Creación de una conexión RDP a una máquina virtual Windows mediante Azure Bastion

En este artículo se describe cómo crear una conexión RDP segura a las máquinas virtuales Windows mediante Azure Bastion. Puede conectarse a través de Azure Portal (basado en explorador), a través de una dirección IP especificada o mediante un cliente nativo en el equipo Windows local. Cuando se usa Azure Bastion, las máquinas virtuales no requieren un cliente, agente ni software adicional. Azure Bastion se conecta de forma segura a todas las máquinas virtuales de la red virtual sin exponer puertos RDP/SSH a la red pública de Internet. Para más información, consulte ¿Qué es Azure Bastion?

Para conocer las conexiones de cliente nativas mediante la CLI de Azure (incluido SSH y túnel), consulte Conexión a una máquina virtual mediante un cliente nativo. Para conectarse a una máquina virtual Windows mediante SSH, consulte Creación de una conexión SSH a una máquina virtual Windows.

En el diagrama siguiente se muestra la arquitectura de implementación dedicada mediante una conexión RDP.

Prerrequisitos

Antes de comenzar, compruebe que cumple los siguientes criterios:

• Un host de Azure Bastion implementado en la red virtual donde se encuentra la máquina virtual o en una red virtual emparejada. Para configurar un host de Bastion, consulte Creación de un host bastión. La SKU que necesita depende del método de conexión:

  Método de conexión	SKU mínima	Configuración adicional
  Azure portal (navegador)	Básico	Ninguno
  Azure Portal con puertos personalizados	Estándar	Ninguno
  Conexión basada en IP	Estándar	Conexión basada en IP habilitada
  Cliente nativo (RDP)	Estándar	Compatibilidad con cliente nativo habilitada

• Los usuarios que se conectan a través de RDP deben tener derechos en la máquina virtual de destino. Si el usuario no es un administrador local, agréguelos al grupo Usuarios de Escritorio remoto .

• Azure Bastion usa el puerto RDP 3389 de forma predeterminada. Los puertos personalizados requieren la SKU estándar o superior. Para actualizar, consulte Actualización de una SKU.

• Una máquina virtual Windows de la red virtual (o accesible desde la red virtual para las conexiones basadas en IP).

• Roles necesarios:

  • Rol de lector en la máquina virtual.
  • Rol de lector en la NIC con la dirección IP de la máquina virtual.
  • Rol de lector en el recurso de Azure Bastion.
  • Rol lector en la red virtual de la máquina virtual de destino (si la implementación de Bastion está en una red virtual emparejada).
  • Inicio de sesión de administrador de máquina virtual o rol de inicio de sesión de usuario de máquina virtual (solo es necesario para la autenticación de Id. de Microsoft Entra).

Consulte las preguntas más frecuentes sobre Azure Bastion para conocer los requisitos adicionales.

Métodos de autenticación

Los siguientes métodos de autenticación están disponibles para las conexiones RDP a través de Azure Bastion. Seleccione un método de autenticación para ver los pasos correspondientes.

Método de autenticación	Métodos de conexión admitidos	SKU mínima
Microsoft Entra ID (versión preliminar) (vista previa para RDP)	Azure Portal, cliente nativo	Básico (portal), Estándar (cliente nativo)
Nombre de usuario y contraseña	Azure Portal, dirección IP (portal), cliente nativo	Básico (portal), Estándar (dirección IP, cliente nativo)
Kerberos	Portal de Azure	Básico

Conexión a una máquina virtual mediante RDP

Seleccione un método de conexión para ver los pasos correspondientes. Después de navegar a la página de conexión de Bastion, elija el método de autenticación.

Azure Portal

Use Azure Portal para crear una conexión RDP basada en explorador a la máquina virtual Windows. Este método se conecta directamente a través del explorador. No se requiere ningún cliente RDP nativo ni software adicional en el equipo local. Se requiere la SKU básica o superior o la SKU estándar si necesita puertos personalizados.

1. En Azure Portal, seleccione la máquina virtual. En el panel izquierdo, seleccione Conectar y, a continuación, seleccione Bastion.

2. En la pestaña Configuración de conexión, seleccione RDP como protocolo y escriba el número de puerto si lo cambió del valor predeterminado de 3389.

3. Seleccione su método de autenticación. Se recomienda microsoft Entra ID (versión preliminar). Para ver otras opciones, consulte Métodos de autenticación.

4. Seleccione Conectar para abrir la conexión RDP a la máquina virtual en una nueva pestaña del explorador.

Nota:

Para ver consejos de solución de problemas, consulte Solución de problemas de conexiones RDP y Solución de problemas de inicio de sesión en Microsoft Entra para Windows Virtual Machines en Azure o Windows Server habilitado para Arc.

Dirección IP (portal)

Use Azure Portal para crear una conexión RDP basada en explorador a la máquina virtual Windows mediante una dirección IP especificada. Este método se conecta a través del explorador y no requiere un cliente RDP nativo ni software adicional en el equipo local. Se requiere la SKU estándar o superior y debe habilitar la conexión basada en IP.

Habilitación de la conexión basada en IP

Para poder conectarse mediante una dirección IP, debe habilitar la conexión basada en IP en la implementación de Bastion.

1. En el Azure portal, acceda a su implementación de Bastion.

2. En la página Configuración , en Nivel, compruebe que la SKU está establecida en la SKU estándar o superior. Si la SKU está establecida en la SKU básica, seleccione una SKU superior en la lista desplegable.

3. Seleccione Conexión basada en IP.

4. Seleccione Aplicar para aplicar los cambios. La configuración de Bastion tarda unos minutos en completarse.

5. Especifique la dirección IP de la máquina virtual de destino directamente en la página Bastion Connect , en lugar de seleccionar una máquina virtual en Azure Portal.

Conexión mediante una dirección IP

1. Para conectarse a una máquina virtual mediante una dirección IP especificada, realice la conexión desde Bastion, no directamente desde la página de la máquina virtual. En el recurso de Bastion, seleccione Conectar para abrir la página Conectar.

2. En la página Bastion Connect , en Dirección IP, escriba la dirección IP de la máquina virtual de destino.

   

3. Ajuste la configuración de conexión al protocolo (RDP) y al puerto deseados.

4. Escriba sus credenciales en Nombre de usuario y Contraseña.

5. Seleccione Conectar para conectarse a la máquina virtual.

Para las conexiones RDP de cliente nativo a través de la dirección IP, consulte la pestaña Cliente nativo en esta página.

Cliente nativo

Conéctese a la máquina virtual Windows desde un equipo Windows local mediante la CLI de Azure (az network bastion rdp). Este método requiere la SKU Estándar o superior con soporte para cliente nativo configurado.

Cuando un usuario se conecta a una VM Windows a través de RDP, debe tener derechos sobre la VM de destino. Si el usuario no es un administrador local, añádalo al grupo Usuarios de Escritorio Remoto en la máquina virtual de destino.

1. Inicie sesión en la cuenta de Azure mediante az login. Si tiene más de una suscripción, puede verlas mediante az account list y tras seleccionar la suscripción que contiene el recurso de Bastion mediante az account set --subscription "<subscription ID>".

2. Para conectarse mediante RDP, use el siguiente comando.

   az network bastion rdp --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId>"
   

3. Después de ejecutar el comando, se le pedirá que escriba las credenciales. Puede usar un nombre de usuario y una contraseña locales, o las credenciales de Microsoft Entra. Después de iniciar sesión en la máquina virtual de destino, el cliente nativo en su equipo se abre para la sesión de máquina virtual mediante MSTSC.

   Importante

   La conexión remota a máquinas virtuales unidas a Microsoft Entra ID solo se permite desde equipos Windows 10 o posteriores que estén registrados en Microsoft Entra (a partir de Windows 10 20H1), unidos a Microsoft Entra o unidos a Microsoft Entra híbrido en el mismo directorio que la máquina virtual.

Especifique un método de autenticación

Opcionalmente, también puede especificar el método de autenticación como parte del comando.

• Autenticación de Microsoft Entra: para Windows 10 versión 20H2+, Windows 11 21H2+ y Windows Server 2022, use --enable-mfa. Para más información, vea az network bastion rdp: parámetros opcionales.

Especificar un puerto personalizado

Puede especificar un puerto personalizado al conectarse a una máquina virtual Windows a través de RDP.

Un escenario en el que esto podría ser especialmente útil sería conectarse a una máquina virtual Windows a través del puerto 22. Se trata de una posible solución alternativa para la limitación con el comando az network bastion ssh, que no puede usar un cliente nativo de Windows para conectarse a una máquina virtual Windows.

Para especificar un puerto personalizado, incluya el campo --resource-port en el comando de inicio de sesión, como se muestra en el ejemplo siguiente.

az network bastion rdp --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId>" --resource-port "22"

RDP a una dirección IP de máquina virtual Windows

También puede conectarse a una IP privada de una máquina virtual, en lugar del ID de recurso. La autenticación de Microsoft Entra y los puertos y protocolos personalizados no son compatibles cuando se utiliza este tipo de conexión. Para más información sobre conexiones basadas en IP, consulte Conectarse a una VM - Dirección IP.

Mediante el comando az network bastion, sustituya --target-resource-id por --target-ip-address y la dirección IP especificada para conectarse a su VM.

az network bastion rdp --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-address "<VMIPAddress>"

Para conocer las conexiones SSH y tunnel, consulte Conexión a una máquina virtual mediante Bastion y el cliente nativo de Windows.

Limitaciones

• Conexiones basadas en IP: La conexión basada en IP no funciona con la tunelización forzada a través de VPN o cuando se anuncia una ruta predeterminada a través de un circuito ExpressRoute. Azure Bastion requiere acceso a Internet y tunelización forzada o, de lo contrario, el anuncio de una ruta predeterminada dará lugar al descarte del tráfico.
• Conexiones basadas en IP: UdR no se admite en la subred de Bastion, incluidas las conexiones basadas en IP.
• Conexiones basadas en IP: Actualmente no se admiten puertos y protocolos personalizados al conectarse a una máquina virtual a través de un cliente nativo con conexiones basadas en IP.
• Microsoft Entra ID: La autenticación de Microsoft Entra no se admite para las conexiones RDP basadas en IP. Las conexiones SSH basadas en IP a través de cliente nativo admiten la autenticación entra ID. Para obtener más información sobre la autenticación de Entra ID, consulte Acerca de la autenticación de Id. de Entra de Microsoft.
• Grabación de sesión: La autenticación RDP + Entra ID en el portal no se puede usar simultáneamente con la grabación gráfica de sesión.

Pasos siguientes

• Conexión a una máquina virtual Windows mediante SSH
• ¿Qué es Azure Bastion?
• Configura la autenticación de Microsoft Entra ID para acceso basado en identidad.
• Configure la autenticación Kerberos para máquinas virtuales unidas a un dominio.
• Transfiera archivos a la máquina virtual mediante un cliente nativo.
• Configure un vínculo que se pueda compartir para los usuarios sin acceso a Azure Portal.
• preguntas más frecuentes de Azure Bastion