Problemen met Just-In-Time-toegang tot virtuele machines oplossen
In tegenstelling tot Azure Bastion zijn er slechts twee problemen op hoog niveau die u mogelijk moet oplossen met Just-In-Time-VM-toegang.
Beschikbaarheid
JIT VM-toegang is een van de verbeterde beveiligingsfuncties van Microsoft Defender voor Cloud. Uw organisatie moet verbeterde beveiliging hebben ingeschakeld op abonnementsniveau. Als u dit wilt controleren, gaat u naar Azure Portal, selecteert u Microsoft Defender voor Cloud en selecteert u omgevingsinstellingen onder Beheer.
Als u Microsoft Defender voor Cloud niet hebt ingeschakeld voor uw abonnement, ziet u de onderstaande fout:
Selecteer Microsoft Defender voor Cloud inschakelen om naar een pagina te gaan waarmee u uw abonnement kunt selecteren.
Als u meerdere abonnementen hebt, selecteert u deze met de resources die u wilt oplossen. Selecteer vervolgens het grote vak Alle Microsoft Defender voor Cloud plannen inschakelen.
Kies de services die u wilt beveiligen; U moet minimaal Server selecteren om JIT-VM-toegang in te schakelen.
U kunt JIT-toegang inschakelen vanuit het deelvenster VM-verbinding, van workloadbeveiligingen in Microsoft Defender voor Cloud of met behulp van Azure CLI-opdrachten. Als u bijvoorbeeld workloadbeveiligingen wilt gebruiken, voert u de volgende stappen uit:
Selecteer Microsoft Defender voor Cloud in Azure Portal.
Selecteer onder Cloud Security workloadbeveiliging.
Selecteer Just-In-Time-VM-toegang .
U kunt vervolgens het tabblad Niet geconfigureerd selecteren om alle VM's in uw abonnement weer te geven waarvoor geen JIT-toegang is ingeschakeld.
Selecteer de controle naast de VM die u wilt beveiligen.
Selecteer JIT inschakelen op 1 VM.
Op deze pagina kunt u ook uw VM's diagnosticeren die niet worden ondersteund door JIT-VM-toegang. De VM's met problemen zijn waarschijnlijk geïmplementeerd zonder Azure Resource Manager te gebruiken. Alleen VM's die zijn geïmplementeerd via Azure Resource Manager, worden ondersteund door JIT-toegang.
Access
Als JIT-VM-toegang is ingeschakeld op uw computers, kunnen gebruikers nog steeds problemen ondervinden wanneer ze toegang tot een specifieke beveiligde VM aanvragen. U vraagt als volgt toegang tot een virtuele machine aan met behulp van Azure Portal:
Vanuit de Verbinding maken opties voor een virtuele machine.
Vanuit het gedeelte Workloadbeveiliging van Microsoft Defender voor Cloud.
Azure CLI-opdrachten gebruiken.
Als uw gebruikers geen JIT-toegang kunnen aanvragen, controleert u of de rol deze acties heeft, minimaal:
Microsoft.Security/locations/jitNetworkAccessPolicies/*/read
Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
Microsoft.Compute/virtualMachines/read
Microsoft.Network/*/read
U gebruikt Toegangsbeheer (IAM) om te controleren welke gebruikers toegang hebben gekregen tot een virtuele machine. Selecteer virtuele machine in Azure Portal en selecteer vervolgens Toegangsbeheer (IAM).
U kunt de momenteel ingeschakelde en gebruikte JIT-VM-toegang bekijken in de sectie Microsoft Defender voor Cloud geavanceerde beveiliging.