Créer une connexion SSH à une machine virtuelle Windows avec Azure Bastion

Cet article explique comment créer une connexion SSH sécurisée à vos machines virtuelles Windows à l’aide d’Azure Bastion. Vous pouvez vous connecter via le portail Azure (basé sur un navigateur). Quand vous utilisez Azure Bastion, vos machines virtuelles ne nécessitent pas de client, d’agent ou de logiciels supplémentaires. Azure Bastion se connecte en toute sécurité à toutes les machines virtuelles du réseau virtuel sans exposer les ports RDP/SSH à l’Internet public. Pour plus d’informations, consultez Qu’est-ce que Azure Bastion ?

Pour les connexions RDP à une machine virtuelle Windows, consultez Créer une connexion RDP à une machine virtuelle Windows. Pour les connexions clientes natives à l’aide d’Azure CLI (y compris les tunnels SSH), consultez Se connecter à une machine virtuelle à l’aide d’un client natif.

Le diagramme suivant montre l’architecture de déploiement dédiée à l’aide d’une connexion SSH.

Prérequis

Avant de commencer, vérifiez que vous répondez aux critères suivants :

Un hôte Azure Bastion est déployé dans le réseau virtuel où se trouve la machine virtuelle ou dans un réseau virtuel utilisant le peering. Pour configurer un hôte Bastion, consultez Créer un hôte bastion. La SKU Standard ou une version ultérieure est requise pour les connexions SSH aux VM Windows.

Méthode de connexion SKU minimales Configuration supplémentaire

Portail Azure (navigateur) Norme Aucun
Machine virtuelle Windows exécutant Windows Server 2019 ou version ultérieure dans le réseau virtuel.
OpenSSH Server est installé et en cours d’exécution sur votre machine virtuelle Windows. Azure Bastion prend uniquement en charge la connexion aux machines virtuelles Windows via SSH à l’aide d’OpenSSH.
Azure Bastion utilise le port SSH 22 par défaut. Les ports personnalisés nécessitent la SKU Standard ou supérieure.
Rôles obligatoires :
- Rôle de lecteur sur la machine virtuelle.
- Rôle de lecteur sur la carte réseau avec l’adresse IP de la machine virtuelle.
- Rôle lecteur sur la ressource Azure Bastion.
- Rôle de lecteur sur le réseau virtuel de la machine virtuelle cible (si le déploiement Bastion se trouve dans un réseau virtuel homologue).

Méthode de connexion	SKU minimales	Configuration supplémentaire
Portail Azure (navigateur)	Norme	Aucun

Consultez les questions fréquentes (FAQ) sur Azure Bastion pour connaître les exigences supplémentaires.

Méthodes d’authentification

Les méthodes d’authentification suivantes sont disponibles pour les connexions SSH aux machines virtuelles Windows via Azure Bastion. Sélectionnez un onglet de méthode d’authentification pour afficher les étapes correspondantes.

Méthode d’authentification	SKU minimales
Nom d’utilisateur et mot de passe	Norme
Clé privée SSH du fichier local	Norme
Mot de passe d’Azure Key Vault	Norme
Clé privée SSH à partir d’Azure Key Vault	Norme

Remarque

L’authentification Microsoft Entra ID et l’authentification Kerberos ne sont pas prises en charge pour les connexions SSH aux machines virtuelles Windows. Ces méthodes d’authentification sont disponibles pour les connexions RDP.

Se connecter à une machine virtuelle à l’aide de SSH

Dans le portail Azure, sélectionnez votre machine virtuelle. Dans le volet gauche, sélectionnez Se connecter, puis Bastion.
Dans les paramètres de connexion, sélectionnez SSH comme protocole, puis entrez le numéro de port si vous l’avez modifié par défaut de 22.
Sélectionnez votre méthode d’authentification et configurez les paramètres affichés dans l’onglet correspondant. Sélectionnez Ensuite Se connecter pour ouvrir la connexion SSH à votre machine virtuelle dans un nouvel onglet de navigateur.

Pour vous authentifier à l’aide d’un nom d’utilisateur et d’un mot de passe, configurez les paramètres suivants :

Paramètre	Valeur
Type d’authentification	Sélectionnez Mot de passe dans la liste déroulante.
Nom d’utilisateur	Saisissez le nom d’utilisateur.
Mot de passe	Entrez le mot de passe.

Pour vous authentifier à l’aide d’une clé privée SSH à partir d’un fichier local, configurez les paramètres suivants :

Paramètre	Valeur
Type d’authentification	Sélectionnez Clé privée SSH dans un fichier local dans la liste déroulante.
Nom d’utilisateur	Saisissez le nom d’utilisateur.
Fichier local	Sélectionnez le fichier local.
Phrase secrète SSH	Entrez la phrase secrète SSH si nécessaire.

Pour vous authentifier à l’aide d’un mot de passe à partir d’Azure Key Vault, configurez les paramètres suivants :

Paramètre	Valeur
Type d’authentification	Sélectionnez Password dans Azure Key Vault dans la liste déroulante.
Nom d’utilisateur	Saisissez le nom d’utilisateur.
Abonnement	Sélectionnez l’abonnement.
Azure Key Vault	Sélectionnez le Key Vault.
Secret de Azure Key Vault	Sélectionnez le secret Key Vault contenant la valeur de votre mot de passe.

Si vous n’avez pas configuré de ressource Azure Key Vault, consultez Créer un coffre de clés et stocker votre mot de passe comme valeur d’un nouveau secret Key Vault.

Assurez-vous que vous disposez des accès List et Get aux secrets stockés dans la ressource Key Vault. Pour affecter et modifier des stratégies d’accès pour votre ressource Key Vault, consultez Attribuer une stratégie d’accès Key Vault.

Pour s'authentifier à l'aide d'une clé privée stockée dans Azure Key Vault, configurez les paramètres suivants :

Paramètre	Valeur
Type d’authentification	Sélectionnez SSH Private Key dans Azure Key Vault dans la liste déroulante.
Nom d’utilisateur	Saisissez le nom d’utilisateur.
Abonnement	Sélectionnez l’abonnement.
Azure Key Vault	Sélectionnez le Key Vault.
Secret de Azure Key Vault	Sélectionnez le secret Key Vault contenant la valeur de votre clé privée SSH.

Si vous n’avez pas configuré de ressource Azure Key Vault, consultez Créer un coffre de clés et stocker votre clé privée SSH comme valeur d’un nouveau secret Key Vault.

Remarque

Stockez votre clé privée SSH en tant que secret dans Azure Key Vault à l’aide de l’expérience PowerShell ou Azure CLI. Le stockage de votre clé privée via l’expérience du portail Azure Key Vault interfère avec la mise en forme et entraîne l’échec de la connexion. Si vous avez stocké votre clé privée en tant que secret à l’aide de l’expérience du portail et que vous n’avez plus accès au fichier de la clé privée d’origine, consultez Mettre à jour la clé SSH pour mettre à jour l’accès à votre machine virtuelle cible avec une nouvelle paire de clés SSH.

Limites

Méthodes de connexion : Les connexions SSH aux machines virtuelles Windows sont prises en charge uniquement via le portail Azure. Les connexions avec client natif (az network bastion ssh) et basées sur IP ne sont pas compatibles avec SSH vers des machines virtuelles Windows. Pour une solution de contournement à l’aide du protocole RDP sur le port 22, consultez Se connecter à une machine virtuelle à l’aide d’un client natif.
ID Microsoft Entra : L’authentification Microsoft Entra n’est pas prise en charge pour les connexions SSH aux machines virtuelles Windows. Pour plus d’informations sur l’authentification de l’ID Entra, consultez À propos de l’authentification Microsoft Entra ID.
Kerberos: L’authentification Kerberos n’est pas prise en charge pour les connexions SSH. Pour Kerberos avec des connexions RDP, consultez Configurer l’authentification Kerberos.
Transfert de fichiers : Le transfert de fichiers n’est pas disponible pour les connexions SSH via le portail. Pour transférer des fichiers, utilisez une connexion RDP client native.
Format clé : Les clés privées SSH doivent être au format RSA (-----BEGIN RSA PRIVATE KEY-----).

Étapes suivantes

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2026-03-17