Tam zamanında kullanarak sanal makine erişimini yönetmeManage virtual machine access using just-in-time

Just-ın-time (JIT) sanal makine (VM) erişimi, Vm'lere gerektiğinde bağlanılabilmesi için kolay erişim sağlamanın yanı sıra saldırılara maruz kalma riskinizi azaltır, Azure Vm'lere gelen trafiği kilitlemek için kullanılabilir.Just-in-time (JIT) virtual machine (VM) access can be used to lock down inbound traffic to your Azure VMs, reducing exposure to attacks while providing easy access to connect to VMs when needed.

Not

Just-ın-time özelliği Güvenlik Merkezi'nin standart katmanında kullanılabilir.The just-in-time feature is available on the Standard tier of Security Center. Güvenlik Merkezi’nin fiyatlandırma katmanları hakkında daha fazla bilgi almak için bkz. Fiyatlandırma.See Pricing to learn more about Security Center's pricing tiers.

Not

Güvenlik Merkezi tam zamanında VM erişimi şu anda yalnızca Vm'lerinde dağıtılan destekleyen Azure Resource Manager üzerinden.Security Center just-in-time VM access currently supports only VMs deployed through Azure Resource Manager. Klasik ve Resource Manager dağıtım modelleri hakkında daha fazla bilgi için Azure Resource Manager ve klasik dağıtım.To learn more about the classic and Resource Manager deployment models see Azure Resource Manager vs. classic deployment.

Saldırı senaryosuAttack scenario

Deneme yanılma hedef yönetim noktaları bir sanal makineye erişmek için bir yol olarak genellikle saldırıları.Brute force attacks commonly target management ports as a means to gain access to a VM. Başarılı olursa, bir saldırganın VM yükü denetimini ve ortamınıza bir köprübaşı oluşturmak.If successful, an attacker can take control over the VM and establish a foothold into your environment.

Bir deneme yanılma saldırısı maruz kalma riskinizi azaltmak için bir bağlantı noktası açık olduğu süre miktarını sınırlamak için yoludur.One way to reduce exposure to a brute force attack is to limit the amount of time that a port is open. Yönetim bağlantı noktalarının her zaman açık olması gerekmez.Management ports do not need to be open at all times. Bunların yalnızca VM’ye bağlı olduğunuzda (örneğin, yönetim veya bakım görevleri gerçekleştirmek için) açık olması gerekir.They only need to be open while you are connected to the VM, for example to perform management or maintenance tasks. Tam zamanında etkinleştirildiğinde Güvenlik Merkezi kullanan ağ güvenlik grubu (NSG) ve Azure güvenlik duvarı kuralları, saldırganlar tarafından hedeflenemez hangi yönetim bağlantı noktalarına erişimi kısıtlayın.When just-in-time is enabled, Security Center uses network security group (NSG) and Azure Firewall rules, which restrict access to management ports so they cannot be targeted by attackers.

Just-ın-time senaryosu

JIT erişim nasıl çalışır?How does JIT access work?

Tam zamanında etkinleştirildiğinde Güvenlik Merkezi Azure Vm'lere gelen trafiği bir NSG kuralı oluşturarak kilitler.When just-in-time is enabled, Security Center locks down inbound traffic to your Azure VMs by creating an NSG rule. Sizin için gelen trafiği kilitlenir VM bağlantı noktalarını seçin.You select the ports on the VM to which inbound traffic will be locked down. Bu bağlantı noktalarına tam zamanında çözüm tarafından denetlenir.These ports are controlled by the just-in-time solution.

Bir kullanıcı bir sanal makine erişimine izin istediğinde, Güvenlik Merkezi kullanıcı olup olmadığını denetler rol tabanlı erişim denetimi (RBAC) başarıyla VM'ye erişime izin istemek için izin vermek izinleri.When a user requests access to a VM, Security Center checks that the user has Role-Based Access Control (RBAC) permissions that permit them to successfully request access to a VM. İstek onaylanırsa Güvenlik Merkezi otomatik olarak Azure güvenlik duvarı ve ağ güvenlik grupları (Nsg'ler) seçilen bağlantı noktası ve istenen kaynak IP adresleri veya aralıklar, belirtilen süre için gelen trafiğe izin verecek şekilde yapılandırır.If the request is approved, Security Center automatically configures the Network Security Groups (NSGs) and Azure Firewall to allow inbound traffic to the selected ports and requested source IP addresses or ranges, for the amount of time that was specified. Süresi dolduktan sonra Güvenlik Merkezi Nsg'ler önceki durumlarına geri yükler.After the time has expired, Security Center restores the NSGs to their previous states. Önceden oluşturulmuş bu bağlantılar, ancak kesilmez.Those connections that are already established are not being interrupted, however.

Not

Ardından JIT erişim isteği için bir Azure güvenlik duvarı arkasındaki bir VM'ye onaylanırsa Güvenlik Merkezi hem NSG hem de güvenlik duvarı ilkesi kuralları otomatik olarak değiştirir.If a JIT access request is approved for a VM behind an Azure Firewall, then Security Center automatically changes both the NSG and firewall policy rules. Belirtilen süre miktarı kuralları seçilen bağlantı noktası ve istenen kaynak IP adresi veya aralığı gelen trafiğe izin.For the amount of time that was specified, the rules allow inbound traffic to the selected ports and requested source IP addresses or ranges. Süre bittikten sonra Güvenlik Merkezi güvenlik duvarı ve NSG kuralları önceki durumlarına geri yükler.After the time is over, Security Center restores the firewall and NSG rules to their previous states.

Yapılandırma ve JIT kullanma için gereken izinlerPermissions needed to configure and use JIT

Bir kullanıcıya etkinleştirmek için:To enable a user to: İzinleri ayarlamak içinPermissions to set
Yapılandırma veya bir VM için bir JIT ilkesini DüzenleConfigure or edit a JIT policy for a VM Bu Eylemler, role atayın: VM ile ilişkili bir abonelik veya kaynak grubunun kapsamına: Microsoft.Security/locations/jitNetworkAccessPolicies/write Bir abonelik veya kaynak grubu veya VM üzerinde kapsamı: Microsoft.Compute/virtualMachines/writeAssign these actions to the role: On the scope of a subscription or Resource Group that is associated with the VM: Microsoft.Security/locations/jitNetworkAccessPolicies/write On the scope of a subscription or Resource Group or VM: Microsoft.Compute/virtualMachines/write
İstek JIT VM erişimiRequest JIT access to a VM Bu Eylemler, kullanıcıya atayın: VM ile ilişkili bir abonelik veya kaynak grubunun kapsamına: Microsoft.Security/locations/{the_location_of_the_VM}/jitNetworkAccessPolicies/initiate/action Bir abonelik veya kaynak grubu veya VM üzerinde kapsamı: Microsoft.Compute/virtualMachines/readAssign these actions to the user: On the scope of a subscription or Resource Group that is associated with the VM: Microsoft.Security/locations/{the_location_of_the_VM}/jitNetworkAccessPolicies/initiate/action On the scope of a Subscription or Resource Group or VM: Microsoft.Compute/virtualMachines/read

JIT VM üzerinde yapılandırmaConfigure JIT on a VM

Bir VM'de bir JIT ilkesini yapılandırmak için izleyebileceğiniz 3 yol vardır:There are 3 ways to configure a JIT policy on a VM:

ARTAN düzende JIT yapılandırınConfigure JIT in ASC

ASC ile JIT İlkesi ve istek erişimi JIT İlkesi'ni kullanarak bir VM yapılandırabilirsiniz.From ASC, you can configure a JIT policy and request access to a VM using a JIT policy

Bir VM'de ASC JIT erişimi yapılandırma Configure JIT access on a VM in ASC

  1. Güvenlik Merkezi panosunu açın.Open the Security Center dashboard.

  2. Sol bölmede seçin tam zamanında VM erişimi.In the left pane, select Just-in-time VM access.

    Tam zamanında VM erişimi kutucuğu

    Tam zamanında VM erişimi penceresi açılır.The Just-in-time VM access window opens.

    Tam zamanında erişim etkinleştir

    Tam zamanında VM erişimi , Vm'lerinizin durumu hakkında bilgi sağlar:Just-in-time VM access provides information on the state of your VMs:

    • Yapılandırılmış -tam zamanında VM erişimi desteklemek için yapılandırılmış VM'ler.Configured - VMs that have been configured to support just-in-time VM access. Sunulan veriler geçen haftaya aittir ve her VM için onaylanan istekler, son erişim tarihi ve saati ve son kullanıcı sayısını içerir.The data presented is for the last week and includes for each VM the number of approved requests, last access date and time, and last user.
    • Önerilen -tam zamanında VM erişimini destekleyebilen ancak bunun için yapılandırılmamış olan VM'ler.Recommended - VMs that can support just-in-time VM access but have not been configured to. Bu sanal makineler için tam zamanında VM erişiminin etkinleştirmenizi öneririz.We recommend that you enable just-in-time VM access control for these VMs.
    • Öneri olmayan - Bir VM’nin önerilmemesinin olası nedenleri şunlardır:No recommendation - Reasons that can cause a VM not to be recommended are:
      • Eksik NSG - tam zamanında çözüm bir NSG karşılanması gerekir.Missing NSG - The just-in-time solution requires an NSG to be in place.
      • Klasik VM - Güvenlik Merkezi tam zamanında VM erişimi şu anda yalnızca Azure Resource Manager üzerinden dağıtılan Vm'leri desteklemektedir.Classic VM - Security Center just-in-time VM access currently supports only VMs deployed through Azure Resource Manager. Klasik dağıtım, just-ın-time çözüm tarafından desteklenmiyor.A classic deployment is not supported by the just-in-time solution.
      • Diğer - bir VM Bu abonelik veya kaynak grubunun güvenlik ilkesinde tam zamanında çözüm kapalıysa veya VM'ye genel bir IP adresi eksik olabilir ve bir NSG yerinde yoksa kategorisindedir.Other - A VM is in this category if the just-in-time solution is turned off in the security policy of the subscription or the resource group, or if the VM is missing a public IP and doesn't have an NSG in place.
  3. Seçin önerilen sekmesi.Select the Recommended tab.

  4. Altında sanal makine, etkinleştirmek istediğiniz Vm'leri tıklayın.Under VIRTUAL MACHINE, click the VMs that you want to enable. Bu, bir VM yanında bir onay işareti koyar.This puts a checkmark next to a VM.

  5. Tıklayın etkinleştirme vm'lerde JIT.Click Enable JIT on VMs. -.-. Bu dikey pencere, Azure Güvenlik Merkezi tarafından önerilen varsayılan bağlantı noktalarını görüntüler:This blade displays the default ports recommended by Azure Security Center:

    • 22 - SSH22 - SSH
    • 3389 - RDP3389 - RDP
    • 5985 - WinRM5985 - WinRM
    • 5986 - WinRM5986 - WinRM
  6. Özel bağlantı noktalarını da yapılandırabilirsiniz:You can also configure custom ports:

    1. Ekle'yi tıklatın.Click Add. Bağlantı noktası yapılandırması Ekle penceresi açılır.The Add port configuration window opens.
    2. Her bağlantı noktası için yapılandırmak, her iki varsayılan seçin ve özel, aşağıdaki ayarları özelleştirebilirsiniz:For each port you choose to configure, both default and custom, you can customize the following settings:
    • Protokol türü-bir istek onaylandığında, bu bağlantı noktasına izin protokolü.Protocol type- The protocol that is allowed on this port when a request is approved.
    • İzin verilen kaynak IP adresleri-bir istek onaylandığında, bu bağlantı noktasına izin verilen IP aralıkları.Allowed source IP addresses- The IP ranges that are allowed on this port when a request is approved.
    • En fazla istek süresi-en fazla zaman penceresi boyunca belirli bir bağlantı noktası açılabilir.Maximum request time- The maximum time window during which a specific port can be opened.
    1. Tamam'ı tıklatın.Click OK.
  7. Kaydet’e tıklayın.Click Save.

Not

Bir VM için JIT VM erişimi etkinleştirildiğinde, Azure Güvenlik Merkezi "tüm gelen trafiği engelle" kuralları Seçili bağlantı noktaları için ilişkili ağ güvenlik grupları ve Azure güvenlik duvarı ile oluşturur.When JIT VM Access is enabled for a VM, Azure Security Center creates "deny all inbound traffic" rules for the selected ports in the network security groups associated and Azure Firewall with it. Seçili bağlantı noktaları için oluşturulmuş olan diğer kuralları, mevcut kurallar önceliği yeni "tüm gelen trafiği engelle" kurallardan yararlanın.If other rules had been created for the selected ports, then the existing rules take priority over the new “deny all inbound traffic” rules. Seçili bağlantı noktalarına hiçbir mevcut kurallar varsa, yeni "tüm gelen trafiği engelle" kuralları ağ güvenlik grupları ve Azure güvenlik duvarı en yüksek önceliğiniz yararlanın.If there are no existing rules on the selected ports, then the new “deny all inbound traffic” rules take top priority in the Network Security Groups and Azure Firewall.

ASC aracılığıyla JIT erişim isteğiRequest JIT access via ASC

Bir VM'yi ASC aracılığıyla erişim istemek için:To request access to a VM via ASC:

  1. Altında tam zamanında VM erişimiseçin yapılandırıldı sekmesi.Under Just in time VM access, select the Configured tab.

  2. Altında sanal makine, erişim istemek için istediğiniz VM'lerin tıklayın.Under Virtual Machine, click the VMs that you want to request access for. Bu sanal Makinenin yanında bir onay işareti koyar.This puts a checkmark next to the VM.

    • Simge bağlantı ayrıntıları sütunu JIT NSG veya FW etkin olup olmadığını gösterir.The icon in the Connection Details column indicates whether JIT is enabled on the NSG or FW. Hem de etkinleştirilirse, yalnızca güvenlik duvarı simgesi görünür.If it’s enabled on both, only the Firewall icon appears.

    • Bağlantı ayrıntıları sütun VM'ye bağlanmak için gereken doğru bilgileri sağlar hem de açık bağlantı noktalarını gösterir.The Connection Details column provides the correct information required to connect the VM, as well as indicates the opened ports.

      Tam zamanında erişim isteme

  3. Tıklayın erişim isteği.Click Request access. Erişim isteği penceresi açılır.The Request access window opens.

    JIT ayrıntıları

  4. Altında erişim isteği, açmak istediğiniz bağlantı noktası her VM için yapılandırma ve bağlantı noktası üzerinde açık kaynak IP adresleri ve bağlantı noktası olacağı zaman penceresini açın.Under Request access, for each VM, configure the ports that you want to open and the source IP addresses that the port is opened on and the time window for which the port will be open. Yalnızca tam zamanında ilkede yapılandırılan bağlantı noktası erişimi isteme mümkün olacaktır.It will only be possible to request access to the ports that are configured in the just-in-time policy. Her bağlantı noktasının tam zamanında İlkesi'nden türetilen izin verilen süre üst sınırını vardır.Each port has a maximum allowed time derived from the just-in-time policy.

  5. Tıklayın bağlantı noktalarını açmak.Click Open ports.

Not

Erişim isteyen bir kullanıcı bir proxy'nin arkasındayken seçeneği olup olmadığını IP'mi çalışmayabilir.If a user who is requesting access is behind a proxy, the option My IP may not work. Kuruluşunuzun tam IP adresi aralığı tanımlamanız gerekebilir.You may need to define the full IP address range of the organization.

ASC aracılığıyla bir JIT erişim ilkesini DüzenleEdit a JIT access policy via ASC

Bir sanal makinenin var olan tam zamanında ilkesi ekleme ve yapılandırma için bu sanal Makineyi korumak için yeni bir bağlantı noktası, ya tüm diğer zaten korumalı bir bağlantı noktasına ilgili ayarı değiştirerek değiştirebilirsiniz.You can change a VM's existing just-in-time policy by adding and configuring a new port to protect for that VM, or by changing any other setting related to an already protected port.

Bir sanal makinenin mevcut just-ın-time ilkesini düzenlemek için:To edit an existing just-in-time policy of a VM:

  1. İçinde yapılandırıldı sekmesindeki Vm'leri, o sanal makine için satır içinde üç noktaya tıklayarak bir bağlantı noktası eklenecek bir VM seçin.In the Configured tab, under VMs, select a VM to which to add a port by clicking on the three dots within the row for that VM.

  2. Düzenle’yi seçin.Select Edit.

  3. Altında JIT VM erişimi Yapılandırması, mevcut zaten korumalı olan bir bağlantı noktası ayarlarını düzenleyebilir veya yeni bir özel bağlantı noktasını ekleyin.Under JIT VM access configuration, you can either edit the existing settings of an already protected port or add a new custom port. jit vm accessjit vm access

ASC, JIT erişim etkinliğini denetlemeAudit JIT access activity in ASC

Günlük araması'nı kullanarak VM etkinlikleri hakkında Öngörüler elde edebilirsiniz.You can gain insights into VM activities using log search. Günlükleri görüntülemek için:To view logs:

  1. Altında tam zamanında VM erişimiseçin yapılandırıldı sekmesi.Under Just-in-time VM access, select the Configured tab.

  2. Altında Vm'leri, o sanal makine için satır içinde üç noktaya tıklayarak ilgili bilgileri görüntülemek için bir VM'ı seçip etkinlik günlüğü menüsünde.Under VMs, select a VM to view information about by clicking on the three dots within the row for that VM and select Activity Log in the menu. Etkinlik günlüğü açılır.The Activity log opens.

    Etkinlik günlüğü seçin

    Etkinlik günlüğü önceki işlem saati, tarih ve abonelik yanı sıra bu VM için filtrelenmiş bir görünüm sağlar.Activity log provides a filtered view of previous operations for that VM along with time, date, and subscription.

Günlük bilgilerini seçerek indirebilirsiniz tüm öğeleri CSV olarak indirmek için buraya tıklayın.You can download the log information by selecting Click here to download all the items as CSV.

Filtreleri değiştirmek ve tıklayın Uygula arama ve günlük oluşturmak için.Modify the filters and click Apply to create a search and log.

Bir Azure VM dikey penceresinde JIT erişimi yapılandırma Configure JIT access in an Azure VM blade

Kolaylık olması için VM dikey penceresinde Azure içinde JIT doğrudan kullanarak bir sanal makineye bağlanabilirsiniz.For your convenience, you can connect to a VM using JIT directly from within the VM blade in Azure.

Azure VM dikey penceresi aracılığıyla bir VM'de JIT erişimi yapılandırmaConfigure JIT access on a VM via the Azure VM blade

Sanal makineleriniz arasında tam zamanında erişim alma kolaylaştırmak için yalnızca doğrudan tam zamanında erişim VM içinde izin vermek için bir VM ayarlayabilirsiniz.To make it easy to roll out just-in-time access across your VMs, you can set a VM to allow only just-in-time access directly from within the VM.

  1. Azure portalında sanal makineler.In the Azure portal, select Virtual machines.
  2. Just-ın-time erişimi sınırlandırmak istediğiniz sanal makineye tıklayın.Click on the virtual machine you want to limit to just-in-time access.
  3. Menüde yapılandırma.In the menu, click Configuration.
  4. Altında tam olarak zaman erişim tıklayın just-ın-time ilkesini etkinleştir.Under Just-in-time-access click Enable just-in-time policy.

Bu, aşağıdaki ayarları kullanarak sanal makine için tam zamanında erişim sağlar:This enables just-in-time access for the VM using the following settings:

  • Windows sunucuları:Windows servers:
    • RDP bağlantı noktası 3389RDP port 3389
    • izin verilen en fazla erişim 3 saat3 hours of maximum allowed access
    • İzin verilen kaynak IP adresleri için ayarlanırAllowed source IP addresses is set to Any
  • Linux sunucuları:Linux servers:
    • SSH bağlantı noktası 22SSH port 22
    • izin verilen en fazla erişim 3 saat3 hours of maximum allowed access
    • İzin verilen kaynak IP adresleri için ayarlanırAllowed source IP addresses is set to Any

Bir VM yalnızca kendi yapılandırma sayfasına gittiğinizde, etkin zamanında zaten varsa, just-ın-time etkinleştirildiğini ve bağlantı ayarlarını görüntülemek ve değiştirmek için Azure Güvenlik Merkezi'nde İlkesi'ni açmak için kullanabileceğiniz olduğunu görmek mümkün olacaktır.If a VM already has just-in-time enabled, when you go to its configuration page you will be able to see that just-in-time is enabled and you can use the link to open the policy in Azure Security Center to view and change the settings.

JIT vm yapılandırması

Azure VM dikey penceresinde yoluyla VM'ye JIT erişim isteğiRequest JIT access to a VM via the Azure VM blade

Azure portalında Azure VM'ye bağlanmaya çalışırken bu VM üzerinde yapılandırılan bir tam zamanında erişim ilkesi varsa görmek için denetler.In the Azure portal, when you try to connect to a VM, Azure checks to see if you have a just-in-time access policy configured on that VM.

  • VM üzerinde yapılandırılan bir JIT ilke varsa, tıklayabilirsiniz erişim isteği için VM kümesi JIT ilkesine uygun olarak erişmesini sağlamak için.If you do have a JIT policy configured on the VM, you can click Request access to enable you to have access in accordance with the JIT policy set for the VM.

    JIT isteği

    Aşağıdaki varsayılan parametreleri erişim isteniyor:The access is requested with the following default parameters:

    • kaynak IP: 'Any' (*) (değiştirilemez)source IP: ‘Any’ (*) (cannot be changed)

    • zaman aralığı: 3 saat (değiştirilemez)time range: 3 hours (cannot be changed)

    • bağlantı noktası numarası RDP 3389 numaralı bağlantı noktası için Windows / Linux (değiştirilebilir) için 22 numaralı bağlantı noktasıport number RDP port 3389 for Windows / port 22 for Linux (can be changed)

      Not

      Azure güvenlik duvarıyla korunan bir VM için bir istek onaylandıktan sonra Güvenlik Merkezi VM bağlanmak için kullanılacak uygun bağlantı ayrıntıları (bağlantı noktası eşlemesi dnat'ı tablosundan) ile kullanıcı sağlar.After a request is approved for a VM protected by Azure Firewall, Security Center provides the user with the proper connection details (the port mapping from the DNAT table) to use to connect to the VM.

  • JIT VM üzerinde yapılandırılan yoksa, JIT İlkesi yapılandırmak istiyorsanız istenir.If you do not have JIT configured on a VM, you will be prompted to configure a JIT policy it.

    JIT istemi

Bir VM'de programlama JIT ilkesi yapılandırma Configure a JIT policy on a VM programmatically

Ayarlama ve tam zamanında REST API'leri aracılığıyla ve PowerShell aracılığıyla kullanın.You can set up and use just-in-time via REST APIs and via PowerShell.

REST API'leri aracılığıyla JIT VM erişimiJIT VM access via REST APIs

Tam zamanında VM erişimi özelliğini, Azure Güvenlik Merkezi API aracılığıyla kullanılabilir.The just-in-time VM access feature can be used via the Azure Security Center API. Yapılandırılan VM'ler hakkında bilgi edinin, yenilerini ekleyin, bir VM ve daha fazlasını bu API aracılığıyla erişim isteyin.You can get information about configured VMs, add new ones, request access to a VM, and more, via this API. Bkz: JIT ağ erişim ilkelerini, just-ın-time REST API hakkında daha fazla bilgi edinmek için.See Jit Network Access Policies, to learn more about the just-in-time REST API.

PowerShell aracılığıyla JIT VM erişimiJIT VM access via PowerShell

PowerShell aracılığıyla tam zamanında VM erişimi çözümü kullanmak için resmi Azure Güvenlik Merkezi PowerShell cmdlet'lerini kullanın ve özellikle Set-AzJitNetworkAccessPolicy.To use the just-in-time VM access solution via PowerShell, use the official Azure Security Center PowerShell cmdlets, and specifically Set-AzJitNetworkAccessPolicy.

Aşağıdaki örnek, bir tam zamanında VM erişimi ilkesi belirli bir sanal makine üzerinde ayarlar ve aşağıdaki ayarlar:The following example sets a just-in-time VM access policy on a specific VM, and sets the following:

  1. 22 ve 3389 numaralı bağlantı noktalarını kapatın.Close ports 22 and 3389.

  2. Onaylanan istek başına açılması için her biri için 3 saatte bir maksimum zaman aralığında ayarlayın.Set a maximum time window of 3 hours for each so they can be opened per approved request.

  3. Kaynak IP adresleri denetlemek için erişim isteme ve onaylanan tam zamanında Erişim İstek başarılı bir oturum oluşturmak kullanıcının kullanıcı sağlar.Allows the user who is requesting access to control the source IP addresses and allows the user to establish a successful session upon an approved just-in-time access request.

Bunu gerçekleştirmek için PowerShell'de aşağıdaki komutu çalıştırın:Run the following in PowerShell to accomplish this:

  1. Bir VM için tam zamanında VM erişimi ilkesi tutan değişkenine atayın:Assign a variable that holds the just-in-time VM access policy for a VM:

    $JitPolicy = (@{
     id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME"
    ports=(@{
         number=22;
         protocol="*";
         allowedSourceAddressPrefix=@("*");
         maxRequestAccessDuration="PT3H"},
         @{
         number=3389;
         protocol="*";
         allowedSourceAddressPrefix=@("*");
         maxRequestAccessDuration="PT3H"})})
    
  2. Bir dizi VM tam zamanında VM erişim ilkesi ekleyin:Insert the VM just-in-time VM access policy to an array:

    $JitPolicyArr=@($JitPolicy)
    
  3. Seçili VM üzerinde tam zamanında VM erişimi ilkesi yapılandırın:Configure the just-in-time VM access policy on the selected VM:

    Set-AzJitNetworkAccessPolicy -Kind "Basic" -Location "LOCATION" -Name "default" -ResourceGroupName "RESOURCEGROUP" -VirtualMachine $JitPolicyArr 
    

PowerShell yoluyla VM'ye erişim isteğiRequest access to a VM via PowerShell

Aşağıdaki örnekte, bir tam zamanında VM erişim isteği hangi bağlantı noktası 22 ve belirli bir süre için belirli bir IP adresi açılması için istenen belirli bir VM'ye görebilirsiniz:In the following example, you can see a just-in-time VM access request to a specific VM in which port 22 is requested to be opened for a specific IP address and for a specific amount of time:

PowerShell'de aşağıdaki komutu çalıştırın:Run the following in PowerShell:

  1. VM istek erişim özelliklerini yapılandırConfigure the VM request access properties

    $JitPolicyVm1 = (@{
      id="/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME"
    ports=(@{
       number=22;
       endTimeUtc="2018-09-17T17:00:00.3658798Z";
       allowedSourceAddressPrefix=@("IPV4ADDRESS")})})
    
  2. Bir dizi VM erişimi İstek parametreleri ekleyin:Insert the VM access request parameters in an array:

    $JitPolicyArr=@($JitPolicyVm1)
    
  3. (Kullanım 1. adımda aldığınız kaynak kimliği) erişim isteği gönderSend the request access (use the resource ID you got in step 1)

    Start-AzJitNetworkAccessPolicy -ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default" -VirtualMachine $JitPolicyArr
    

Daha fazla bilgi için PowerShell cmdlet'i belgelerine bakın.For more information, see the PowerShell cmdlet documentation.

Sonraki adımlarNext steps

Bu makalede, Güvenlik Merkezi yardımcı nasıl tam zamanında VM erişimini denetim öğrendiniz, Azure sanal makinelerine erişim.In this article, you learned how just-in-time VM access in Security Center helps you control access to your Azure virtual machines.

Güvenlik Merkezi hakkında daha fazla bilgi edinmek için şunlara bakın:To learn more about Security Center, see the following: