Zarządzanie dostępem do maszyny wirtualnej przy użyciu funkcji just in TimeManage virtual machine access using just-in-time

Dostęp do maszyn wirtualnych w czasie just-in-Time (JIT) może służyć do blokowania ruchu przychodzącego do maszyn wirtualnych platformy Azure, co pozwala ograniczyć narażenie na ataki, zapewniając łatwy dostęp do łączenia się z maszynami wirtualnymi w razie potrzeby.Just-in-time (JIT) virtual machine (VM) access can be used to lock down inbound traffic to your Azure VMs, reducing exposure to attacks while providing easy access to connect to VMs when needed.

Uwaga

Funkcja just in time jest dostępna w warstwie Standardowa Security Center.The just-in-time feature is available on the Standard tier of Security Center. Zobacz cennik, aby dowiedzieć się więcej na temat warstw cenowych usługi Security Center.See Pricing to learn more about Security Center's pricing tiers.

Uwaga

Security Center dostęp do maszyny wirtualnej just in Time obsługuje obecnie tylko maszyny wirtualne wdrożone za pośrednictwem Azure Resource Manager.Security Center just-in-time VM access currently supports only VMs deployed through Azure Resource Manager. Aby dowiedzieć się więcej na temat modeli wdrażania klasycznego i Menedżer zasobów, zobacz Azure Resource Manager a wdrożenie klasyczne.To learn more about the classic and Resource Manager deployment models see Azure Resource Manager vs. classic deployment.

Scenariusz atakuAttack scenario

Bezprawne ataki są często docelowymi portami zarządzania jako środek do uzyskania dostępu do maszyny wirtualnej.Brute force attacks commonly target management ports as a means to gain access to a VM. Jeśli to się powiedzie, osoba atakująca może przejąć kontrolę nad maszyną wirtualną i ustanowić przyczółka w swoim środowisku.If successful, an attacker can take control over the VM and establish a foothold into your environment.

Jednym ze sposobów zmniejszenia narażenia na ataki z wykorzystaniem bezprawnego ataku jest ograniczenie czasu, przez który port jest otwarty.One way to reduce exposure to a brute force attack is to limit the amount of time that a port is open. Porty zarządzania nie muszą być otwarte przez cały czas.Management ports don't need to be open at all times. Muszą być otwarte tylko wtedy, gdy nastąpi połączenie z maszyną wirtualną, na przykład do wykonywania zadań zarządzania lub konserwacji.They only need to be open while you're connected to the VM, for example to perform management or maintenance tasks. Gdy jest włączone just-in-Time, Security Center korzysta z zasad sieciowych grup zabezpieczeń (sieciowej grupy zabezpieczeń) i zapory platformy Azure, które ograniczają dostęp do portów zarządzania, więc nie mogą być objęte przez osoby atakujące.When just-in-time is enabled, Security Center uses network security group (NSG) and Azure Firewall rules, which restrict access to management ports so they cannot be targeted by attackers.

Scenariusz just in Time

Jak działa dostęp JIT?How does JIT access work?

Gdy jest włączone just-in-Time, Security Center blokuje ruch przychodzący do maszyn wirtualnych platformy Azure przez utworzenie reguły sieciowej grupy zabezpieczeń.When just-in-time is enabled, Security Center locks down inbound traffic to your Azure VMs by creating an NSG rule. Wybierasz porty na maszynie wirtualnej, do której zostanie zablokowany ruch przychodzący.You select the ports on the VM to which inbound traffic will be locked down. Te porty są kontrolowane przez rozwiązanie just-in-Time.These ports are controlled by the just-in-time solution.

Gdy użytkownik zażąda dostępu do maszyny wirtualnej, Security Center sprawdza, czy użytkownik ma uprawnienia Access Control (RBAC) oparte na rolach , które pozwalają na pomyślne zażądanie dostępu do maszyny wirtualnej.When a user requests access to a VM, Security Center checks that the user has Role-Based Access Control (RBAC) permissions that permit them to successfully request access to a VM. Jeśli żądanie zostało zatwierdzone, Security Center automatycznie konfiguruje sieciowe grupy zabezpieczeń (sieciowych grup zabezpieczeń) i zaporę platformy Azure w celu zezwolenia na ruch przychodzący do wybranych portów i żądanych źródłowych adresów IP lub zakresów, przez określony czas.If the request is approved, Security Center automatically configures the Network Security Groups (NSGs) and Azure Firewall to allow inbound traffic to the selected ports and requested source IP addresses or ranges, for the amount of time that was specified. Po upływie tego czasu program Security Center Przywraca poprzedni stan sieciowych grup zabezpieczeń.After the time has expired, Security Center restores the NSGs to their previous states. Te połączenia, które są już ustanowione, nie są jednak przerywane.Those connections that are already established are not being interrupted, however.

Uwaga

Jeśli żądanie dostępu JIT zostanie zatwierdzone dla maszyny wirtualnej za zaporą platformy Azure, Security Center automatycznie zmieni reguły zasad sieciowej grupy zabezpieczeń i zapory.If a JIT access request is approved for a VM behind an Azure Firewall, then Security Center automatically changes both the NSG and firewall policy rules. Przez określony czas, reguły zezwalają na ruch przychodzący do wybranych portów i żądanych źródłowych adresów IP lub zakresów.For the amount of time that was specified, the rules allow inbound traffic to the selected ports and requested source IP addresses or ranges. Po upływie tego czasu program Security Center przywraca poprzednie Stany zapory i reguły sieciowej grupy zabezpieczeń.After the time is over, Security Center restores the firewall and NSG rules to their previous states.

Uprawnienia wymagające konfigurowania i używania JITPermissions needed to configure and use JIT

Aby umożliwić użytkownikowi:To enable a user to: Uprawnienia do ustawieniaPermissions to set
Konfigurowanie lub edytowanie zasad JIT dla maszyny wirtualnejConfigure or edit a JIT policy for a VM Przypisz następujące akcje do roli:Assign these actions to the role:
  • W zakresie subskrypcji lub grupy zasobów skojarzonej z maszyną wirtualną:On the scope of a subscription or Resource Group that is associated with the VM:
    Microsoft.Security/locations/jitNetworkAccessPolicies/write
  • W zakresie subskrypcji lub grupy zasobów lub maszyny wirtualnej:On the scope of a subscription or Resource Group or VM:
    Microsoft.Compute/virtualMachines/write
Zażądaj dostępu JIT do maszyny wirtualnejRequest JIT access to a VM Przypisz następujące akcje do użytkownika:Assign these actions to the user:
  • W zakresie subskrypcji lub grupy zasobów skojarzonej z maszyną wirtualną:On the scope of a subscription or Resource Group that is associated with the VM:
    Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
  • W zakresie subskrypcji lub grupy zasobów lub maszyny wirtualnej:On the scope of a Subscription or Resource Group or VM:
    Microsoft.Compute/virtualMachines/read

Konfigurowanie JIT na maszynie wirtualnejConfigure JIT on a VM

Istnieją trzy sposoby konfigurowania zasad JIT na maszynie wirtualnej:There are three ways to configure a JIT policy on a VM:

Konfigurowanie JIT w ASCConfigure JIT in ASC

Z poziomu ASC można skonfigurować zasady JIT i zażądać dostępu do maszyny wirtualnej przy użyciu zasad JITFrom ASC, you can configure a JIT policy and request access to a VM using a JIT policy

Konfigurowanie dostępu JIT na maszynie wirtualnej w języku ASCConfigure JIT access on a VM in ASC

  1. Otwórz pulpit nawigacyjny usługi Security Center.Open the Security Center dashboard.

  2. W lewym okienku wybierz pozycję dostęp just in Time do maszyny wirtualnej.In the left pane, select Just-in-time VM access.

    Kafelek dostępu just in Time do maszyny wirtualnej

    Zostanie otwarte okno dostęp just in Time do maszyny wirtualnej .The Just-in-time VM access window opens.

    Włącz dostęp just in Time

    Dostęp just in Time do maszyny wirtualnej zapewnia informacje o stanie maszyn wirtualnych:Just-in-time VM access provides information on the state of your VMs:

    • Skonfigurowane — maszyny wirtualne, które zostały skonfigurowane do obsługi dostępu just in Time do maszyny wirtualnej.Configured - VMs that have been configured to support just-in-time VM access. Przedstawione dane dotyczą ostatniego tygodnia i obejmują dla każdej maszyny wirtualnej liczbę zatwierdzonych żądań, datę ostatniego dostępu i godzinę ostatniego użytkownika.The data presented is for the last week and includes for each VM the number of approved requests, last access date and time, and last user.
    • Zalecane — maszyny wirtualne, które mogą obsługiwać dostęp do maszyny wirtualnej just-in-Time, ale nie zostały skonfigurowane do programu.Recommended - VMs that can support just-in-time VM access but haven't been configured to. Zalecamy włączenie kontroli dostępu just in Time do maszyn wirtualnych.We recommend that you enable just-in-time VM access control for these VMs.
    • Brak zaleceń — powody, dla których maszyna wirtualna może nie mieć zaleceń:No recommendation - Reasons that can cause a VM not to be recommended are:
      • Brak sieciowej grupy zabezpieczeń — rozwiązanie just in Time wymaga, aby sieciowej grupy zabezpieczeń.Missing NSG - The just-in-time solution requires an NSG to be in place.
      • Klasyczna maszyna wirtualna — Security Center dostęp do maszyny wirtualnej just in Time aktualnie obsługuje tylko maszyny wirtualne wdrożone za pośrednictwem Azure Resource Manager.Classic VM - Security Center just-in-time VM access currently supports only VMs deployed through Azure Resource Manager. Wdrożenie klasyczne nie jest obsługiwane przez rozwiązanie just-in-Time.A classic deployment is not supported by the just-in-time solution.
      • Inne — maszyna wirtualna jest w tej kategorii, jeśli rozwiązanie just in time jest wyłączone w zasadach zabezpieczeń subskrypcji lub grupy zasobów lub jeśli maszyna wirtualna nie ma publicznego adresu IP i nie ma sieciowej grupy zabezpieczeń.Other - A VM is in this category if the just-in-time solution is turned off in the security policy of the subscription or the resource group, or if the VM is missing a public IP and doesn't have an NSG in place.
  3. Wybierz kartę zalecane .Select the Recommended tab.

  4. W obszarze maszyna wirtualnakliknij maszyny wirtualne, które chcesz włączyć.Under VIRTUAL MACHINE, click the VMs that you want to enable. Spowoduje to umieszczenie znacznika wyboru obok maszyny wirtualnej.This puts a checkmark next to a VM.

  5. Kliknij pozycję Włącz JIT na maszynach wirtualnych.Click Enable JIT on VMs. -.-. Ten blok przedstawia porty domyślne zalecane przez Azure Security Center:This blade displays the default ports recommended by Azure Security Center:

    • 22 — SSH22 - SSH
    • 3389 - RDP3389 - RDP
    • 5985 — WinRM5985 - WinRM
    • 5986 — WinRM5986 - WinRM
  6. Możesz również skonfigurować porty niestandardowe:You can also configure custom ports:

    1. Kliknij przycisk Dodaj.Click Add. Zostanie otwarte okno Dodaj konfigurację portu .The Add port configuration window opens.
    2. Dla każdego skonfigurowanego portu, zarówno domyślnego, jak i niestandardowego, można dostosować następujące ustawienia:For each port you choose to configure, both default and custom, you can customize the following settings:
    • Typ protokołu— protokół, który jest dozwolony na tym porcie w przypadku zatwierdzenia żądania.Protocol type- The protocol that is allowed on this port when a request is approved.
    • Dozwolone źródłowe adresy IP— zakresy adresów IP, które są dozwolone na tym porcie, gdy żądanie zostanie zatwierdzone.Allowed source IP addresses- The IP ranges that are allowed on this port when a request is approved.
    • Maksymalny czas żądania— maksymalny przedział czasu, w którym można otworzyć określony port.Maximum request time- The maximum time window during which a specific port can be opened.
    1. Kliknij przycisk OK.Click OK.
  7. Kliknij polecenie Zapisz.Click Save.

Uwaga

Gdy dla maszyny wirtualnej jest włączony dostęp JIT dla maszyny wirtualnej, Azure Security Center tworzy reguły "Odmów wszystkim ruchem przychodzącym" dla wybranych portów w grupach zabezpieczeń sieci skojarzonych i z tą zaporą platformy Azure.When JIT VM Access is enabled for a VM, Azure Security Center creates "deny all inbound traffic" rules for the selected ports in the network security groups associated and Azure Firewall with it. Jeśli zostały utworzone inne reguły dla wybranych portów, istniejące reguły mają pierwszeństwo przed nowym regułą "odmowa całego ruchu przychodzącego".If other rules had been created for the selected ports, then the existing rules take priority over the new “deny all inbound traffic” rules. Jeśli nie ma żadnych istniejących reguł na wybranych portach, nowy reguły "Odrzuć cały ruch przychodzący" mają najwyższy priorytet w grupach zabezpieczeń sieci i zaporze platformy Azure.If there are no existing rules on the selected ports, then the new “deny all inbound traffic” rules take top priority in the Network Security Groups and Azure Firewall.

Żądaj dostępu JIT za pośrednictwem ASCRequest JIT access via ASC

Aby zażądać dostępu do maszyny wirtualnej za pomocą funkcji ASC:To request access to a VM via ASC:

  1. W obszarze dostęp just in Time do maszyny wirtualnejwybierz kartę skonfigurowane .Under Just in time VM access, select the Configured tab.

  2. W obszarze maszyna wirtualnakliknij maszyny wirtualne, dla których chcesz uzyskać dostęp.Under Virtual Machine, click the VMs that you want to request access for. Spowoduje to umieszczenie znacznika wyboru obok maszyny wirtualnej.This puts a checkmark next to the VM.

    • Ikona w kolumnie szczegóły połączenia wskazuje, czy JIT jest włączona w sieciowej grupy zabezpieczeń czy PD.The icon in the Connection Details column indicates whether JIT is enabled on the NSG or FW. Jeśli ta opcja jest włączona, zostanie wyświetlona tylko ikona zapory.If it’s enabled on both, only the Firewall icon appears.

    • Kolumna szczegóły połączenia zawiera informacje wymagane do nawiązania połączenia z maszyną wirtualną oraz otwarte porty.The Connection Details column provides the information required to connect the VM, and its open ports.

      Żądanie dostępu just in time

  3. Kliknij pozycję Żądaj dostępu.Click Request access. Zostanie otwarte okno żądania dostępu .The Request access window opens.

    Szczegóły JIT

  4. W obszarze Żądaj dostępudla każdej maszyny wirtualnej Skonfiguruj porty, które chcesz otworzyć, oraz źródłowe adresy IP, na których jest otwierany port, oraz przedział czasu, w którym port zostanie otwarty.Under Request access, for each VM, configure the ports that you want to open and the source IP addresses that the port is opened on and the time window for which the port will be open. Możliwe będzie tylko żądanie dostępu do portów skonfigurowanych w zasadach just in Time.It will only be possible to request access to the ports that are configured in the just-in-time policy. Każdy port ma maksymalny dozwolony czas uzyskany na podstawie zasad just in Time.Each port has a maximum allowed time derived from the just-in-time policy.

  5. Kliknij pozycję Otwórz porty.Click Open ports.

Uwaga

Jeśli użytkownik, który żąda dostępu, znajduje się za serwerem proxy, opcja My IP może nie zadziałać.If a user who is requesting access is behind a proxy, the option My IP may not work. Może być konieczne zdefiniowanie pełnego zakresu adresów IP organizacji.You may need to define the full IP address range of the organization.

Edytowanie zasad dostępu JIT za pośrednictwem ASCEdit a JIT access policy via ASC

Istniejące zasady just in Time maszyny wirtualnej można zmienić, dodając i konfigurując nowy port do ochrony dla tej maszyny wirtualnej albo zmieniając inne ustawienia związane z już chronionym portem.You can change a VM's existing just-in-time policy by adding and configuring a new port to protect for that VM, or by changing any other setting related to an already protected port.

Aby edytować istniejące zasady just in Time maszyny wirtualnej:To edit an existing just-in-time policy of a VM:

  1. Na karcie Konfiguracja w obszarze maszyny wirtualnewybierz maszynę wirtualną, do której chcesz dodać port, klikając trzy kropki w wierszu dla tej maszyny wirtualnej.In the Configured tab, under VMs, select a VM to which to add a port by clicking on the three dots within the row for that VM.

  2. Wybierz pozycję Edit (Edytuj).Select Edit.

  3. W obszarze Konfiguracja dostępu JIT do maszyny wirtualnejmożna edytować istniejące ustawienia już chronionego portu lub dodać nowy port niestandardowy.Under JIT VM access configuration, you can either edit the existing settings of an already protected port or add a new custom port. dostęp JIT do maszyny wirtualnejjit vm access

Inspekcja aktywności dostępu JIT w ASCAudit JIT access activity in ASC

Szczegółowe informacje na temat działań maszyn wirtualnych można uzyskać przy użyciu funkcji przeszukiwania dzienników.You can gain insights into VM activities using log search. Aby wyświetlić dzienniki:To view logs:

  1. W obszarze dostęp do maszyny wirtualnej just-in-Timewybierz kartę skonfigurowane .Under Just-in-time VM access, select the Configured tab.

  2. W obszarze maszyny wirtualnewybierz maszynę wirtualną, aby wyświetlić informacje, klikając trzy kropki w wierszu dla tej maszyny wirtualnej, a następnie wybierz pozycję Dziennik aktywności w menu.Under VMs, select a VM to view information about by clicking on the three dots within the row for that VM and select Activity Log in the menu. Zostanie otwarty Dziennik aktywności .The Activity log opens.

    Wybierz Dziennik aktywności

    Dziennik aktywności zawiera filtrowany widok poprzednich operacji dla tej maszyny wirtualnej oraz godzinę, datę i subskrypcję.Activity log provides a filtered view of previous operations for that VM along with time, date, and subscription.

Informacje dziennika można pobrać, wybierając pozycję kliknij tutaj, aby pobrać wszystkie elementy jako wolumin CSV.You can download the log information by selecting Click here to download all the items as CSV.

Zmodyfikuj filtry i kliknij przycisk Zastosuj , aby utworzyć wyszukiwanie i dziennik.Modify the filters and click Apply to create a search and log.

Konfigurowanie dostępu JIT w bloku maszyny wirtualnej platformy AzureConfigure JIT access in an Azure VM blade

Dla wygody można nawiązać połączenie z maszyną wirtualną przy użyciu JIT bezpośrednio z poziomu bloku maszyny wirtualnej na platformie Azure.For your convenience, you can connect to a VM using JIT directly from within the VM blade in Azure.

Konfigurowanie dostępu JIT na maszynie wirtualnej za pośrednictwem bloku maszyny wirtualnej platformy AzureConfigure JIT access on a VM via the Azure VM blade

Aby ułatwić uzyskiwanie dostępu just in Time do maszyn wirtualnych, można ustawić maszynę wirtualną tak, aby zezwalała na dostęp tylko just in Time bezpośrednio z poziomu maszyny wirtualnej.To make it easy to roll out just-in-time access across your VMs, you can set a VM to allow only just-in-time access directly from within the VM.

  1. W Azure Portal wybierz pozycję maszyny wirtualne.In the Azure portal, select Virtual machines.
  2. Kliknij maszynę wirtualną, którą chcesz ograniczyć do dostępu just in Time.Click on the virtual machine you want to limit to just-in-time access.
  3. W menu kliknij pozycję Konfiguracja.In the menu, click Configuration.
  4. W obszarze dostęp just in Time kliknij pozycję Włącz zasady just in Time.Under Just-in-time-access click Enable just-in-time policy.

Pozwala to na dostęp just in Time do maszyny wirtualnej przy użyciu następujących ustawień:This enables just-in-time access for the VM using the following settings:

  • Serwery z systemem Windows:Windows servers:
    • Port RDP 3389RDP port 3389
    • Trzy godziny maksymalnego dozwolonego dostępuThree hours of maximum allowed access
    • Dozwolone źródłowe adresy IP są ustawione na wartość anyAllowed source IP addresses is set to Any
  • Serwery z systemem Linux:Linux servers:
    • Port SSH 22SSH port 22
    • Trzy godziny maksymalnego dozwolonego dostępuThree hours of maximum allowed access
    • Dozwolone źródłowe adresy IP są ustawione na wartość anyAllowed source IP addresses is set to Any

Jeśli maszyna wirtualna ma już włączoną funkcję just-in-Time, po przejściu na stronę konfiguracji będzie można zobaczyć, że jest włączona funkcja just in Time. można także użyć linku, aby otworzyć zasady w Azure Security Center, aby wyświetlić i zmienić ustawienia.If a VM already has just-in-time enabled, when you go to its configuration page you will be able to see that just-in-time is enabled and you can use the link to open the policy in Azure Security Center to view and change the settings.

Konfiguracja JIT w maszynie wirtualnej

Zażądaj dostępu JIT do maszyny wirtualnej za pośrednictwem bloku maszyny wirtualnej platformy AzureRequest JIT access to a VM via the Azure VM blade

W Azure Portal podczas próby nawiązania połączenia z maszyną wirtualną platforma Azure sprawdzi, czy dla tej maszyny wirtualnej skonfigurowano zasady dostępu just in Time.In the Azure portal, when you try to connect to a VM, Azure checks to see if you have a just-in-time access policy configured on that VM.

  • Jeśli na maszynie wirtualnej skonfigurowano zasady JIT, można kliknąć pozycję Żądaj dostępu , aby umożliwić dostęp zgodnie z zasadami JIT ustawionymi dla maszyny wirtualnej.If you do have a JIT policy configured on the VM, you can click Request access to enable you to have access in accordance with the JIT policy set for the VM.

    żądanie JIT

    Wymagany jest dostęp z następującymi domyślnymi parametrami:The access is requested with the following default parameters:

    • źródłowy adres IP: "Any" (*) (nie można zmienić)source IP: ‘Any’ (*) (cannot be changed)

    • zakres czasu: Trzy godziny (nie można zmienić)time range: Three hours (cannot be changed)

    • numer portu Port RDP 3389 dla Windows/port 22 dla systemu Linux (można go zmienić)port number RDP port 3389 for Windows / port 22 for Linux (can be changed)

      Uwaga

      Po zatwierdzeniu żądania dla maszyny wirtualnej chronionej przez zaporę platformy Azure Security Center udostępnia użytkownikowi odpowiednie szczegóły połączenia (mapowanie portów z tabeli DNAT), które ma być używane do nawiązywania połączenia z maszyną wirtualną.After a request is approved for a VM protected by Azure Firewall, Security Center provides the user with the proper connection details (the port mapping from the DNAT table) to use to connect to the VM.

  • Jeśli nie skonfigurowano JIT na maszynie wirtualnej, zostanie wyświetlony monit o skonfigurowanie zasad JIT.If you do not have JIT configured on a VM, you will be prompted to configure a JIT policy it.

    monit JIT

Programowe Konfigurowanie zasad JIT na maszynie wirtualnejConfigure a JIT policy on a VM programmatically

Można skonfigurować i używać just-in-Time za pośrednictwem interfejsów API REST i programu PowerShell.You can set up and use just-in-time via REST APIs and via PowerShell.

Dostęp JIT do maszyny wirtualnej za pośrednictwem interfejsów API RESTJIT VM access via REST APIs

Funkcja dostępu just in Time do maszyny wirtualnej może być używana za pośrednictwem interfejsu API Azure Security Center.The just-in-time VM access feature can be used via the Azure Security Center API. Możesz uzyskać informacje na temat skonfigurowanych maszyn wirtualnych, dodać nowe, zażądać dostępu do maszyny wirtualnej, a nie tylko za pośrednictwem tego interfejsu API.You can get information about configured VMs, add new ones, request access to a VM, and more, via this API. Zobacz zasady dostępu do sieci JIT, aby dowiedzieć się więcej na temat interfejsu API REST just-in-Time.See Jit Network Access Policies, to learn more about the just-in-time REST API.

Dostęp JIT do maszyny wirtualnej za pośrednictwem programu PowerShellJIT VM access via PowerShell

Aby korzystać z rozwiązania dostępu just in Time do maszyny wirtualnej za pośrednictwem programu PowerShell, należy użyć oficjalnych poleceń cmdlet programu Set-AzJitNetworkAccessPolicyPowerShell Azure Security Center i w ten sposób.To use the just-in-time VM access solution via PowerShell, use the official Azure Security Center PowerShell cmdlets, and specifically Set-AzJitNetworkAccessPolicy.

Poniższy przykład ustawia zasady dostępu just-in-Time dla określonej maszyny wirtualnej i ustawia następujące elementy:The following example sets a just-in-time VM access policy on a specific VM, and sets the following:

  1. Zamknij porty 22 i 3389.Close ports 22 and 3389.

  2. Dla każdego z nich ustaw maksymalne przedziały czasu (3 godziny), tak aby mogły być otwierane zgodnie z zatwierdzonymi żądaniami.Set a maximum time window of 3 hours for each so they can be opened per approved request.

  3. Zezwala użytkownikowi, który żąda dostępu do kontrolowania źródłowych adresów IP i umożliwia użytkownikowi ustanowienie pomyślnej sesji na podstawie zatwierdzonego żądania dostępu just in Time.Allows the user who is requesting access to control the source IP addresses and allows the user to establish a successful session upon an approved just-in-time access request.

Uruchom następujące polecenia w programie PowerShell, aby to zrobić:Run the following in PowerShell to accomplish this:

  1. Przypisz zmienną, która zawiera zasady dostępu just in Time do maszyny wirtualnej:Assign a variable that holds the just-in-time VM access policy for a VM:

    $JitPolicy = (@{
     id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME"
    ports=(@{
         number=22;
         protocol="*";
         allowedSourceAddressPrefix=@("*");
         maxRequestAccessDuration="PT3H"},
         @{
         number=3389;
         protocol="*";
         allowedSourceAddressPrefix=@("*");
         maxRequestAccessDuration="PT3H"})})
    
  2. Wstaw zasady dostępu just in Time do maszyny wirtualnej do tablicy:Insert the VM just-in-time VM access policy to an array:

    $JitPolicyArr=@($JitPolicy)
    
  3. Skonfiguruj zasady dostępu just in Time do maszyny wirtualnej na wybranej maszynie wirtualnej:Configure the just-in-time VM access policy on the selected VM:

    Set-AzJitNetworkAccessPolicy -Kind "Basic" -Location "LOCATION" -Name "default" -ResourceGroupName "RESOURCEGROUP" -VirtualMachine $JitPolicyArr 
    

Żądanie dostępu do maszyny wirtualnej za pośrednictwem programu PowerShellRequest access to a VM via PowerShell

W poniższym przykładzie można zobaczyć żądanie dostępu just in Time do określonej maszyny wirtualnej, w której zażądano otwarcia portu 22 dla określonego adresu IP i przez określony czas:In the following example, you can see a just-in-time VM access request to a specific VM in which port 22 is requested to be opened for a specific IP address and for a specific amount of time:

Uruchom następujące polecenia w programie PowerShell:Run the following in PowerShell:

  1. Konfigurowanie właściwości dostępu żądania maszyny wirtualnejConfigure the VM request access properties

    $JitPolicyVm1 = (@{
      id="/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME"
    ports=(@{
       number=22;
       endTimeUtc="2018-09-17T17:00:00.3658798Z";
       allowedSourceAddressPrefix=@("IPV4ADDRESS")})})
    
  2. Wstawianie parametrów żądania dostępu do maszyny wirtualnej w tablicy:Insert the VM access request parameters in an array:

    $JitPolicyArr=@($JitPolicyVm1)
    
  3. Wyślij żądanie dostępu (Użyj identyfikatora zasobu, który został uzyskany w kroku 1)Send the request access (use the resource ID you got in step 1)

    Start-AzJitNetworkAccessPolicy -ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default" -VirtualMachine $JitPolicyArr
    

Aby uzyskać więcej informacji, zobacz dokumentację poleceń cmdlet programu PowerShell.For more information, see the PowerShell cmdlet documentation.

Następne krokiNext steps

W tym artykule wyjaśniono, jak dostęp just in Time do maszyny wirtualnej w Security Center pomaga kontrolować dostęp do maszyn wirtualnych platformy Azure.In this article, you learned how just-in-time VM access in Security Center helps you control access to your Azure virtual machines.

Aby dowiedzieć się więcej na temat Centrum zabezpieczeń, zobacz następujące artykuły:To learn more about Security Center, see the following: