Vanliga frågor och svar om Azure Bastion
Vanliga frågor och svar om Bastion-tjänsten och distribution
Vilka webbläsare kan användas?
Webbläsaren måste ha stöd för HTML 5. Använd någon av webbläsarna Microsoft Edge eller Google Chrome i Windows. För Apple Mac använder du webbläsaren Google Chrome. Microsoft Edge Chromium kan också användas på både Windows och Mac.
Hur fungerar prissättningen?
Priser för Azure Bastion är en kombination av priser per timme baserat på SKU och instanser (skalningsenheter), plus dataöverföringshastigheter. Priserna per timme börjar från det ögonblick då Bastion distribueras, oavsett utgående dataanvändning. Den senaste prisinformationen finns på sidan med priser för Azure Bastion.
Stöds IPv6?
För närvarande stöds inte IPv6. Azure Bastion stöder endast IPv4. Det innebär att du bara kan tilldela en offentlig IPv4-IP-adress till din Bastion-resurs och att du kan använda Bastion för att ansluta till virtuella IPv4-måldatorer. Du kan också använda Bastion för att ansluta till virtuella måldatorer med dubbla staplar, men du kan bara skicka och ta emot IPv4-trafik via Azure Bastion.
Var lagrar Azure Bastion kunddata?
Azure Bastion flyttar eller lagrar inte kunddata från den region som den distribueras i.
Har Azure Bastion stöd för tillgänglighetszoner?
Vissa regioner stöder möjligheten att distribuera Azure Bastion i en tillgänglighetszon (eller flera, för zonredundans). Om du vill distribuera zonindelad kan du välja de tillgänglighetszoner som du vill distribuera under instansinformation när du distribuerar Bastion med hjälp av manuellt angivna inställningar. Du kan inte ändra zontillgänglighet när Bastion har distribuerats. Om du inte kan välja en zon kanske du har valt en Azure-region som ännu inte stöder tillgänglighetszoner. Mer information om tillgänglighetszoner finns i Tillgänglighetszoner.
Stöd för Tillgänglighetszoner finns för närvarande i förhandsversion. Under förhandsversionen är följande regioner tillgängliga:
- USA, östra
- Australien, östra
- USA, östra 2
- Centrala USA
- Qatar, centrala
- Sydafrika, norra
- Västeuropa
- Västra USA 2
- Europa, norra
- Sverige, centrala
- Södra Storbritannien
- Kanada, centrala
Har Azure Bastion stöd för Virtual WAN?
Ja, du kan använda Azure Bastion för Virtual WAN-distributioner. Det går dock inte att distribuera Azure Bastion i en Virtual WAN-hubb. Du kan distribuera Azure Bastion i ett virtuellt ekernätverk och använda den IP-baserade anslutningsfunktionen för att ansluta till virtuella datorer som distribuerats i ett annat virtuellt nätverk via Virtual WAN-hubben. Om Azure Virtual WAN-hubben ska integreras med Azure Firewall som en skyddad virtuell hubb måste AzureBastionSubnet finnas i ett virtuellt nätverk där standardflödet 0.0.0.0/0 är inaktiverat på anslutningsnivån för virtuella nätverk.
Kan jag använda Azure Bastion om jag tvingar internettrafiken tillbaka till min lokala plats?
Nej, om du annonserar en standardväg (0.0.0.0/0) över ExpressRoute eller VPN, och den här vägen matas in i dina virtuella nätverk, bryter detta Azure Bastion-tjänsten.
Azure Bastion måste kunna kommunicera med vissa interna slutpunkter för att kunna ansluta till målresurser. Därför kan du använda Azure Bastion med Azure Privat DNS-zoner så länge zonnamnet du väljer inte överlappar namngivningen av dessa interna slutpunkter. Innan du distribuerar din Azure Bastion-resurs kontrollerar du att det virtuella värdnätverket inte är länkat till en privat DNS-zon med följande exakta namn:
- management.azure.com
- blob.core.windows.net
- core.windows.net
- vaultcore.windows.net
- vault.azure.net
- azure.com
Du kan använda en privat DNS-zon som slutar med ett av namnen i föregående lista (till exempel privatelink.blob.core.windows.net).
Azure Bastion stöds inte med Azure Privat DNS Zones i nationella moln.
Min privatelink.azure.com kan inte matcha för att management.privatelink.azure.com
Detta kan bero på den privata DNS-zonen för privatelink.azure.com som är länkad till det virtuella Bastion-nätverket, vilket gör att management.azure.com CNAMEs löser management.privatelink.azure.com i bakgrunden. Skapa en CNAME-post i deras privatelink.azure.com zon för management.privatelink.azure.com att arm-frontdoor-prod.trafficmanager.net för att aktivera lyckad DNS-matchning.
Stöder Azure Bastion Private Link?
Nej, Azure Bastion stöder för närvarande inte Azure Private Link.
Varför visas felet "Det gick inte att lägga till undernät" när jag använde "Distribuera Bastion" i portalen?
För de flesta adressutrymmen måste du för närvarande lägga till ett undernät med namnet AzureBastionSubnet i det virtuella nätverket innan du väljer Distribuera Bastion.
Krävs särskilda behörigheter för att distribuera Bastion till AzureBastionSubnet?
Skrivbehörigheter krävs för att distribuera Bastion till AzureBastionSubnet. Exempel: Microsoft.Network/virtualNetworks/write.
Kan jag ha ett Azure Bastion-undernät med storlek /27 eller mindre (/28, /29 osv.)?
För Azure Bastion-resurser som distribueras den 2 november 2021 eller senare är den minsta Storleken på AzureBastionSubnet /26 eller större (/25, /24 osv.). Alla Azure Bastion-resurser som distribueras i undernät av storlek /27 före det här datumet påverkas inte av den här ändringen och fortsätter att fungera. Vi rekommenderar dock starkt att du ökar storleken på ett befintligt AzureBastionSubnet till /26 om du väljer att dra nytta av värdskalning i framtiden.
Kan jag distribuera flera Azure-resurser i mitt Azure Bastion-undernät?
Nej. Azure Bastion-undernätet (AzureBastionSubnet) är endast reserverat för distributionen av din Azure Bastion-resurs.
Stöds användardefinierad routning (UDR) i ett Azure Bastion-undernät?
Nej. UDR stöds inte i ett Azure Bastion-undernät.
För scenarier som omfattar både Azure Bastion och Azure Firewall/Network Virtual Appliance (NVA) i samma virtuella nätverk behöver du inte tvinga trafik från ett Azure Bastion-undernät till Azure Firewall eftersom kommunikationen mellan Azure Bastion och dina virtuella datorer är privat. Mer information finns i Komma åt virtuella datorer bakom Azure Firewall med Bastion.
Vilken SKU ska jag använda?
Azure Bastion har flera SKU:er. Du bör välja en SKU baserat på dina anslutnings- och funktionskrav. En fullständig lista över SKU-nivåer och anslutningar och funktioner som stöds finns i artikeln Konfigurationsinställningar .
Kan jag uppgradera en SKU?
Ja. Anvisningar finns i Uppgradera en SKU. Mer information om SKU:er finns i artikeln Konfigurationsinställningar .
Kan jag nedgradera en SKU?
Nej. Det går inte att nedgradera en SKU. Mer information om SKU:er finns i artikeln Konfigurationsinställningar .
Stöder Bastion anslutning till Azure Virtual Desktop?
Nej, Bastion-anslutning till Azure Virtual Desktop stöds inte.
Hur gör jag för att hantera distributionsproblem?
Granska eventuella felmeddelanden och skapa en supportbegäran i Azure-portalen efter behov. Distributionsfel kan bero på azure-prenumerationsgränser , kvoter och begränsningar. Mer specifikt kan kunder stöta på en gräns för hur många offentliga IP-adresser som tillåts per prenumeration, vilket gör att Azure Bastion-distributionen misslyckas.
Hur gör jag för att införliva Azure Bastion i min haveriberedskapsplan?
Azure Bastion distribueras i virtuella nätverk eller peer-kopplade virtuella nätverk och är associerat med en Azure-region. Du ansvarar för att distribuera Azure Bastion till ett virtuellt nätverk för haveriberedskap (DR). Om det uppstår ett fel i Azure-regionen utför du en redundansåtgärd för dina virtuella datorer till DR-regionen. Använd sedan Azure Bastion-värden som distribueras i DR-regionen för att ansluta till de virtuella datorer som nu distribueras där.
Har Bastion stöd för att flytta ett VNet till en annan resursgrupp?
Nej. Om du flyttar ditt virtuella nätverk till en annan resursgrupp (även om det finns i samma prenumeration) måste du först ta bort Bastion från det virtuella nätverket och sedan flytta det virtuella nätverket till den nya resursgruppen. När det virtuella nätverket finns i den nya resursgruppen kan du distribuera Bastion till det virtuella nätverket.
Stöder Bastion zonredundans?
För närvarande stöder nya Bastion-distributioner för närvarande inte zonredundans. Tidigare distribuerade bastioner kan vara zonredundanta. Undantagen är Bastion-distributioner i Korea, centrala och Sydostasien, som stöder zonredundanser.
Har Bastion stöd för Microsoft Entra-gästkonton?
Ja, Microsoft Entra-gästkonton kan beviljas åtkomst till Bastion och kan ansluta till virtuella datorer. Microsoft Entra-gästanvändare kan dock inte ansluta till virtuella Azure-datorer via Microsoft Entra-autentisering. Icke-gästanvändare stöds via Microsoft Entra-autentisering. Mer information om Microsoft Entra-autentisering för virtuella Azure-datorer (för icke-gästanvändare) finns i Logga in på en virtuell Windows-dator i Azure med hjälp av Microsoft Entra-ID.
Stöds anpassade domäner med Bastion-delningsbara länkar?
Nej, anpassade domäner stöds inte med Bastion-delningsbara länkar. Användare får ett certifikatfel när de försöker lägga till specifika domäner i CN/SAN för Bastion-värdcertifikatet.
Vanliga frågor och svar om VM-anslutning och tillgängliga funktioner
Krävs det några roller för att få åtkomst till en virtuell dator?
För att upprätta en anslutning krävs följande roller:
- Läsarroll på den virtuella datorn.
- Läsarroll på nätverkskortet med den virtuella datorns privata IP-adress.
- Läsarroll på Azure Bastion-resursen.
- Läsarroll i det virtuella nätverket för den virtuella måldatorn (om Bastion-distributionen finns i ett peer-kopplat virtuellt nätverk).
Dessutom måste användaren ha behörigheten (om det behövs) att ansluta till den virtuella datorn. Om användaren till exempel ansluter till en virtuell Windows-dator via RDP och inte är medlem i den lokala gruppen Administratörer måste användaren vara medlem i gruppen Fjärrskrivbordsanvändare.
Varför visas felmeddelandet "Sessionen har upphört att gälla" innan Bastion-sessionen startar?
Om du går till URL:en direkt från en annan webbläsarsession eller flik förväntas det här felet. Det säkerställer att sessionen är säkrare och att sessionen endast kan nås via Azure-portalen. Logga in på Azure-portalen och börja sessionen igen.
Behöver jag en offentlig IP-adress på min virtuella dator för att ansluta via Azure Bastion?
Nej. När du ansluter till en virtuell dator med Azure Bastion behöver du ingen offentlig IP-adress på den virtuella Azure-dator som du ansluter till. Bastion-tjänsten öppnar RDP/SSH-sessionen/anslutningen till den virtuella datorn via den privata IP-adressen för den virtuella datorn i det virtuella nätverket.
Behöver jag en RDP- eller SSH-klient?
Nej. Du kan komma åt din virtuella dator från Azure-portalen med hjälp av webbläsaren. Tillgängliga anslutningar och metoder finns i Om VM-anslutningar och funktioner.
Behöver användarna specifika rättigheter på en virtuell måldator för RDP-anslutningar?
När en användare ansluter till en virtuell Windows-dator via RDP måste de ha behörighet på den virtuella måldatorn. Om användaren inte är en lokal administratör lägger du till användaren i gruppen Fjärrskrivbordsanvändare på den virtuella måldatorn.
Kan jag ansluta till min virtuella dator med en intern klient?
Ja. Du kan ansluta till en virtuell dator från din lokala dator med hjälp av en intern klient. Se Anslut till en virtuell dator med hjälp av en intern klient.
Behöver jag en agen som körs på den virtuella Azure-datorn?
Nej. Du behöver inte installera en agent eller någon programvara i webbläsaren eller på den virtuella Azure-datorn. Bastion-tjänsten är agentlös och kräver ingen ytterligare programvara för RDP/SSH.
Vilka funktioner stöds för VM-sessioner?
Se Om VM-anslutningar och funktioner för funktioner som stöds.
Är Återställningslösenord tillgängligt för lokala användare som ansluter via delningsbar länk?
Nej. Vissa organisationer har företagsprinciper som kräver en lösenordsåterställning när en användare loggar in på ett lokalt konto för första gången. När du använder delningsbara länkar kan användaren inte ändra lösenordet, även om knappen Återställ lösenord kan visas.
Är fjärrljud tillgängligt för virtuella datorer?
Ja. Se Om VM-anslutningar och funktioner.
Stöder Azure Bastion filöverföring?
Azure Bastion har stöd för filöverföring mellan den virtuella måldatorn och den lokala datorn med Bastion och en intern RDP- eller SSH-klient. För närvarande kan du inte ladda upp eller ladda ned filer med PowerShell eller via Azure-portalen. Mer information finns i Ladda upp och ladda ned filer med den interna klienten.
Fungerar Bastion-härdning med AADJ VM-tilläggsanslutna virtuella datorer?
Den här funktionen fungerar inte med AADJ VM-tilläggs-anslutna datorer med Microsoft Entra-användare. Mer information finns i Logga in på en virtuell Windows-dator i Azure med hjälp av Microsoft Entra-ID.
Är Bastion kompatibelt med virtuella datorer som konfigurerats som RDS-sessionsvärdar?
Bastion stöder inte anslutning till en virtuell dator som har konfigurerats som en RDS-sessionsvärd.
Vilka tangentbordslayouter stöds under Bastion-fjärrsessionen?
Azure Bastion stöder för närvarande följande tangentbordslayouter i den virtuella datorn:
- en-us-qwerty
- en-gb-qwerty
- de-ch-qwertz
- de-de-qwertz
- fr-be-azerty
- fr-fr-azerty
- fr-ch-qwertz
- hu-hu-qwertz
- it-it-qwerty
- ja-jp-qwerty
- pt-br-qwerty
- es-es-qwerty
- es-latam-qwerty
- sv-se-qwerty
- tr-tr-qwerty
För att upprätta rätt nyckelmappningar för målspråket måste du ange tangentbordslayouten på den lokala datorn till målspråket och tangentbordslayouten i den virtuella måldatorn till målspråket. Båda tangentborden måste vara inställda på målspråket för att upprätta rätt nyckelmappningar i den virtuella måldatorn.
Om du vill ange målspråket som tangentbordslayout på en Windows-arbetsstation går du till Inställningar > Tid och språk > och region. Under "Föredragna språk" väljer du "Lägg till ett språk" och lägger till målspråket. Sedan kan du se tangentbordslayouterna i verktygsfältet. Om du vill ange engelska (USA) som tangentbordslayout väljer du "ENG" i verktygsfältet eller klickar på Windows + Blanksteg för att öppna tangentbordslayouter.
Finns det en tangentbordslösning för att växla fokus mellan en virtuell dator och en webbläsare?
Användare kan använda "Ctrl+Skift+Alt" för att effektivt växla fokus mellan den virtuella datorn och webbläsaren.
Hur gör jag för att ta tillbaka tangentbords- eller musfokus från en instans?
Klicka på Windows-nyckeln två gånger i rad för att ta tillbaka fokus i Bastion-fönstret.
Vilken skärmupplösning stöds maximalt via Bastion?
För närvarande är 1920x1080 (1080p) den högsta upplösning som stöds.
Har Azure Bastion stöd för tidszonskonfiguration eller tidszonsomdirigering för virtuella måldatorer?
Azure Bastion stöder för närvarande inte omdirigering av tidszoner och kan inte konfigureras med tidszon. Tidszonsinställningarna för en virtuell dator kan uppdateras manuellt när du har anslutit till gästoperativsystemet.
Kommer en befintlig session att kopplas från under underhåll på Bastion-värden?
Ja, befintliga sessioner på målbastionsresursen kopplas från under underhåll av Bastion-resursen.
Jag ansluter till en virtuell dator med en JIT-princip, behöver jag ytterligare behörigheter?
Om användaren ansluter till en virtuell dator med hjälp av en JIT-princip behövs inga ytterligare behörigheter. Mer information om hur du ansluter till en virtuell dator med en JIT-princip finns i Aktivera just-in-time-åtkomst på virtuella datorer.
Vanliga frågor och svar om VNet-peering
Kan jag fortfarande distribuera flera Bastion-värdar i peer-kopplade virtuella nätverk?
Ja. Som standard ser en användare Bastion-värden som distribueras i samma virtuella nätverk där den virtuella datorn finns. Men på menyn Anslut kan en användare se flera Bastion-värdar som identifierats i peer-kopplade nätverk. De kan välja den Bastion-värd som de föredrar att använda för att ansluta till den virtuella dator som distribueras i det virtuella nätverket.
Kommer anslutningen via Bastion att fungera om mina peer-kopplade virtuella nätverk distribueras i olika prenumerationer?
Ja, anslutningen via Bastion fortsätter att fungera för peer-kopplade virtuella nätverk i olika prenumerationer för en enskild klientorganisation. Prenumerationer på två olika klienter stöds inte. Om du vill se Bastion i den nedrullningsbara menyn Anslut måste användaren välja de underobjekt som de har åtkomst till i Prenumeration > global prenumeration.
Jag har åtkomst till det peerkopplade virtuella nätverket, men jag kan inte se den virtuella datorn distribuerad där.
Kontrollera att användaren har läsbehörighet till både den virtuella datorn och det peerkopplade virtuella nätverket. Kontrollera dessutom under IAM att användaren har läsbehörighet till följande resurser:
- Läsarroll på den virtuella datorn.
- Läsarroll på nätverkskortet med den virtuella datorns privata IP-adress.
- Läsarroll på Azure Bastion-resursen.
- Läsarroll i det virtuella nätverket (behövs inte om det inte finns ett peer-kopplat virtuellt nätverk).
| Behörigheter | beskrivning | Behörighetstyp |
|---|---|---|
| Microsoft.Network/bastionHosts/read | Hämtar en Bastion-värd | Åtgärd |
| Microsoft.Network/virtualNetworks/BastionHosts/action | Hämtar Bastion Host-referenser i ett virtuellt nätverk. | Åtgärd |
| Microsoft.Network/virtualNetworks/bastionHosts/default/action | Hämtar Bastion Host-referenser i ett virtuellt nätverk. | Åtgärd |
| Microsoft.Network/networkInterfaces/read | Hämtar en nätverksgränssnittsdefinition. | Åtgärd |
| Microsoft.Network/networkInterfaces/ipconfigurations/read | Hämtar en ip-konfigurationsdefinition för nätverksgränssnittet. | Åtgärd |
| Microsoft.Network/virtualNetworks/read | Hämta definitionen för virtuellt nätverk | Åtgärd |
| Microsoft.Network/virtualNetworks/subnets/virtualMachines/read | Hämtar referenser till alla virtuella datorer i ett virtuellt nätverksundernät | Åtgärd |
| Microsoft.Network/virtualNetworks/virtualMachines/read | Hämtar referenser till alla virtuella datorer i ett virtuellt nätverk | Åtgärd |
Nästa steg
Mer information finns i Vad är Azure Bastion.