FAQ do Azure Bastion
Perguntas frequentes sobre o serviço de bastião e implantação
Quais os browsers suportados?
O navegador deve suportar HTML 5. Utilize os browsers Microsoft Edge ou Google Chrome no Windows. Para Apple Mac, utilize o browser Google Chrome. O Microsoft Edge Chromium também é suportado no Windows e Mac, respetivamente.
Como funcionam os preços?
O preço do Azure Bastion é uma combinação de preços por hora com base em SKU e instâncias (unidades de escala), além de taxas de transferência de dados. O preço por hora começa a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para obter as informações de preços mais recentes, consulte a página de preços do Azure Bastion.
O IPv6 é suportado?
No momento, o IPv6 não é suportado. O Azure Bastion suporta apenas IPv4. Isso significa que você só pode atribuir um endereço IP público IPv4 ao seu recurso Bastion e que pode usar seu Bastion para se conectar a VMs de destino IPv4. Você também pode usar seu Bastion para se conectar a VMs de destino de pilha dupla, mas só poderá enviar e receber tráfego IPv4 por meio do Azure Bastion.
Onde o Azure Bastion armazena dados do cliente?
O Azure Bastion não move nem armazena dados de clientes para fora da região em que está implantado.
O Azure Bastion dá suporte a zonas de disponibilidade?
Algumas regiões oferecem suporte à capacidade de implantar o Azure Bastion em uma zona de disponibilidade (ou várias, para redundância de zona). Para implantar zonalmente, você pode selecionar as zonas de disponibilidade que deseja implantar em detalhes da instância ao implantar o Bastion usando configurações especificadas manualmente. Não é possível alterar a disponibilidade zonal após a implantação do Bastion. Se não conseguir selecionar uma zona, poderá ter selecionado uma região do Azure que ainda não suporta zonas de disponibilidade. Para obter mais informações sobre zonas de disponibilidade, consulte Zonas de disponibilidade.
O suporte para zonas de disponibilidade está atualmente em pré-visualização. Durante a visualização, as seguintes regiões estão disponíveis:
- E.U.A. Leste
- Leste da Austrália
- E.U.A. Leste 2
- E.U.A. Central
- Catar Central
- Norte da África do Sul
- Europa Ocidental
- E.U.A. Oeste 2
- Europa do Norte
- Suécia Central
- Sul do Reino Unido
- Canadá Central
O Azure Bastion suporta WAN Virtual?
Sim, você pode usar o Azure Bastion para implantações de WAN Virtual. No entanto, não há suporte para a implantação do Azure Bastion em um hub WAN Virtual. Você pode implantar o Azure Bastion em uma rede virtual spoke e usar o recurso de conexão baseada em IP para se conectar a máquinas virtuais implantadas em uma rede virtual diferente por meio do hub WAN Virtual. Se o hub WAN Virtual do Azure for integrado ao Firewall do Azure como um Hub Virtual Seguro, a Sub-rede AzureBastionSubnet deverá residir em uma Rede Virtual onde a propagação de rota padrão 0.0.0.0/0 estiver desabilitada no nível de conexão de rede virtual.
Posso usar o Azure Bastion se estiver forçando o tráfego da Internet a encapsular o tráfego de volta ao meu local local?
Não, se você estiver anunciando uma rota padrão (0.0.0.0/0) pela Rota Expressa ou VPN, e essa rota estiver sendo injetada em suas Redes Virtuais, isso interromperá o serviço Azure Bastion.
O Azure Bastion precisa ser capaz de se comunicar com determinados pontos de extremidade internos para se conectar com êxito aos recursos de destino. Portanto, você pode usar o Azure Bastion com Zonas DNS Privadas do Azure, desde que o nome da zona selecionado não se sobreponha à nomenclatura desses pontos de extremidade internos. Antes de implantar seu recurso do Azure Bastion, verifique se a rede virtual do host não está vinculada a uma zona DNS privada com os seguintes nomes exatos:
- management.azure.com
- blob.core.windows.net
- core.windows.net
- vaultcore.windows.net
- vault.azure.net
- azure.com
Você pode usar uma zona DNS privada que termina com um dos nomes na lista anterior (por exemplo, privatelink.blob.core.windows.net).
O Azure Bastion não é suportado com as Zonas DNS Privadas do Azure em nuvens nacionais.
O meu privatelink.azure.com não consegue resolver management.privatelink.azure.com
Isso pode ser devido à zona DNS privada para privatelink.azure.com vinculados à rede virtual Bastion, fazendo com que management.azure.com CNAMEs resolvam management.privatelink.azure.com nos bastidores. Crie um registro CNAME em sua zona de privatelink.azure.com para management.privatelink.azure.com arm-frontdoor-prod.trafficmanager.net para habilitar a resolução DNS bem-sucedida.
O Azure Bastion suporta Private Link?
Não, o Azure Bastion não suporta atualmente o Azure Private Link.
Por que recebo um erro "Falha ao adicionar sub-rede" ao usar "Implantar bastião" no portal?
Neste momento, para a maioria dos espaços de endereço, você deve adicionar uma sub-rede chamada AzureBastionSubnet à sua rede virtual antes de selecionar Implantar Bastion.
São necessárias permissões especiais para implantar Bastion na AzureBastionSubnet?
Para implantar Bastion na AzureBastionSubnet, são necessárias permissões de gravação. Exemplo: Microsoft.Network/virtualNetworks/write.
Posso ter uma sub-rede do Azure Bastion de tamanho /27 ou menor (/28, /29, etc.)?
Para recursos do Azure Bastion implantados em ou após 2 de novembro de 2021, o tamanho mínimo do AzureBastionSubnet é /26 ou maior (/25, /24, etc.). Todos os recursos do Azure Bastion implantados em sub-redes de tamanho /27 antes dessa data não são afetados por essa alteração e continuarão a funcionar. No entanto, é altamente recomendável aumentar o tamanho de qualquer AzureBastionSubnet existente para /26 caso você opte por aproveitar o dimensionamento de host no futuro.
Posso implantar vários recursos do Azure na minha sub-rede do Azure Bastion?
N.º A sub-rede do Azure Bastion (AzureBastionSubnet) é reservada apenas para a implantação do seu recurso do Azure Bastion.
O roteamento definido pelo usuário (UDR) é suportado em uma sub-rede do Azure Bastion?
N.º UDR não é suportado em uma sub-rede do Azure Bastion.
Para cenários que incluem o Azure Bastion e o Azure Firewall/Network Virtual Appliance (NVA) na mesma rede virtual, não é necessário forçar o tráfego de uma sub-rede do Azure Bastion para o Firewall do Azure porque a comunicação entre o Azure Bastion e suas VMs é privada. Para obter mais informações, consulte Acessando VMs por trás do Firewall do Azure com Bastion.
Que SKU devo usar?
O Azure Bastion tem várias SKUs. Você deve selecionar uma SKU com base em seus requisitos de conexão e recursos. Para obter uma lista completa das camadas de SKU e das conexões e recursos suportados, consulte o artigo Definições de configuração .
Posso atualizar um SKU?
Sim. Para conhecer as etapas, consulte Atualizar uma SKU. Para obter mais informações sobre SKUs, consulte o artigo Definições de configuração .
Posso fazer downgrade de uma SKU?
N.º Não há suporte para o downgrade de uma SKU. Para obter mais informações sobre SKUs, consulte o artigo Definições de configuração .
O Bastion dá suporte à conectividade com a Área de Trabalho Virtual do Azure?
Não, a conectividade Bastion com a Área de Trabalho Virtual do Azure não é suportada.
Como lido com falhas de implementação?
Revise todas as mensagens de erro e levante uma solicitação de suporte no portal do Azure conforme necessário. Falhas de implantação podem resultar de limites, cotas e restrições de assinatura do Azure. Especificamente, os clientes podem encontrar um limite no número de endereços IP públicos permitidos por assinatura que faz com que a implantação do Azure Bastion falhe.
Como posso incorporar o Azure Bastion no meu plano de Recuperação de Desastres?
O Azure Bastion é implantado em redes virtuais ou redes virtuais emparelhadas e está associado a uma região do Azure. Você é responsável por implantar o Azure Bastion em uma rede virtual de site de recuperação de desastres (DR). Se houver uma falha na região do Azure, execute uma operação de failover para suas VMs para a região de DR. Em seguida, use o host do Azure Bastion implantado na região de DR para se conectar às VMs que agora estão implantadas lá.
O Bastion suporta mover uma VNet para outro grupo de recursos?
N.º Se você mover sua rede virtual para outro grupo de recursos (mesmo que esteja na mesma assinatura), primeiro precisará excluir Bastion da rede virtual e, em seguida, continuar a mover a rede virtual para o novo grupo de recursos. Quando a rede virtual estiver no novo grupo de recursos, você poderá implantar Bastion na rede virtual.
Bastion suporta redundâncias de zona?
Atualmente, por padrão, as novas implantações do Bastion não suportam redundâncias de zona. Os bastiões implantados anteriormente podem ou não ser redundantes de zona. As exceções são implantações Bastion na Coreia Central e Sudeste Asiático, que suportam redundâncias de zona.
O Bastion suporta contas de convidado do Microsoft Entra?
Sim, as contas de convidado do Microsoft Entra podem ter acesso ao Bastion e podem se conectar a máquinas virtuais. No entanto, os usuários convidados do Microsoft Entra não podem se conectar às VMs do Azure por meio da autenticação do Microsoft Entra. Os utilizadores não convidados são suportados através da autenticação do Microsoft Entra. Para obter mais informações sobre a autenticação do Microsoft Entra para VMs do Azure (para usuários não convidados), consulte Entrar em uma máquina virtual do Windows no Azure usando a ID do Microsoft Entra.
Os domínios personalizados são suportados com links compartilháveis Bastion?
Não, os domínios personalizados não são suportados com links compartilháveis Bastion. Os usuários recebem um erro de certificado ao tentar adicionar domínios específicos no CN/SAN do certificado de host Bastion.
Perguntas frequentes sobre conexão de VM e recursos disponíveis
São necessárias funções para aceder a uma máquina virtual?
Para estabelecer uma ligação, são necessárias as seguintes funções:
- Função de leitor na máquina virtual.
- Função de leitor na NIC com IP privado da máquina virtual.
- Função de leitor no recurso Azure Bastion.
- Função de leitor na rede virtual da máquina virtual de destino (se a implantação Bastion estiver em uma rede virtual emparelhada).
Além disso, o usuário deve ter os direitos (se necessário) para se conectar à VM. Por exemplo, se o usuário estiver se conectando a uma VM do Windows via RDP e não for membro do grupo Administradores local, ele deverá ser membro do grupo Usuários da Área de Trabalho Remota.
Por que recebo a mensagem de erro "Sua sessão expirou" antes do início da sessão Bastion?
Se você acessar o URL diretamente de outra sessão ou guia do navegador, esse erro é esperado. Ele ajuda a garantir que sua sessão seja mais segura e que a sessão possa ser acessada somente por meio do portal do Azure. Entre no portal do Azure e comece sua sessão novamente.
Preciso de um IP público na minha máquina virtual para me conectar via Azure Bastion?
N.º Quando você se conecta a uma VM usando o Azure Bastion, não precisa de um IP público na máquina virtual do Azure à qual está se conectando. O serviço Bastion abre a sessão/conexão RDP/SSH com sua máquina virtual sobre o IP privado de sua máquina virtual, dentro de sua rede virtual.
Preciso de um cliente RDP ou SSH?
N.º Você pode acessar sua máquina virtual do portal do Azure usando seu navegador. Para obter conexões e métodos disponíveis, consulte Sobre conexões e recursos de VM.
Os usuários precisam de direitos específicos em uma VM de destino para conexões RDP?
Quando um usuário se conecta a uma VM do Windows via RDP, ele deve ter direitos na VM de destino. Se o usuário não for um administrador local, adicione o usuário ao grupo Usuários da Área de Trabalho Remota na VM de destino.
Posso me conectar à minha VM usando um cliente nativo?
Sim. Você pode se conectar a uma VM a partir do computador local usando um cliente nativo. Consulte Conectar-se a uma VM usando um cliente nativo.
Preciso de um agente em execução na máquina virtual do Azure?
N.º Não é necessário instalar um agente ou qualquer software no navegador ou na máquina virtual do Azure. O serviço Bastion é sem agente e não requer nenhum software adicional para RDP/SSH.
Quais recursos são suportados para sessões de VM?
Consulte Sobre conexões e recursos de VM para obter os recursos suportados.
A opção Redefinir senha está disponível para usuários locais que se conectam via link compartilhável?
N.º Algumas organizações têm políticas da empresa que exigem uma redefinição de senha quando um usuário faz login em uma conta local pela primeira vez. Ao usar links compartilháveis, o usuário não pode alterar a senha, mesmo que um botão "Redefinir senha" possa aparecer.
O áudio remoto está disponível para VMs?
Sim. Consulte Sobre conexões e recursos de VM.
O Azure Bastion suporta a transferência de ficheiros?
O Azure Bastion oferece suporte para transferência de arquivos entre sua VM de destino e o computador local usando Bastion e um cliente RDP ou SSH nativo. No momento, você não pode carregar ou baixar arquivos usando o PowerShell ou por meio do portal do Azure. Para obter mais informações, consulte Carregar e baixar arquivos usando o cliente nativo.
A proteção Bastion funciona com VMs unidas à extensão AADJ VM?
Esse recurso não funciona com máquinas associadas à extensão AADJ VM usando usuários do Microsoft Entra. Para obter mais informações, consulte Entrar em uma máquina virtual do Windows no Azure usando a ID do Microsoft Entra.
Bastion é compatível com VMs configuradas como hosts de sessão RDS?
Bastion não suporta a conexão com uma VM configurada como um host de sessão RDS.
Quais layouts de teclado são suportados durante a sessão remota Bastion?
Atualmente, o Azure Bastion dá suporte aos seguintes layouts de teclado dentro da VM:
- en-us-qwerty
- en-gb-qwerty
- DE-CH-QWERTZ
- De-de-Qwertz
- fr-be-azerty
- fr-fr-azerty
- FR-CH-QWERTZ
- Hu-Hu-Qwertz
- it-it-qwerty
- JA-JP-QWERTY
- pt-br-qwerty
- ES-ES-QWERTY
- ES-LATAM-QWERTY
- SV-SE-QWERTY
- TR-TR-QWERTY
Para estabelecer os mapeamentos de teclas corretos para o idioma de destino, você deve definir o layout de teclado no computador local para o idioma de destino e o layout de teclado dentro da VM de destino para o idioma de destino. Ambos os teclados devem ser definidos para o idioma de destino para estabelecer os mapeamentos de teclas corretos dentro da VM de destino.
Para definir o idioma de destino como o layout do teclado em uma estação de trabalho Windows, navegue até Tempo de Configurações > & Idioma > Idioma & Região. Em "Idiomas preferidos", selecione "Adicionar um idioma" e adicione o idioma de destino. Em seguida, você poderá ver os layouts do teclado na barra de ferramentas. Para definir Inglês (Estados Unidos) como seu layout de teclado, selecione "ENG" na barra de ferramentas ou clique em Windows + Barra de espaço para abrir layouts de teclado.
Existe uma solução de teclado para alternar o foco entre uma VM e um navegador?
Os usuários podem usar "Ctrl+Shift+Alt" para alternar efetivamente o foco entre a VM e o navegador.
Como faço para recuperar o foco do teclado ou mouse de uma instância?
Clique na tecla Windows duas vezes seguidas para retomar o foco na janela Bastion.
Qual é a resolução máxima de tela suportada via Bastion?
Atualmente, 1920x1080 (1080p) é a resolução máxima suportada.
O Azure Bastion dá suporte à configuração de fuso horário ou ao redirecionamento de fuso horário para VMs de destino?
Atualmente, o Azure Bastion não oferece suporte ao redirecionamento de fuso horário e não é configurável de fuso horário. As configurações de fuso horário para uma VM podem ser atualizadas manualmente após a conexão bem-sucedida ao SO convidado.
Uma sessão existente será desconectada durante a manutenção no host Bastion?
Sim, as sessões existentes no recurso Bastion de destino serão desconectadas durante a manutenção no recurso Bastion.
Estou me conectando a uma VM usando uma política JIT, preciso de permissões adicionais?
Se o usuário estiver se conectando a uma VM usando uma política JIT, não serão necessárias permissões adicionais. Para obter mais informações sobre como se conectar a uma VM usando uma política JIT, consulte Habilitar acesso just-in-time em VMs.
FAQs sobre o peering de VNet
Ainda posso implantar vários hosts Bastion em redes virtuais emparelhadas?
Sim. Por padrão, um usuário vê o host Bastion implantado na mesma rede virtual em que a VM reside. No entanto, no menu Conectar , um usuário pode ver vários hosts Bastion detetados em redes emparelhadas. Eles podem selecionar o host Bastion que preferem usar para se conectar à VM implantada na rede virtual.
Se minhas redes virtuais emparelhadas forem implantadas em assinaturas diferentes, a conectividade via Bastion funcionará?
Sim, a conectividade via Bastion continuará a funcionar para redes virtuais emparelhadas em diferentes assinaturas para um único locatário. Não há suporte para assinaturas em dois locatários diferentes. Para ver Bastion no menu suspenso Conectar, o usuário deve selecionar os subs aos quais tem acesso na assinatura global da Assinatura>.
Tenho acesso à rede virtual emparelhada, mas não consigo ver a VM implantada lá.
Verifique se o usuário tem acesso de leitura à VM e à rede virtual emparelhada. Além disso, verifique no IAM se o usuário tem acesso de leitura aos seguintes recursos:
- Função de leitor na máquina virtual.
- Função de leitor na NIC com IP privado da máquina virtual.
- Função de leitor no recurso Azure Bastion.
- Função de leitor na rede virtual (Não é necessário se não houver uma rede virtual emparelhada).
| Permissões | Description | Tipo de permissão |
|---|---|---|
| Microsoft.Network/bastionHosts/read | Obtém um Bastion Host | Ação |
| Microsoft.Network/virtualNetworks/BastionHosts/action | Obtém referências Bastion Host em uma rede virtual. | Ação |
| Microsoft.Network/virtualNetworks/bastionHosts/default/action | Obtém referências Bastion Host em uma rede virtual. | Ação |
| Microsoft.Network/networkInterfaces/leitura | Obtém uma definição de interface de rede. | Ação |
| Microsoft.Network/networkInterfaces/ipconfigurations/read | Obtém uma definição de configuração IP da interface de rede. | Ação |
| Microsoft.Network/virtualNetworks/ler | Obter a definição de rede virtual | Ação |
| Microsoft.Network/virtualNetworks/subnets/virtualMachines/read | Obtém referências a todas as máquinas virtuais em uma sub-rede de rede virtual | Ação |
| Microsoft.Network/virtualNetworks/virtualMachines/ler | Obtém referências a todas as máquinas virtuais em uma rede virtual | Ação |
Próximos passos
Para obter mais informações, consulte O que é o Azure Bastion.