Skydda dina hanterings portar med just-in-Time-åtkomstSecure your management ports with just-in-time access

Om du är på Security Center standard pris nivån (se prissättning) kan du låsa inkommande trafik till dina virtuella Azure-datorer med åtkomst till virtuella datorer med just-in-Time (JIT).If you're on Security Center's standard pricing tier (see pricing), you can lock down inbound traffic to your Azure VMs with just-in-time (JIT) virtual machine (VM) access. Detta minskar risken för attacker och ger enkel åtkomst till att ansluta till virtuella datorer när det behövs.This reduces exposure to attacks while providing easy access to connect to VMs when needed.

Anteckning

Security Center VM-åtkomst just-in-Time stöder för närvarande endast virtuella datorer som distribueras via Azure Resource Manager.Security Center just-in-time VM access currently supports only VMs deployed through Azure Resource Manager. Läs mer om de klassiska distributions modellerna för och Resource Manager i Azure Resource Manager vs. Classic-distribution.To learn more about the classic and Resource Manager deployment models see Azure Resource Manager vs. classic deployment.

Attack scenarioAttack scenario

Brute force-attacker brukar rikta hanterings portar som ett sätt att få åtkomst till en virtuell dator.Brute force attacks commonly target management ports as a means to gain access to a VM. Om det lyckas kan en angripare ta kontroll över den virtuella datorn och upprätta en fäste i din miljö.If successful, an attacker can take control over the VM and establish a foothold into your environment.

Ett sätt att minska exponeringen för en brute force-attack är att begränsa hur lång tid en port är öppen.One way to reduce exposure to a brute force attack is to limit the amount of time that a port is open. Hanterings portar behöver inte vara öppna hela tiden.Management ports don't need to be open at all times. De behöver bara vara öppna när du är ansluten till den virtuella datorn, till exempel för att utföra hanterings-eller underhålls uppgifter.They only need to be open while you're connected to the VM, for example to perform management or maintenance tasks. När just-in-Time är aktiverat använder Security Center nätverks säkerhets gruppen (NSG) och Azure brand Väggs regler som begränsar åtkomsten till hanterings portar så att de inte kan nås av angripare.When just-in-time is enabled, Security Center uses network security group (NSG) and Azure Firewall rules, which restrict access to management ports so they cannot be targeted by attackers.

Just-in-Time-scenario

Hur fungerar JIT-åtkomst?How does JIT access work?

När just-in-Time är aktiverat Security Center låser inkommande trafik till dina virtuella Azure-datorer genom att skapa en NSG-regel.When just-in-time is enabled, Security Center locks down inbound traffic to your Azure VMs by creating an NSG rule. Du väljer portarna på den virtuella datorn till vilken inkommande trafik ska låsas.You select the ports on the VM to which inbound traffic will be locked down. Dessa portar styrs av just-in-Time-lösningen.These ports are controlled by the just-in-time solution.

När en användare begär åtkomst till en virtuell dator kontrollerar Security Center att användaren har rollbaserade Access Control (RBAC) behörigheter för den virtuella datorn.When a user requests access to a VM, Security Center checks that the user has Role-Based Access Control (RBAC) permissions for that VM. Om begäran godkänns konfigurerar Security Center automatiskt nätverks säkerhets grupper (NSG: er) och Azure-brandvägg för att tillåta inkommande trafik till de valda portarna och begärda käll-IP-adresser eller intervall, för den angivna tiden.If the request is approved, Security Center automatically configures the Network Security Groups (NSGs) and Azure Firewall to allow inbound traffic to the selected ports and requested source IP addresses or ranges, for the amount of time that was specified. När tiden har gått ut Security Center återställer NSG: er till sina tidigare tillstånd.After the time has expired, Security Center restores the NSGs to their previous states. De anslutningar som redan är etablerade avbryts dock inte.Those connections that are already established are not being interrupted, however.

Anteckning

Om en begäran om JIT-åtkomst har godkänts för en virtuell dator bakom en Azure-brandvägg ändrar Security Center automatiskt både NSG-och brand Väggs princip reglerna.If a JIT access request is approved for a VM behind an Azure Firewall, then Security Center automatically changes both the NSG and firewall policy rules. För den tid som har angetts tillåter reglerna inkommande trafik till de valda portarna och begärda käll-IP-adresser eller intervall.For the amount of time that was specified, the rules allow inbound traffic to the selected ports and requested source IP addresses or ranges. När tiden är över, Security Center återställer brand Väggs-och NSG-reglerna till sina tidigare tillstånd.After the time is over, Security Center restores the firewall and NSG rules to their previous states.

Roller som kan läsa JIT-principerRoles that can read JIT policies

Reader -och SecurityReader -roller kan båda läsa principer.Reader and SecurityReader roles can both read policies.

Behörigheter som krävs för att konfigurera och använda JITPermissions needed to configure and use JIT

Om du vill skapa anpassade roller som kan fungera med JIT behöver du följande information:If you want to create custom roles that can work with JIT, you'll need the following details:

Så här gör du så att en användare kan:To enable a user to: Behörigheter att angePermissions to set
Konfigurera eller redigera en JIT-princip för en virtuell datorConfigure or edit a JIT policy for a VM Tilldela följande åtgärder till rollen:Assign these actions to the role:
  • I omfånget för en prenumeration eller resurs grupp som är associerad med den virtuella datorn:On the scope of a subscription or resource group that is associated with the VM:
    Microsoft.Security/locations/jitNetworkAccessPolicies/write
  • I omfånget för en prenumeration eller resurs grupp av virtuell dator:On the scope of a subscription or resource group of VM:
    Microsoft.Compute/virtualMachines/write
Begär JIT-åtkomst till en virtuell datorRequest JIT access to a VM Tilldela följande åtgärder till användaren:Assign these actions to the user:
  • I omfånget för en prenumeration eller resurs grupp som är associerad med den virtuella datorn:On the scope of a subscription or resource group that is associated with the VM:
    Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
  • I omfånget för en prenumeration eller resurs grupp som är associerad med den virtuella datorn:On the scope of a subscription or resource group that is associated with the VM:
    Microsoft.Security/locations/jitNetworkAccessPolicies/*/read
  • I omfånget för en prenumeration eller resurs grupp eller virtuell dator:On the scope of a subscription or resource group or VM:
    Microsoft.Compute/virtualMachines/read
  • I omfånget för en prenumeration eller resurs grupp eller virtuell dator:On the scope of a subscription or resource group or VM:
    Microsoft.Network/networkInterfaces/*/read
Läs JIT-principerRead JIT policies Tilldela följande åtgärder till användaren:Assign these actions to the user:
  • Microsoft.Security/locations/jitNetworkAccessPolicies/read
  • Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
  • Microsoft.Security/policies/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Network/*/read

Konfigurera JIT på en virtuell datorConfigure JIT on a VM

Det finns tre sätt att konfigurera en JIT-princip på en virtuell dator:There are three ways to configure a JIT policy on a VM:

Konfigurera JIT i Azure Security CenterConfigure JIT in Azure Security Center

Från Security Center kan du konfigurera en JIT-princip och begära åtkomst till en virtuell dator med en JIT-principFrom Security Center, you can configure a JIT policy and request access to a VM using a JIT policy

Konfigurera JIT-åtkomst på en virtuell dator i Security CenterConfigure JIT access on a VM in Security Center

  1. Öppna instrumentpanelen för Security Center.Open the Security Center dashboard.

  2. I det vänstra fönstret väljer du VM-åtkomst just-in-Time.In the left pane, select Just-in-time VM access.

    Just-in-Time-panel för VM-åtkomst

    Just-in-Time- fönstret för VM-åtkomst öppnas och visar information om status för dina virtuella datorer:The Just-in-time VM access window opens and shows information on the state of your VMs:

    • Konfigurerade – virtuella datorer som har kon figurer ATS för att stödja just-in-Time VM-åtkomst.Configured - VMs that have been configured to support just-in-time VM access. De data som visas är den senaste veckan och omfattar för varje virtuell dator antalet godkända begär Anden, senaste åtkomst datum och tid och senaste användare.The data presented is for the last week and includes for each VM the number of approved requests, last access date and time, and last user.
    • Rekommenderade -virtuella datorer som har stöd för just-in-Time VM-åtkomst men inte har kon figurer ATS för.Recommended - VMs that can support just-in-time VM access but haven't been configured to. Vi rekommenderar att du aktiverar just-in-Time-åtkomst kontroll för de här virtuella DATORerna.We recommend that you enable just-in-time VM access control for these VMs.
    • Ingen rekommendation – Orsaker som kan orsaka att en virtuell dator inte rekommenderas är:No recommendation - Reasons that can cause a VM not to be recommended are:
      • Saknar NSG – just-in-Time-lösningen kräver att en NSG är på plats.Missing NSG - The just-in-time solution requires an NSG to be in place.
      • Klassisk VM-Security Center just-in-Time-åtkomst för virtuella datorer stöder för närvarande endast virtuella datorer som distribueras via Azure Resource Manager.Classic VM - Security Center just-in-time VM access currently supports only VMs deployed through Azure Resource Manager. En klassisk distribution stöds inte av just-in-Time-lösningen.A classic deployment is not supported by the just-in-time solution.
      • Övrigt – en virtuell dator finns i den här kategorin om just-in-Time-lösningen är inaktive rad i säkerhets principen för prenumerationen eller resurs gruppen, eller om den virtuella datorn saknar en offentlig IP-adress och inte har en NSG på plats.Other - A VM is in this category if the just-in-time solution is turned off in the security policy of the subscription or the resource group, or if the VM is missing a public IP and doesn't have an NSG in place.
  3. Välj fliken rekommenderas .Select the Recommended tab.

  4. Under virtuell datorklickar du på de virtuella datorer som du vill aktivera.Under VIRTUAL MACHINE, click the VMs that you want to enable. Detta sätter en bock bredvid en virtuell dator.This puts a checkmark next to a VM.

    Aktivera just-in-Time-åtkomst

  5. Klicka på Aktivera JIT på virtuella datorer.Click Enable JIT on VMs. Ett fönster visas som visar standard portarna som rekommenderas av Azure Security Center:A pane opens displaying the default ports recommended by Azure Security Center:

    • 22 – SSH22 - SSH
    • 3389 – RDP3389 - RDP
    • 5985 – WinRM5985 - WinRM
    • 5986 – WinRM5986 - WinRM
  6. Du kan också lägga till anpassade portar i listan:Optionally, you can add custom ports to the list:

    1. Klicka på Lägg till.Click Add. Fönstret Lägg till port konfiguration öppnas.The Add port configuration window opens.

    2. För varje port som du väljer att konfigurera, både standard och anpassad, kan du anpassa följande inställningar:For each port you choose to configure, both default and custom, you can customize the following settings:

      • Protokoll typ– det protokoll som tillåts på den här porten när en begäran godkänns.Protocol type- The protocol that is allowed on this port when a request is approved.
      • Tillåtna käll-IP-adresser– de IP-intervall som tillåts på den här porten när en begäran har godkänts.Allowed source IP addresses- The IP ranges that are allowed on this port when a request is approved.
      • Maximal begär ande tid– maximalt tids period då en bestämd port kan öppnas.Maximum request time- The maximum time window during which a specific port can be opened.
    3. Klicka på OK.Click OK.

  7. Klicka på Spara.Click Save.

Anteckning

När JIT VM-åtkomst är aktive rad för en virtuell dator skapar Azure Security Center "neka all inkommande trafik" för de valda portarna i de nätverks säkerhets grupper som är kopplade till och Azure-brandväggen med den.When JIT VM Access is enabled for a VM, Azure Security Center creates "deny all inbound traffic" rules for the selected ports in the network security groups associated and Azure Firewall with it. Om andra regler har skapats för de valda portarna, prioriteras de befintliga reglerna för den nya regeln "neka all inkommande trafik".If other rules had been created for the selected ports, then the existing rules take priority over the new "deny all inbound traffic" rules. Om det inte finns några befintliga regler på de valda portarna, har den nya regeln "neka all inkommande trafik" företräde överst i nätverks säkerhets grupperna och Azure-brandväggen.If there are no existing rules on the selected ports, then the new "deny all inbound traffic" rules take top priority in the Network Security Groups and Azure Firewall.

Begär JIT-åtkomst via Security CenterRequest JIT access via Security Center

Så här begär du åtkomst till en virtuell dator via Security Center:To request access to a VM via Security Center:

  1. Under just-in-Time VM-åtkomstväljer du fliken konfigurerad .Under Just-in-time VM access, select the Configured tab.

  2. Under virtuell datorklickar du på de virtuella datorer som du vill begära åtkomst för.Under Virtual Machine, click the VMs that you want to request access for. Detta sätter en bock bredvid den virtuella datorn.This puts a checkmark next to the VM.

    • Ikonen i kolumnen anslutnings information visar om JIT är aktiverat på NSG eller VB.The icon in the Connection Details column indicates whether JIT is enabled on the NSG or FW. Om det är aktiverat på båda visas bara brand Väggs ikonen.If it's enabled on both, only the Firewall icon appears.

    • Kolumnen anslutnings information innehåller den information som krävs för att ansluta den virtuella datorn och dess öppna portar.The Connection Details column provides the information required to connect the VM, and its open ports.

      Begära just-in-time-åtkomst

  3. Klicka på begär åtkomst.Click Request access. Fönstret begär åtkomst öppnas.The Request access window opens.

    JIT-information

  4. Under begär åtkomst, för varje virtuell dator, konfigurerar du de portar som du vill öppna och käll-IP-adresserna som porten är öppen på och tids perioden som porten ska vara öppen för.Under Request access, for each VM, configure the ports that you want to open and the source IP addresses that the port is opened on and the time window for which the port will be open. Det går bara att begära åtkomst till de portar som kon figurer ATS i just-in-time-principen.It will only be possible to request access to the ports that are configured in the just-in-time policy. Varje port har en högsta tillåten tid som härleds från just-in-time-principen.Each port has a maximum allowed time derived from the just-in-time policy.

  5. Klicka på öppna portar.Click Open ports.

Anteckning

Om en användare som begär åtkomst ligger bakom en proxyserver kanske inte alternativet min IP fungerar.If a user who is requesting access is behind a proxy, the option My IP may not work. Du kan behöva definiera det fullständiga IP-adressintervallet för organisationen.You may need to define the full IP address range of the organization.

Redigera en JIT-fjärråtkomstprincip via Security CenterEdit a JIT access policy via Security Center

Du kan ändra en VM: s befintliga princip för just-in-Time genom att lägga till och konfigurera en ny port för att skydda den virtuella datorn, eller genom att ändra någon annan inställning som är relaterad till en redan skyddad port.You can change a VM's existing just-in-time policy by adding and configuring a new port to protect for that VM, or by changing any other setting related to an already protected port.

Så här redigerar du en befintlig just-in-Time-princip för en virtuell dator:To edit an existing just-in-time policy of a VM:

  1. På fliken konfigurerad under virtuella datorerväljer du en virtuell dator som du vill lägga till en port genom att klicka på de tre punkterna i raden för den virtuella datorn.In the Configured tab, under VMs, select a VM to which to add a port by clicking on the three dots within the row for that VM.

  2. Välj Redigera.Select Edit.

  3. Under konfiguration av JIT VM-åtkomstkan du antingen redigera befintliga inställningar för en redan skyddad port eller lägga till en ny anpassad port.Under JIT VM access configuration, you can either edit the existing settings of an already protected port or add a new custom port. JIT VM-åtkomstjit vm access

Granska JIT Access-aktivitet i Security CenterAudit JIT access activity in Security Center

Du kan få insikter om VM-aktiviteter med loggs ökning.You can gain insights into VM activities using log search. Så här visar du loggar:To view logs:

  1. Under just-in-Time VM-åtkomstväljer du fliken konfigurerad .Under Just-in-time VM access, select the Configured tab.

  2. Under virtuella datorerväljer du en virtuell dator för att visa information om genom att klicka på de tre punkterna i raden för den virtuella datorn och välj aktivitets logg på menyn.Under VMs, select a VM to view information about by clicking on the three dots within the row for that VM and select Activity Log from the menu. Aktivitets loggen öppnas.The Activity log opens.

    Välj aktivitets logg

    Aktivitets loggen innehåller en filtrerad vy över tidigare åtgärder för den virtuella datorn tillsammans med tid, datum och prenumeration.Activity log provides a filtered view of previous operations for that VM along with time, date, and subscription.

Du kan hämta logg informationen genom att välja Klicka här för att ladda ned alla objekt som CSV.You can download the log information by selecting Click here to download all the items as CSV.

Ändra filtren och klicka på Använd för att skapa en sökning och logg.Modify the filters and click Apply to create a search and log.

Konfigurera JIT-åtkomst från en Azure VM-sidaConfigure JIT access from an Azure VM's page

För din bekvämlighet kan du ansluta till en virtuell dator med JIT direkt från den virtuella datorns sida i Security Center.For your convenience, you can connect to a VM using JIT directly from within the VM's page in Security Center.

Konfigurera JIT-åtkomst på en virtuell dator via sidan virtuell Azure-datorConfigure JIT access on a VM via the Azure VM page

För att göra det enkelt att distribuera just-in-Time-åtkomst över dina virtuella datorer kan du ställa in en virtuell dator så att endast just-in-Time-åtkomst direkt inifrån den virtuella datorn.To make it easy to roll out just-in-time access across your VMs, you can set a VM to allow only just-in-time access directly from within the VM.

  1. Sök efter och välj virtuella datorerfrån Azure Portal.From the Azure portal, search for and select Virtual machines.
  2. Välj den virtuella dator som du vill begränsa till just-in-Time-åtkomst.Select the virtual machine you want to limit to just-in-time access.
  3. I menyn väljer du konfiguration.In the menu, select Configuration.
  4. Under just-in-Time-åtkomstväljer du Aktivera just-in-Time.Under Just-in-time access, select Enable just-in-time.

Detta möjliggör just-in-Time-åtkomst för den virtuella datorn med följande inställningar:This enables just-in-time access for the VM using the following settings:

  • Windows-servrar:Windows servers:
    • RDP-port 3389RDP port 3389
    • Tre timmar med högsta tillåtna åtkomstThree hours of maximum allowed access
    • Tillåtna käll-IP-adresser har angetts till valfriAllowed source IP addresses is set to Any
  • Linux-servrar:Linux servers:
    • SSH-port 22SSH port 22
    • Tre timmar med högsta tillåtna åtkomstThree hours of maximum allowed access
    • Tillåtna käll-IP-adresser har angetts till valfriAllowed source IP addresses is set to Any

Om en virtuell dator redan har aktiverat just-in-Time, kan du se att just-in-Time är aktiverat när du går till konfigurations sidan och du kan använda länken för att öppna principen i Azure Security Center för att visa och ändra inställningarna.If a VM already has just-in-time enabled, when you go to its configuration page you will be able to see that just-in-time is enabled and you can use the link to open the policy in Azure Security Center to view and change the settings.

JIT-konfiguration i virtuell dator

Begär JIT-åtkomst till en virtuell dator via en Azure VM-sidaRequest JIT access to a VM via an Azure VM's page

När du försöker ansluta till en virtuell dator i Azure Portal, kontrollerar Azure om du har en princip för just-in-Time-åtkomst som kon figurer ATS på den virtuella datorn.In the Azure portal, when you try to connect to a VM, Azure checks to see if you have a just-in-time access policy configured on that VM.

  • Om du har en JIT-princip som kon figurer ATS på den virtuella datorn kan du klicka på begär åtkomst för att bevilja åtkomst i enlighet med den inaktiverade JIT-principen för den virtuella datorn.If you have a JIT policy configured on the VM, you can click Request access to grant access in accordance with the JIT policy set for the VM.

    JIT-begäran

    Åtkomst begärs med följande standard parametrar:Access is requested with the following default parameters:

    • käll-IP: "any" (*) (kan inte ändras)source IP: 'Any' (*) (cannot be changed)

    • tidsintervall: tre timmar (kan inte ändras)time range: Three hours (cannot be changed)

    • port nummer RDP-port 3389 för Windows/port 22 för Linux (kan ändras)port number RDP port 3389 for Windows / port 22 for Linux (can be changed)

      Anteckning

      När en begäran har godkänts för en virtuell dator som skyddas av Azure-brandväggen ger Security Center användaren rätt anslutnings information (port mappningen från tabellen DNAT) som ska användas för att ansluta till den virtuella datorn.After a request is approved for a VM protected by Azure Firewall, Security Center provides the user with the proper connection details (the port mapping from the DNAT table) to use to connect to the VM.

  • Om du inte har JIT-konfigurerad på en virtuell dator uppmanas du att konfigurera en JIT-princip på den.If you do not have JIT configured on a VM, you will be prompted to configure a JIT policy on it.

    JIT-prompt

Konfigurera en JIT-princip på en virtuell dator program mässigtConfigure a JIT policy on a VM programmatically

Du kan konfigurera och använda just-in-Time via REST-API: er och via PowerShell.You can set up and use just-in-time via REST APIs and via PowerShell.

JIT VM-åtkomst via REST-API: erJIT VM access via REST APIs

Just-in-Time-funktionen för VM-åtkomst kan användas via Azure Security Center-API: et.The just-in-time VM access feature can be used via the Azure Security Center API. Du kan få information om konfigurerade virtuella datorer, lägga till nya, begära åtkomst till en virtuell dator, med mera, via det här API: et.You can get information about configured VMs, add new ones, request access to a VM, and more, via this API. Mer information om just-in-Time-REST API finns i principer för att få åtkomst till JIT-nätverk.See Jit Network Access Policies, to learn more about the just-in-time REST API.

JIT VM-åtkomst via PowerShellJIT VM access via PowerShell

Om du vill använda den just-in-Time-baserade VM-lösningen via PowerShell använder du de officiella Azure Security Center PowerShell- Set-AzJitNetworkAccessPolicycmdletarna och särskilt.To use the just-in-time VM access solution via PowerShell, use the official Azure Security Center PowerShell cmdlets, and specifically Set-AzJitNetworkAccessPolicy.

I följande exempel anges en just-in-Time-princip för VM-åtkomst på en enskild virtuell dator och följande anges:The following example sets a just-in-time VM access policy on a specific VM, and sets the following:

  1. Stäng portarna 22 och 3389.Close ports 22 and 3389.

  2. Ange ett maximalt tidsintervall på 3 timmar för varje så att de kan öppnas per godkänd begäran.Set a maximum time window of 3 hours for each so they can be opened per approved request.

  3. Tillåter den användare som begär åtkomst att kontrol lera käll-IP-adresserna och gör det möjligt för användaren att upprätta en lyckad session vid en godkänd just-in-Time-åtkomstbegäran.Allows the user who is requesting access to control the source IP addresses and allows the user to establish a successful session upon an approved just-in-time access request.

Kör följande i PowerShell för att göra detta:Run the following in PowerShell to accomplish this:

  1. Tilldela en variabel som innehåller just-in-Time-åtkomst princip för virtuell dator för en virtuell dator:Assign a variable that holds the just-in-time VM access policy for a VM:

    $JitPolicy = (@ {ID = "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME" Ports = (@ {Number = 22; protokoll = "*"; allowedSourceAddressPrefix = @ ("*"); maxRequestAccessDuration = "PT3H"}, @ {Number = 3389; protokoll = "*"; allowedSourceAddressPrefix = @ ("*"); maxRequestAccessDuration = "PT3H"})})$JitPolicy = (@{ id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME" ports=(@{ number=22; protocol="*"; allowedSourceAddressPrefix=@("*"); maxRequestAccessDuration="PT3H"}, @{ number=3389; protocol="*"; allowedSourceAddressPrefix=@("*"); maxRequestAccessDuration="PT3H"})})

  2. Infoga VM-principen för just-in-Time-VM i en matris:Insert the VM just-in-time VM access policy to an array:

    $JitPolicyArr = @ ($JitPolicy)$JitPolicyArr=@($JitPolicy)

  3. Konfigurera den just-in-Time-princip för VM-åtkomst på den valda virtuella datorn:Configure the just-in-time VM access policy on the selected VM:

    Set-AzJitNetworkAccessPolicy – "grundläggande"-plats "plats"-name "default"-ResourceGroupName "RESOURCEGROUP"-VirtualMachine $JitPolicyArrSet-AzJitNetworkAccessPolicy -Kind "Basic" -Location "LOCATION" -Name "default" -ResourceGroupName "RESOURCEGROUP" -VirtualMachine $JitPolicyArr

Begär åtkomst till en virtuell dator via PowerShellRequest access to a VM via PowerShell

I följande exempel kan du se en just-in-Time-begäran om VM-åtkomst till en angiven virtuell dator där port 22 begärs att öppnas för en speciell IP-adress och under en angiven tids period:In the following example, you can see a just-in-time VM access request to a specific VM in which port 22 is requested to be opened for a specific IP address and for a specific amount of time:

Kör följande i PowerShell:Run the following in PowerShell:

  1. Konfigurera åtkomst egenskaper för VM-begäranConfigure the VM request access properties

    $JitPolicyVm 1 = (@ {ID = "/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME" Ports = (@ {Number = 22; endTimeUtc = "2018-09-17T17:00:00.3658798 Z"; allowedSourceAddressPrefix = @ ("IPV4ADDRESS")})})$JitPolicyVm1 = (@{ id="/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME" ports=(@{ number=22; endTimeUtc="2018-09-17T17:00:00.3658798Z"; allowedSourceAddressPrefix=@("IPV4ADDRESS")})})

  2. Infoga parametrarna för VM-åtkomstbegäran i en matris:Insert the VM access request parameters in an array:

    $JitPolicyArr = @ ($JitPolicyVm 1)$JitPolicyArr=@($JitPolicyVm1)

  3. Skicka begär ande åtkomst (Använd det resurs-ID som du fick i steg 1)Send the request access (use the resource ID you got in step 1)

    Start-AzJitNetworkAccessPolicy-ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default"-VirtualMachine $JitPolicyArrStart-AzJitNetworkAccessPolicy -ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default" -VirtualMachine $JitPolicyArr

Mer information finns i PowerShell- cmdlet-dokumentationen.For more information, see the PowerShell cmdlet documentation.

Automatisk rensning av redundanta JIT-reglerAutomatic cleanup of redundant JIT rules

När du uppdaterar en JIT-princip körs automatiskt ett rensnings verktyg för att kontrol lera giltigheten för hela ruleset.Whenever you update a JIT policy, a cleanup tool automatically runs to check the validity of your entire ruleset. Verktyget söker efter avvikelser mellan regler i principen och reglerna i NSG.The tool looks for mismatches between rules in your policy and rules in the NSG. Om ett matchnings fel upptäcks i rensnings verktyget, bestäms orsaken och när det är säkert att göra det, tar bort inbyggda regler som inte behövs längre.If the cleanup tool finds a mismatch, it determines the cause and, when it's safe to do so, removes built-in rules that aren't needed any more. Rengöringen tar aldrig bort regler som du har skapat.The cleaner never deletes rules that you've created.

Exempel scenarier när rengörings kassetten kan ta bort en inbyggd regel:Examples scenarios when the cleaner might remove a built-in rule:

  • När två regler med identiska definitioner finns och en har högre prioritet än den andra (vilket innebär att regeln med lägre prioritet aldrig används)When two rules with identical definitions exist and one has a higher priority than the other (meaning, the lower priority rule will never be used)
  • När en regel Beskrivning innehåller namnet på en virtuell dator som inte matchar mål-IP-adressen i regelnWhen a rule description includes the name of a VM which doesn't match the destination IP in the rule

Nästa stegNext steps

I den här artikeln har du lärt dig hur just-in-Time VM Access i Security Center hjälper dig att styra åtkomsten till dina virtuella Azure-datorer.In this article, you learned how just-in-time VM access in Security Center helps you control access to your Azure virtual machines.

I följande avsnitt kan du lära dig mer om Security Center:To learn more about Security Center, see the following: