Problemen met Just-In-Time-toegang tot virtuele machines oplossen

  • 6 minuten

In tegenstelling tot Azure Bastion zijn er slechts twee problemen op hoog niveau die u mogelijk moet oplossen met Just-In-Time-VM-toegang.

Beschikbaarheid

JIT VM-toegang is een van de verbeterde beveiligingsfuncties van Microsoft Defender voor Cloud. Uw organisatie moet verbeterde beveiliging hebben ingeschakeld op abonnementsniveau. Als u dit wilt controleren, gaat u naar Azure Portal, selecteert u Microsoft Defender voor Cloud en selecteert u omgevingsinstellingen onder Beheer.

A screenshot of the Azure portal, selecting Microsoft Defender for Cloud, and then Environment settings.

Als u Microsoft Defender voor Cloud niet hebt ingeschakeld voor uw abonnement, ziet u de onderstaande fout:

A screenshot of the error shown if Microsoft Defender for Cloud isn’t enabled on a subscription. It shows there’s an Enable Microsoft Defender for Cloud button to select.

Selecteer Microsoft Defender voor Cloud inschakelen om naar een pagina te gaan waarmee u uw abonnement kunt selecteren.

Als u meerdere abonnementen hebt, selecteert u deze met de resources die u wilt oplossen. Selecteer vervolgens het grote vak Alle Microsoft Defender voor Cloud plannen inschakelen.

A screenshot showing how to enable all Microsoft Defender for Cloud plans.

Kies de services die u wilt beveiligen; U moet minimaal Server selecteren om JIT-VM-toegang in te schakelen.

U kunt JIT-toegang inschakelen vanuit het deelvenster VM-verbinding, van workloadbeveiligingen in Microsoft Defender voor Cloud of met behulp van Azure CLI-opdrachten. Als u bijvoorbeeld workloadbeveiligingen wilt gebruiken, voert u de volgende stappen uit:

  1. Selecteer Microsoft Defender voor Cloud in Azure Portal.

  2. Selecteer onder Cloud Security workloadbeveiliging.

  3. Selecteer Just-In-Time-VM-toegang .

    A screenshot showing selecting Workload protections, and then selecting Just-in-time VM access.

U kunt vervolgens het tabblad Niet geconfigureerd selecteren om alle VM's in uw abonnement weer te geven waarvoor geen JIT-toegang is ingeschakeld.

A screenshot showing the Not Configured tab selected, and a check against the VM to protect it. The Enable JIT button on 1 VM is highlighted.

Selecteer de controle naast de VM die u wilt beveiligen.

Selecteer JIT inschakelen op 1 VM.

Op deze pagina kunt u ook uw VM's diagnosticeren die niet worden ondersteund door JIT-VM-toegang. De VM's met problemen zijn waarschijnlijk geïmplementeerd zonder Azure Resource Manager te gebruiken. Alleen VM's die zijn geïmplementeerd via Azure Resource Manager, worden ondersteund door JIT-toegang.

Access

Als JIT-VM-toegang is ingeschakeld op uw computers, kunnen gebruikers nog steeds problemen ondervinden wanneer ze toegang tot een specifieke beveiligde VM aanvragen. U vraagt als volgt toegang tot een virtuele machine aan met behulp van Azure Portal:

  • Vanuit de Verbinding maken opties voor een virtuele machine.

  • Vanuit het gedeelte Workloadbeveiliging van Microsoft Defender voor Cloud.

  • Azure CLI-opdrachten gebruiken.

Als uw gebruikers geen JIT-toegang kunnen aanvragen, controleert u of de rol deze acties heeft, minimaal:

  • Microsoft.Security/locations/jitNetworkAccessPolicies/*/read

  • Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action

  • Microsoft.Compute/virtualMachines/read

  • Microsoft.Network/*/read

U gebruikt Toegangsbeheer (IAM) om te controleren welke gebruikers toegang hebben gekregen tot een virtuele machine. Selecteer virtuele machine in Azure Portal en selecteer vervolgens Toegangsbeheer (IAM).

A screenshot showing a VM’s Access control (IAM) settings. The View button for View access to this resource is highlighted.

U kunt de momenteel ingeschakelde en gebruikte JIT-VM-toegang bekijken in de sectie Microsoft Defender voor Cloud geavanceerde beveiliging.

A screenshot of the currently configured JIT VM access showing two VMs and their current status of access.