Condividi tramite

Configurare la registrazione di sessioni Bastion

Questo articolo illustra come configurare la registrazione delle sessioni Bastion. Quando la funzionalità di registrazione Azure Bastion Session è abilitata, è possibile registrare le sessioni grafiche per le connessioni effettuate alle macchine virtuali (RDP e SSH) tramite l'host bastion. Dopo la chiusura o la disconnessione della sessione, le sessioni registrate vengono archiviate in un contenitore BLOB all'interno dell'account di archiviazione (tramite URL di firma di accesso condiviso). Quando una sessione è disconnessa, è possibile accedere e visualizzare le sessioni registrate nel portale di Azure nella pagina Registrazione sessione. La registrazione delle sessioni richiede lo SKU Bastion Premium.

Annotazioni

La registrazione della sessione grafica di Bastion supporta le identità gestite per l'autenticazione all'account di archiviazione, eliminando la necessità di gestire SAS token. È possibile usare un'identità gestita assegnata dal sistema o una assegnata dall’utente. Per informazioni generali sulle identità gestite, vedere Cosa sono le identità gestite per le risorse di Azure?.

Considerazioni

  • Per questa funzionalità è necessario lo SKU Premium.
  • Il supporto di Entra ID per le sessioni RDP nel portale non può essere utilizzato contemporaneamente con la registrazione grafica delle sessioni al momento.
  • La registrazione delle sessioni attualmente non è disponibile tramite client nativo.
  • I criteri di archiviazione non modificabili non devono essere presenti.
  • La registrazione delle sessioni supporta un account di archiviazione/contenitore alla volta.
  • La modifica dei contenitori di archiviazione mentre una sessione è attiva potrebbe causare interruzioni della sessione.
  • Il versionamento dei BLOB nelle registrazioni non deve essere presente.
  • Quando la registrazione della sessione è abilitata in una distribuzione, Bastion registra TUTTE le sessioni che passano attraverso l'host bastion abilitato per la registrazione.

Prerequisiti

  • Azure Bastion viene distribuito nella rete virtuale. Per la procedura, vedere Quickstart: Deploy Azure Bastion from the Azure portal(Distribuire Azure Bastion dal portale di Azure.
  • Bastion deve essere configurato per usare lo SKU Premium per questa funzionalità. È possibile eseguire l'aggiornamento allo SKU Premium da uno SKU inferiore quando si configura la funzionalità di registrazione della sessione. Per controllare lo SKU e l'aggiornamento, se necessario, vedere Visualizzare o aggiornare uno SKU.
  • La macchina virtuale a cui ci si connette deve essere distribuita nella rete virtuale che contiene l'host bastion o un una rete virtuale con peering diretto alla rete virtuale Bastion.
  • Per visualizzare/elencare le registrazioni delle sessioni, l'utente deve avere il ruolo Lettore dati BLOB archiviazione.

Abilitare la registrazione delle sessioni

È possibile abilitare la registrazione della sessione quando si crea una nuova risorsa host bastion oppure è possibile configurarla in un secondo momento, dopo la distribuzione di Bastion.

Screenshot che mostra la pagina di configurazione per l'host bastion.

Passaggi per le nuove distribuzioni Bastion

Quando si configura e si distribuisce manualmente un host bastion, è possibile specificare lo SKU e le funzionalità al momento della distribuzione. Per i passaggi completi per distribuire Bastion, vedere Deploy Bastion dal portale di Azure.

  1. Nel portale di Azure selezionare Crea una risorsa.
  2. Cercare Azure Bastion e selezionare Crea.
  3. Compilare i valori usando le impostazioni manuali, assicurandosi di selezionare lo SKU Premium.
  4. Nella scheda Avanzate selezionare Registrazione sessione per abilitare la funzionalità di registrazione della sessione.
  5. Esaminare i dettagli e selezionare Crea. Bastion inizia immediatamente a creare l'host bastion. Il completamento di questo processo richiede circa 10 minuti.

Passaggi per le distribuzioni Bastion esistenti

Se Bastion è già stato distribuito, seguire questa procedura per abilitare la registrazione della sessione.

  1. Nel portale di Azure passare alla risorsa Bastion.
  2. Nel riquadro sinistro della pagina Bastion selezionare Configurazione.
  3. Nella pagina Configurazione, per Livello, selezionare Premium se non è già selezionato. Questa funzionalità richiede lo SKU Premium.
  4. Selezionare Registrazione sessione nelle funzionalità elencate.
  5. Seleziona Applica. Bastion inizia immediatamente ad aggiornare le impostazioni per l'host bastion. Gli aggiornamenti richiedono circa 10 minuti.

Configurare il contenitore dell'account di archiviazione

In questa sezione viene configurato e specificato il contenitore per le registrazioni delle sessioni.

  1. Creare un account di archiviazione nel gruppo di risorse. Per la procedura, vedere Creare un account di archiviazione e Grant accesso limitato alle risorse Archiviazione di Azure usando firme di accesso condiviso (SAS).

  2. All'interno dell'account di archiviazione creare un contenitore. Questo è il contenitore che verrà usato per archiviare le registrazioni delle sessioni Bastion. È consigliabile creare un contenitore esclusivo per le registrazioni delle sessioni. Per la procedura, vedere Creare un contenitore.

  3. Nel riquadro sinistro della pagina dell'account di archiviazione, espandere Impostazioni. Selezionare Condivisione risorse (CORS).

  4. Creare un nuovo criterio in Servizio BLOB con i valori seguenti e salvare le modifiche nella parte superiore della pagina.

    Nome Valore
    Origini consentite https:// seguito dal nome DNS completo del bastion, iniziando con bst-. Tenere presente che questi valori distinguono maiuscole e minuscole.
    Metodi consentiti GET
    Intestazioni consentite *
    Intestazioni esposte *
    Validità massima 86400

Configurare l'accesso alle risorse di archiviazione e la visualizzazione delle registrazioni

Annotazioni

La procedura seguente prevede la configurazione di un'identità gestita assegnata dal sistema. Le identità assegnate dall'utente seguono passaggi simili.

I passaggi seguenti consentono di configurare le impostazioni necessarie per l'uso dell'identità gestita. L'identità gestita è il metodo di autenticazione consigliato.

  1. Selezionare la risorsa Bastion e accedere al pannello Identità.

  2. Attivare lo stato su Attivo e attendere il completamento della configurazione.

  3. Selezionare Assegnazioni di ruolo di Azure e selezionare Aggiungi assegnazione di ruolo (Anteprima).

    Ambito Abbonamento risorsa Ruolo
    Spazio di archiviazione Sottoscrizione del tuo account di archiviazione Nome dell'account di archiviazione Collaboratore ai dati di Storage Blob

  4. Selezionare Salva per salvare l'assegnazione di ruolo.

  5. Tornare alla risorsa Bastion e selezionare Configurazione nel riquadro sinistro.

  6. In Configurazione registrazione sessione selezionare Identità gestita assegnata dal sistema e immettere l'URI del contenitore BLOB per il contenitore di archiviazione.

Visualizzare una registrazione

Le sessioni vengono registrate automaticamente quando la Registrazione della sessione è abilitata nell'host bastion. È possibile visualizzare le registrazioni nel portale di Azure tramite un lettore Web integrato.

  1. Nel portale di Azure passare all'host Bastion.
  2. Nel riquadro sinistro, in Impostazioni, selezionare Registrazioni di sessione.
  3. Selezionare il collegamento vm e registrazione che si vuole visualizzare e quindi selezionare Visualizza registrazione.

Passaggi successivi

  • Informazioni sulle identità managed per le risorse Azure e su come eliminare la necessità di gestire le credenziali per l'autenticazione ai servizi di Azure.
  • Informazioni su Azure Bastion, un servizio completamente gestito che fornisce connettività RDP/SSH sicura e facile alle macchine virtuali senza esporre le porte RDP/SSH esternamente.
  • Informazioni su domande frequenti per Azure Bastion.
  • Last updated on