Domande frequenti su Azure Bastion

Domande frequenti sul servizio e sulla distribuzione di Bastion

Quali sono i browser supportati?

Il browser deve supportare HTML 5. Usare il browser Microsoft Edge o Google Chrome in Windows. Per Apple Mac, usare il browser Google Chrome. Anche Microsoft Edge Chromium è supportato sia in Windows sia in Mac.

Quali sono i prezzi?

I prezzi di Azure Bastion sono una combinazione di prezzi orari in base a SKU e istanze (unità di scala), oltre alle tariffe di trasferimento dei dati. I prezzi orari iniziano dal momento in cui Bastion viene distribuito, indipendentemente dall'utilizzo dei dati in uscita. Per informazioni sui prezzi più recenti, vedere la pagina dei prezzi di Azure Bastion.

IPv6 è supportato?

Al momento, IPv6 non è supportato. Azure Bastion supporta solo IPv4. Ciò significa che è possibile assegnare un indirizzo IP pubblico IPv4 solo alla risorsa Bastion e che è possibile usare Bastion per connettersi alle macchine virtuali di destinazione IPv4. È anche possibile usare Bastion per connettersi alle macchine virtuali di destinazione dual stack, ma sarà possibile inviare e ricevere il traffico IPv4 solo tramite Azure Bastion.

Dove archivia i dati dei clienti Azure Bastion?

Azure Bastion non sposta o archivia i dati dei clienti dall'area in cui viene distribuita.

Azure Bastion supporta le zone di disponibilità?

Alcune aree supportano la possibilità di distribuire Azure Bastion in una zona di disponibilità (o più per la ridondanza della zona). Per distribuire zonally, è possibile selezionare le zone di disponibilità da distribuire nei dettagli dell'istanza quando si distribuisce Bastion usando le impostazioni specificate manualmente. Non è possibile modificare la disponibilità di zona dopo la distribuzione di Bastion. Se non è possibile selezionare una zona, è possibile che sia stata selezionata un'area di Azure che non supporta ancora le zone di disponibilità. Per altre informazioni sulle zone di disponibilità, vedere zone di disponibilità.

Azure Bastion supporta rete WAN virtuale?

Sì, è possibile usare Azure Bastion per le distribuzioni di rete WAN virtuale. Tuttavia, la distribuzione di Azure Bastion all'interno di un hub rete WAN virtuale non è supportata. È possibile distribuire Azure Bastion in una rete virtuale spoke e usare la funzionalità di connessione basata su IP per connettersi alle macchine virtuali distribuite in una rete virtuale diversa tramite l'hub rete WAN virtuale. Se l'hub rete WAN virtuale di Azure verrà integrato con Firewall di Azure come hub virtuale protetto, AzureBastionSubnet deve trovarsi all'interno di un Rete virtuale in cui la propagazione predefinita della route 0.0.0.0/0 è disabilitata a livello di connessione di rete virtuale.

È possibile usare Azure Bastion se si esegue il tunneling forzato del traffico Internet verso la posizione locale?

No, se si annuncia una route predefinita (0.0.0.0/0) su ExpressRoute o VPN e questa route viene inserita nelle Rete virtuale, il servizio Azure Bastion verrà interrotto.

Azure Bastion deve essere in grado di comunicare con determinati endpoint interni per connettersi correttamente alle risorse di destinazione. È quindi possibile usare Azure Bastion con Azure DNS privato Zone, purché il nome della zona selezionato non si sovrapponga alla denominazione di questi endpoint interni. Prima di distribuire la risorsa Azure Bastion, assicurarsi che la rete virtuale host non sia collegata a una zona DNS privata con i nomi esatti seguenti:

  • management.azure.com
  • blob.core.windows.net
  • core.windows.net
  • vaultcore.windows.net
  • vault.azure.net
  • azure.com

È possibile usare una zona DNS privata che termina con uno dei nomi nell'elenco precedente (ad esempio, privatelink.blob.core.windows.net).

Azure Bastion non è supportato con le zone di DNS privato di Azure nei cloud nazionali.

Il privatelink.azure.com non è in grado di risolvere management.privatelink.azure.com

Ciò potrebbe essere dovuto alla zona DNS privata per privatelink.azure.com collegata alla rete virtuale Bastion, causando la risoluzione management.azure.com CNAMes in management.privatelink.azure.com dietro le quinte. Creare un record CNAME nella propria zona di privatelink.azure.com per management.privatelink.azure.com arm-frontdoor-prod.trafficmanager.net per abilitare la risoluzione DNS corretta.

Azure Bastion supporta collegamento privato?

No, Azure Bastion attualmente non supporta collegamento privato di Azure.

Perché viene visualizzato un errore "Failed to add subnet" (Non è stato possibile aggiungere subnet) quando si usa "Deploy Bastion" nel portale?

Al momento, per la maggior parte degli spazi indirizzi, è necessario aggiungere una subnet denominata AzureBastionSubnet alla rete virtuale prima di selezionare Distribuisci Bastion.

È possibile avere una subnet di Azure Bastion di dimensioni /27 o inferiori (/28, /29 e così via)?

Per le risorse di Azure Bastion distribuite il 2 novembre 2021, le dimensioni minime di AzureBastionSubnet sono /26 o superiori (/25, /24 e così via). Tutte le risorse di Azure Bastion distribuite nelle subnet di dimensioni /27 prima di questa data non sono interessate da questa modifica e continueranno a funzionare. Tuttavia, è consigliabile aumentare le dimensioni di qualsiasi azureBastionSubnet esistente a /26 nel caso in cui si scelga di sfruttare il ridimensionamento dell'host in futuro.

È possibile distribuire più risorse di Azure nella subnet di Azure Bastion?

No. La subnet azure Bastion (AzureBastionSubnet) è riservata solo per la distribuzione della risorsa Azure Bastion.

Il routing definito dall'utente è supportato in una subnet Azure Bastion?

No. La route definita dall'utente non è supportata in una subnet di Azure Bastion.

Per gli scenari che includono Azure Bastion e Firewall di Azure/appliance di rete virtuale nella stessa rete virtuale, non è necessario forzare il traffico da una subnet Azure Bastion a Firewall di Azure, perché la comunicazione tra Azure Bastion e le VM è privata. Per altre informazioni, vedere Accesso a macchine virtuali protette da Firewall di Azure con Bastion.

Quale SKU è consigliabile usare?

Azure Bastion ha più SKU. È consigliabile selezionare uno SKU in base ai requisiti di connessione e funzionalità. Per un elenco completo dei livelli sku e delle connessioni e delle funzionalità supportate, vedere l'articolo Impostazioni di configurazione.

È possibile aggiornare uno SKU?

Sì. Per la procedura, vedere Aggiornare uno SKU. Per altre informazioni sugli SKU, vedere l'articolo Impostazioni di configurazione.

È possibile effettuare il downgrade di uno SKU?

No. Il downgrade di uno SKU non è supportato. Per altre informazioni sugli SKU, vedere l'articolo Impostazioni di configurazione.

Bastion supporta la connettività a Desktop virtuale Azure?

No, la connettività Bastion a Desktop virtuale Azure non è supportata.

Come gestire gli errori di distribuzione?

Esaminare gli eventuali messaggi di errore e, se necessario, aprire una richiesta di supporto nel portale di Azure. Gli errori di distribuzione possono derivare da limiti, quote e vincoli della sottoscrizione di Azure. In particolare, i clienti potrebbero riscontrare un limite per il numero di indirizzi IP pubblici consentiti per sottoscrizione che causano l'esito negativo della distribuzione di Azure Bastion.

Come si incorpora Azure Bastion nel piano di ripristino di emergenza?

Azure Bastion viene distribuito all'interno di reti virtuali o reti virtuali con peering ed è associato a un'area di Azure. Si è responsabili della distribuzione di Azure Bastion in una rete virtuale del sito di ripristino di emergenza. Se si verifica un errore nell'area di Azure, eseguire un'operazione di failover per le macchine virtuali nell'area di ripristino di emergenza. Usare quindi l'host di Azure Bastion distribuito nell'area di ripristino di emergenza per connettersi alle macchine virtuali ora distribuite in tale area.

Bastion supporta lo spostamento di una rete virtuale in un altro gruppo di risorse?

No. Se si sposta la rete virtuale in un altro gruppo di risorse (anche se si trova nella stessa sottoscrizione), è necessario prima eliminare Bastion dalla rete virtuale e quindi procedere con lo spostamento della rete virtuale nel nuovo gruppo di risorse. Quando la rete virtuale si trova nel nuovo gruppo di risorse, è possibile distribuire Bastion nella rete virtuale.

Bastion supporta le ridondanze della zona?

Attualmente, per impostazione predefinita, le nuove distribuzioni di Bastion non supportano la ridondanza della zona. I bastioni distribuiti in precedenza potrebbero essere o meno ridondanti della zona. Le eccezioni sono costituite dalle distribuzioni di Bastion in Corea centrale e Asia sud-orientale, che supportano la ridondanza della zona.

Bastion supporta gli account guest Microsoft Entra?

Sì, agli account guest Microsoft Entra può essere concesso l'accesso a Bastion e può connettersi alle macchine virtuali. Tuttavia, gli utenti guest di Microsoft Entra non possono connettersi alle macchine virtuali di Azure tramite l'autenticazione Microsoft Entra. Gli utenti non guest sono supportati tramite l'autenticazione di Microsoft Entra. Per altre informazioni sull'autenticazione di Microsoft Entra per le macchine virtuali di Azure (per gli utenti non guest), vedere Accedere a una macchina virtuale Windows in Azure usando Microsoft Entra ID.

No, i domini personalizzati non sono supportati con i collegamenti condivisibili bastion. Gli utenti ricevono un errore di certificato durante il tentativo di aggiungere domini specifici nel cn/san del certificato host Bastion.

Domande frequenti sulla connessione alle macchine virtuali e le funzionalità disponibili

Sono necessari ruoli specifici per accedere alla macchina virtuale?

Per stabilire una connessione, sono necessari i ruoli seguenti:

  • Ruolo Lettore nella macchina virtuale.
  • Ruolo Lettore nella scheda di interfaccia di rete con l'indirizzo IP privato della macchina virtuale.
  • Ruolo Lettore nella risorsa Azure Bastion.
  • Ruolo lettore nella rete virtuale della macchina virtuale di destinazione (se la distribuzione Bastion si trova in una rete virtuale con peering).

Inoltre, l'utente deve avere i diritti (se necessario) per connettersi alla macchina virtuale. Ad esempio, se l'utente si connette a una macchina virtuale Windows tramite RDP e non è membro del gruppo locale Amministrazione istrators, deve essere membro del gruppo Utenti Desktop remoto.

Perché viene visualizzato il messaggio di errore "Sessione utente scaduta" prima dell'avvio della sessione di Bastion?

Questo errore è previsto se si passa all'URL direttamente da un'altra sessione o scheda del browser. Consente di assicurarsi che la sessione sia più sicura e che sia accessibile solo tramite il portale di Azure. Accedere al portale di Azure e avviare di nuovo la sessione.

È necessario un indirizzo IP pubblico nella macchina virtuale per connettersi tramite Azure Bastion?

No. Quando ci si connette a una macchina virtuale usando Azure Bastion, non è necessario un indirizzo IP pubblico nella macchina virtuale di Azure a cui ci si connette. Il servizio Bastion apre la sessione RDP/SSH/connessione alla macchina virtuale tramite l'indirizzo IP privato della macchina virtuale all'interno della rete virtuale.

È necessario un client RDP o SSH?

No. È possibile accedere alla macchina virtuale dal portale di Azure usando il browser. Per le connessioni e i metodi disponibili, vedere Informazioni sulle connessioni e sulle funzionalità delle macchine virtuali.

Gli utenti necessitano di diritti specifici per una macchina virtuale di destinazione per le connessioni RDP?

Quando un utente si connette a una macchina virtuale Windows tramite RDP, deve disporre dei diritti per la macchina virtuale di destinazione. Se l'utente non è un amministratore locale, aggiungere l'utente al gruppo Utenti Desktop remoto nella macchina virtuale di destinazione.

È possibile connettersi alla macchina virtuale usando un client nativo?

Sì. È possibile connettersi a una macchina virtuale dal computer locale usando un client nativo. Vedere Connessione a una macchina virtuale usando un client nativo.

È necessario un agente in esecuzione nella macchina virtuale di Azure?

No. Non è necessario installare un agente o altro software nel browser o nella macchina virtuale di Azure. Il servizio Bastion è senza agente e non richiede alcun software aggiuntivo per la connettività RDP/SSH.

Quali funzionalità sono supportate per le sessioni di macchine virtuali?

Vedere Informazioni sulle connessioni e sulle funzionalità delle macchine virtuali per le funzionalità supportate.

No. Alcune organizzazioni dispongono di criteri aziendali che richiedono una reimpostazione della password quando un utente accede a un account locale per la prima volta. Quando si usano collegamenti condivisibili, l'utente non può modificare la password, anche se potrebbe essere visualizzato un pulsante "Reimposta password".

L'audio remoto è disponibile per le macchine virtuali?

Sì. Vedere Informazioni sulle connessioni e sulle funzionalità delle macchine virtuali.

Azure Bastion supporta il trasferimento di file?

Azure Bastion offre il supporto per il trasferimento di file tra la macchina virtuale di destinazione e il computer locale usando Bastion e un client RDP o SSH nativo. Al momento, non è possibile caricare o scaricare file usando PowerShell o tramite il portale di Azure. Per altre informazioni, vedere Caricare e scaricare file usando il client nativo.

La protezione avanzata di Bastion funziona con le VM aggiunte ad Azure Active Directory?

Questa funzionalità non funziona con i computer aggiunti all'estensione macchina virtuale AADJ usando gli utenti di Microsoft Entra. Per altre informazioni, vedere Accedere a una macchina virtuale Windows in Azure usando Microsoft Entra ID.

Bastion è compatibile con le macchine virtuali configurate come host sessione Di Servizi Desktop remoto?

Bastion non supporta la connessione a una macchina virtuale configurata come host sessione Di Servizi Desktop remoto.

Quali layout di tastiera sono supportati durante la sessione remota di Bastion?

Azure Bastion supporta attualmente i layout di tastiera seguenti all'interno della macchina virtuale:

  • en-us-qwerty
  • en-gb-qwerty
  • de-ch-qwertz
  • de-de-qwertz
  • fr-be-azerty
  • fr-fr-azerty
  • fr-ch-qwertz
  • hu-hu-qwertz
  • it-it-qwerty
  • ja-jp-qwerty
  • pt-br-qwerty
  • es-es-qwerty
  • es-latam-qwerty
  • sv-se-qwerty
  • tr-tr-qwerty

Per stabilire i mapping dei tasti corretti per la lingua di destinazione, è necessario impostare il layout della tastiera nel computer locale sulla lingua di destinazione e sul layout della tastiera all'interno della macchina virtuale di destinazione sulla lingua di destinazione. Entrambe le tastiere devono essere impostate sulla lingua di destinazione per stabilire i mapping dei tasti corretti all'interno della macchina virtuale di destinazione.

Per impostare la lingua di destinazione come layout di tastiera in una workstation Windows, passare a Impostazioni > Lingua e lingua > e area geografica. In "Lingue preferite" selezionare "Aggiungi una lingua" e aggiungere la lingua di destinazione. Sarà quindi possibile visualizzare i layout di tastiera sulla barra degli strumenti. Per impostare l'inglese (Stati Uniti) come layout di tastiera, selezionare "ENG" sulla barra degli strumenti o fare clic su Windows + Barra spaziatrice per aprire i layout della tastiera.

Esiste una soluzione per la tastiera per attivare o disattivare lo stato attivo tra una macchina virtuale e un browser?

Gli utenti possono usare "CTRL+MAIUSC+ALT" per spostare efficacemente lo stato attivo tra la macchina virtuale e il browser.

Ricerca per categorie riprendere lo stato attivo della tastiera o del mouse da un'istanza?

Fare clic due volte sul tasto Windows in una riga per ripristinare lo stato attivo all'interno della finestra Bastion.

Qual è la risoluzione massima dello schermo supportata tramite Bastion?

Attualmente, 1920x1080 (1080p) è la risoluzione massima supportata.

Azure Bastion supporta la configurazione del fuso orario o il reindirizzamento del fuso orario per le macchine virtuali di destinazione?

Azure Bastion attualmente non supporta il reindirizzamento del fuso orario e non è configurabile dal fuso orario. Le impostazioni del fuso orario per una macchina virtuale possono essere aggiornate manualmente dopo la connessione al sistema operativo guest.

Una sessione esistente si disconnette durante la manutenzione nell'host Bastion?

Sì, le sessioni esistenti nella risorsa Bastion di destinazione si disconnetteranno durante la manutenzione nella risorsa Bastion.

Si sta connettendo a una macchina virtuale usando un criterio JIT, sono necessarie autorizzazioni aggiuntive?

Se l'utente si connette a una macchina virtuale usando un criterio JIT, non sono necessarie autorizzazioni aggiuntive. Per altre informazioni sulla connessione a una macchina virtuale con criteri JIT, vedere Abilitare l'accesso JIT alle macchine virtuali.

Domande frequenti sul peering di reti virtuali

È comunque possibile distribuire più host Bastion tra reti virtuali con peering?

Sì. Per impostazione predefinita, un utente vede l'host Bastion distribuito nella stessa rete virtuale in cui risiede la macchina virtuale. Tuttavia, nel menu Connessione, un utente può visualizzare più host Bastion rilevati tra reti con peering. Possono selezionare l'host Bastion che preferiscono usare per connettersi alla macchina virtuale distribuita nella rete virtuale.

Se le reti virtuali con peering vengono distribuite in sottoscrizioni diverse, la connettività avvierà tramite Bastion?

Sì, la connettività tramite Bastion continuerà a funzionare per le reti virtuali con peering in una sottoscrizione diversa per un singolo tenant. Le sottoscrizioni tra due tenant diversi non sono supportate. Per visualizzare Bastion nel menu a discesa Connessione, l'utente deve selezionare i sottoscrizioni a cui ha accesso in Sottoscrizione > globale.

Filtro delle sottoscrizioni globali.

Si ha accesso alla rete virtuale con peering, ma non è possibile visualizzare la macchina virtuale distribuita in questa posizione.

Assicurarsi che l'utente abbia accesso in lettura sia alla macchina virtuale che alla rete virtuale con peering. Controllare inoltre in IAM che l'utente abbia accesso in lettura alle risorse seguenti:

  • Ruolo Lettore nella macchina virtuale.
  • Ruolo Lettore nella scheda di interfaccia di rete con l'indirizzo IP privato della macchina virtuale.
  • Ruolo Lettore nella risorsa Azure Bastion.
  • Ruolo lettore nella rete virtuale (non necessario se non è presente una rete virtuale con peering).
Autorizzazioni Descrizione Tipo di autorizzazione
Microsoft.Network/bastionHosts/read Recupera un Bastion Host Azione
Microsoft.Network/virtualNetworks/BastionHosts/action Ottiene i riferimenti a Bastion Host in una rete virtuale. Azione
Microsoft.Network/virtualNetworks/bastionHosts/default/action Ottiene i riferimenti a Bastion Host in una rete virtuale. Azione
Microsoft.Network/networkInterfaces/read Ottiene una definizione dell’interfaccia di rete. Azione
Microsoft.Network/networkInterfaces/ipconfigurations/read Ottiene una definizione di configurazione IP dell'interfaccia di rete. Azione
Microsoft.Network/virtualNetworks/read Ottiene la definizione della rete virtuale Azione
Microsoft.Network/virtualNetworks/subnets/virtualMachines/read Ottiene i riferimenti a tutte le macchine virtuali nella subnet della rete virtuale Azione
Microsoft.Network/virtualNetworks/virtualMachines/read Ottiene i riferimenti a tutte le macchine virtuali in una rete virtuale Azione

Passaggi successivi

Per altre informazioni, vedere Informazioni su Azure Bastion.