Créer un lien partageable pour Bastion

  • Article

La fonctionnalité lien partageable Bastion permet aux utilisateurs de se connecter à une ressource cible (machine virtuelle ou groupe de machines virtuelles identiques) à l’aide d’Azure Bastion sans accéder au Portail Azure. Cet article vous aide à utiliser la fonctionnalité Lien partageable pour créer un lien partageable pour un déploiement Azure Bastion existant.

Lorsqu’un utilisateur sans informations d’identification Azure clique sur un lien partageable, une page web s’ouvre et invite l’utilisateur à se connecter à la ressource cible via RDP ou SSH. Les utilisateurs s’authentifient à l’aide d’un nom d’utilisateur et d’un mot de passe ou d’une clé privée, selon ce que vous avez configuré pour la ressource cible. Le lien partageable ne contient pas d’informations d’identification. L’administrateur doit fournir des informations d’identification de connexion à l’utilisateur.

Par défaut, les utilisateurs de votre organisation auront uniquement un accès en lecture aux liens partagés. Si un utilisateur dispose d’un accès en lecture, il ne peut utiliser et afficher que des liens partagés, mais ne peut pas créer ni supprimer un lien partageable. Pour plus d'informations, consultez la section Autorisations dans cet article.

Considérations

  • Les liens partageables ne sont pas pris en charge pour les ensembles virtuels appairés entre les locataires.
  • Les liens partageables ne sont pas pris en charge sur Virtual WAN.
  • Les liens partageables ne prennent pas en charge la connexion aux machines virtuelles et aux groupes de machines virtuelles identiques locaux ou non Azure. 
  • La référence SKU Standard est requise pour cette fonctionnalité.
  • Bastion ne prend en charge que 50 requêtes simultanées pour les liens partageables, y compris les créations et les suppressions.
  • Bastion prend uniquement en charge 500 liens partageables par ressource Bastion.

Prérequis

  • Azure Bastion est déployé sur votre réseau virtuel. Consultez Tutoriel : déployer Bastion avec des paramètres manuels pour les étapes.

  • Bastion doit être configuré pour utiliser la référence SKU Standard pour cette fonctionnalité. Vous pouvez mettre à jour la référence SKU de Basic vers Standard lorsque vous configurez la fonctionnalité de liens partageables.

  • Le réseau virtuel dans lequel la ressource Bastion est déployée ou un réseau virtuel appairé directement contient la ressource de machine virtuelle sur laquelle vous souhaitez créer un lien partageable.

Avant de pouvoir créer un lien partageable vers une machine virtuelle, vous devez d’abord activer la fonctionnalité.

  1. Dans le Portail Azure, accédez à votre ressource Bastion.

  2. Dans votre page Bastion, dans le volet de gauche, cliquez sur Configuration.

    Capture d’écran des paramètres de configuration avec le lien partageable sélectionné.

  3. Dans la page Configuration, pour Niveau, sélectionnez Standard s’il n’est pas déjà sélectionné. Cette fonctionnalité nécessite la référence SKU Standard.

  4. Sélectionnez Lien partageable dans les fonctionnalités répertoriées pour activer la fonctionnalité Lien partageable.

  5. Vérifiez que vous avez sélectionné les paramètres souhaités, puis cliquez sur Appliquer.

  6. Bastion commence immédiatement à mettre à jour les paramètres de votre hôte Bastion. Ces mises à jour prendront environ 10 minutes.

Dans cette section, vous spécifiez chaque ressource pour laquelle vous souhaitez créer un lien partageable

  1. Dans le Portail Azure, accédez à votre ressource Bastion.

  2. Dans votre page Bastion, dans le volet de gauche, cliquez sur Lien partageable. Cliquez sur + Ajouter pour ouvrir la page Créer un lien partageable.

    Capture d’écran de la page de liens partageables avec + ajouter.

  3. Dans la page Créer un lien partageable, sélectionnez les ressources pour lesquelles vous souhaitez créer un lien partageable. Vous pouvez sélectionner des ressources spécifiques ou sélectionner toutes les ressources. Un lien partageable distinct est créé pour chaque ressource sélectionnée. Cliquez sur Appliquer pour créer des liens.

    Capture d’écran de la page de liens partageables pour créer un lien partageable.

  4. Une fois les liens créés, vous pouvez les afficher sur la page Liens partageables . L’exemple suivant montre des liens pour plusieurs ressources. Vous pouvez voir que chaque ressource a un lien distinct et que l’état du lien est Actif. Pour partager un lien, copiez-le, puis envoyez-le à l’utilisateur. Le lien ne contient pas d’informations d’identification d’authentification.

    Capture d’écran de la page de liens partageables montrant tous les liens de ressources disponibles.

Se connecter à une machine virtuelle

  1. Après avoir reçu le lien, l’utilisateur ouvre le lien dans son navigateur.

  2. Dans le coin de gauche, l’utilisateur peut choisir d’afficher le texte et les images copiés dans le Presse-papiers. L’utilisateur entre les informations requises, puis clique sur Connexion pour se connecter. Le lien partagé ne contient pas d’informations d’identification d’authentification. L’administrateur doit fournir des informations d’identification de connexion à l’utilisateur. Les ports et protocoles personnalisés sont pris en charge.

    Capture d’écran de la connexion à Bastion à l’aide du lien partageable dans le navigateur.

Notes

Si un lien ne peut plus être ouvert, cela signifie qu’une personne de votre organisation a supprimé cette ressource. Bien que vous puissiez toujours voir les liens partagés dans votre liste, cela ne se connectera plus à la ressource cible et entraînera une erreur de connexion. Vous pouvez supprimer le lien partagé dans votre liste ou le conserver à des fins d’audit.

  1. Dans le Portail Azure, accédez à votre Ressource Bastion - >Liens partageables.

  2. Dans la page Liens partageables , sélectionnez le lien de ressource que vous souhaitez supprimer, puis cliquez sur Supprimer.

    Capture d’écran de la sélection du lien à supprimer.

Autorisations

Les autorisations d’accès à la fonctionnalité Lien partageable sont configurées à l’aide du contrôle d’accès (IAM). Par défaut, les utilisateurs de votre organisation auront uniquement un accès en lecture aux liens partagés. Si un utilisateur dispose d’un accès en lecture, il ne peut utiliser et afficher que des liens partagés, mais ne peut pas créer ni supprimer un lien partagé.

Pour accorder à une personne les autorisations nécessaires pour créer ou supprimer un lien partagé, procédez comme suit :

  1. Dans le Portail Azure, accédez à votre hôte Bastion.

  2. Accédez à la page Contrôle d’accès (IAM).

  3. Dans la section Microsoft.Network/bastionHosts, configurez les autorisations suivantes :

    • Autre : crée des URL partageables pour les machines virtuelles sous un bastion et retourne les URL.
    • Autre : supprime les URL partageables pour les machines virtuelles fournies sous un bastion.
    • Autre : supprime les URL partageables pour les jetons fournis sous un bastion.

    Celles-ci correspondent aux cmdlets PowerShell suivantes :

    • Microsoft.Network/bastionHosts/createShareableLinks/action
    • Microsoft.Network/bastionHosts/deleteShareableLinks/action
    • Microsoft.Network/bastionHosts/deleteShareableLinksByToken/action
    • Microsoft.Network/bastionHosts/getShareableLinks/action : si cette option n’est pas activée, l’utilisateur ne pourra pas voir de lien partageable.

Étapes suivantes