
• ２．Azure Bastion共有可能リンク機能の前提条件
• ３．Azure Bastion共有可能リンク機能の利用方法
• ４．まとめ

１.Azure Bastion共有可能リンク機能とは

Azure Bastionとは、ブラウザとAzure Portalを使用してAzure仮想マシンにセキュアにアクセスできるマネージド踏み台サーバーサービスです。

※踏み台サーバーとは、パブリックインターネットから直接アクセスできない内部サーバー(ポートを閉じている、パブリックIPアドレスを持たないなど)にアクセスするために踏み台として経由するサーバー

通常のAzure仮想マシンへのRDP/SSH接続は、VPNなどの構成をしていない限りはインターネット経由で仮想マシンのパブリックIPアドレスに接続することになり、仮想マシンのポートを外部に公開してしまうため、不正アクセスの危険性があります。

Azure Bastionを利用すると、パブリックIPに接続することなく、トランスポート層セキュリティ(TLS)経由でAzure PortalからAzure仮想マシンへのセキュアなリモート接続を利用することが可能です。さらにAzure Bastionはマネージドサービスなので管理負荷の増加もほとんどなく、簡単にリモート接続を保護することができます。

従来のAzure Bastionでは、仮想マシンに接続する際にAzure Portalを経由して接続するか、ネイティブクライアント接続機能でPowerShellなどを使用してAzureアカウントにサインインしAzコマンドを入力して接続していましたが、今回ご紹介する共有可能リンク機能を利用すると、管理者が事前作成したリンクをブラウザで開いて仮想マシンの資格情報を入力するだけで、簡単に仮想マシンに接続することができます。

※ネイティブクライアント接続機能の設定方法は過去記事、Azコマンドの詳細は以下公式ドキュメントをご参照ください。

２．Azure Bastion共有可能リンク機能の前提条件

Azure Bastionの共有可能リンク機能を利用するためには、以下の前提条件が必要です。

・Azure BastionがVNetにデプロイされていること

・Azure BastionのSKUがStandardであること

(SKUがBasicの場合はStandardへアップグレードする必要があります)

・共有可能リンクを作成する対象の仮想マシンがVNetに含まれること

その他の考慮事項として、以下の環境でピアリングされたVNetでは共有可能リンク機能はサポートされていませんので利用不可です。ご注意ください。

・異なるサブスクリプション間でピアリングされたVNet

・異なるテナント間でピアリングされたVNet

・異なるリージョン間でピアリングされたVNet

また、既定では組織内のユーザーに対して共有可能リンクへの読み取りアクセス権のみ付与され、この権限を持っているユーザーは共有可能リンクの使用と表示を行うことができます。

管理者が共有可能リンクの作成や削除を行うためには、管理者アカウントに対してAzure Bastionへの以下のアクセス許可を付与する必要があります。

・Microsoft.Network/bastionHosts/createShareableLinks/action

・Microsoft.Network/bastionHosts/deleteShareableLinks/action

・Microsoft.Network/bastionHosts/deleteShareableLinksByToken/action

３．Azure Bastion共有可能リンク機能の利用方法

今回は事前準備として、共有可能リンク機能で接続するAzure 仮想マシン(Windows Server 2022 Datacenter: Azure Edition -x64 Gen 2)を1台作成しています。

また、Azure Bastion経由で接続するため、Azure 仮想マシンにはパブリックIPアドレスを関連付けせずに、NSGの規則でTCPポート3389を受信許可にしています。

1.Standard SKUのAzure Bastionをデプロイします。

※Azure Bastionをデプロイするサブネットの名前は「AzureBastionSubnet」という固有名にする必要があります。

※AzureBastionSubnetのプレフィックスは/26以上が推奨されています。 　例: 192.168.0.0/26, 10.0.0.0/24 など

2.Azure Bastionの構成ページで[Shareable Link]を有効化し、[適用]をクリックします。

※Azure Bastionの更新には約10分ほどかかります。

3.Azure Bastionの共有可能リンクページで[追加]をクリックし、共有可能リンクを作成するリソースを選択して[適用]をクリックします。

※共有可能リンクを作成する管理者アカウントには、前提条件のアクセス許可が付与されている必要があります。

4.リンクが作成されたらAzure Bastionの共有可能リンクページで対象の仮想マシンのリンクをコピーし、仮想マシンに接続するユーザーに送付します。

5.リンクを受け取ったユーザーはブラウザでリンクを開き、仮想マシンへのサインイン資格情報を入力して仮想マシンに接続します。

6.Azure Bastionで共有可能リンクを作成した仮想マシンに接続できることを確認します。

7.共有可能リンクが不要になった場合、管理者がAzure Portalからリンクの削除を行うことができます。

Azure Bastionの共有可能リンクページでリンクを削除したい仮想マシンを選択し、[削除]をクリックします。

※共有可能リンクを削除する管理者アカウントには、前提条件のアクセス許可が付与されている必要があります。

４．まとめ

今回はAzure Bastionの共有可能リンク機能についてご紹介しました。

Azure Bastionの共有可能リンク機能を利用すると、管理者が事前作成したリンクをブラウザで開いて仮想マシンの資格情報を入力するだけで、簡単に仮想マシンに接続することができます。

従来のAzure Bastionでは、仮想マシンに接続する際にAzure Portalを経由して接続するか、ネイティブクライアント接続機能でPowerShellなどを使用してAzureアカウントにサインインしAzコマンドを入力して接続していましたが、共有可能リンク機能を利用することでAzure Bastionを利用して仮想マシンに接続する手順を簡略化することができます。

設定も非常に簡単ですので、Azure Bastionをご利用している方はぜひ一度お試しいただけますと幸いです。

最後までお読みいただき、ありがとうございます。

利用方法やユースケースなど、Azureに関してご不明な点がございましたら、ぜひお気軽に Azure相談センター までお問い合わせください。
Azure に精通したスタッフが丁寧にご回答いたします。