演習 - JIT VM アクセスを有効にする
この機能を使用するには、Microsoft Defender for Cloud セキュリティ強化機能が必要です。 試用版をアクティブにするか、サブスクリプションの強化されたセキュリティを有効にすると、サブスクリプションで選択した Azure 仮想マシン (VM) に対して、Just-In-Time (JIT) 仮想マシン (VM) アクセスを有効にすることができます。 今は試用版を開始しない場合は、以下の手順に従って、必要な手順を確認できます。
新しい仮想マシンを作成する
Azure Cloud Shell を使用して仮想マシンを作成することから始めましょう。
注意
この演習は、Azure Sandbox で実行することができません。 Defender for Cloud に対してセキュリティ強化機能が有効になっているサブスクリプションを必ず選択してください。
Azure portal にサインインします。
Azure portal のツールバーの右上にある [Cloud Shell] アイコンを選択します。 Cloud Shell がポータルの下部に表示されます。
いくつかの既定値を設定することから始めます。これにより、複数回入力する必要がなくなります。
既定の場所を設定します。 ここでは eastus を使用しますが、お客様に近い場所に自由に変更することができます。
az configure --defaults location=eastus
ヒント
[コピー] ボタンを使用して、コマンドをクリップボードにコピーできます。 貼り付けるには、Cloud Shell ターミナル内で新しい行を右クリックして [貼り付け] を選択するか、Shift + Insert キーボード ショートカット (macOS では ⌘ + V) を使用します。
次に、VM リソースを保持する新しい Azure "リソース グループ" を作成します。 ここでは、完了時にこのグループを削除することを忘れないように、
mslearnDeleteMe
という名前を使用しました。az group create --name mslearnDeleteMe --location eastus
mslearnDeleteMe
を既定のリソース グループとして設定します。az configure --defaults group="mslearnDeleteMe"
次に、以下のコマンドを実行して、新しい Windows ベースの VM を作成します。
<your-password-here>
の値をご自分の有効なパスワードに置き換えてください。az vm create \ --name SRVDC01 \ --image win2019datacenter \ --resource-group mslearnDeleteMe \ --admin-username azureuser \ --admin-password <your-password-here>
VM とサポートするリソースを作成するには数分かかります。 次の例のような応答が表示されます。
{ "fqdns": "", "id": "/subscriptions/abcd/resourceGroups/mslearnDeleteMe/providers/Microsoft.Compute/virtualMachines/SRVDC01", "location": "eastus", "macAddress": "00-00-00-00-00-00", "powerState": "VM running", "privateIpAddress": "10.1.0.4", "publicIpAddress": "52.123.123.123", "resourceGroup": "mslearnDeleteMe", "zones": "" }
リモート デスクトップ (RDP) を使用して VM に接続するには、応答でパブリック IP を使用します。 Windows には、RDP クライアントが組み込まれています。 別のクライアント システムを使用する場合は、macOS と Linux で使用できるクライアントがあります。
VM に接続して管理できます。 セキュリティのために JIT を追加しましょう。
Defender for Cloud で JIT VM アクセスを有効にする
Azure portal のホーム ページの上部にある検索バーで、[Microsoft Defender for Cloud] を検索して選択します。 Microsoft Defender for Cloud の [概要] ウィンドウが表示されます。
左側のメニュー ペインの [クラウドのセキュリティ] で、[ワークロード保護] を選択します。 [ワークロード保護] ペインが表示されます。
メイン ウィンドウで、[高度な保護] まで下にスクロールします。 [Just-in-time VM アクセス] を選択します。 [Just-In-Time VM アクセス] ペインが表示されます。
[仮想マシン] の下で、[未構成] タブを選択します。
リソース グループ MSLEARNDELETEME から仮想マシンを選択します。
次のスクリーンショットに示すように、選択した VM で [1 台の VM で JIT を有効にする] を選択します。
VM の [JIT VM アクセスの構成] ペインが表示されます。 JIT 規則を有効にした後で、VM のネットワーク セキュリティ グループを調べることができます。 次の図に示すように、リモート管理アクセスをブロックするための新しい一連の規則が適用されています。
規則は内部アドレスに適用され、すべての管理ポート (リモート デスクトップ プロトコル (3389) と SSH (22) の両方) が含まれていることに注意してください。
上部のメニュー バーで、[保存] を選択します。 [Just-In-Time VM アクセス] ペインが再度表示されます。
リモート デスクトップ アクセスを要求する
この時点で Windows VM に RDP を使おうとすると、アクセスがブロックされます。 管理者がアクセスを必要としている場合は、Defender for Cloud からアクセスを要求することができます。
[仮想マシン] の下で、[構成済み] タブを選択します。
VM を選択し、[アクセス権の要求] を選択して管理ポートを開きます。
SRVD01 の [アクセスの要求] ペインが表示されます。
開くポート (この場合はリモート デスクトップ ポート (3389)) を選択します。
[ポートを開く] を選択して、要求を確定します。 このペインから、ポートを開いたままにする時間も設定できます。 時間が経過すると、ポートが閉じられ、アクセスが拒否されます。
これで、少なくとも、Defender for Cloud を通じて割り当てた期間は、リモート デスクトップ クライアントが正常に接続できるようになります。