Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel hilft Ihnen beim Konfigurieren der Bastion-Sitzungsaufzeichnung. Wenn das Feature Azure Bastion Session-Aufzeichnung aktiviert ist, können Sie die grafischen Sitzungen für Verbindungen mit virtuellen Computern (RDP und SSH) über den Bastion-Host aufzeichnen. Nachdem die Sitzung geschlossen oder getrennt wurde, werden aufgezeichnete Sitzungen in einem Blob-Container in Ihrem Speicherkonto (über SAS-URL) gespeichert. Wenn eine Sitzung getrennt wurde, können Sie im Azure-Portal auf der Seite "Sitzungsaufzeichnung" auf Ihre aufgezeichneten Sitzungen zugreifen und diese anzeigen. Für die Sitzungsaufzeichnung ist die Bastion Premium-SKU erforderlich.
Hinweis
Die grafische Sitzungsaufzeichnung von Bastion unterstützt verwaltete Identitäten , um sich bei Ihrem Speicherkonto zu authentifizieren, ohne dass SAS-Token verwaltet werden müssen. Sie können entweder eine system- oder benutzerseitig zugewiesene verwaltete Identität verwenden. Allgemeine Informationen zu verwalteten Identitäten finden Sie unter What are managed identities for Azure resources?.
Überlegungen
- Die Premium-SKU ist für dieses Feature erforderlich.
- Entra ID Unterstützung für RDP-Sitzungen im Portal kann zurzeit nicht gleichzeitig mit grafischer Sitzungsaufzeichnung verwendet werden.
- Die Sitzungsaufzeichnung ist zurzeit nicht über nativen Client verfügbar.
- Unveränderliche Speicherrichtlinien dürfen nicht vorhanden sein.
- Sitzungsaufzeichnung unterstützt jeweils ein Container-/Speicherkonto.
- Das Ändern von Speichercontainern, während eine Sitzung aktiv ist, kann zu Unterbrechungen der Sitzung führen.
- Blob-Versionsverwaltung für die Aufzeichnungen darf nicht vorhanden sein.
- Wenn die Sitzungsaufzeichnung für eine Bastion-Bereitstellung aktiviert ist, zeichnet Bastion ALLE Sitzungen auf, die den aufzeichnungsfähigen Bastion-Host durchlaufen.
Voraussetzungen
- Azure Bastion wird in Ihrem virtuellen Netzwerk bereitgestellt. Schritte finden Sie unter Quickstart: Bereitstellen von Azure Bastion aus dem Azure-Portal.
- Bastion muss so konfiguriert sein, dass die Premium-SKU für dieses Feature verwendet wird. Sie können die Premium-SKU von einer niedrigeren SKU aktualisieren, wenn Sie die Sitzungsaufzeichnungsfunktion konfigurieren. Informationen zum Überprüfen Ihrer SKU und des Upgrades finden Sie bei Bedarf unter Anzeigen oder Aktualisieren einer SKU.
- Der virtuelle Computer, mit dem Sie sich verbinden, muss entweder in dem virtuellen Netzwerk bereitgestellt werden, das den Bastion-Host enthält, oder in einem virtuellen Netzwerk, das direkt mit dem virtuellen Netzwerk von Bastion verbunden ist.
- Um die Sitzungsaufzeichnungen anzuzeigen/auflisten zu können, muss der Benutzer über die Rolle " Storage Blob Data Reader " verfügen.
Aktivieren der Sitzungsaufzeichnung
Sie können die Sitzungsaufzeichnung aktivieren, wenn Sie eine neue Bastion-Hostressource erstellen, oder Sie können sie später nach der Bereitstellung von Bastion konfigurieren.
Schritte für neue Bastion-Bereitstellungen
Wenn Sie einen Bastionhost manuell konfigurieren und bereitstellen, können Sie die SKU und die Features zum Zeitpunkt der Bereitstellung angeben. Umfassende Schritte zum Bereitstellen von Bastion finden Sie unter Deploy Bastion über das Azure-Portal.
- Wählen Sie im Azure-Portal Ressource erstellen aus.
- Suchen Sie nach Azure Bastion, und wählen Sie Create aus.
- Geben Sie die Werte mit manuellen Einstellungen ein, und achten Sie darauf, die Premium-SKU auszuwählen.
- Wählen Sie auf der Registerkarte "Erweitert " die Option "Sitzungsaufzeichnung " aus, um das Feature "Sitzungsaufzeichnung" zu aktivieren.
- Überprüfen Sie Ihre Details, und wählen Sie "Erstellen" aus. Bastion beginnt sofort mit der Erstellung Ihres Bastionhosts. Für diesen Prozess werden etwa 10 Minuten benötigt.
Schritte für vorhandene Bastion-Bereitstellungen
Wenn Sie Bastion bereits bereitgestellt haben, führen Sie die folgenden Schritte aus, um die Sitzungsaufzeichnung zu aktivieren.
- Wechseln Sie im Azure-Portal zu Ihrer Bastion-Ressource.
- Wählen Sie auf ihrer Bastion-Seite im linken Bereich " Konfiguration" aus.
- Wählen Sie auf der Seite "Konfiguration" für "Stufe " die Option "Premium " aus, wenn sie noch nicht ausgewählt ist. Für dieses Feature ist der Premium-SKU erforderlich.
- Wählen Sie "Sitzungsaufzeichnung" aus den aufgelisteten Features aus.
- Wählen Sie Apply aus. Bastion beginnt sofort mit dem Aktualisieren der Einstellungen für Ihren Bastionhost. Aktualisierungen dauern ca. 10 Minuten.
Konfigurieren des Speicherkontocontainers
In diesem Abschnitt richten Sie den Container für Sitzungsaufzeichnungen ein und legen ihn fest.
Erstellen Sie ein Speicherkonto in Ihrer Ressourcengruppe. Eine Anleitung finden Sie unter Speicherkonto erstellen und Gewähren Sie begrenzten Zugriff auf Azure Storage-Ressourcen mit geteilten Zugriffssignaturen (SAS).
Erstellen Sie im Speicherkonto einen Container. Dies ist der Container, den Sie zum Speichern Ihrer Bastion-Sitzungsaufzeichnungen verwenden. Es wird empfohlen, einen exklusiven Container für Sitzungsaufzeichnungen zu erstellen. Schritte finden Sie unter Erstellen eines Containers.
Erweitern Sie auf der Seite für Ihr Speicherkonto im linken Bereich Einstellungen. Wählen Sie "Ressourcenfreigabe( CORS)" aus.
Erstellen Sie eine neue Richtlinie unter blob-Dienst mit den folgenden Werten, und speichern Sie Ihre Änderungen am oberen Rand der Seite.
Name Wert Zulässige Ursprünge https://gefolgt vom vollständigen DNS-Namen Ihrer Bastion, beginnend mitbst-. Beachten Sie, dass bei diesen Werten die Groß-/Kleinschreibung beachtet wird.Zulässige Methoden GET Zulässige Header * Verfügbar gemachte Header * Maximales Alter 86 400
Konfigurieren des Speicherzugriffs und anzeigen von Aufzeichnungen
Hinweis
Die folgenden Schritte dienen zum Einrichten einer vom System zugewiesenen verwalteten Identität. Benutzerzugewiesene Identitäten folgen ähnlichen Schritten.
Mit den folgenden Schritten können Sie die erforderlichen Einstellungen für die Verwendung der verwalteten Identität konfigurieren. Verwaltete Identität ist die empfohlene Authentifizierungsmethode.
Wählen Sie Ihre Bastion-Ressource aus, und wechseln Sie zum Blatt "Identität" .
Setzen Sie den Status auf Ein und warten Sie, bis die Konfiguration abgeschlossen ist.
Wählen Sie Azure Rollenzuweisungen aus, und wählen Sie Rollenberechtigung hinzufügen (Vorschau) aus.
Geltungsbereich Subscription Ressource Rolle Lagerung Ihr Speicherkontoabonnement Name Ihres Speicherkontos Storage Blob-Datenmitwirkender Wählen Sie "Speichern" aus, um die Rollenzuweisung zu speichern.
Wechseln Sie zurück zu Ihrer Bastion-Ressource, und wählen Sie im linken Bereich " Konfiguration " aus.
Wählen Sie unter "Konfiguration der Sitzungsaufzeichnung" die Option "Vom System zugewiesene verwaltete Identität " aus, und geben Sie den BLOB-Container-URI für Ihren Speichercontainer ein.
Anzeigen einer Aufzeichnung
Sitzungen werden automatisch aufgezeichnet, wenn die Sitzungsaufzeichnung auf dem Bastion-Host aktiviert ist. Sie können Aufzeichnungen im Azure Portal über einen integrierten WebPlayer anzeigen.
- Wechseln Sie im Azure-Portal zu Ihrem BastionHost.
- Wählen Sie im linken Bereich unter "Einstellungen"die Option "Sitzungsaufzeichnungen" aus.
- Wählen Sie den Virtuellen Computer und den Aufzeichnungslink aus, den Sie anzeigen möchten, und wählen Sie dann "Aufzeichnung anzeigen" aus.
Nächste Schritte
- Erfahren Sie mehr über managed-Identitäten für Azure Ressourcen und wie sie die Notwendigkeit beseitigen, Anmeldeinformationen für die Authentifizierung für Azure Dienste zu verwalten.
- Erfahren Sie mehr über Azure Bastion, einen vollständig verwalteten Dienst, der sichere und nahtlose RDP-/SSH-Konnektivität zu virtuellen Computern bereitstellt, ohne RDP/SSH-Ports extern verfügbar zu machen.
- Erfahren Sie mehr über selten gestellte Fragen zu Azure Bastion.