Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit artikel helpt u bij het configureren van de Bastion-sessieopname. Wanneer de functie Azure Bastion Session-opname is ingeschakeld, kunt u de grafische sessies opnemen voor verbindingen die zijn gemaakt met virtuele machines (RDP en SSH) via de bastionhost. Nadat de sessie is gesloten of de verbinding is verbroken, worden opgenomen sessies opgeslagen in een blobcontainer binnen uw opslagaccount (via SAS-URL). Wanneer de verbinding met een sessie is verbroken, kunt u uw opgenomen sessies openen en weergeven in de Azure-portal op de pagina Sessieopname. Voor sessieopname is de Bastion Premium-SKU vereist.
Opmerking
De grafische sessie-opname van Bastion ondersteunt beheerde identiteiten voor verificatie bij uw opslagaccount, waardoor SAS-tokens niet meer hoeven te worden beheerd. U kunt een door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteit gebruiken. Zie Wat zijn beheerde identiteiten voor Azure resources? voor algemene informatie over beheerde identiteiten.
Overwegingen
- De Premium-SKU is vereist voor deze functie.
- Entra ID ondersteuning voor RDP-sessies in de portal kan momenteel niet gelijktijdig worden gebruikt met grafische sessieopname.
- Sessie-opname is momenteel niet beschikbaar via een systeemeigen client.
- Onveranderbaar opslagbeleid mag niet aanwezig zijn.
- Sessie-opname ondersteunt één container-/opslagaccount tegelijk.
- Als u opslagcontainers wijzigt terwijl een sessie actief is, kan dit leiden tot onderbrekingen van de sessie.
- Blob-versiebeheer op de opnamen mag niet aanwezig zijn.
- Wanneer sessie-opname is ingeschakeld voor een Bastion-implementatie, registreert Bastion ALLE sessies die via de bastionhost met opname zijn ingeschakeld.
Vereiste voorwaarden
- Azure Bastion wordt geïmplementeerd in uw virtuele netwerk. Zie Quickstart: Azure Bastion implementeren vanuit de Azure-portal voor stappen.
- Bastion moet zijn geconfigureerd voor het gebruik van de Premium-SKU voor deze functie. U kunt bijwerken naar de Premium-SKU vanuit een lagere SKU wanneer u de sessieopnamefunctie configureert. Als u uw SKU wilt controleren en indien nodig een upgrade wilt uitvoeren, raadpleegt u Een SKU weergeven of upgraden.
- De virtuele machine waarmee u verbinding maakt, moet worden geïmplementeerd in het virtuele netwerk dat de bastionhost bevat of naar een virtueel netwerk dat rechtstreeks is gekoppeld aan het virtuele Bastion-netwerk.
- Als u de sessie-opnamen wilt weergeven, moet de gebruiker de rol Opslagblobgegevenslezer in het bezit hebben.
Sessieopname inschakelen
U kunt sessieopname inschakelen wanneer u een nieuwe bastionhostresource maakt, of u kunt deze later configureren na het implementeren van Bastion.
Stappen voor nieuwe Bastion-implementaties
Wanneer u handmatig een bastionhost configureert en implementeert, kunt u de SKU en functies opgeven op het moment van de implementatie. Zie Deploy Bastion vanuit de Azure-portal voor uitgebreide stappen voor het implementeren van Bastion.
- Selecteer in de Azure-portal Een resource maken.
- Zoek Azure Bastion en selecteer Maak.
- Vul de waarden in met behulp van handmatige instellingen en zorg ervoor dat u de Premium-SKU selecteert.
- Selecteer op het tabblad Geavanceerd de optie Sessie-opname om de functie voor sessieopname in te schakelen.
- Controleer uw gegevens en selecteer Maken. Bastion begint onmiddellijk met het maken van uw bastionhost. Dit proces duurt ongeveer 10 minuten.
Stappen voor bestaande Bastion-implementaties
Als u Bastion al hebt geïmplementeerd, gebruikt u de volgende stappen om sessieopname in te schakelen.
- Ga in de Azure-portal naar uw Bastion-resource.
- Selecteer Configuratie op de pagina Bastion in het linkerdeelvenster.
- Selecteer Premium op de pagina Configuratie voor Laag als deze nog niet is geselecteerd. Voor deze functie is de Premium-SKU vereist.
- Selecteer Sessieopname in de vermelde functies.
- Klik op Toepassen. Bastion begint onmiddellijk met het bijwerken van de instellingen voor uw bastionhost. Updates duren ongeveer 10 minuten.
Opslagaccountcontainer configureren
In deze sectie stelt u de container voor sessie-opnamen in en specificeert u deze.
Maak een opslagaccount in uw resourcegroep. Zie Een opslagaccount maken en Gedeelde toegangsvergunningen (SAS) gebruiken voor beperkte toegang tot Azure-opslagbronnen voor de stappen.
Maak in het opslagaccount een container. Dit is de container die u gebruikt om uw Bastion-sessie-opnamen op te slaan. U wordt aangeraden een exclusieve container te maken voor sessie-opnamen. Zie Een container maken voor stappen.
Vouw instellingen uit op de pagina voor uw opslagaccount in het linkerdeelvenster. Selecteer Hulpbronnen delen (CORS).
Maak een nieuw beleid onder Blob-service met de volgende waarden en sla uw wijzigingen boven aan de pagina op.
Naam Waarde Toegestane oorsprongen https://gevolgd door de volledige DNS-naam van uw bastion, te beginnen metbst-. Houd er rekening mee dat deze waarden hoofdlettergevoelig zijn.Toegestane methoden TOEVOEGEN Toegestane kopteksten * Blootgelegde headers * Maximale leeftijd 86400
Opslagtoegang configureren en opnamen weergeven
Opmerking
De volgende stappen zijn bedoeld voor het instellen van een door het systeem toegewezen beheerde identiteit. Door de gebruiker toegewezen identiteiten volgen vergelijkbare stappen.
Met de volgende stappen kunt u de vereiste instellingen configureren voor het gebruik van een beheerde identiteit. Beheerde identiteit is de aanbevolen verificatiemethode.
Selecteer uw Bastion-resource en ga naar het paneel Identiteit.
Schakel de status in op Aan en wacht tot de configuratie is voltooid.
Selecteer Azure roltoewijzingen en selecteer Roltoewijzing toevoegen (preview).
Scope Subscription Hulpbron Rol Storage Uw abonnement op uw opslagaccount De naam van uw opslagaccount Inzender voor Storage Blob-gegevens Selecteer Opslaan om de roltoewijzing op te slaan.
Ga terug naar uw Bastion-resource en selecteer Configuratie in het linkerdeelvenster.
Selecteer onder Configuratie van sessieopnamede optie Door het systeem toegewezen beheerde identiteit en voer de blobcontainer-URI voor uw opslagcontainer in.
Een opname weergeven
Sessies worden automatisch opgenomen wanneer sessie-opname is ingeschakeld op de bastionhost. U kunt opnamen bekijken in de Azure-portal via een geïntegreerde webspeler.
- Ga in de Azure-portal naar uw Bastion host.
- Selecteer sessie-opnamen in het linkerdeelvenster onder Instellingen.
- Selecteer de VM en opnamekoppeling die u wilt weergeven en selecteer opname weergeven.
Volgende stappen
- Meer informatie over beheerde identiteiten voor Azure resources en hoe ze het beheer van referenties overbodig maken voor authenticatie bij Azure-services.
- Meer informatie over Azure Bastion, een volledig beheerde service die veilige en naadloze RDP-/SSH-connectiviteit met virtuele machines biedt zonder extern RDP-/SSH-poorten weer te geven.
- Meer informatie over zelden gestelde vragen over Azure Bastion.