Qu’est-ce qu’Azure Bastion ?What is Azure Bastion?

Le service Azure Bastion est un nouveau service PaaS complètement managé par la plateforme que vous provisionnez au sein de votre réseau virtuel.The Azure Bastion service is a new fully platform-managed PaaS service that you provision inside your virtual network. Il fournit une connectivité RDP/SSH sécurisée et fluide à vos machines virtuelles directement dans le Portail Azure via SSL.It provides secure and seamless RDP/SSH connectivity to your virtual machines directly in the Azure portal over SSL. Lorsque vous vous connectez via Azure Bastion, vos machines virtuelles n’ont pas besoin d’une adresse IP publique.When you connect via Azure Bastion, your virtual machines do not need a public IP address.

Bastion fournit une connectivité RDP et SSH sécurisée à toutes les machines virtuelles du réseau virtuel dans lequel il est fourni.Bastion provides secure RDP and SSH connectivity to all VMs in the virtual network in which it is provisioned. Azure Bastion protège vos machines virtuelles contre l’exposition des ports RDP/SSH au monde extérieur, tout en fournissant un accès sécurisé à l’aide de RDP/SSH.Using Azure Bastion protects your virtual machines from exposing RDP/SSH ports to the outside world while still providing secure access using RDP/SSH. Avec Azure Bastion, vous vous connectez à la machine virtuelle directement depuis le Portail Azure.With Azure Bastion, you connect to the virtual machine directly from the Azure portal. Vous n’avez pas besoin d’un client, d’un agent ou d’un logiciel supplémentaire.You don't need an additional client, agent, or piece of software.

ArchitectureArchitecture

Azure Bastion est déployé dans votre réseau virtuel et, une fois déployé, il fournit l’expérience RDP/SSH sécurisée pour toutes les machines virtuelles de votre réseau virtuel.Azure Bastion is deployed in your virtual network and, once deployed, it provides the secure RDP/SSH experience for all the virtual machines in your virtual network. Une fois que vous avez provisionné le service Azure Bastion dans votre réseau virtuel, l’expérience RDP/SSH est disponible pour toutes vos machines virtuelles sur le même réseau virtuel.Once you provision an Azure Bastion service in your virtual network, the RDP/SSH experience is available to all your VMs in the same virtual network. Le déploiement est effectué par réseau virtuel et non par abonnement/compte ou machine virtuelle.The deployment is per virtual network, not per subscription/account or virtual machine.

RDP et SSH font partie des moyens fondamentaux par lesquels vous pouvez vous connecter à vos charges de travail exécutées dans Azure.RDP and SSH are some of the fundamental means through which you can connect to your workloads running in Azure. L’exposition des ports RDP/SSH sur Internet est déconseillée car considérée comme une surface de menace importante.Exposing RDP/SSH ports over the Internet isn't desired and is seen as a significant threat surface. Cela est surtout dû aux vulnérabilités du protocole.This is often due to protocol vulnerabilities. Pour contenir cette surface de menace, vous pouvez déployer des hôtes Bastion (également appelés serveurs de saut) du côté public de votre réseau périphérique.To contain this threat surface, you can deploy bastion hosts (also known as jump-servers) at the public side of your perimeter network. Les serveurs hôte Bastion sont conçus et configurés pour faire face aux attaques.Bastion host servers are designed and configured to withstand attacks. Les serveurs Bastion fournissent également une connectivité RDP et SSH aux charges de travail situées derrière le bastion, ainsi qu’à l’intérieur du réseau.Bastion servers also provide RDP and SSH connectivity to the workloads sitting behind the bastion, as well as further inside the network.

architecture

Cette figure représente l’architecture d’un déploiement Azure Bastion.This figure shows the architecture of an Azure Bastion deployment. Dans ce diagramme :In this diagram:

  • l’hôte Bastion est déployé dans le réseau virtuel.The Bastion host is deployed in the virtual network.
  • L’utilisateur se connecte au portail Azure à l’aide de n’importe quel navigateur HTML5.The user connects to the Azure portal using any HTML5 browser.
  • L’utilisateur sélectionne la machine virtuelle à laquelle se connecter.The user selects the virtual machine to connect to.
  • D’un simple clic, la session RDP/SSH s’ouvre dans le navigateur.With a single click, the RDP/SSH session opens in the browser.
  • Aucune adresse IP publique n’est requise sur la machine virtuelle Azure.No public IP is required on the Azure VM.

Fonctionnalités clésKey features

Les fonctionnalités suivantes sont disponibles :The following features are available:

  • RDP et SSH directement dans le Portail Azure : Vous pouvez accéder directement à la session RDP et SSH directement dans le Portail Azure en un clic.RDP and SSH directly in Azure portal: You can directly get to the RDP and SSH session directly in the Azure portal using a single click seamless experience.
  • Session à distance sur SSL et traversée de pare-feu pour RDP/SSH : Azure Bastion utilise un client web basé sur HTML5 qui est automatiquement diffusé en continu sur votre appareil local de sorte que vous obtenez votre session RDP/SSH via SSL sur le port 443 ce qui vous permet de traverser les pare-feu d’entreprise en toute sécurité.Remote Session over SSL and firewall traversal for RDP/SSH: Azure Bastion uses an HTML5 based web client that is automatically streamed to your local device, so that you get your RDP/SSH session over SSL on port 443 enabling you to traverse corporate firewalls securely.
  • Aucune adresse IP publique n’est requise sur la machine virtuelle Azure : Azure Bastion ouvre la connexion RDP/SSH à votre machine virtuelle Azure en utilisant une adresse IP privée sur votre machine virtuelle.No Public IP required on the Azure VM: Azure Bastion opens the RDP/SSH connection to your Azure virtual machine using private IP on your VM. Vous n’avez pas besoin d’une adresse IP publique sur votre machine virtuelle.You don't need a public IP on your virtual machine.
  • Gestion aisée des groupes de sécurité réseau : Azure Bastion est un service PaaS de plateforme entièrement géré d’Azure, renforcé en interne pour vous fournir une connectivité RDP/SSH sécurisée.No hassle of managing NSGs: Azure Bastion is a fully managed platform PaaS service from Azure that is hardened internally to provide you secure RDP/SSH connectivity. Vous n’avez pas besoin d’appliquer de groupes de sécurité réseau sur le sous-réseau Azure Bastion.You don't need to apply any NSGs on Azure Bastion subnet. Comme Azure Bastion se connecte à vos machines virtuelles par le biais d’une adresse IP privée, vous pouvez configurer vos groupes de sécurité réseau pour autoriser RDP/SSH depuis Azure Bastion uniquement.Because Azure Bastion connects to your virtual machines over private IP, you can configure your NSGs to allow RDP/SSH from Azure Bastion only. Vous n’avez plus à gérer les groupes de sécurité réseau chaque fois que vous devez vous connecter de manière sécurisée à vos machines virtuelles.This removes the hassle of managing NSGs each time you need to securely connect to your virtual machines.
  • Protection contre l’analyse des ports : Parce que vous n’avez pas besoin d’exposer vos machines virtuelles à l’Internet public, celles-ci sont protégées contre l’analyse des ports par des utilisateurs malveillants situés en dehors de votre réseau virtuel.Protection against port scanning: Because you do not need to expose your virtual machines to public Internet, your VMs are protected against port scanning by rogue and malicious users located outside your virtual network.
  • Protégez-vous contre les exploits du jour zéro. Renforcement de la sécurité dans un seul endroit : Azure Bastion est un service PaaS complètement managé par la plateforme.Protect against zero-day exploits. Hardening in one place only: Azure Bastion is a fully platform-managed PaaS service. Comme il se trouve au périmètre de votre réseau virtuel, vous n’avez pas besoin de vous soucier du renforcement de la sécurité de chacune des machines virtuelles de votre réseau virtuel.Because it sits at the perimeter of your virtual network, you don’t need to worry about hardening each of the virtual machines in your virtual network. La plateforme Azure protège contre les exploits du jour zéro en assurant une sécurité renforcée permanente et à jour pour Azure Bastion.The Azure platform protects against zero-day exploits by keeping the Azure Bastion hardened and always up-to-date for you.

Forum Aux QuestionsFAQ

Quelles régions sont disponibles ?Which regions are available?

Notes

Nous déployons tous les efforts nécessaires pour ajouter d’autres régions.We are working hard to add additional regions. Dès qu’une région est ajoutée, nous la faisons figurer dans cette liste.When a region is added, we will add it to this list.

  • USA OuestWest US
  • USA Ouest 2West US 2
  • USA EstEast US
  • USA Est 2East US 2
  • Europe OuestWest Europe
  • États-Unis - partie centrale méridionaleSouth Central US
  • Australie EstAustralia East
  • Japon EstJapan East

Ai-je besoin d’une adresse IP publique sur ma machine virtuelle ?Do I need a public IP on my virtual machine?

Vous n’avez PAS besoin d’une adresse IP publique sur la machine virtuelle Azure à laquelle vous êtes connecté avec le service Azure Bastion.You do NOT need a public IP on the Azure Virtual Machine that you are connecting to with the Azure Bastion service. Le service Bastion va ouvrir la session/connexion RDP/SSH à votre machine virtuelle sur l’adresse IP privée de celle-ci, au sein de votre réseau virtuel.The Bastion service will open the RDP/SSH session/connection to your virtual machine over the private IP of your virtual machine, within your virtual network.

IPv6 est-il pris en charge ?Is IPv6 supported?

IPv6 n’est actuellement pas pris en charge.At this time, IPv6 is not supported. Azure Bastion prend en charge IPv4 uniquement.Azure Bastion supports IPv4 only.

Ai-je besoin d’un client RDP ou SSH ?Do I need an RDP or SSH client?

Vous n’avez pas besoin d’un client RDP ou SSH pour accéder par RDP/SSH à votre machine virtuelle Azure dans votre portail Azure.You do not need an RDP or SSH client to access the RDP/SSH to your Azure virtual machine in your Azure portal. Utilisez le portail Azure pour obtenir un accès RDP/SSH à votre machine virtuelle directement dans le navigateur.Use the Azure portal to let you get RDP/SSH access to your virtual machine directly in the browser.

Ai-je besoin d’un agent exécuté sur la machine virtuelle Azure ?Do I need an agent running in the Azure virtual machine?

Vous n’avez pas besoin d’installer un agent ou un logiciel sur votre navigateur ou sur votre machine virtuelle Azure.You don't need to install an agent or any software on your browser or on your Azure virtual machine. Le service Bastion est sans agent et ne nécessite aucun logiciel supplémentaire pour RDP/SSH.The Bastion service is agentless and does not require any additional software for RDP/SSH.

Quels sont les navigateurs pris en charge ?Which browsers are supported?

Utilisez le navigateur Microsoft Edge ou Google Chrome sous Windows.Use the Microsoft Edge browser or Google Chrome on Windows. Pour Apple Mac, utilisez le navigateur Google Chrome.For Apple Mac, use Google Chrome browser. Microsoft Edge Chromium est également pris en charge sur Windows et Mac, respectivement.Microsoft Edge Chromium is also supported on both Windows and Mac, respectively.

Certains rôles sont-ils obligatoires pour accéder à une machine virtuelle ?Are any roles required to access a virtual machine?

Pour établir une connexion, les rôles suivants sont nécessaires :In order to make a connection, the following roles are required:

  • Rôle de lecteur sur la machine virtuelleReader role on the virtual machine
  • Rôle de lecteur sur la carte réseau avec adresse IP privée de la machine virtuelleReader role on the NIC with private IP of the virtual machine
  • Rôle de lecteur sur la ressource Azure BastionReader role on the Azure Bastion resource

Quel est la tarification ?What is the pricing?

Pour plus d’informations, consultez la page relative aux prix appliqués.For more information, see the pricing page.

Pourquoi le message d’erreur « Votre session a expiré » s’affiche avant le démarrage de la session Bastion ?Why do I get "Your session has expired" error message before the Bastion session starts?

Une session ne doit être lancée qu’à partir du portail Azure.A session should be initiated only from the Azure portal. Connectez-vous au portail Azure, puis redémarrez votre session.Sign in to the Azure portal and begin your session again. Si vous accédez à l’URL directement à partir d’une autre session de navigateur ou d’un autre onglet, cette erreur est normale.If you go to the URL directly from another browser session or tab, this error is expected. Cela permet de sécuriser votre session, en évitant qu’elle soit accessible en dehors du portail Azure.It helps ensure that your session is more secure and that the session can be accessed only through the Azure portal.

Quelles sont les dispositions de clavier prises en charge pendant la session à distance Bastion ?What keyboard layouts are supported during the Bastion remote session?

Azure Bastion prend actuellement en charge la disposition de clavier en-US-QWERTY dans la machine virtuelle.Azure Bastion currently supports en-us-qwerty keyboard layout inside the VM. La prise en charge d’autres paramètres régionaux pour la disposition de clavier est en cours de développement.Support for other locales for keyboard layout is work in progress.

Le routage défini par l’utilisateur (UDR) est-il pris en charge sur un sous-réseau Azure Bastion ?Is user-defined routing (UDR) supported on an Azure Bastion subnet?

Non.No. Le routage UDR n’est pas pris en charge sur un sous-réseau Azure Bastion.UDR is not supported on an Azure Bastion subnet. Pour les scénarios qui incluent Azure Bastion et Pare-feu Azure/Appliance virtuelle réseau (NVA) dans le même réseau virtuel, vous n’avez pas besoin de forcer le trafic d’un sous-réseau Azure Bastion vers le Pare-feu Azure, car la communication entre Azure Bastion et vos machines virtuelles est privée.For scenarios that include both Azure Bastion and Azure Firewall/Network Virtual Appliance (NVA) in the same virtual network, you don’t need to force traffic from an Azure Bastion subnet to Azure Firewall because the communication between Azure Bastion and your VMs is private. Pour plus d’informations, consultez Accessing VMs behind Azure Firewall with Bastion.For more details, see Accessing VMs behind Azure Firewall with Bastion.

Le transfert de fichiers est-il pris en charge avec une session RDP Azure Bastion ?Is file-transfer supported with Azure Bastion RDP session?

Nous déployons tous les efforts nécessaires pour ajouter de nouvelles fonctionnalités.We are working hard to add new features. Pour le moment, le transfert de fichiers n’est pas pris en charge, mais il fait partie de notre feuille de route.As of now, file transfer is not supported but is part of our roadmap. N’hésitez pas à nous faire part de vos commentaires sur les nouvelles fonctionnalités dans la page des commentaires Azure Bastion.Please feel free to share your feedback about new features on the Azure Bastion Feedback page.

Étapes suivantesNext steps