Beveilig uw beheer poorten met Just-in-time-toegangSecure your management ports with just-in-time access

Als u zich in de Standard-prijs categorie van Security Center bevindt (Zie prijzen), kunt u inkomend verkeer naar uw Azure-vm's vergren delen met Just-in-time-toegang (VM) voor virtuele machines.If you're on Security Center's standard pricing tier (see pricing), you can lock down inbound traffic to your Azure VMs with just-in-time (JIT) virtual machine (VM) access. Dit vermindert de bloot stelling aan aanvallen en biedt zo eenvoudig toegang om verbinding te maken met Vm's wanneer dat nodig is.This reduces exposure to attacks while providing easy access to connect to VMs when needed.

Notitie

Security Center just-in-time-VM-toegang ondersteunt momenteel alleen Vm's die via Azure Resource Manager zijn geïmplementeerd.Security Center just-in-time VM access currently supports only VMs deployed through Azure Resource Manager. Zie Azure Resource Manager vs. klassieke implementatievoor meer informatie over het klassieke en Resource Manager-implementatie model.To learn more about the classic and Resource Manager deployment models see Azure Resource Manager vs. classic deployment.

Aanvals scenarioAttack scenario

Brute force-aanvallen zijn vaak gericht op beheer poorten als middel om toegang te krijgen tot een virtuele machine.Brute force attacks commonly target management ports as a means to gain access to a VM. Als dit lukt, kan een aanvaller de controle over de virtuele machine overnemen en een aanvaller binnen in uw omgeving tot stand brengen.If successful, an attacker can take control over the VM and establish a foothold into your environment.

Een manier om de bloot stelling aan een beveiligings aanval te verminderen is het beperken van de hoeveelheid tijd die een poort is geopend.One way to reduce exposure to a brute force attack is to limit the amount of time that a port is open. Beheer poorten hoeven niet te allen tijde open zijn.Management ports don't need to be open at all times. Ze hoeven alleen te zijn geopend terwijl u verbonden bent met de virtuele machine, bijvoorbeeld om beheer-of onderhouds taken uit te voeren.They only need to be open while you're connected to the VM, for example to perform management or maintenance tasks. Wanneer just-in-time is ingeschakeld, maakt Security Center gebruik van netwerk beveiligings groep (NSG) en Azure firewall regels, waarmee de toegang tot beheer poorten wordt beperkt zodat deze niet kunnen worden benaderd door aanvallers.When just-in-time is enabled, Security Center uses network security group (NSG) and Azure Firewall rules, which restrict access to management ports so they cannot be targeted by attackers.

Just-in-time-scenario

Hoe werkt JIT-toegang?How does JIT access work?

Wanneer just-in-time is ingeschakeld, wordt binnenkomend verkeer naar uw Azure-Vm's door Security Center vergrendeld door een NSG-regel te maken.When just-in-time is enabled, Security Center locks down inbound traffic to your Azure VMs by creating an NSG rule. U selecteert de poorten op de VM waarop het inkomende verkeer wordt vergrendeld.You select the ports on the VM to which inbound traffic will be locked down. Deze poorten worden bepaald door de just-in-time-oplossing.These ports are controlled by the just-in-time solution.

Wanneer een gebruiker toegang tot een virtuele machine vraagt, controleert Security Center of de gebruiker op rollen gebaseerde Access Control (RBAC)- machtigingen voor die VM heeft.When a user requests access to a VM, Security Center checks that the user has Role-Based Access Control (RBAC) permissions for that VM. Als de aanvraag is goedgekeurd, Security Center automatisch de netwerk beveiligings groepen (Nsg's) en Azure Firewall zodanig configureren dat inkomend verkeer naar de geselecteerde poorten en aangevraagde bron-IP-adressen of-bereiken worden toegestaan voor de opgegeven hoeveelheid tijd.If the request is approved, Security Center automatically configures the Network Security Groups (NSGs) and Azure Firewall to allow inbound traffic to the selected ports and requested source IP addresses or ranges, for the amount of time that was specified. Nadat de tijd is verstreken, wordt de Nsg's door Security Center teruggezet naar de vorige status.After the time has expired, Security Center restores the NSGs to their previous states. Deze verbindingen die al tot stand zijn gebracht, worden echter niet onderbroken.Those connections that are already established are not being interrupted, however.

Notitie

Als een JIT-toegangs aanvraag wordt goedgekeurd voor een virtuele machine achter een Azure Firewall, wijzigt Security Center automatisch de beleids regels NSG en firewall.If a JIT access request is approved for a VM behind an Azure Firewall, then Security Center automatically changes both the NSG and firewall policy rules. Voor de hoeveelheid tijd die is opgegeven, staan de regels binnenkomend verkeer naar de geselecteerde poorten toe en aangevraagde IP-adressen of bereiken van de bron.For the amount of time that was specified, the rules allow inbound traffic to the selected ports and requested source IP addresses or ranges. Nadat de tijd is overschreden Security Center, worden de firewall-en NSG-regels teruggezet naar de vorige status.After the time is over, Security Center restores the firewall and NSG rules to their previous states.

Rollen die JIT-beleid kunnen lezenRoles that can read JIT policies

De rollen lezer en SecurityReader kunnen beleids regels lezen.Reader and SecurityReader roles can both read policies.

Benodigde machtigingen voor het configureren en gebruiken van JITPermissions needed to configure and use JIT

Als u aangepaste rollen wilt maken die met JIT kunnen werken, hebt u de volgende gegevens nodig:If you want to create custom roles that can work with JIT, you'll need the following details:

Een gebruiker in staat stellen:To enable a user to: Machtigingen om in te stellenPermissions to set
Een JIT-beleid voor een virtuele machine configureren of bewerkenConfigure or edit a JIT policy for a VM Wijs deze acties toe aan de rol:Assign these actions to the role:
  • Binnen het bereik van een abonnement of resource groep die is gekoppeld aan de virtuele machine:On the scope of a subscription or resource group that is associated with the VM:
    Microsoft.Security/locations/jitNetworkAccessPolicies/write
  • Binnen het bereik van een abonnement of resource groep van de VM:On the scope of a subscription or resource group of VM:
    Microsoft.Compute/virtualMachines/write
JIT-toegang aanvragen voor een virtuele machineRequest JIT access to a VM Deze acties toewijzen aan de gebruiker:Assign these actions to the user:
  • Binnen het bereik van een abonnement of resource groep die is gekoppeld aan de virtuele machine:On the scope of a subscription or resource group that is associated with the VM:
    Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
  • Binnen het bereik van een abonnement of resource groep die is gekoppeld aan de virtuele machine:On the scope of a subscription or resource group that is associated with the VM:
    Microsoft.Security/locations/jitNetworkAccessPolicies/*/read
  • Binnen het bereik van een abonnement of resource groep of VM:On the scope of a subscription or resource group or VM:
    Microsoft.Compute/virtualMachines/read
  • Binnen het bereik van een abonnement of resource groep of VM:On the scope of a subscription or resource group or VM:
    Microsoft.Network/networkInterfaces/*/read
JIT-beleid lezenRead JIT policies Deze acties toewijzen aan de gebruiker:Assign these actions to the user:
  • Microsoft.Security/locations/jitNetworkAccessPolicies/read
  • Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
  • Microsoft.Security/policies/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Network/*/read

JIT configureren op een virtuele machineConfigure JIT on a VM

Er zijn drie manieren om een JIT-beleid te configureren op een virtuele machine:There are three ways to configure a JIT policy on a VM:

JIT configureren in Azure Security CenterConfigure JIT in Azure Security Center

Vanuit Security Center kunt u een JIT-beleid configureren en toegang aanvragen tot een virtuele machine met behulp van een JIT-beleidFrom Security Center, you can configure a JIT policy and request access to a VM using a JIT policy

JIT-toegang configureren op een virtuele machine in Security CenterConfigure JIT access on a VM in Security Center

  1. Open het dashboard van Security Center.Open the Security Center dashboard.

  2. Selecteer in het linkerdeel venster just-in-time-VM-toegang.In the left pane, select Just-in-time VM access.

    Tegel just-in-time-VM-toegang

    Het venster just-in-time-VM-toegang wordt geopend en toont informatie over de status van uw vm's:The Just-in-time VM access window opens and shows information on the state of your VMs:

    • Geconfigureerd : vm's die zijn geconfigureerd voor ondersteuning van just-in-time-VM-toegang.Configured - VMs that have been configured to support just-in-time VM access. De gegevens die worden weer gegeven, zijn de afgelopen week en bevatten voor elke VM het aantal goedgekeurde aanvragen, de datum en tijd van laatste toegang en de laatste gebruiker.The data presented is for the last week and includes for each VM the number of approved requests, last access date and time, and last user.
    • Aanbevolen : vm's die just-in-time-VM-toegang kunnen ondersteunen, maar die niet zijn geconfigureerd voor.Recommended - VMs that can support just-in-time VM access but haven't been configured to. U wordt aangeraden just-in-time-VM-toegangs beheer in te scha kelen voor deze Vm's.We recommend that you enable just-in-time VM access control for these VMs.
    • Geen aanbeveling: redenen waarom een VM mogelijk niet wordt aanbevolen zijn:No recommendation - Reasons that can cause a VM not to be recommended are:
      • Ontbrekende NSG: voor de just-in-time-oplossing moet een NSG aanwezig zijn.Missing NSG - The just-in-time solution requires an NSG to be in place.
      • Klassieke VM-Security Center just-in-time-VM-toegang ondersteunt momenteel alleen Vm's die via Azure Resource Manager zijn geïmplementeerd.Classic VM - Security Center just-in-time VM access currently supports only VMs deployed through Azure Resource Manager. Een klassieke implementatie wordt niet ondersteund door de just-in-time-oplossing.A classic deployment is not supported by the just-in-time solution.
      • Andere-een VM bevindt zich in deze categorie als de just-in-time-oplossing is uitgeschakeld in het beveiligings beleid van het abonnement of de resource groep, of als op de virtuele machine een openbaar IP-adres ontbreekt en er geen NSG aanwezig is.Other - A VM is in this category if the just-in-time solution is turned off in the security policy of the subscription or the resource group, or if the VM is missing a public IP and doesn't have an NSG in place.
  3. Selecteer het tabblad Aanbevolen .Select the Recommended tab.

  4. Onder virtuele machineklikt u op de virtuele machines die u wilt inschakelen.Under VIRTUAL MACHINE, click the VMs that you want to enable. Hiermee wordt een vinkje bij een virtuele machine geplaatst.This puts a checkmark next to a VM.

    Just-in-time-toegang inschakelen

  5. Klik op JIT inschakelen op vm's.Click Enable JIT on VMs. Er wordt een deel venster geopend met de standaard poorten die worden aanbevolen door Azure Security Center:A pane opens displaying the default ports recommended by Azure Security Center:

    • 22-SSH22 - SSH
    • 3389-RDP3389 - RDP
    • 5985-WinRM5985 - WinRM
    • 5986-WinRM5986 - WinRM
  6. U kunt desgewenst aangepaste poorten toevoegen aan de lijst:Optionally, you can add custom ports to the list:

    1. Klik op Add.Click Add. Het venster poort configuratie toevoegen wordt geopend.The Add port configuration window opens.

    2. Voor elke poort die u wilt configureren, zowel standaard als aangepast, kunt u de volgende instellingen aanpassen:For each port you choose to configure, both default and custom, you can customize the following settings:

      • Protocol type: het protocol dat is toegestaan op deze poort wanneer een aanvraag wordt goedgekeurd.Protocol type- The protocol that is allowed on this port when a request is approved.
      • Toegestane IP-adressen van bron-de IP-bereiken die op deze poort zijn toegestaan wanneer een aanvraag wordt goedgekeurd.Allowed source IP addresses- The IP ranges that are allowed on this port when a request is approved.
      • Maximale aanvraag tijd: de maximale tijd venster gedurende welke een specifieke poort kan worden geopend.Maximum request time- The maximum time window during which a specific port can be opened.
    3. Klik op OK.Click OK.

  7. Klik op Opslaan.Click Save.

Notitie

Wanneer JIT-VM-toegang is ingeschakeld voor een virtuele machine, maakt Azure Security Center de regels ' alle binnenkomend verkeer weigeren ' voor de geselecteerde poorten in de netwerk beveiligings groepen die zijn gekoppeld en Azure Firewall.When JIT VM Access is enabled for a VM, Azure Security Center creates "deny all inbound traffic" rules for the selected ports in the network security groups associated and Azure Firewall with it. Als er andere regels zijn gemaakt voor de geselecteerde poorten, hebben de bestaande regels voor rang op de nieuwe regels ' alle inkomende verkeer weigeren '.If other rules had been created for the selected ports, then the existing rules take priority over the new "deny all inbound traffic" rules. Als er geen bestaande regels zijn op de geselecteerde poorten, hebben de nieuwe regels voor het weigeren van binnenkomend verkeer de hoogste prioriteit in de netwerk beveiligings groepen en de Azure Firewall.If there are no existing rules on the selected ports, then the new "deny all inbound traffic" rules take top priority in the Network Security Groups and Azure Firewall.

JIT-toegang aanvragen via Security CenterRequest JIT access via Security Center

Om toegang te vragen tot een virtuele machine via Security Center:To request access to a VM via Security Center:

  1. Onder just-in-time-VM-toegangselecteert u het tabblad geconfigureerd .Under Just-in-time VM access, select the Configured tab.

  2. Onder virtuele machineklikt u op de virtuele machines waarvoor u toegang wilt aanvragen.Under Virtual Machine, click the VMs that you want to request access for. Hiermee wordt een vinkje naast de virtuele machine geplaatst.This puts a checkmark next to the VM.

    • Het pictogram in de kolom verbindings Details geeft aan of JIT is ingeschakeld op de NSG of FW.The icon in the Connection Details column indicates whether JIT is enabled on the NSG or FW. Als de functie is ingeschakeld op beide, wordt alleen het pictogram Firewall weer gegeven.If it's enabled on both, only the Firewall icon appears.

    • In de kolom verbindings Details vindt u de informatie die nodig is om verbinding te maken met de virtuele machine en de bijbehorende open poorten.The Connection Details column provides the information required to connect the VM, and its open ports.

      Just-in-time-toegang aanvragen

  3. Klik op toegang aanvragen.Click Request access. Het venster toegang tot aanvragen wordt geopend.The Request access window opens.

    JIT-Details

  4. Configureer onder toegang aanvragenvoor elke virtuele machine de poorten die u wilt openen en de bron-IP-adressen waarop de poort is geopend en het tijd venster waarvoor de poort wordt geopend.Under Request access, for each VM, configure the ports that you want to open and the source IP addresses that the port is opened on and the time window for which the port will be open. Het is alleen mogelijk om toegang aan te vragen voor de poorten die zijn geconfigureerd in het just-in-time-beleid.It will only be possible to request access to the ports that are configured in the just-in-time policy. Elke poort heeft een Maxi maal toegestane tijd die is afgeleid van het just-in-time-beleid.Each port has a maximum allowed time derived from the just-in-time policy.

  5. Klik op poorten openen.Click Open ports.

Notitie

Als een gebruiker die toegang aanvraagt zich achter een proxy bevindt, werkt de optie Mijn IP mogelijk niet.If a user who is requesting access is behind a proxy, the option My IP may not work. Mogelijk moet u het volledige IP-adres bereik van de organisatie definiëren.You may need to define the full IP address range of the organization.

Een JIT-toegangs beleid bewerken via Security CenterEdit a JIT access policy via Security Center

U kunt het bestaande just-in-time-beleid van een virtuele machine wijzigen door een nieuwe poort toe te voegen en te configureren voor de beveiliging van die virtuele machine of door een andere instelling te wijzigen die betrekking heeft op een reeds beveiligde poort.You can change a VM's existing just-in-time policy by adding and configuring a new port to protect for that VM, or by changing any other setting related to an already protected port.

Een bestaande just-in-time-beleid van een virtuele machine bewerken:To edit an existing just-in-time policy of a VM:

  1. Op het tabblad geconfigureerd , onder vm's, selecteert u een virtuele machine waaraan u een poort wilt toevoegen door te klikken op de drie puntjes in de rij voor die virtuele machine.In the Configured tab, under VMs, select a VM to which to add a port by clicking on the three dots within the row for that VM.

  2. Selecteer bewerken.Select Edit.

  3. Onder JIT VM-toegangs configuratiekunt u de bestaande instellingen van een reeds beveiligde poort bewerken of een nieuwe aangepaste poort toevoegen.Under JIT VM access configuration, you can either edit the existing settings of an already protected port or add a new custom port. JIT-VM-toegangjit vm access

JIT-toegangs activiteit controleren in Security CenterAudit JIT access activity in Security Center

U kunt inzicht krijgen in VM-activiteiten met zoeken in Logboeken.You can gain insights into VM activities using log search. Logboeken weer geven:To view logs:

  1. Onder just-in-time-VM-toegangselecteert u het tabblad geconfigureerd .Under Just-in-time VM access, select the Configured tab.

  2. Onder vm'sselecteert u een virtuele machine om informatie weer te geven over door te klikken op de drie puntjes in de rij voor die VM en selecteert u activiteiten logboek in het menu.Under VMs, select a VM to view information about by clicking on the three dots within the row for that VM and select Activity Log from the menu. Het activiteiten logboek wordt geopend.The Activity log opens.

    Activiteiten logboek selecteren

    Het activiteiten logboek bevat een gefilterde weer gave van eerdere bewerkingen voor die virtuele machine, samen met tijd, datum en abonnement.Activity log provides a filtered view of previous operations for that VM along with time, date, and subscription.

U kunt de logboek gegevens downloaden door hier te klikken om alle items te downloaden als CSV-bestand.You can download the log information by selecting Click here to download all the items as CSV.

Wijzig de filters en klik op Toep assen om een zoek opdracht en logboek te maken.Modify the filters and click Apply to create a search and log.

JIT-toegang vanaf een Azure VM-pagina configurerenConfigure JIT access from an Azure VM's page

Voor uw gemak kunt u vanuit de pagina van de virtuele machine in Security Center verbinding maken met een virtuele machine met behulp van JIT.For your convenience, you can connect to a VM using JIT directly from within the VM's page in Security Center.

JIT-toegang op een virtuele machine configureren via de Azure VM-paginaConfigure JIT access on a VM via the Azure VM page

Als u de just-in-time-toegang op uw Vm's eenvoudig wilt implementeren, kunt u een virtuele machine zo instellen dat alleen just-in-time-toegang rechtstreeks vanuit de virtuele machine wordt toegestaan.To make it easy to roll out just-in-time access across your VMs, you can set a VM to allow only just-in-time access directly from within the VM.

  1. Zoek in het Azure Portalnaar virtuele machinesen selecteer deze.From the Azure portal, search for and select Virtual machines.
  2. Selecteer de virtuele machine die u wilt beperken tot just-in-time-toegang.Select the virtual machine you want to limit to just-in-time access.
  3. Selecteer in het menu configuratie.In the menu, select Configuration.
  4. Onder just-in-time-toegangselecteert u just-in-time inschakelen.Under Just-in-time access, select Enable just-in-time.

Dit maakt just-in-time-toegang voor de virtuele machine mogelijk met de volgende instellingen:This enables just-in-time access for the VM using the following settings:

  • Windows-servers:Windows servers:
    • RDP-poort 3389RDP port 3389
    • Drie uur voor Maxi maal toegestane toegangThree hours of maximum allowed access
    • Toegestane IP-adressen van bron worden ingesteld op eenAllowed source IP addresses is set to Any
  • Linux-servers:Linux servers:
    • SSH-poort 22SSH port 22
    • Drie uur voor Maxi maal toegestane toegangThree hours of maximum allowed access
    • Toegestane IP-adressen van bron worden ingesteld op eenAllowed source IP addresses is set to Any

Als een virtuele machine al just-in-time is ingeschakeld, kunt u, wanneer u naar de pagina configuratie gaat, zien dat just-in-time is ingeschakeld en kunt u de koppeling gebruiken om het beleid in Azure Security Center te openen om de instellingen weer te geven en te wijzigen.If a VM already has just-in-time enabled, when you go to its configuration page you will be able to see that just-in-time is enabled and you can use the link to open the policy in Azure Security Center to view and change the settings.

JIT-configuratie in VM

JIT-toegang aanvragen tot een virtuele machine via de pagina van een Azure-VMRequest JIT access to a VM via an Azure VM's page

Wanneer u in de Azure Portal probeert verbinding te maken met een virtuele machine, controleert Azure of u een just-in-time-toegangs beleid op die VM hebt geconfigureerd.In the Azure portal, when you try to connect to a VM, Azure checks to see if you have a just-in-time access policy configured on that VM.

  • Als u een JIT-beleid op de virtuele machine hebt geconfigureerd, kunt u op toegang aanvragen klikken om toegang te verlenen volgens het JIT-beleid dat is ingesteld voor de virtuele machine.If you have a JIT policy configured on the VM, you can click Request access to grant access in accordance with the JIT policy set for the VM.

    JIT-aanvraag

    Toegang is aangevraagd met de volgende standaard parameters:Access is requested with the following default parameters:

    • bron-IP: ' any ' (*) (kan niet worden gewijzigd)source IP: 'Any' (*) (cannot be changed)

    • tijds bereik: drie uur (kan niet worden gewijzigd)time range: Three hours (cannot be changed)

    • poort nummer RDP-poort 3389 voor Windows/poort 22 voor Linux (kan worden gewijzigd)port number RDP port 3389 for Windows / port 22 for Linux (can be changed)

      Notitie

      Nadat een aanvraag is goedgekeurd voor een virtuele machine die wordt beveiligd door Azure Firewall, geeft Security Center de gebruiker de juiste verbindings gegevens (de poort toewijzing van de tabel DNAT) die moet worden gebruikt om verbinding te maken met de virtuele machine.After a request is approved for a VM protected by Azure Firewall, Security Center provides the user with the proper connection details (the port mapping from the DNAT table) to use to connect to the VM.

  • Als u geen JIT hebt geconfigureerd op een virtuele machine, wordt u gevraagd om een JIT-beleid te configureren.If you do not have JIT configured on a VM, you will be prompted to configure a JIT policy on it.

    JIT-prompt

Een JIT-beleid op een virtuele machine via een programma configurerenConfigure a JIT policy on a VM programmatically

U kunt just-in-time instellen en gebruiken via REST Api's en via Power shell.You can set up and use just-in-time via REST APIs and via PowerShell.

JIT-VM-toegang via REST-Api'sJIT VM access via REST APIs

De just-in-time VM-toegangs functie kan worden gebruikt via de Azure Security Center-API.The just-in-time VM access feature can be used via the Azure Security Center API. U kunt informatie krijgen over geconfigureerde Vm's, nieuwe toevoegen, toegang aanvragen tot een virtuele machine en meer via deze API.You can get information about configured VMs, add new ones, request access to a VM, and more, via this API. Zie JIT-netwerk toegangs beleidvoor meer informatie over de just-in-time-rest API.See Jit Network Access Policies, to learn more about the just-in-time REST API.

JIT-VM-toegang via Power shellJIT VM access via PowerShell

Als u de just-in-time-toegang tot een VM wilt gebruiken via Power shell, gebruikt u de officiële Azure Security Center Set-AzJitNetworkAccessPolicyPower shell-cmdlets en specifiek.To use the just-in-time VM access solution via PowerShell, use the official Azure Security Center PowerShell cmdlets, and specifically Set-AzJitNetworkAccessPolicy.

In het volgende voor beeld wordt een just-in-time-VM-toegangs beleid ingesteld op een specifieke virtuele machine en worden de volgende opties ingesteld:The following example sets a just-in-time VM access policy on a specific VM, and sets the following:

  1. Sluit poort 22 en 3389.Close ports 22 and 3389.

  2. Stel een maximum tijd venster van drie uur in voor elke periode zodat deze kan worden geopend per goedgekeurde aanvraag.Set a maximum time window of 3 hours for each so they can be opened per approved request.

  3. Hiermee staat u toe dat de gebruiker die toegang aanvraagt om de bron-IP-adressen te beheren en de gebruiker in staat stelt een geslaagde sessie te maken op een goedgekeurde just-in-time-toegangs aanvraag.Allows the user who is requesting access to control the source IP addresses and allows the user to establish a successful session upon an approved just-in-time access request.

Voer de volgende handelingen uit in Power shell om dit te bewerkstelligen:Run the following in PowerShell to accomplish this:

  1. Wijs een variabele toe die het just-in-time-VM-toegangs beleid voor een virtuele machine bevat:Assign a variable that holds the just-in-time VM access policy for a VM:

    $JitPolicy = (@ {id = "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME" poorten = (@ {Number = 22; Protocol = "*"; allowedSourceAddressPrefix = @ ("*"); maxRequestAccessDuration = "PT3H"}, @ {Number = 3389; Protocol = "*"; allowedSourceAddressPrefix = @ ("*"); maxRequestAccessDuration = "PT3H"})})$JitPolicy = (@{ id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME" ports=(@{ number=22; protocol="*"; allowedSourceAddressPrefix=@("*"); maxRequestAccessDuration="PT3H"}, @{ number=3389; protocol="*"; allowedSourceAddressPrefix=@("*"); maxRequestAccessDuration="PT3H"})})

  2. Voeg het just-in-time-VM-toegangs beleid in op een matrix:Insert the VM just-in-time VM access policy to an array:

    $JitPolicyArr = @ ($JitPolicy)$JitPolicyArr=@($JitPolicy)

  3. Configureer het just-in-time-toegangs beleid voor de virtuele machine op de geselecteerde VM:Configure the just-in-time VM access policy on the selected VM:

    Set-AzJitNetworkAccessPolicy-type "Basic"-Location "locatie"-name ""-ResourceGroupName "RESOURCEGROUP"-VirtualMachine $JitPolicyArrSet-AzJitNetworkAccessPolicy -Kind "Basic" -Location "LOCATION" -Name "default" -ResourceGroupName "RESOURCEGROUP" -VirtualMachine $JitPolicyArr

Toegang aanvragen tot een virtuele machine via Power shellRequest access to a VM via PowerShell

In het volgende voor beeld ziet u een just-in-time-toegangs aanvraag voor een virtuele machine naar een specifieke virtuele machine waarvoor poort 22 is aangevraagd voor het openen van een specifiek IP-adres en voor een specifieke hoeveelheid tijd:In the following example, you can see a just-in-time VM access request to a specific VM in which port 22 is requested to be opened for a specific IP address and for a specific amount of time:

Voer het volgende uit in Power shell:Run the following in PowerShell:

  1. De toegangs eigenschappen van de VM-aanvraag configurerenConfigure the VM request access properties

    $JitPolicyVm 1 = (@ {id = "/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME" poorten = (@ {Number = 22; endTimeUtc = "2018-09-17T17:00:00.3658798 Z"; allowedSourceAddressPrefix = @ ("IPV4ADDRESS")})})$JitPolicyVm1 = (@{ id="/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME" ports=(@{ number=22; endTimeUtc="2018-09-17T17:00:00.3658798Z"; allowedSourceAddressPrefix=@("IPV4ADDRESS")})})

  2. De para meters voor de VM-toegangs aanvraag invoegen in een matrix:Insert the VM access request parameters in an array:

    $JitPolicyArr = @ ($JitPolicyVm 1)$JitPolicyArr=@($JitPolicyVm1)

  3. De aanvraag toegang verzenden (gebruik de resource-ID die u in stap 1 hebt ontvangen)Send the request access (use the resource ID you got in step 1)

    Start-AzJitNetworkAccessPolicy-ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default"-VirtualMachine $JitPolicyArrStart-AzJitNetworkAccessPolicy -ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default" -VirtualMachine $JitPolicyArr

Zie de Power shell-cmdlet-documentatievoor meer informatie.For more information, see the PowerShell cmdlet documentation.

Automatisch opschonen van redundante JIT-regelsAutomatic cleanup of redundant JIT rules

Telkens wanneer u een JIT-beleid bijwerkt, wordt automatisch een Cleanup-hulp programma uitgevoerd om de geldigheid van de volledige ruleset te controleren.Whenever you update a JIT policy, a cleanup tool automatically runs to check the validity of your entire ruleset. Het hulp programma zoekt naar verschillen tussen regels in uw beleid en regels in het NSG.The tool looks for mismatches between rules in your policy and rules in the NSG. Als het hulp programma voor opschonen een niet-overeenkomend item detecteert, wordt de oorzaak bepaald en, wanneer het veilig is om dit te doen, verwijdert u ingebouwde regels die niet meer nodig zijn.If the cleanup tool finds a mismatch, it determines the cause and, when it's safe to do so, removes built-in rules that aren't needed any more. De verruiming verwijdert nooit regels die u hebt gemaakt.The cleaner never deletes rules that you've created.

Voor beelden van scenario's waarin de Removal een ingebouwde regel kan verwijderen:Examples scenarios when the cleaner might remove a built-in rule:

  • Wanneer er twee regels met identieke definities bestaan en een hogere prioriteit heeft dan de andere, (wat betekent dat de regel met een lagere prioriteit nooit wordt gebruikt)When two rules with identical definitions exist and one has a higher priority than the other (meaning, the lower priority rule will never be used)
  • Wanneer een regel beschrijving de naam bevat van een virtuele machine die niet overeenkomt met de doel-IP in de regelWhen a rule description includes the name of a VM which doesn't match the destination IP in the rule

Volgende stappenNext steps

In dit artikel hebt u geleerd hoe u met Just-in-time-VM-toegang in Security Center de toegang tot uw virtuele Azure-machines kunt beheren.In this article, you learned how just-in-time VM access in Security Center helps you control access to your Azure virtual machines.

Zie de volgende onderwerpen voor meer informatie over Security Center:To learn more about Security Center, see the following: