Azure Bastion に関する FAQ
Bastion サービスとデプロイに関する FAQ
どのブラウザーがサポートされていますか?
ブラウザーは HTML 5 をサポートしている必要があります。 Windows では Microsoft Edge ブラウザーまたは Google Chrome をご使用ください。 Apple Mac では、Google Chrome ブラウザーをご使用ください。 Microsoft Edge Chromium も Windows と Mac の両方でサポートされます。
価格体系について
Azure Bastion の価格は、SKU、インスタンス (スケール ユニット)、およびデータ転送レートに基づく時間単位の価格の組み合わせです。 時間単位の価格は、送信データの使用状況に関係なく、Bastion がデプロイされた時点から開始されます。 最新の価格情報については、「Azure Bastion の価格」に関するページを参照してください。
IPv6 はサポートされていますか?
現時点では、IPv6 はサポートされていません。 Azure Bastion は、IPv4 のみをサポートしています。 したがって、Bastion リソースには IPv4 パブリック IP アドレスのみ割り当てることができ、Bastion を使用して IPv4 ターゲット VM に接続できます。 また、Bastion を使用してデュアル スタック ターゲット VM に接続できますが、IPv4 トラフィックは Azure Bastion 経由でのみ送受信できます。
顧客データは Azure Bastion によってどこに格納されますか?
Azure Bastion によって、顧客データがデプロイされているリージョン外に移動または格納されることはありません。
Azure Bastion は可用性ゾーンをサポートしていますか?
Azure Bastion での可用性ゾーンのサポートについては、「Azure Bastion での信頼性」を参照してください。
Azure Bastion は Virtual WAN をサポートしていますか。
はい。Virtual WAN デプロイには Azure Bastion を使用できます。 ただし、Virtual WAN ハブ内には Azure Bastion をデプロイできません。 スポーク仮想ネットワークに Azure Bastion をデプロイし、IP ベースの接続機能を使用して Virtual WAN ハブ経由で、別の仮想ネットワークにデプロイされた仮想マシンに接続できます。 Azure Virtual WAN ハブをセキュリティ保護付き仮想ハブとして Azure Firewall と統合する場合、AzureBastionSubnet は、仮想ネットワーク接続レベルで既定の 0.0.0.0/0 ルート伝達が無効になっている Virtual Network 内に存在している必要があります。
インターネット トラフィックをオンプレミスの場所に強制的にトンネリングして戻す場合、Azure Bastion を使用できますか?
いいえ。ExpressRoute または VPN 経由で既定のルート (0.0.0.0/0) をアドバタイズしており、このルートが Virtual Network に挿入されている場合、これにより、Azure Bastion サービスが中断されます。
ターゲット リソースに正常に接続するには、Azure Bastion に特定の内部エンドポイントとの通信が確立されている必要があります。 そのため、選択したゾーン名がそれらの内部エンドポイントの名前と重複しない限り、Azure プライベート DNS ゾーンで Azure Bastion を使用 "できます"。 Azure Bastion リソースをデプロイする前に、以下と完全に同じ名前のプライベート DNS ゾーンに、ホストの仮想ネットワークがリンクされていないことを確認してください。
- management.azure.com
- blob.core.windows.net
- core.windows.net
- vaultcore.windows.net
- vault.azure.net
- azure.com
前のリストのいずれかの名前で終わるプライベート DNS ゾーン (例: privatelink.blob.core.windows.net) を使用できます。
Azure Bastion は各国のクラウド内の Azure プライベート DNS ゾーンではサポートされていません。
privatelink.azure.com を management.privatelink.azure.com に解決できない
これは、Bastion 仮想ネットワークにリンクされている privatelink.azure.com のプライベート DNS ゾーンが原因で、management.azure.com の CNAME がバックグラウンドで management.privatelink.azure.com に解決されている可能性があります。 DNS 解決を成功させるために、management.privatelink.azure.com の privatelink.azure.com で arm-frontdoor-prod.trafficmanager.net に対する CNAME レコードを作成します。
Azure Bastion はプライベート リンクをサポートしていますか?
いいえ。Azure Bastion では現在、Private Link はサポートされていません。
ポータルで [Bastion のデプロイ] を使用すると、"サブネットの追加に失敗しました" というエラーが表示されるのはなぜですか?
現時点では、ほとんどのアドレス空間で、[Bastion のデプロイ] を選択する前に、AzureBastionSubnet という名前のサブネットを仮想ネットワークに追加する必要があります。
AzureBastionSubnet に Bastion をデプロイするには、特別なアクセス許可が必要ですか?
AzureBastionSubnet に Bastion をデプロイするには、書き込みアクセス許可が必要です。 例: Microsoft.Network/virtualNetworks/write.
サイズ/27 以下 (/28、/29 など) の Azure Bastion サブネットを利用することはできますか?
2021 年 11 月 2 日以降にデプロイされた Azure Bastion リソースについては、AzureBastionSubnet の最小サイズは /26 以上 (/25、/24 など) となります。 この日付より前にサイズ /27 のサブネットにデプロイされたすべての Azure Bastion リソースは、この変更による影響を受けず、引き続き機能します。 ただし、今後にホストのスケーリングを利用する場合に備えて、既存の AzureBastionSubnet のサイズを /26 に増やすことを強くお勧めします。
私が使用している Azure Bastion サブネットに複数の Azure リソースをデプロイできますか?
いいえ。 Azure Bastion サブネット (AzureBastionSubnet) は、Azure Bastion リソースのデプロイのためにのみ予約されています。
Azure Bastion サブネットでユーザー定義ルーティング (UDR) はサポートされますか?
いいえ。 Azure Bastion サブネットで UDR はサポートされません。
Azure Bastion と Azure Firewall/ネットワーク仮想アプライアンス (NVA) の両方が同じ仮想ネットワークに存在するシナリオでは、Azure Bastion と VM との間の通信はプライベートであるため、Azure Bastion サブネットから Azure Firewall にトラフィックを強制する必要がありません。 詳細については、Azure Firewall と Bastion の内側の VM にアクセスする方法に関するページを参照してください。
どのような SKU を使用する必要がありますか?
Azure Bastion には複数の SKU があります。 接続と機能の要件に基づいて、SKU を選ぶ必要があります。 すべての SKU レベルおよびサポートされている接続と機能の一覧については、構成設定に関する記事をご覧くださいい。
SKU をアップグレードできますか?
はい。 手順については、「SKU のアップグレード」を参照してください。 SKU の詳細については、構成設定に関する記事を参照してください。
SKU をダウングレードできますか?
不正解です。 SKU のダウングレードはサポートされていません。 SKU の詳細については、構成設定に関する記事を参照してください。
Bastion は Azure Virtual Desktop への接続をサポートしていますか?
いいえ。Azure Virtual Desktop への Bastion 接続はサポートされていません。
デプロイ エラーはどのように処理しますか?
エラー メッセージを確認し、必要に応じて Azure portal 内でサポート リクエストを送信してください。 デプロイの失敗は、Azure サブスクリプションの制限、クォータ、制約が原因で発生する可能性があります。 具体的には、サブスクリプションごとに許可されるパブリック IP アドレスの数に制限があり、これにより Azure Bastion のデプロイが失敗する可能性があります。
Bastion では、VNet の別のリソース グループへの移動がサポートされていますか?
いいえ。 仮想ネットワークを別のリソース グループに移動する場合は、それが同じサブスクリプション内にある場合でも、まず仮想ネットワークから Bastion を削除してから、仮想ネットワークを新しいリソース グループに移動する必要があります。 仮想ネットワークが新しいリソース グループに入ったら、Bastion をその仮想ネットワークにデプロイできます。
Bastion は Microsoft Entra ゲスト アカウントをサポートしていますか?
はい。Microsoft Entra ゲスト アカウントには Bastion へのアクセス権を付与でき、仮想マシンに接続できます。 ただし、Microsoft Entra ゲスト ユーザーは Microsoft Entra 認証を介して Azure VM に接続できません。 ゲスト以外のユーザーは、Microsoft Entra 認証を介してサポートされています。 Azure VM の Microsoft Entra 認証に関する詳細については、「Microsoft Entra ID を使用して Azure の Windows 仮想マシンにログインする」を参照してください。
カスタム ドメインは Bastion 共有可能リンクでサポートされていますか?
いいえ。カスタム ドメインは Bastion 共有可能リンクではサポートされていません。 Bastion ホスト証明書の CN/SAN に特定のドメインを追加しようとすると、証明書エラーが発生します。
VM 接続と使用可能な機能に関する FAQ
仮想マシンにアクセスするには、なんらかのロールが必要ですか?
接続を作成するには、次のロールが必要です。
- 仮想マシンに対する閲覧者ロール。
- 仮想マシンのプライベート IP を使用する NIC に対する閲覧者ロール。
- Azure Bastion リソースに対する閲覧者ロール。
- ターゲット仮想マシンの仮想ネットワークに対する閲覧者ロール (Bastion デプロイが、ピアリングされた仮想ネットワーク内の場合)。
さらに、ユーザーは VM に接続するための権限 (必要な場合) がある必要があります。 たとえば、ユーザーが RDP を介して Windows VM に接続していて、ローカル管理者グループのメンバーではない場合、ユーザーはリモート デスクトップ ユーザー グループのメンバーである必要があります。
Bastion セッションの開始前に "セッションの有効期限が切れています" というエラー メッセージを受け取るのはなぜですか?
別のブラウザー セッションまたはタブから直接 URL に移動する場合に、このエラーが発生します。 これは、自分のセッションがより安全で、セッションが Azure portal からのみアクセスできることを確保するのに役立ちます。 もう一度 Azure portal にサインインして、自分のセッションを開始してください。
Azure Bastion 経由で接続するうえで、自分の仮想マシンにパブリック IP は必要ですか?
いいえ。 Azure Bastion を使用して VM に接続するときは、接続先となる Azure 仮想マシンのパブリック IP は必要ありません。 Bastion サービスは、ご使用の仮想ネットワーク内で、お客様の仮想マシンのプライベート IP 経由でお客様の仮想マシンへの RDP または SSH セッションや接続を開きます。
RDP または SSH クライアントは必要ですか?
いいえ。 ブラウザーを使って、Azure portal から仮想マシンにアクセスできます。 使用可能な接続と方法については、「VM の接続と機能について」をご覧ください。
ユーザーには、RDP 接続用のターゲット VM に対する特定の権限が必要ですか?
ユーザーが RDP 経由で Windows VM に接続する場合は、ターゲット VM に対する権限が必要です。 ユーザーがローカル管理者でない場合は、ターゲット VM 上のリモート デスクトップ ユーザー グループにユーザーを追加してください。
ネイティブ クライアントを使用して VM に接続できますか?
はい。 ネイティブ クライアントを使って、ローカル コンピューターから VM に接続できます。 「ネイティブ クライアントを使用して仮想マシンに接続する」をご覧ください。
Azure 仮想マシン内で実行するエージェントは必要ですか?
いいえ。 ご使用のブラウザーやお客様の Azure 仮想マシンにエージェントやソフトウェアをインストールする必要はありません。 Bastion サービスはエージェントレスのため、RDP や SSH 用の追加のソフトウェアを必要としません。
VM のセッションではどのような機能がサポートされていますか?
サポートされている機能については、「VM の接続と機能について」をご覧ください。
共有可能なリンク経由で接続しているローカル ユーザーは、パスワードのリセットを使用できますか?
不正解です。 一部の組織では、ユーザーが初めてローカル アカウントにログインするときにパスワードのリセットを必要とする会社のポリシーがあります。 共有可能なリンクを使用する場合、[パスワードのリセット] ボタンが表示される場合でも、ユーザーはパスワードを変更できません。
VM でリモート オーディオを使用できますか?
はい。 「VM の接続と機能について」をご覧ください。
Azure Bastion はファイルの転送をサポートしていますか?
Azure Bastion は、ターゲット VM と、ネイティブ RDP または SSH クライアントを使用するローカル コンピューター間のファイル転送をサポートします。 現時点では、PowerShell を使用して、または Azure portal 経由で、ファイルをアップロードまたはダウンロードすることはできません。 詳しくは、「ネイティブ クライアントを使用してファイルをアップロードおよびダウンロードする」をご覧ください。
Bastion によるセキュリティ強化は、AADJ VM 拡張機能に参加している VM で動作しますか?
この機能は、Microsoft Entra ユーザーを使って AADJ VM 拡張機能に参加しているマシンでは動作しません。 詳細については、「Microsoft Entra ID を使用して Azure の Windows 仮想マシンにサインインする」を参照してください。
Bastion は、RDS セッション ホストとして設定された VM と互換性がありますか?
Bastion では、RDS セッション ホストとして設定された VM への接続がサポートされていません。
Bastion リモート セッション中はどのキーボード レイアウトがサポートされますか?
現在、VM 内では次のキーボード レイアウトが、Azure Bastion でサポートされています。
- en-us-qwerty
- en-gb-qwerty
- de-ch-qwertz
- de-de-qwertz
- fr-be-azerty
- fr-fr-azerty
- fr-ch-qwertz
- hu-hu-qwertz
- it-it-qwerty
- ja-jp-qwerty
- pt-br-qwerty
- es-es-qwerty
- es-latam-qwerty
- sv-se-qwerty
- tr-tr-qwerty
ターゲット言語の適切なキー マッピングを確立するには、ローカル コンピューターのキーボード レイアウトをターゲット言語に設定し、なおかつターゲット VM 内のキーボード レイアウトをターゲット言語に設定する必要があります。 ターゲット VM 内で正しいキー マッピングを確立するには、両方のキーボードをターゲット言語に設定しなければなりません。
Windows ワークステーションでキーボード レイアウトとしてターゲット言語を設定するには、[設定] > [時刻と言語] > [言語と地域] の順に移動します。 [優先する言語] で、[言語の追加] を選択し、ターゲット言語を追加します。 これで、キーボード レイアウトをツールバーに表示できるようになります。 キーボード レイアウトとして英語 (米国) を設定するには、ツールバーの [ENG] を選択するか、Windows キーとスペース キーを押してキーボード レイアウトを開きます。
VM とブラウザーの間でフォーカスを切り替えるキーボード ソリューションはありますか?
ユーザーは "Ctrl + Shift + Alt" を使用して、VM とブラウザーの間でフォーカスを効果的に切り替えることができます。
インスタンスからキーボードまたはマウス フォーカスに戻すにはどうすればいいですか?
[Bastion] ウィンドウ内でフォーカスを戻すには、Windows キーを続けて 2 回クリックします。
Bastion でサポートされる最大画面解像度は何ですか?
現在、サポートされている最大解像度は 1920x1080 (1080p) です。
Azure Bastion では、ターゲット VM のタイムゾーンの構成やタイムゾーンのリダイレクトはサポートされていますか?
現在、Azure Bastion ではタイムゾーンのリダイレクトはサポートされておらず、タイムゾーンは構成できません。 VM のタイムゾーン設定は、ゲスト OS に正常に接続した後に手動で更新できます。
Bastion ホストでのメンテナンス中に既存のセッションは切断されますか?
はい。ターゲットの Bastion リソース上の既存のセッションは、Bastion リソースでのメンテナンス中に切断されます。
JIT ポリシーを使用して VM に接続していますが、追加のアクセス許可は必要ですか?
ユーザーが JIT ポリシーを使用して VM に接続している場合、追加のアクセス許可は必要ありません。 JIT ポリシーを使用して VM に接続する方法の詳細については、「VM の Just-In-Time アクセスを有効にする」を参照してください。
VNet ピアリングに関する FAQ
ピアリングされた仮想ネットワークで複数の Bastion ホストをデプロイすることはできますか?
はい。 既定では、ユーザーには、VM が存在している同じ仮想ネットワークにデプロイされている Bastion ホストが表示されます。 ただし、 [接続] メニューには、ピアリングされたネットワークで検出された複数の Bastion ホストが表示されます。 仮想ネットワークにデプロイされている VM への接続に使用する Bastion ホストを選択できます。
ピアリングされた VNet が別のサブスクリプションにデプロイされている場合、Bastion 経由の接続は機能しますか?
はい、Bastion 経由の接続は、1 つのテナントの異なるサブスクリプション間でピアリングされた仮想ネットワークに対して引き続き機能します。 2 つの異なるテナントにまたがるサブスクリプションはサポートされていません。 [接続] ドロップダウン メニューで Bastion を表示するには、[サブスクリプション] >[グローバル サブスクリプション] で、アクセス権を持つサブスクリプションを選択する必要があります。
ピアリングされた VNet へのアクセス権を持っているにも関わらず、デプロイされている VM が表示されません。
ユーザーが VM とピアリングされた仮想ネットワークの両方への読み取りアクセスを持っていることを確認します。 さらに、ユーザーが次のリソースへの読み取りアクセスを持っていることを IAM で確認します。
- 仮想マシンに対する閲覧者ロール。
- 仮想マシンのプライベート IP を使用する NIC に対する閲覧者ロール。
- Azure Bastion リソースに対する閲覧者ロール。
- 仮想ネットワークに対する閲覧者ロール (ピアリングされた仮想ネットワークがない場合は不要)。
アクセス許可 | 説明 | アクセス許可の種類 |
---|---|---|
Microsoft.Network/bastionHosts/read | 踏み台ホストを取得します | アクション |
Microsoft.Network/virtualNetworks/BastionHosts/action | 仮想ネットワーク内の Bastion ホスト参照を取得します。 | アクション |
Microsoft.Network/virtualNetworks/bastionHosts/default/action | 仮想ネットワーク内の Bastion ホスト参照を取得します。 | アクション |
Microsoft.Network/networkInterfaces/read | ネットワーク インターフェイスの定義を取得します。 | アクション |
Microsoft.Network/networkInterfaces/ipconfigurations/read | ネットワーク インターフェイスの IP 構成定義を取得します。 | アクション |
Microsoft.Network/virtualNetworks/read | 仮想ネットワークの定義を取得します。 | アクション |
Microsoft.Network/virtualNetworks/subnets/virtualMachines/read | 仮想ネットワーク サブネットのすべての仮想マシンへの参照を取得します。 | アクション |
Microsoft.Network/virtualNetworks/virtualMachines/read | 仮想ネットワークのすべての仮想マシンへの参照を取得します。 | アクション |
次のステップ
詳細については、「Azure Bastion とは」を参照してください。