Creare una connessione SSH a una macchina virtuale Windows con Azure Bastion

Questo articolo descrive come creare una connessione SSH sicura alle macchine virtuali Windows usando Azure Bastion. È possibile connettersi tramite il portale di Azure (basato su browser). Quando si usa Azure Bastion, le macchine virtuali non richiedono un client, un agente o un software aggiuntivo. Azure Bastion si connette in modo sicuro a tutte le macchine virtuali nella rete virtuale senza esporre le porte RDP/SSH alla rete Internet pubblica. Per altre informazioni, vedere Che cos'è Azure Bastion?

Per le connessioni RDP a una macchina virtuale Windows, vedere Creare una connessione RDP a una macchina virtuale Windows. Per le connessioni client native con l'interfaccia della riga di comando di Azure (inclusi i tunnel SSH), vedere Connettersi a una macchina virtuale usando un client nativo.

Il diagramma seguente illustra l'architettura di distribuzione dedicata usando una connessione SSH.

Prerequisiti

Prima di iniziare, verificare di soddisfare i criteri seguenti:

Un host Azure Bastion distribuito nella rete virtuale in cui si trova la macchina virtuale o in una rete virtuale con peering. Per configurare un host Bastion, vedere Creare un bastion host. Lo SKU Standard o superiore è necessario per le connessioni SSH alle macchine virtuali Windows.

Metodo di connessione SKU minimo Configurazione aggiuntiva

Portale di Azure (browser) Standard Nessuno
Una macchina virtuale Windows che esegue Windows Server 2019 o versione successiva nella rete virtuale.
OpenSSH Server installato e in esecuzione nella macchina virtuale Windows. Azure Bastion supporta solo la connessione alle macchine virtuali Windows tramite SSH tramite OpenSSH.
Azure Bastion usa la porta SSH 22 per impostazione predefinita. Le porte personalizzate richiedono lo SKU Standard o versione successiva.
Ruoli obbligatori:
- Ruolo Lettore nella macchina virtuale.
- Ruolo lettore sull'interfaccia di rete (NIC) con l'indirizzo IP della macchina virtuale.
- Ruolo Lettore nella risorsa Azure Bastion.
- Ruolo lettore nella rete virtuale della macchina virtuale di destinazione (se la distribuzione Bastion si trova in una rete virtuale con peering).

Metodo di connessione	SKU minimo	Configurazione aggiuntiva
Portale di Azure (browser)	Standard	Nessuno

Per altri requisiti, vedere Domande frequenti su Azure Bastion.

Metodi di autenticazione

Per le connessioni SSH alle macchine virtuali Windows tramite Azure Bastion sono disponibili i metodi di autenticazione seguenti. Selezionare una scheda del metodo di autenticazione per visualizzare i passaggi corrispondenti.

Metodo di autenticazione	SKU minimo
Nome utente e password	Standard
Chiave privata SSH dal file locale	Standard
Password di Azure Key Vault	Standard
Chiave privata SSH da Azure Key Vault	Standard

Note

L'autenticazione di Microsoft Entra ID e l'autenticazione Kerberos non sono supportate per le connessioni SSH alle macchine virtuali Windows. Questi metodi di autenticazione sono disponibili per le connessioni RDP.

Connettersi a una macchina virtuale tramite SSH

Nel portale di Azure selezionare la macchina virtuale. Nel riquadro sinistro selezionare Connetti e quindi Bastion.
In Impostazioni di connessione selezionare SSH come protocollo e immettere il numero di porta se è stato modificato dal valore predefinito 22.
Selezionare il metodo di autenticazione e configurare le impostazioni visualizzate nella scheda corrispondente. Selezionare quindi Connetti per aprire la connessione SSH alla macchina virtuale in una nuova scheda del browser.

Per eseguire l'autenticazione usando un nome utente e una password, configurare le impostazioni seguenti:

Impostazione	valore
Tipo di autenticazione	Selezionare Password nell'elenco a discesa.
Nome utente	Immettere il nome utente.
Password	Inserisci la password.

Per eseguire l'autenticazione usando una chiave privata SSH da un file locale, configurare le impostazioni seguenti:

Impostazione	valore
Tipo di autenticazione	Selezionare Chiave privata SSH da file locale nell'elenco a discesa.
Nome utente	Immettere il nome utente.
File locale	Selezionare il file locale.
SSH Passphrase	Immettere la passphrase SSH, se necessario.

Usare la procedura seguente per eseguire l'autenticazione usando una password da Azure Key Vault:

Impostazione	valore
Tipo di autenticazione	Selezionare Password da Azure Key Vault dal menu a tendina.
Nome utente	Immettere il nome utente.
Sottoscrizione	Selezionare la sottoscrizione.
Azure Key Vault	Selezionare il Key Vault.
Segreto di Azure Key Vault	Selezionare il segreto nel Key Vault che contiene il valore della password.

Se non hai configurato una risorsa di Azure Key Vault, vedere Creare un Key Vault e archiviare la password come valore di un nuovo segreto del Key Vault.

Assicurarsi di disporre dell'accesso di tipo Elenco e Ottieni ai segreti archiviati nella risorsa Key Vault. Per assegnare e modificare i criteri di accesso per la risorsa di Key Vault, vedere Assegnare criteri di accesso di Key Vault.

Per eseguire l'autenticazione usando una chiave privata archiviata in Azure Key Vault, configurare le impostazioni seguenti:

Impostazione	valore
Tipo di autenticazione	Selezionare Chiave privata SSH da Azure Key Vault dall'elenco a discesa.
Nome utente	Immettere il nome utente.
Sottoscrizione	Selezionare la sottoscrizione.
Azure Key Vault	Selezionare il Key Vault.
Segreto di Azure Key Vault	Selezionare il segreto Key Vault contenente il valore della chiave privata SSH.

Se non è stata configurata una risorsa di Azure Key Vault, vedere Creare un insieme di credenziali delle chiavi e archiviare la chiave privata SSH come valore di un nuovo segreto di Key Vault.

Note

Archiviare la chiave privata SSH come segreto in Azure Key Vault usando l'esperienza PowerShell o Azure CLI. L'archiviazione della chiave privata tramite l'esperienza del portale di Azure Key Vault interferisce con la formattazione e genera un accesso non riuscito. Se la chiave privata è stata archiviata come segreto usando l'esperienza del portale e non si ha più accesso al file di chiave privata originale, vedere Aggiornare la chiave SSH per aggiornare l'accesso alla macchina virtuale di destinazione con una nuova coppia di chiavi SSH.

Limitazioni

Metodi di connessione: Le connessioni SSH alle macchine virtuali Windows sono supportate solo tramite il portale di Azure. Le connessioni client native (az network bastion ssh) e quelle basate su IP non sono supportate per le macchine virtuali Windows tramite SSH. Per una soluzione alternativa usando RDP sulla porta 22, vedere Connettersi a una macchina virtuale usando un client nativo.
ID Microsoft Entra: L'autenticazione Microsoft Entra non è supportata per le connessioni SSH alle macchine virtuali Windows. Per informazioni dettagliate sull'autenticazione dell'ID Entra, vedere Informazioni sull'autenticazione dell'ID Entra di Microsoft.
Kerberos: L'autenticazione Kerberos non è supportata per le connessioni SSH. Per Kerberos con connessioni RDP, vedere Configurare l'autenticazione Kerberos.
Trasferimento file: Il trasferimento di file non è disponibile per le connessioni SSH tramite il portale. Per trasferire i file, usare una connessione RDP client nativa.
Formato chiave: Le chiavi private SSH devono essere in formato RSA (-----BEGIN RSA PRIVATE KEY-----).

Passaggi successivi

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-03-17