Configurare la registrazione della sessione Bastion (anteprima)

Questo articolo illustra come configurare la registrazione delle sessioni Bastion. Quando la funzionalità di Registrazione della sessione Azure Bastion è abilitata, è possibile registrare le sessioni grafiche per le connessioni effettuate alle macchine virtuali (RDP e SSH) tramite l'host bastion. Dopo la chiusura o la disconnessione della sessione, le sessioni registrate vengono archiviate in un contenitore BLOB all'interno dell'account di archiviazione (tramite URL di firma di accesso condiviso). Quando una sessione è disconnessa, è possibile accedere e visualizzare le sessioni registrate nel portale di Azure nella pagina Registrazione della sessione. La registrazione della sessione richiede SKU Bastion Premium.

Operazioni preliminari

Le sezioni seguenti illustrano considerazioni, limitazioni e prerequisiti per la registrazione della sessione Bastion.

Considerazioni e limitazioni

• Per questa funzionalità è necessario lo SKU Premium.
• La registrazione della sessione non è attualmente disponibile tramite client nativo.
• La registrazione della sessione supporta un account di archiviazione/contenitore alla volta.
• Quando la registrazione della sessione è abilitata in un host bastion, Bastion registra TUTTE le sessioni che passano attraverso l'host bastion abilitato per la registrazione.

Prerequisiti

• Azure Bastion viene distribuito nella rete virtuale. Per la procedura, vedere Esercitazione - Distribuire Bastion usando le impostazioni specificate per fasi.
• Bastion deve essere configurato per l'uso dello SKU Premium per questa funzionalità. È possibile eseguire l'aggiornamento allo SKU Premium da uno SKU inferiore quando si configura la funzionalità di registrazione della sessione. Per controllare lo SKU e l'aggiornamento, se necessario, vedere Visualizzare o aggiornare uno SKU.
• La macchina virtuale a cui ci si connette deve essere distribuita alla rete virtuale che contiene l'host bastion o a una rete virtuale con peering diretto alla rete virtuale Bastion.

Abilitare la registrazione della sessione

È possibile abilitare la registrazione della sessione quando si crea una nuova risorsa host bastion oppure è possibile configurarla in un secondo momento, dopo la distribuzione di Bastion.

Passaggi per le nuove distribuzioni Bastion

Quando si configura e si distribuisce manualmente un host bastion, è possibile specificare il livello e le funzionalità dello SKU al momento della distribuzione. Per i passi completi per distribuire Bastion, vedere Distribuire Bastion usando le impostazioni specificate.

1. Nel portale di Azure selezionare Crea una risorsa.
2. Cercare Azure Bastion e selezionare Crea.
3. Compilare i valori usando le impostazioni manuali, assicurandosi di selezionare lo SKU Premium.
4. Nella scheda Avanzate selezionare Registrazione della sessione per abilitare la funzionalità di registrazione della sessione.
5. Rivedere i dettagli e selezionare Crea. Bastion inizia immediatamente a creare l'host bastion. Il completamento di questo processo richiede circa 10 minuti.

Passaggi per le distribuzioni Bastion esistenti

Se Bastion è già stato distribuito, seguire questa procedura per abilitare la registrazione della sessione.

1. Nel portale di Azure passare alla risorsa Bastion.
2. Nel riquadro a sinistra della pagina Bastion selezionare Configurazione.
3. Nella pagina Configurazione selezionare Premium se non già selezionato. Questa funzionalità richiede lo SKU Premium.
4. Selezionare Registrazione della sessione (anteprima) tra le funzionalità elencate.
5. Selezionare Applica. Bastion inizia immediatamente ad aggiornare le impostazioni per l'host bastion. Gli aggiornamenti richiedono circa 10 minuti.

Configurare il contenitore dell'account di archiviazione

In questa sezione viene configurato e specificato il contenitore per le registrazioni delle sessioni.

1. Creare un account di archiviazione nel gruppo di risorse. Per la procedura, vedere Creare un account di archiviazione e Concedere l'accesso limitato alle risorse di Archiviazione di Azure usando firme di accesso condiviso (SAS).

2. Creare un contenitore nell'account di archiviazione. Questo è il contenitore che viene usato per archiviare le registrazioni delle sessioni Bastion. È consigliabile creare un contenitore esclusivo per le registrazioni delle sessioni. Per la procedura, vedere Creare un contenitore.

3. Nella pagina dell'account di archiviazione, nel riquadro sinistro, espandere Impostazioni. Abilitare la Condivisione di risorse (CORS).

4. Creare un nuovo criterio in Servizio BLOB e salvare le modifiche nella parte superiore della pagina.

Nome	Valore
Origini consentite	https:// seguito dal nome DNS completo del bastion, a partire da bst-. Tenere presente che questi valori fanno distinzione tra maiuscole e minuscole.
Metodi consentiti	GET
Intestazioni consentite	*
Intestazioni esposte	*
Validità massima	86400

Aggiungere o aggiornare l'URL della firma di accesso condiviso

Per configurare le registrazioni di sessione, è necessario aggiungere un URL di firma di accesso condiviso alla configurazione delle Registrazioni delle sessioni Bastion. In questa sezione si genera l'URL della firma di accesso condiviso BLOB dal contenitore e quindi lo si carica nell'host bastion.

I passaggi seguenti consentono di configurare le impostazioni necessarie direttamente nella pagina Genera firma di accesso condiviso. Tuttavia, è possibile configurare facoltativamente alcune delle impostazioni creando un criterio di accesso archiviato. È quindi possibile collegare i criteri di accesso archiviati al token di firma di accesso condiviso nella pagina Genera firma di accesso condiviso. Per creare un criterio di accesso archiviato, selezionare autorizzazioni e data e ora di inizio/scadenza nei criteri di accesso o nella pagina Genera firma di accesso condiviso.

1. Nella pagina dell'account di archiviazione passare ad Archiviazione dati -> Contenitori.
2. Individuare il contenitore creato per archiviare le registrazioni delle sessione Bastion, quindi fare clic sui 3 puntini di sospensione a destra del contenitore e selezionare Genera firma di accesso condiviso dall'elenco a discesa.
3. Nella pagina Genera firma di accesso condiviso, per Autorizzazioni, selezionare LEGGERE, CREARE, SCRIVERE, ELENCARE.
4. Per Data/ora di inizio e scadenza, usare le raccomandazioni seguenti:
   • Impostare l’Ora di inizio almeno 15 minuti prima dell'ora corrente.
   • Impostare l’Ora di scadenza considerando un tempo sufficiente nel futuro.
5. In Protocolli consentiti, selezionare solo HTTPS.
6. Fare clic su Genera URL e token di firma di accesso condiviso. Nella parte inferiore della pagina verranno visualizzati il token di firma di accesso condiviso BLOB e l'URL di firma di accesso condiviso BLOB generati.
7. Copiare l'URL della firma di accesso condiviso del BLOB.
8. Passare all'host bastion. Nel riquadro sinistro selezionare Registrazioni delle sessioni.
9. Nella parte superiore della pagina selezionare Aggiungi o aggiorna URL di firma di accesso condiviso. Incollare l'URL di firma di accesso condiviso e quindi fare clic su Carica.

Visualizzare una registrazione

Le sessioni vengono registrate automaticamente quando la Registrazione della sessione è abilitata nell'host bastion. È possibile visualizzare le registrazioni nel portale di Azure tramite un lettore Web integrato.

1. Dal portale di Azure, accedere all'host bastion.
2. Nel riquadro sinistro, in Impostazioni, selezionare Registrazioni delle sessioni.
3. L'URL della firma di accesso condiviso deve essere già configurato (in precedenza in questo esercizio). Tuttavia, se l'URL di firma di accesso condiviso è scaduto o è necessario aggiungere l'URL della firma di accesso condiviso, usare i passaggi precedenti per acquisire e caricare l'URL della firma di accesso condiviso BLOB.
4. Selezionare il collegamento registrazione e macchina virtuale che si vuole visualizzare e quindi selezionare Visualizza registrazione.

Passaggi successivi

Per altre informazioni su Bastion, consultare le domande frequenti su Bastion.