Just-In-Time アクセスを使用して管理ポートをセキュリティで保護するSecure your management ports with just-in-time access

Azure Security Center の Just-In-Time (JIT) 仮想マシン (VM) アクセス機能を使用して、Azure Virtual Machines への受信トラフィックをロックダウンします。Lock down inbound traffic to your Azure Virtual Machines with Azure Security Center's just-in-time (JIT) virtual machine (VM) access feature. これにより、必要に応じて簡単に VM に接続できるようになる一方で、攻撃に晒される危険性は低くなります。This reduces exposure to attacks while providing easy access when you need to connect to a VM.

JIT の動作と基になるロジックの詳細については、Just-In-Time の説明に関するページを参照してください。For a full explanation about how JIT works and the underlying logic, see Just-in-time explained.

このページでは、セキュリティ プログラムに JIT を組み込む方法について説明します。This page teaches you how to include JIT in your security program. 学習内容は次のとおりです。You'll learn how to:

  • VM で JIT を有効にする - Security Center、PowerShell、または REST API を使用して、独自のカスタム オプションで 1 つ以上の VM に対して JIT を有効にすることができます。Enable JIT on your VMs - You can enable JIT with your own custom options for one or more VMs using Security Center, PowerShell, or the REST API. または、Azure 仮想マシンから、ハードコーディングされた既定のパラメーターで JIT を有効にすることもできます。Alternatively, you can enable JIT with default, hard-coded parameters, from Azure virtual machines. 有効にすると、JIT により、ネットワーク セキュリティ グループに規則が作成されて、Azure VM への受信トラフィックがロックダウンされます。When enabled, JIT locks down inbound traffic to your Azure VMs by creating a rule in your network security group.
  • JIT が有効になっている VM へのアクセス権を要求する - JIT の目的は、受信トラフィックがロックダウンされていても、必要に応じて Security Center で VM に簡単に接続できることを確実にすることです。Request access to a VM that has JIT enabled - The goal of JIT is to ensure that even though your inbound traffic is locked down, Security Center still provides easy access to connect to VMs when needed. Security Center、Azure 仮想マシン、PowerShell、または REST API から、JIT が有効な VM へのアクセス権を要求できます。You can request access to a JIT-enabled VM from Security Center, Azure virtual machines, PowerShell, or the REST API.
  • アクティビティを監査する - VM が適切にセキュリティで保護されていることを確実にするため、通常のセキュリティ チェックの一環として、JIT 対応の VM へのアクセスを確認します。Audit the activity - To ensure your VMs are secured appropriately, review the accesses to your JIT-enabled VMs as part of your regular security checks.

可用性Availability

側面Aspect 詳細Details
リリース状態:Release state: 一般提供 (GA)General Availability (GA)
価格:Pricing: サーバー用 Azure Defender が必要Requires Azure Defender for servers
サポートされている VM:Supported VMs: はい Azure Resource Manager を介してデプロイされた VM。Yes VMs deployed through Azure Resource Manager.
いいえ クラシック デプロイ モデルを使用してデプロイされた VM。No VMs deployed with classic deployment models. これらのデプロイ モデルの詳細Learn more about these deployment models.
いいえ Azure Firewall Manager によって制御される Azure Firewall によって保護されている VM。No VMs protected by Azure Firewalls controlled by Azure Firewall Manager
必要なロールとアクセス許可:Required roles and permissions: 閲覧者セキュリティ閲覧者 ロールは、JIT の状態とパラメーターの両方を表示できます。Reader and SecurityReader roles can both view the JIT status and parameters.
JIT で動作するカスタム ロールを作成するには、「JIT を構成して使用するために必要なアクセス許可は何ですか?」を参照してください。To create custom roles that can work with JIT, see What permissions are needed to configure and use JIT?.
VM への JIT アクセスを要求する必要があり、他の JIT 操作を実行しないユーザーに対して、最小特権のロールを作成するには、Security Center GitHub コミュニティ ページにある Set-JitLeastPrivilegedRole スクリプトを使用します。To create a least-privileged role for users that need to request JIT access to a VM, and perform no other JIT operations, use the Set-JitLeastPrivilegedRole script from the Security Center GitHub community pages.
クラウド:Clouds: Yes 商用クラウドCommercial clouds
Yes ナショナル/ソブリン (US Gov、China Gov、その他の Gov)National/Sovereign (US Gov, China Gov, Other Gov)

JIT VM アクセスを有効にする Enable JIT VM access

Security Center またはプログラムを使用して、独自のカスタム オプションで、1 つ以上の VM に対して JIT VM アクセスを有効にすることができます。You can enable JIT VM access with your own custom options for one or more VMs using Security Center or programmatically.

または、Azure 仮想マシンから、ハードコーディングされた既定のパラメーターで JIT を有効にすることもできます。Alternatively, you can enable JIT with default, hard-coded parameters, from Azure Virtual machines.

これらの各オプションについては、以下の個別のタブで説明します。Each of these options is explained in a separate tab below.

Azure Security Center から VM で JIT を有効にする Enable JIT on your VMs from Azure Security Center

Azure Security Center での JIT VM アクセスの構成

Security Center から、JIT VM アクセスを有効にして構成することができます。From Security Center, you can enable and configure the JIT VM access.

  1. Azure Defender ダッシュボードを開き、高度な保護領域から [Just In Time VM アクセス] を選択します。Open the Azure Defender dashboard and from the advanced protection area, select Just-in-time VM access.

    [Just-In-Time VM アクセス] ページが開き、VM が次のタブにグループ化されます。The Just-in-time VM access page opens with your VMs grouped into the following tabs:

    • [構成済み] - Just-In-Time VM アクセスをサポートするように既に構成されている VM。Configured - VMs that have been already been configured to support just-in-time VM access. [構成済み] タブには VM ごとに以下が表示されます。For each VM, the configured tab shows:
      • 過去 7 日間に承認された JIT 要求の数the number of approved JIT requests in the last seven days
      • 最終アクセス日時the last access date and time
      • 構成されている接続の詳細the connection details configured
      • 最後のユーザーthe last user
    • [未構成] - JIT は有効になっていないが、JIT をサポートできる VM。Not configured - VMs without JIT enabled, but that can support JIT. これらの VM では JIT を有効にすることをお勧めします。We recommend that you enable JIT for these VMs.
    • [サポート外] - JIT が有効になっておらず、機能をサポートしていない VM。Unsupported - VMs without JIT enabled and which don't support the feature. VM は次の理由によりこのタブに表示される場合があります。Your VM might be in this tab for the following reasons:
      • ネットワーク セキュリティ グループ (NSG) がない - JIT には NSG を構成する必要がありますMissing network security group (NSG) - JIT requires an NSG to be configured
      • クラシック VM - Azure Resource Manager を使用してデプロイされた VM は JIT でサポートされますが、"クラシック デプロイ" はサポートされません。Classic VM - JIT supports VMs that are deployed through Azure Resource Manager, not 'classic deployment'. クラシックと Azure Resource Manager のデプロイ モデルの詳細Learn more about classic vs Azure Resource Manager deployment models.
      • その他 - サブスクリプションまたはリソース グループのセキュリティ ポリシーで JIT ソリューションが無効になっている場合は、VM がこのタブに表示されることがあります。Other - Your VM might be in this tab if the JIT solution is disabled in the security policy of the subscription or the resource group.
  2. [未構成] タブで、JIT で保護する VM をマークし、 [VM で JIT を有効にする] を選択します。From the Not configured tab, mark the VMs to protect with JIT and select Enable JIT on VMs.

    JIT VM アクセス ページが開き、Security Center で保護が推奨されるポートの一覧が表示されます。The JIT VM access page opens listing the ports that Security Center recommends protecting:

    • 22 - SSH22 - SSH
    • 3389 - RDP3389 - RDP
    • 5985 - WinRM5985 - WinRM
    • 5986 - WinRM5986 - WinRM

    既定の設定をそのまま使用するには、 [保存] を選択します。To accept the default settings, select Save.

  3. JIT オプションをカスタマイズするには:To customize the JIT options:

    • [追加] ボタンを使用してカスタム ポートを追加します。Add custom ports with the Add button.
    • 一覧から既定のポートのいずれかを選択して変更します。Modify one of the default ports, by selecting it from the list.

    ポート (カスタムおよび既定) ごとに、 [ポート構成の追加] ペインで次のオプションが提供されます。For each port (custom and default) the Add port configuration pane offers the following options:

    • [プロトコル] - 要求が承認されたときにこのポートで許可されるプロトコルProtocol- The protocol that is allowed on this port when a request is approved
    • [許可されているソース IP] - 要求が承認されたときにこのポートで許可される IP 範囲Allowed source IPs- The IP ranges that are allowed on this port when a request is approved
    • [最大要求時間] - 特定のポートを開放しておくことができる最大時間枠Maximum request time- The maximum time window during which a specific port can be opened
    1. 必要に応じてポートのセキュリティを設定します。Set the port security to your needs.

    2. [OK] を選択します。Select OK.

  4. [保存] を選択します。Select Save.

Security Center を使用して JIT 対応の VM で JIT の構成を編集する Edit the JIT configuration on a JIT-enabled VM using Security Center

VM に対して保護する新しいポートを追加して構成するか、既に保護されているポートに関連する他の設定を変更すると、VM の Just-In-Time の構成を変更できます。You can modify a VM's just-in-time configuration by adding and configuring a new port to protect for that VM, or by changing any other setting related to an already protected port.

VM の既存の JIT 規則を編集するには:To edit the existing JIT rules for a VM:

  1. Azure Defender ダッシュボードを開き、高度な保護領域から [適応型アプリケーション制御] を選択します。Open the Azure Defender dashboard and from the advanced protection area, select Adaptive application controls.

  2. [構成済み] タブで、ポートを追加する VM を右クリックして、[編集] を選択します。From the Configured tab, right-click on the VM to which you want to add a port, and select edit.

    Azure Security Center での JIT VM アクセス構成の編集

  3. [JIT VM アクセス構成] では、既に保護されているポートの既存の設定を編集するか、新しいカスタム ポートを追加できます。Under JIT VM access configuration, you can either edit the existing settings of an already protected port or add a new custom port.

  4. ポートの編集が終わったら、 [保存] を選択します。When you've finished editing the ports, select Save.

JIT が有効な VM へのアクセス権を要求するRequest access to a JIT-enabled VM

Azure portal (Security Center または Azure 仮想マシン) またはプログラムから、JIT が有効な VM へのアクセス権を要求できます。You can request access to a JIT-enabled VM from the Azure portal (in Security Center or Azure Virtual machines) or programmatically.

これらの各オプションについては、以下の個別のタブで説明します。Each of these options is explained in a separate tab below.

Azure Security Center から JIT が有効な VM へのアクセス権を要求するRequest access to a JIT-enabled VM from Azure Security Center

VM で JIT が有効になっている場合は、それに接続するためのアクセス権を要求する必要があります。When a VM has a JIT enabled, you have to request access to connect to it. JIT を有効にした方法に関係なく、サポートされているいずれかの方法でアクセス権を要求できます。You can request access in any of the supported ways, regardless of how you enabled JIT.

Security Center からの JIT アクセス権の要求

  1. [Just In Time VM アクセス] ページで、 [構成済み] タブを選択します。From the Just-in-time VM access page, select the Configured tab.

  2. アクセスしたい VM をマークします。Mark the VMs you want to access.

    • [接続の詳細] 列のアイコンによって、ネットワーク セキュリティ グループまたはファイアウォールで JIT が有効になっているかどうかが示されています。The icon in the Connection Details column indicates whether JIT is enabled on the network security group or firewall. 両方で有効になっている場合は、ファイアウォールのアイコンだけが表示されます。If it's enabled on both, only the firewall icon appears.

    • [接続の詳細] 列では、VM を接続するために必要な情報と、その開かれているポートが示されます。The Connection Details column provides the information required to connect the VM, and its open ports.

  3. [アクセス権の要求] を選択します。Select Request access. [アクセス権の要求] ウィンドウが開きます。The Request access window opens.

  4. [アクセス権の要求] では、開放するポート、ポートの開放先のソース IP アドレス、ポートを開放しておく時間枠を VM ごとに構成します。Under Request access, for each VM, configure the ports that you want to open and the source IP addresses that the port is opened on and the time window for which the port will be open. 構成済みのポートへのアクセス権だけを要求することができます。It will only be possible to request access to the configured ports. ポートごとに、作成した JIT 構成から派生した最大許容時間があります。Each port has a maximum allowed time derived from the JIT configuration you've created.

  5. [Open ports](ポートを開く) を選択します。Select Open ports.

注意

アクセスを要求しているユーザーがプロキシの背後にいる場合は、My IP オプションが機能しない場合があります。If a user who is requesting access is behind a proxy, the option My IP may not work. 組織のすべての IP アドレス範囲を定義する必要がある場合があります。You may need to define the full IP address range of the organization.

Security Center から JIT アクセス アクティビティを監査するAudit JIT access activity in Security Center

ログ検索を使用して VM アクティビティについての情報が得ることができます。You can gain insights into VM activities using log search. ログを表示するには:To view the logs:

  1. [Just-In-Time VM アクセス] で、 [構成済み] タブを選択します。From Just-in-time VM access, select the Configured tab.

  2. 監査対象の VM で、行の最後にある省略記号メニューを開きます。For the VM that you want to audit, open the ellipsis menu at the end of the row.

  3. メニューから [アクティビティ ログ] を選択します。Select Activity Log from the menu.

    Just-In-Time JIT アクティビティ ログの選択

    アクティビティ ログによって、その VM に対する前回の操作、時刻、日付、サブスクリプションがフィルター処理されて表示されます。The activity log provides a filtered view of previous operations for that VM along with time, date, and subscription.

  4. ログ情報をダウンロードするには、 [CSV としてダウンロードする] を選択します。To download the log information, select Download as CSV.

次の手順Next steps

この記事では、Just-In-Time VM アクセスを設定して使用する方法について説明しました。In this article, you learned how to set up and use just-in-time VM access. JIT を使用する必要がある理由については、防御対象の脅威について説明されている概念記事を参照してください。To learn why JIT should be used, read the concept article explaining the threats it's defending against: