Azure Bastion とはWhat is Azure Bastion?

Azure Bastion サービスは、お使いの仮想ネットワーク内でプロビジョニングする、新しいフル プラットフォームマネージド PaaS サービスです。The Azure Bastion service is a new fully platform-managed PaaS service that you provision inside your virtual network. これは、Azure portal 内で直接 SSL を経由して、お使いの仮想マシンへの安全かつシームレスな RDP または SSH 接続を提供します。It provides secure and seamless RDP/SSH connectivity to your virtual machines directly in the Azure portal over SSL. Azure Bastion 経由で接続する場合、ご自分の仮想マシンにパブリック IP アドレスは必要ありません。When you connect via Azure Bastion, your virtual machines do not need a public IP address.

Bastion は、プロビジョニングされる仮想ネットワーク内のすべての VM に対して安全な RDP および SSH 接続を提供します。Bastion provides secure RDP and SSH connectivity to all of the VMs in the virtual network in which it is provisioned. Azure Bastion を使用すると、RDP または SSH を使用した安全なアクセスを提供しながら、お使いの仮想マシンが RDP または SSH ポートを外部に公開しないように保護されます。Using Azure Bastion protects your virtual machines from exposing RDP/SSH ports to the outside world, while still providing secure access using RDP/SSH. Azure Bastion を使用して、Azure portal から直接仮想マシンに接続します。With Azure Bastion, you connect to the virtual machine directly from the Azure portal. 追加のクライアント、エージェント、ソフトウェアは必要ありません。You don't need an additional client, agent, or piece of software.

ArchitectureArchitecture

Azure Bastion デプロイは、サブスクリプションやアカウント、仮想マシン単位ではなく、仮想ネットワーク単位です。Azure Bastion deployment is per virtual network, not per subscription/account or virtual machine. この仮想ネットワーク内で Azure Bastion サービスをプロビジョニングすると、同じ仮想ネットワーク内のすべての VM で RDP または SSH エクスペリエンスを利用できるようになります。Once you provision an Azure Bastion service in your virtual network, the RDP/SSH experience is available to all your VMs in the same virtual network.

RDP および SSH は、Azure で実行されているワークロードに接続できる、基本的な手段の一部です。RDP and SSH are some of the fundamental means through which you can connect to your workloads running in Azure. インターネット経由で RDP または SSH ポートを公開することは望ましくなく、重大な脅威にさらされる面と見なされます。Exposing RDP/SSH ports over the Internet isn't desired and is seen as a significant threat surface. これは、プロトコルの脆弱性が原因であることがよくあります。This is often due to protocol vulnerabilities. この脅威にさらされる面を含めるには、境界ネットワークの公開される側に踏み台ホスト (ジャンプサーバーとも呼ばれます) をデプロイできます。To contain this threat surface, you can deploy bastion hosts (also known as jump-servers) at the public side of your perimeter network. Bastion のホスト サーバーは、攻撃に耐えられるように設計および構成されています。Bastion host servers are designed and configured to withstand attacks. また、Bastion のサーバーは、踏み台の背後やネットワーク内の奥の方にあるワークロードに対する RDP および SSH 接続も提供しています。Bastion servers also provide RDP and SSH connectivity to the workloads sitting behind the bastion, as well as further inside the network.

アーキテクチャ

この図は、Azure Bastion のデプロイのアーキテクチャを示しています。This figure shows the architecture of an Azure Bastion deployment. この図の内容は次のとおりです。In this diagram:

  • Azure Bastion ホストは仮想ネットワーク内にデプロイされています。The Bastion host is deployed in the virtual network.
  • ユーザーは任意の HTML5 ブラウザーを使用して Azure portal に接続します。The user connects to the Azure portal using any HTML5 browser.
  • ユーザーは、接続先の仮想マシンを選択します。The user selects the virtual machine to connect to.
  • 1 回クリックすると、ブラウザーで RDP または SSH セッションが開きます。With a single click, the RDP/SSH session opens in the browser.
  • Azure VM ではパブリック IP が必要ありません。No public IP is required on the Azure VM.

主要な機能Key features

次の機能を使用できます。The following features are available:

  • Azure portal で直接 RDP および SSH を使用する: シングルクリックのシームレスなエクスペリエンスを使用して、Azure portal 内で直接 RDP および SSH セッションに接続できます。RDP and SSH directly in Azure portal: You can directly get to the RDP and SSH session directly in the Azure portal using a single click seamless experience.
  • SSL 経由のリモート セッションと RDP または SSH のファイアウォール トラバーサル: Azure Bastion では、ローカルのデバイスに自動的にストリーム配信される HTML5 ベースの Web クライアントを使用しているため、企業ファイアウォールを安全にトラバーサルできるようにポート 443 で SSL を介して RDP または SSH セッションに接続します。Remote Session over SSL and firewall traversal for RDP/SSH: Azure Bastion uses an HTML5 based web client that is automatically streamed to your local device, so that you get your RDP/SSH session over SSL on port 443 enabling you to traverse corporate firewalls securely.
  • Azure VM ではパブリック IP が不要: Azure Bastion は、お使いの Azure 仮想マシンのプライベート IP を使用してその VM への RDP または SSH 接続を開きます。No Public IP required on the Azure VM: Azure Bastion opens the RDP/SSH connection to your Azure virtual machine using private IP on your VM. 仮想マシンのパブリック IP は必要ありません。You don't need a public IP on your virtual machine.
  • NSG を管理する手間はなし: Azure Bastion は、Azure が提供するフル マネージド プラットフォーム PaaS サービスで、安全な RDP または SSH 接続を提供するよう内部で強化されています。No hassle of managing NSGs: Azure Bastion is a fully managed platform PaaS service from Azure that is hardened internally to provide you secure RDP/SSH connectivity. Azure Bastion サブネットに NSG を適用する必要はありません。You don't need to apply any NSGs on Azure Bastion subnet. Azure Bastion はプライベート IP 経由で仮想マシンに接続するため、Azure Bastion からの RDP または SSH のみを許可するよう構成できます。Because Azure Bastion connects to your virtual machines over private IP, you can configure your NSGs to allow RDP/SSH from Azure Bastion only. これで、お使いの仮想マシンへの安全な接続が必要になるたびに NSG を管理する手間がなくなります。This removes the hassle of managing NSGs each time you need to securely connect to your virtual machines.
  • ポート スキャンからの保護: お使いの仮想マシンをパブリック インターネットに公開する必要がないため、この VM は、仮想ネットワーク外部の悪意のあるユーザーによるポート スキャンから保護されます。Protection against port scanning: Because you do not need to expose your virtual machines to public Internet, your VMs are protected against port scanning by rogue and malicious users located outside your virtual network.
  • ゼロデイ攻撃から保護する。一元的な強化: Azure Bastion は、フル プラットフォームマネージド PaaS サービスです。Protect against zero-day exploits. Hardening in one place only: Azure Bastion is a fully platform-managed PaaS service. これは仮想ネットワークの境界に配置されるため、その仮想ネットワーク内の各仮想マシンを強化することについて心配する必要はありません。Because it sits at the perimeter of your virtual network, you don’t need to worry about hardening each of the virtual machines in your virtual network. Azure プラットフォームは、Azure Bastion を強化して常に最新の状態にしておくことで、ゼロデイ攻撃から保護します。The Azure platform protects against zero-day exploits by keeping the Azure Bastion hardened and always up to date for you.

よく寄せられる質問FAQ

利用可能なリージョンWhich regions are available?

注意

Microsoft は、対応リージョンを拡大するために鋭意努力しています。We are working hard to add additional regions. リージョンを追加した場合は、このリストに追加する予定です。When a region is added, we will add it to this list.

アメリカ合衆国Americas

  • ブラジル南部Brazil South
  • カナダ中部Canada Central
  • 米国中部Central US
  • East USEast US
  • 米国東部 2East US 2
  • 米国中北部North Central US
  • 米国中南部South Central US
  • 米国中西部West Central US
  • 米国西部West US
  • 米国西部 2West US 2

ヨーロッパEurope

  • フランス中部France Central
  • 北ヨーロッパNorth Europe
  • ノルウェー東部Norway East
  • 英国南部UK South
  • 英国西部UK West
  • 西ヨーロッパWest Europe

アジア太平洋Asia Pacific

  • オーストラリア中部 2Australia Central 2
  • オーストラリア東部Australia East
  • オーストラリア南東部Australia Southeast
  • 東アジアEast Asia
  • 東日本Japan East
  • 西日本Japan West
  • 韓国中部Korea Central
  • 韓国南部Korea South
  • 東南アジアSoutheast Asia
  • インド西部West India

中東およびアフリカMiddle East and Africa

  • 南アフリカ北部South Africa North
  • アラブ首長国連邦中部UAE Central

Azure GovernmentAzure Government

  • US DoD CentralUS DoD Central
  • US DoD EastUS DoD East
  • US Gov アリゾナUS Gov Arizona
  • US Gov アイオワUS Gov Iowa
  • US Gov テキサスUS Gov Texas
  • US Gov バージニア州US Gov Virginia

自分の仮想マシンにはパブリック IP が必要ですか?Do I need a public IP on my virtual machine?

Azure Bastion を使用して VM に接続するときは、接続先となる Azure 仮想マシンのパブリック IP は必要ありません。When you connect to a VM using Azure Bastion, you do NOT need a public IP on the Azure Virtual Machine that you are connecting to. Bastion サービスは、ご使用の仮想ネットワーク内で、お客様の仮想マシンのプライベート IP 経由でお客様の仮想マシンへの RDP または SSH セッションや接続を開きます。The Bastion service will open the RDP/SSH session/connection to your virtual machine over the private IP of your virtual machine, within your virtual network.

IPv6 はサポートされていますか?Is IPv6 supported?

現時点では、IPv6 はサポートされていません。At this time, IPv6 is not supported. Azure Bastion は、IPv4 のみをサポートしています。Azure Bastion supports IPv4 only.

RDP または SSH クライアントは必要ですか?Do I need an RDP or SSH client?

ご使用の Azure portal 内でお客様の Azure 仮想マシンに RDP または SSH アクセスするために RDP または SSH クライアントは必要ありません。You do not need an RDP or SSH client to access the RDP/SSH to your Azure virtual machine in your Azure portal. Azure portal を使用して、ブラウザー内で仮想マシンに直接 RDP または SSH アクセスすることができます。Use the Azure portal to let you get RDP/SSH access to your virtual machine directly in the browser.

Azure Bastion には、Azure でホストされる VM を管理する目的で RDS CAL が必要ですか?Does Azure Bastion require an RDS CAL for administrative purposes on Azure-hosted VMs?

いいえ、管理の目的にのみ使用する場合、Azure Bastion による Windows Server VM へのアクセスに RDS CAL は必要ありません。No, access to Windows Server VMs by Azure Bastion does not require an RDS CAL when used solely for administrative purposes.

各 Azure Bastion がサポートしている同時 RDP セッションと SSH セッションの数はいくつですか?How many concurrent RDP and SSH sessions does each Azure Bastion support?

RDP と SSH はどちらも使用量ベースのプロトコルです。Both RDP and SSH are a usage-based protocol. セッションの使用量が多いと、要塞ホストでサポートされるセッションの合計数が少なくなります。High usage of sessions will cause the bastion host to support a lower total number of sessions. 以下の数値は、通常の日常のワークフローを想定しています。The numbers below assume normal day-to-day workflows.

リソースResource 制限Limit
コンカレント RDP 接続数Concurrent RDP connections 25*25*
コンカレント SSH 接続数Concurrent SSH connections 50**50**

*他の実行中 RDP セッションや、他の実行中 SSH セッションによって異なる場合があります。*May vary due to other on-going RDP sessions or other on-going SSH sessions.
**既存の RDP 接続がある場合、または他の実行中 SSH セッションから使用されている場合は、異なる可能性があります。**May vary if there are existing RDP connections or usage from other on-going SSH sessions.

Azure 仮想マシン内で実行するエージェントは必要ですか?Do I need an agent running in the Azure virtual machine?

ご使用のブラウザーやお客様の Azure 仮想マシンにエージェントやソフトウェアをインストールする必要はありません。You don't need to install an agent or any software on your browser or your Azure virtual machine. Bastion サービスはエージェントレスのため、RDP や SSH 用の追加のソフトウェアを必要としません。The Bastion service is agentless and does not require any additional software for RDP/SSH.

どのブラウザーがサポートされていますか?Which browsers are supported?

Windows では Microsoft Edge ブラウザーまたは Google Chrome をご使用ください。Use the Microsoft Edge browser or Google Chrome on Windows. Apple Mac では、Google Chrome ブラウザーをご使用ください。For Apple Mac, use Google Chrome browser. Microsoft Edge Chromium も Windows と Mac の両方でサポートされます。Microsoft Edge Chromium is also supported on both Windows and Mac, respectively.

仮想マシンにアクセスするには、なんらかのロールが必要ですか?Are any roles required to access a virtual machine?

接続を作成するには、次のロールが必要です。In order to make a connection, the following roles are required:

  • 仮想マシンに対する閲覧者ロールReader role on the virtual machine
  • 仮想マシンのプライベート IP を使用する NIC に対する閲覧者ロールReader role on the NIC with private IP of the virtual machine
  • Azure Bastion リソースに対する閲覧者ロールReader role on the Azure Bastion resource

料金はどのようになっていますか?What is the pricing?

詳細については、 価格に関するページを参照してください。For more information, see the pricing page.

Bastion セッションの開始前に "セッションの有効期限が切れています" というエラー メッセージを受け取るのはなぜですか?Why do I get "Your session has expired" error message before the Bastion session starts?

セッションは Azure portal からのみ開始される必要があります。A session should be initiated only from the Azure portal. もう一度 Azure portal にサインインして、自分のセッションを開始してください。Sign in to the Azure portal and begin your session again. 別のブラウザー セッションまたはタブから直接 URL に移動する場合に、このエラーが発生します。If you go to the URL directly from another browser session or tab, this error is expected. これは、自分のセッションがより安全で、セッションが Azure portal からのみアクセスできることを確保するのに役立ちます。It helps ensure that your session is more secure and that the session can be accessed only through the Azure portal.

Bastion リモート セッション中はどのようなキーボード レイアウトがサポートされますか?What keyboard layouts are supported during the Bastion remote session?

Azure Bastion は現在、VM 内で en-us-qwerty のキーボード レイアウトをサポートしています。Azure Bastion currently supports en-us-qwerty keyboard layout inside the VM. キーボード レイアウトのその他のロケールに対するサポートは進行中の作業です。Support for other locales for keyboard layout is work in progress.

Azure Bastion サブネットでユーザー定義ルーティング (UDR) はサポートされますか?Is user-defined routing (UDR) supported on an Azure Bastion subnet?

いいえ。No. Azure Bastion サブネットで UDR はサポートされません。UDR is not supported on an Azure Bastion subnet. Azure Bastion と Azure Firewall/ネットワーク仮想アプライアンス (NVA) の両方が同じ仮想ネットワークに存在するシナリオでは、Azure Bastion と VM との間の通信はプライベートであるため、Azure Bastion サブネットから Azure Firewall にトラフィックを強制する必要がありません。For scenarios that include both Azure Bastion and Azure Firewall/Network Virtual Appliance (NVA) in the same virtual network, you don’t need to force traffic from an Azure Bastion subnet to Azure Firewall because the communication between Azure Bastion and your VMs is private. 詳細については、Azure Firewall と Bastion の内側の VM にアクセスする方法に関するページを参照してください。For more information, see Accessing VMs behind Azure Firewall with Bastion.

Azure Bastion RDP セッションでファイル転送はサポートされますか?Is file-transfer supported with Azure Bastion RDP session?

新機能を追加するために鋭意努力しています。We are working hard to add new features. 現時点では、ファイル転送はサポートされませんが、ロードマップには含まれています。As of now, file transfer is not supported but is part of our roadmap. Azure Bastion フィードバック ページで、新機能に関するフィードバックをぜひお寄せください。Please feel free to share your feedback about new features on the Azure Bastion Feedback page.

デプロイ エラーはどのように処理しますか?How do I handle deployment failures?

エラー メッセージを確認し、必要に応じて Azure portal 内でサポート リクエストを送信してください。Review any error messages and raise a support request in the Azure Portal as needed. Azure サブスクリプションの制限、クォータ、制約によって、デプロイ エラーが発生する可能性があります。Deployment failures may result from Azure subscription limits, quotas and constraints. 特に、サブスクリプションごとに許可されるパブリック IP アドレスの数に対する制限が発生する可能性があります。これは、Azure Bastion のデプロイが失敗する原因となります。Specifically, customers may encounter a limit on the number of public IP addresses allowed per subscription that causes the Azure Bastion deployment to fail.

次のステップNext steps