この記事は、Bastion セッション記録を構成するのに役立ちます。 Azure Bastion Session 記録機能が有効になっている場合は、要塞ホスト経由で仮想マシン (RDP および SSH) に対して行われた接続のグラフィカル セッションを記録できます。 セッションが閉じられたり切断されたりすると、記録されたセッションはストレージ アカウント内の BLOB コンテナーに (SAS URL 経由で) 格納されます。 セッションが切断されると、セッション記録ページの Azure ポータルで、記録されたセッションにアクセスして表示できます。 セッション記録には Bastion Premium SKU が必要です。
注
Bastion のグラフィカル セッション記録では、ストレージ アカウントに対する認証を行う マネージド ID が サポートされるため、SAS トークンを管理する必要がなくなります。 システム割り当てまたはユーザー割り当てマネージド ID のどちらかを使用できます。 マネージド ID の一般的な情報については、「Azure リソースのマネージド ID とは」を参照してください。
考慮事項
- この機能には Premium SKU が必要です。
- ポータルでの RDP セッションのEntra IDサポートは、現時点ではグラフィカル セッション記録と同時に使用することはできません。
- 現時点では、セッション記録はネイティブ クライアント経由では使用できません。
- 不変ストレージ ポリシーが存在してはなりません。
- セッション記録は、一度に 1 つのコンテナー/ストレージ アカウントをサポートしています。
- セッションがアクティブな間にストレージ コンテナーを変更すると、セッションが中断される可能性があります。
- 記録に対しては Blob のバージョン管理を有効にしないでください。
- bastion デプロイでセッション記録が有効な場合、Bastion は記録が有効な bastion ホストを経由するすべてのセッションを記録します。
前提条件
- Azure Bastionは仮想ネットワークにデプロイされます。 手順については、「Quickstart: deploy Azure Bastion from the Azure portal」を参照してください。
- この機能には Premium SKU を使用するように Bastion を構成する必要があります。 セッション記録機能を構成するときに、下位の SKU から Premium SKU に更新することができます。 SKU を確認し、必要に応じてアップグレードするには、「SKU を表示またはアップグレードする」を参照してください。
- 接続先の仮想マシンは、bastion ホストを含む仮想ネットワーク、または Bastion 仮想ネットワークに直接ピアリングされている仮想ネットワークにデプロイする必要があります。
- セッションのレコーディングを表示/一覧表示するには、ストレージ BLOB データ閲覧者ロールが必要です。
セッション記録を有効にする
新しい bastion ホスト リソースを作成するときにセッション記録を有効にするか、Bastion のデプロイ後に後で構成することができます。
新しい Bastion デプロイの手順
要塞ホストを手動で構成してデプロイする場合は、デプロイ時に SKU と機能を指定できます。 Bastion をデプロイする包括的な手順については、Azure ポータルから Bastion をデプロイするを参照してください。
- Azure ポータルで、リソースの作成を選択します。
- Azure Bastion を検索し、Create を選択します。
- 手動設定を使って値を入力し、必ず Premium SKU を選びます。
- [詳細設定] タブで、[セッション記録] を選んでセッション記録機能を有効にします。
- 詳細を確認し、[作成] を選びます。 Bastion は直ちに bastion ホストの作成を開始します。 このプロセスは完了するまでに約 10 分かかります。
既存の Bastion デプロイの手順
Bastion を既にデプロイしている場合は、以下の手順に従ってセッション記録を有効にします。
- Azure ポータルで、Bastion リソースに移動します。
- [Bastion] ページの左側のペインにある [構成] を選びます。
- [構成] ページの [レベル] で [Premium] を選びます (まだ選んでいない場合)。 この機能を使うには、Premium SKU が必要です。
- 表示されている機能から [セッション記録] を選びます。
- を選択してを適用します。 Bastion により、bastion ホストの設定の更新が即座に開始されます。 更新には約 10 分かかります。
ストレージ アカウント コンテナーを構成する
このセクションでは、セッション記録用のコンテナーを設定して指定します。
リソース グループにストレージ アカウントを作成します。 手順については、「ストレージ アカウントの作成および共有アクセス署名 (SAS) を使用したAzure Storage リソースへの制限付きアクセスの許可に関する説明を参照してください。
ストレージ アカウント内にコンテナーを作成します。 これは、Bastion セッション記録を格納するために使うコンテナーです。 セッション記録用に専用のコンテナーを作成することをお勧めします。 手順については、「コンテナーを作成する」を参照してください。
ストレージ アカウントのページの左ペインで [設定] を展開します。 [リソース共有 (CORS)] を選びます。
次の値を使用して BLOB サービスの下に新しいポリシーを作成し、ページの上部に変更を保存します。
名前 値 許可されるオリジン https://の後に、bst-から始まる bastion の完全な DNS 名。 これらの値は大文字と小文字が区別されることに注意してください。許可されたメソッド GET 許可されるヘッダー * 公開されるヘッダー * 最長有効期間 86400
ストレージ アクセスと記録の表示を構成する
注
次の手順は、システム割り当てマネージド ID を設定するための手順です。 ユーザー割り当て ID も同様の手順に従います。
次の手順は、マネージド ID を使用するために必要な設定を構成するのに役立ちます。 マネージド ID は、推奨される認証方法です。
Bastion リソースを選択し、Identity ブレードに移動します。
[状態] を [オン] にして、構成が完了するまで待ちます。
Azureロールの割り当てを選択し、ロール割り当ての追加 (プレビュー) を選択します。
Scope Subscription 資源 役割 Storage ストレージ アカウント サブスクリプション お客様のストレージアカウント名 ストレージ ブロブ データ コントリビューター [ 保存] を 選択してロールの割り当てを保存します。
Bastion リソースに戻り、左側のウィンドウで [構成] を選択します。
[ セッション記録の構成] で、[ システム割り当てマネージド ID] を 選択し、ストレージ コンテナーの BLOB コンテナー URI を 入力します。
記録を表示する
bastion ホストでセッション記録が有効な場合、セッションは自動的に記録されます。 統合された Web プレーヤーを使用して、Azure ポータルで記録を表示できます。
- Azure ポータルで、Bastion ホストに移動します。
- 左ペインにある [設定] で、[セッション記録] を選びます。
- 表示する VM と記録のリンクを選び、[記録の表示] を選びます。
次のステップ
- Azure リソースの管理 IDと、Azure サービスに対する認証のための資格情報を管理する必要がなくなる方法について説明します。
- Azure Bastion について説明します。これは、RDP/SSH ポートを外部に公開することなく、仮想マシンに安全でシームレスな RDP/SSH 接続を提供するフル マネージド サービスです。
Azure Bastion 。