Perguntas frequentes sobre o Azure Bastion
Perguntas frequentes sobre o serviço e a implantação do Bastion
Quais navegadores são compatíveis?
O navegador deve oferecer suporte a HTML 5. Use o navegador Microsoft Edge ou o Google Chrome no Windows. Para o Apple Mac, use o navegador Google Chrome. O Microsoft Edge Chromium também é compatível com o Windows e o Mac, respectivamente.
Como funciona o preço?
Os preços do Azure Bastion são uma combinação de preço por hora com base em SKU e instâncias (unidades de escala), além dos valores de transferência de dados. Os preços por hora começam a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para obter as informações de preços mais recentes, consulte a página de preços do Azure Bastion.
Há suporte para o IPv6?
No momento, não há suporte para o IPv6. O Azure Bastion só dá suporte ao IPv4. Isso significa que você só pode atribuir um endereço IP público IPv4 ao seu recurso do Bastion e que você pode usá-lo para se conectar a VMs de destino IPv4. Use também o Bastion para se conectar a VMs de destino de pilha dupla, mas só será possível enviar e receber o tráfego IPv4 por meio do Azure Bastion.
Onde o Azure Bastion armazena dados do cliente?
O Azure Bastion não move nem armazena dados do cliente fora da região em que está implantado.
O Azure Bastion dá suporte a zonas de disponibilidade?
Algumas regiões dão suporte à capacidade de implantar o Azure Bastion em uma zona de disponibilidade (ou múltipla, para redundância de zona). Para implantar por zona, você pode selecionar as zonas de disponibilidade que deseja implantar nos detalhes da instância ao implantar o Bastion usando configurações especificadas manualmente. Você não poderá alterar a disponibilidade zonal depois que o Bastion for implantado. Se você não conseguir selecionar uma zona, talvez tenha selecionado uma região do Azure que ainda não dá suporte a zonas de disponibilidade. Para obter mais informações sobre zonas de disponibilidade, consulte Zonas de Disponibilidade.
O Azure Bastion é compatível com a WAN Virtual?
Sim, você pode usar o Azure Bastion para implantações de WAN Virtual. No entanto, não há suporte para implantação do Azure Bastion em um hub de WAN Virtual. Você pode implantar o Azure Bastion em uma rede virtual spoke e usar o recurso de conexão baseada em IP para se conectar a máquinas virtuais implantadas em uma rede virtual diferente por meio do hub de WAN Virtual. Se o hub de WAN Virtual do Azure for integrado ao Firewall do Azure como um Hub Virtual Seguro, o AzureBastionSubnet deverá residir em uma Rede Virtual onde a propagação de rota padrão 0.0.0.0/0 esteja desabilitada no nível de conexão da rede virtual.
Posso usar o Azure Bastion se estiver forçando o tráfego da Internet de volta ao meu local?
Não, se você estiver anunciando uma rota padrão (0.0.0.0/0) pelo ExpressRoute ou VPN, e essa rota estiver sendo injetada em suas Redes Virtuais, isso interromperá o serviço do Azure Bastion.
O Azure Bastion precisa ser capaz de se comunicar com certos pontos de extremidade internos para se conectar com êxito aos recursos de destino. Portanto, você pode usar o Azure Bastion com as zonas DNS privado do Azure, desde que o nome da zona que você selecionar não se sobreponha à nomenclatura desses pontos de extremidade internos. Antes de implantar seu recurso do Azure Bastion, verifique se a rede virtual do host não está vinculada a uma zona DNS privado com o seguinte no nome:
- management.azure.com
- blob.core.windows.net
- core.windows.net
- vaultcore.windows.net
- vault.azure.net
- azure.com
Você pode usar uma zona DNS privada que termina com um dos nomes na lista anterior (por exemplo: privatelink.blob.core.windows.net).
Não há suporte para Azure Bastion nas Zonas DNS Privadas do Azure em nuvens nacionais.
Meu privatelink.azure.com não pode ser resolvido para management.privatelink.azure.com
Isso pode ocorrer devido à zona DNS privada do privatelink.azure.com vinculada à rede virtual do Bastion, fazendo com que CNAMEs do management.azure.com resolvam management.privatelink.azure.com nos bastidores. Crie um registro CNAME na zona do privatelink.azure.com para management.privatelink.azure.com para o arm-frontdoor-prod.trafficmanager.net permitir uma resolução de DNS bem-sucedida.
O Azure Bastion dá suporte ao Link Privado?
No momento, o Azure Bastion não dá suporte ao Link Privado do Azure.
Por que recebo um erro "Falha ao adicionar sub-rede" ao usar "Implantar Bastion" no portal?
Neste momento, para a maioria dos espaços de endereço, você deverá adicionar uma sub-rede chamada AzureBastionSubnet à sua rede virtual antes de selecionar Implantar o Bastion.
Posso ter uma sub-rede do Azure Bastion de tamanho /27 ou menor (/28, /29 etc.)?
Para Azure Bastion recursos implantados a partir de 2 de novembro de 2021, o tamanho mínimo do AzureBastionSubnet é /26 ou maior (/25, /24 etc.). Todos os recursos do Azure Bastion implantados em sub-redes com o tamanho /27 antes dessa data não serão afetados por essa alteração e continuarão funcionando. No entanto, recomendamos expressamente aumentar o tamanho de qualquer AzureBastionSubnet para /26, caso você opte por aproveitar a escala do host no futuro.
Posso implantar vários recursos do Azure em minha sub-rede do Azure Bastion?
Não. A sub-rede do Azure Bastion (AzureBastionSubnet) está reservada apenas para a implantação de seu recurso do Azure Bastion.
As sub-redes do Azure Bastion tem suporte para UDR (roteamento definido pelo usuário)?
Não. Não há suporte para a UDR em uma sub-rede do Azure Bastion.
Para cenários que incluem o Azure Bastion e o Firewall do Azure ou a NVA (solução de virtualização de rede) na mesma rede virtual, você não precisa forçar o tráfego de uma sub-rede do Azure Bastion para o Firewall do Azure, pois a comunicação entre o Azure Bastion e suas VMs é privada. Para saber mais, confira Acessar VMs por trás do Firewall do Azure com o Bastion.
Qual SKU devo usar?
O Azure Bastion tem vários SKUs. Você deve selecionar uma SKU com base nos requisitos de conexão e recursos. Para obter uma lista completa de camadas de SKU e conexões e recursos com suporte, confira o artigo Definições de configuração.
Posso fazer upgrade de um SKU?
Sim. Para ver as etapas, confira Atualizar um SKU. Para saber mais sobre SKUs, confira o artigo Definições de configuração.
Posso fazer downgrade de um SKU?
Não. Não há suporte para o downgrade de um SKU. Para saber mais sobre SKUs, confira o artigo Definições de configuração.
O Bastion dá suporte à conectividade com a Área de Trabalho Virtual do Azure?
Não, não há suporte para a conectividade do Bastion com a Área de Trabalho Virtual do Azure.
Como faço para lidar com falhas de implantação?
Examine todas as mensagens de erro e gere uma solicitação de suporte no portal do Azure conforme necessário. As falhas de implantação podem resultar de Limites, cotas e restrições de assinatura do Azure. Especificamente, os clientes podem encontrar um limite no número de IPs permitidos por assinatura que causam falha na implantação do Azure Bastion.
Como incorporo o Azure Bastion em meu plano de Recuperação de Desastre?
O Azure Bastion é implantado em redes virtuais ou redes virtuais emparelhadas e está associado a uma região do Azure. Você é responsável por implantar o Azure Bastion em uma rede virtual do site de DR (recuperação de desastre). Se houver uma falha em uma região do Azure, execute uma operação de failover para suas VMs na região de DR. Em seguida, use o host do Azure Bastion que é implantado na região de DR para se conectar às VMs que agora estão implantadas.
O Bastion dá suporte à movimentação de uma VNet para outro grupo de recursos?
Não. Se você mover sua rede virtual para outro grupo de recursos (mesmo que esteja na mesma assinatura), precisará primeiro excluir o Bastion da rede virtual e, em seguida, mover a rede virtual para o novo grupo de recursos. Depois que a rede virtual estiver no novo grupo de recursos, você poderá implantar o Bastion nela.
O Bastion dá suporte a redundâncias de zona?
Atualmente, por padrão, novas implantações do Bastion não dão suporte a redundâncias de zona. Os bastions implantados anteriormente podem ou não ter redundância de zona. As exceções são implantações do Bastion na Coreia Central e no Sudeste da Ásia, que dão suporte a redundâncias de zona.
O Bastion dá suporte a contas de convidado do Microsoft Entra?
Sim, as contas de convidado do Microsoft Entra podem ter acesso ao Bastion e podem se conectar a máquinas virtuais. No entanto, os usuários convidados do Microsoft Entra não podem se conectar às VMs do Azure por meio da autenticação do Microsoft Entra. Os usuários não convidados têm suporte por meio da autenticação do Microsoft Entra. Para obter mais informações sobre a autenticação do Microsoft Entra para VMs do Azure (para usuários não convidados), consulte Fazer logon em uma máquina virtual do Windows no Azure usando a IDdo Microsoft Entra.
Os domínios personalizados são compatíveis com links compartilháveis do Bastion?
Não, os domínios personalizados não são compatíveis com links compartilháveis do Bastion. Os usuários recebem um erro de certificado ao tentar adicionar domínios específicos no CN/SAN do certificado de host do Bastion.
Perguntas frequentes sobre conexão de VM e recursos disponíveis
É necessário ter alguma função para acessar uma máquina virtual?
Para fazer uma conexão, são necessárias as seguintes funções:
- A função de leitor na máquina virtual.
- A função de leitor na placa de interface de rede com endereço IP privado da máquina virtual.
- Função de leitor no recurso do Azure Bastion.
- Função de leitor na rede virtual da máquina virtual alvo (se a implantação do Bastion estiver em uma rede virtual emparelhada).
Além disso, o usuário deve ter os direitos (se necessário) para se conectar à VM. Por exemplo, se o usuário estiver se conectando a uma VM do Windows via RDP e não for membro do grupo de administradores local, ele deverá ser membro do grupo de usuários da Área de Trabalho Remota.
Por que recebo a mensagem de erro "Sua sessão expirou" antes de iniciar a sessão do Bastion?
Se você acessar a URL diretamente em outra guia ou sessão do navegador, esse erro será esperado. Ele ajuda a garantir que sua sessão seja mais segura e que ela possa ser acessada somente por meio do portal do Azure. Entre no portal do Azure e inicie sua sessão novamente.
Preciso de um IP público em minha máquina virtual para me conectar via Azure Bastion?
Não. Ao se conectar a uma VM usando o Azure Bastion, você não precisa ter IP público na máquina virtual do Azure a qual está se conectando. O serviço do Bastion abre o RDP/SSH/sessão/conexão para sua máquina virtual usando o IP privado da máquina virtual, dentro de sua rede virtual.
Eu preciso de um cliente de RDP ou SSH?
Não. Você pode acessar sua máquina virtual pelo portal do Azure usando seu navegador. Para ver as conexões e métodos disponíveis, consulte Sobre conexões e recursos de VM.
Os usuários precisam de direitos específicos em uma VM de destino para conexões RDP?
Quando um usuário se conecta a uma VM do Windows via RDP, ele deve ter direitos na VM de destino. Se o usuário não for um administrador local, adicione o usuário ao grupo Usuários da Área de Trabalho Remota na VM de destino.
Posso me conectar a uma VM usando um cliente nativo?
Sim. Você pode se conectar a uma VM do computador local usando um cliente nativo. Confira Conectar-se a uma VM usando um cliente nativo.
Eu preciso ter um agente em execução na máquina virtual do Azure?
Não. Não é necessário instalar um agente ou um software no navegador ou na máquina virtual do Azure. O serviço do Bastion é sem agente e não requer software adicional para RDP/SSH.
Quais recursos têm suporte para sessões de VM?
Consulte Sobre as conexões e recursos de VM para verificar os recursos com suporte.
A redefinição de senha está disponível para usuários locais que se conectam por meio do link compartilhável?
Não. Algumas organizações têm políticas que exigem uma redefinição de senha quando um usuário faz logon em uma conta local pela primeira vez. Ao usar links compartilháveis, o usuário não pode alterar a senha, mesmo que um botão "Redefinir senha" possa aparecer.
O áudio remoto está disponível para VMs?
Sim. Confira Sobre as conexões e os recursos da VM.
O Azure Bastion dá suporte à transferência de arquivos?
O Azure Bastion dá suporte para transferência de arquivos entre a VM de destino e o computador local usando o Bastion e um cliente RDP ou SSH nativo. No momento, não é possível carregar nem baixar arquivos usando o PowerShell ou por meio do portal do Azure. Para obter mais informações, confira Carregar e baixar arquivos usando o cliente nativo.
A proteção do Bastion funciona com VMs ingressadas na extensão da VM do AADJ?
Esse recurso não funciona com computadores ingressados em extensão de VM do AADJ usando usuários do Microsoft Entra. Para obter mais informações, consulte Entrar em uma máquina virtual do Windows no Azure usando a IDdo Microsoft Entra.
O Bastion é compatível com as VMs configuradas como hosts da sessão de RDS?
O Bastion não dá suporte à conexão com uma VM configurada como um host de sessão de RDS.
Quais layouts de teclado têm suporte durante a sessão remota do Bastion?
Atualmente, o Azure Bastion dá suporte aos seguintes layouts de teclado dentro da VM:
- en-us-qwerty
- en-gb-qwerty
- de-ch-qwertz
- de-de-qwertz
- fr-be-azerty
- fr-fr-azerty
- fr-ch-qwertz
- hu-hu-qwertz
- it-it-qwerty
- ja-jp-qwerty
- pt-br-qwerty
- es-es-qwerty
- es-latam-qwerty
- sv-se-qwerty
- tr-tr-qwerty
Para estabelecer os mapeamentos de teclas corretos para o idioma de destino, defina o layout do teclado no computador local como o seu idioma de destino e o layout do teclado na VM de destino como o seu idioma de destino. Ambos os teclados precisam ser definidos como seu idioma de destino para estabelecer os mapeamentos de chave corretos dentro da VM de destino.
Para definir o seu idioma de destino como o layout do teclado em uma estação de trabalho do Windows, navegue até Configurações > Hora e Linguagem > Linguagem e Região. Em "Idiomas preferenciais", selecione "Adicionar um idioma" e adicione o seu idioma de destino. Você poderá ver os layouts do teclado na barra de ferramentas. Para definir o inglês (Estados Unidos) como o layout do teclado, selecione "ENG" na barra de ferramentas ou clique em Windows + barra de espaços para abrir os layouts do teclado.
Há uma solução de teclado para alternar o foco entre uma VM e um navegador?
Os usuários podem alternar efetivamente o foco entre a VM e o navegador com "Ctrl+Shift+Alt".
Como faço para recuperar o foco do teclado ou do mouse de uma instância?
Clique na tecla Windows duas vezes seguidas para retomar o foco dentro da janela do Bastion.
Qual é a resolução máxima de tela com suporte por meio de Bastion?
Atualmente, 1920 x 1080 (1080p) é a resolução máxima com suporte.
O Azure Bastion dá suporte à configuração de fuso horário ou redirecionamento de fuso horário para VMs de destino?
Atualmente, o Azure Bastion não dá suporte ao redirecionamento de fuso horário, e não é possível configurar o fuso horário. As configurações de fuso horário de uma VM podem ser atualizadas manualmente após a conexão com êxito ao sistema operacional convidado.
Uma sessão existente será desconectada durante a manutenção no bastion host?
Sim, as sessões existentes no recurso bastion de destino serão desconectadas durante a manutenção no recurso bastion.
Estou me conectando a uma VM usando uma política JIT, preciso de permissões adicionais?
Se o usuário estiver se conectando a uma VM usando uma política JIT, não haverá permissões adicionais necessárias. Para obter mais informações sobre como se conectar a uma VM usando uma política JIT, consulte Habilitar o acesso just-in-time em VMs.
Perguntas Frequentes de emparelhamento de VNet
Ainda posso implantar vários Bastion hosts entre redes virtuais emparelhadas?
Sim. Por padrão, um usuário vê o Bastion host que é implantado na mesma rede virtual na qual a VM reside. No entanto, no menu Conectar, um usuário pode ver vários Bastion hosts detectados em redes emparelhadas. Eles podem selecionar o Bastion host que preferem usar para se conectar à VM implantada na rede virtual.
Se meus VNets emparelhados forem implantados em assinaturas diferentes, a conectividade por Bastion irá funcionar?
Sim, a conectividade por Bastion continuará funcionando para redes virtuais emparelhadas em uma assinatura diferente para um único locatário. Não há suporte para assinaturas em dois locatários diferentes. Para ver o Bastion no menu suspenso Conectar, o usuário deve selecionar as sub-rotinas às quais eles têm acesso na Assinatura > assinatura global.
Tenho acesso à VNet emparelhada, mas não consigo ver a VM implantada lá.
Verifique se o usuário tem acesso de leitura à VM e à rede virtual emparelhada. Além disso, verifique em IAM se o usuário tem acesso de leitura aos seguintes recursos:
- A função de leitor na máquina virtual.
- A função de leitor na placa de interface de rede com endereço IP privado da máquina virtual.
- Função de leitor no recurso do Azure Bastion.
- Função de Leitor rede virtual (desnecessária se não houver uma rede virtual com peering).
| Permissões | Descrição | Tipo de permissão |
|---|---|---|
| Microsoft.Network/bastionHosts/read | Obtém um host bastião | Ação |
| Microsoft.Network/virtualNetworks/BastionHosts/action | Obtém referências do bastion host em uma rede virtual. | Ação |
| Microsoft.Network/virtualNetworks/bastionHosts/default/action | Obtém referências do bastion host em uma rede virtual. | Ação |
| Microsoft.Network/networkInterfaces/read | Obter uma definição de adaptador de rede. | Ação |
| Microsoft.Network/networkInterfaces/ipconfigurations/read | Obter uma definição de configuração de IP do adaptador de rede. | Ação |
| Microsoft.Network/virtualNetworks/read | Obter a definição de rede virtual | Ação |
| Microsoft.Network/virtualNetworks/subnets/virtualMachines/read | Obter referências a todas as máquinas virtuais em uma sub-rede de rede virtual | Ação |
| Microsoft.Network/virtualNetworks/virtualMachines/read | Obter referências a todas as máquinas virtuais em uma rede virtual | Ação |
Próximas etapas
Para obter mais informações, consulte O que é o Azure Bastion?.