このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(243.2, 6%, 33%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EPJ%3C/text%3E%3C/svg%3E)
現在、VMのNSGの受信セキュリティ規則において、Microsoft Defender for Cloud による「JIT(Just-In-Time)ルール」が設定されていることにより、Bastion経由でのVMへのアクセスができない状況となっております。
当該JITルールの削除を検討しておりますが、ルールのプロトコルが「Any」となっており、適用範囲が広いため、そのまま削除して問題ないか懸念しております。
もし当該ルールの削除がセキュリティ上望ましくない場合には、Bastion経由でVMにアクセス可能とするために、そのルールに対してどの項目をどのように設定すべきか、ご教示いただけますと幸いです。
何卒よろしくお願いいたします。
プライベート ネットワークをプロビジョニングし、オンプレミスのデータセンターに必要に応じて接続するために使用する Azure ネットワーク サービス。
質問作成者が受け入れた回答
How to Enable Just-In-Time VM Access in Azure Security Center
Bastion サブネットに対する許可のルールを MicrosoftDefenderForCloud-JITRule より優先されるルールとして構成すると良いようですね。
モデレーターによって推奨された回答
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(192, 23%, 28%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EVV%3C/text%3E%3C/svg%3E)
Microsoft Q&A プラットフォームへようこそ。
英語から日本語へ翻訳してご案内しております。そのため、翻訳上の都合により、一部不自然な表現や文法上の誤りが含まれる場合がございます。あらかじめご了承ください。
Azure VM の NSG(ネットワーク セキュリティ グループ)における Microsoft Defender for Cloud の JIT(Just-In-Time)ルールについて Bastion 経由でのアクセスができない場合の対応方法をご案内します。
JIT ルールの削除について JIT ルールのプロトコルが「Any」となっている場合、そのルールは複数のプロトコル(RDP, SSH など)をカバーしており、削除すると JIT によるアクセス制御が失われ、セキュリティ リスクが高まる可能性があります。 そのため、単純に削除するのは推奨されません。
Bastion 経由でのアクセスを許可する設定方法 Azure Bastion を利用する場合、Bastion サービスが VM への接続時に使用するポート(通常は RDP: 3389 または SSH: 22)へのアクセスが NSG で許可されている必要があります。
Bastion 用の受信ルール追加例 NSG の受信セキュリティ規則で、以下のようなルールを追加します。
JIT ルールの範囲を見直し、Bastion からのアクセスを許可するように調整します。
参考ドキュメント
この情報がお役に立ちましたら、ぜひ「賛成票(Upvote)」をお願いいたします。