共用方式為


Azure Bastion 常見問題集

Bastion 服務和部署常見問題集

支援哪些瀏覽器?

瀏覽器必須支援 HTML 5。 在 Windows 中,請使用 Microsoft Edge 瀏覽器或 Google Chrome。 若為 Apple Mac,請使用 Google Chrome 瀏覽器。 Microsoft Edge Chromium 也分別受到 Windows 和 Mac 的支援。

價格如何運作?

Azure Bastion 定價是根據 SKU 和執行個體 (縮放單位),加上資料傳輸費率的每小時價格組合。 無論輸出資料使用量為何,每小時價格都是從部署 Bastion 的那一刻開始計費。 如需最新的價格資訊,請參閱 Azure Bastion 價格頁面。

是否支援 IPV6?

目前不支援 IPv6。 Azure Bastion 僅支援 IPv4。 這表示,您只能將 IPv4 公用 IP 位址指派給 Bastion 資源,而且您可以使用 Bastion 連線到 IPv4 目標 VM。 您也可以使用 Bastion 連線到雙堆疊目標 VM,但只能透過 Azure Bastion 傳送和接收 IPv4 流量。

Azure Bastion 會將客戶資料儲存在何處?

Azure Bastion 不會將客戶資料移動或儲存到其部署所在的區域外。

Azure Bastion 是否支援可用性區域?

如需 Azure Bastion 中可用性區域支援的資訊,請參閱 Azure Bastion 中的可靠性。

Azure Bastion 是否支援虛擬 WAN?

是,您可以使用 Azure Bastion 進行 Virtual WAN 部署。 不過,不支援在虛擬 WAN 中樞內部署 Azure Bastion。 您可以在輪輻虛擬網路中部署 Azure Bastion,並使用 IP 型連線功能,透過虛擬 WAN 中樞連線到跨不同虛擬網路部署的虛擬機器。 如果將 Azure 虛擬 WAN 中樞與 Azure 防火牆整合為安全虛擬中樞,則 AzureBastionSubnet 必須駐留在虛擬網路中,其中預設的 0.0.0.0/0 路由傳播會在虛擬網路連線層級處於停用狀態。

如果強制以通道方式將網際網路流量傳回我的內部部署位置,是否可以使用 Azure Bastion?

否,如果要透過 ExpressRoute 或 VPN 公告預設路由 (0.0.0.0/0),且此路由會插入虛擬網路,這會中斷 Azure Bastion 服務。

Azure Bastion 必須能夠與特定內部端點通訊,才能成功連線到目標資源。 因此,只要您選取的區功能變數名稱稱不會與這些內部端點的命名重疊,就「可以」搭配 Azure 私人 DNS 區域使用 Azure Bastion。 部署 Azure Bastion 資源之前,請確定主機虛擬網路未連結至具有下列確切名稱的私人 DNS 區域:

  • management.azure.com
  • blob.core.windows.net
  • core.windows.net
  • vaultcore.windows.net
  • vault.azure.net
  • azure.com

您可以使用私人 DNS 區域,結尾為先前清單中的其中一個名稱(例如:privatelink.blob.core.windows.net)。

國家雲端中的 Azure 私人 DNS 區域不支援 Azure Bastion。

我的 privatelink.azure.com 無法解析為 management.privatelink.azure.com

這可能是由於連線到 Bastion 虛擬網路 privatelink.azure.com 的私人 DNS 區域,導致 management.azure.com CNAME 在幕後解析為 management.privatelink.azure.com。 在其 privatelink.azure.com 區域中為 management.privatelink.azure.com 建立一個 CNAME 記錄到 arm-frontdoor-prod.trafficmanager.net,以啟用成功的 DNS 解析。

Azure Bastion 是否支援 Private Link?

否,Azure Bastion 目前不支援 Azure Private Link。

為什麼在入口網站中使用「部署 Bastion」時出現「無法新增子網路」錯誤?

目前,針對大多數的位址空間,必須先將名為 AzureBastionSubnet 的子網路新增至虛擬網路,然後選取 [部署 Bastion]

將 Bastion 部署至 AzureBastionSubnet 是否需要特殊存取權限?

若要將 Bastion 部署至 AzureBastionSubnet,則需要寫入權限。 範例:Microsoft.Network/virtualNetworks/write

我可以具有大小為 /27 或較小 (/28、/29 等) 的 Azure Bastion 子網路嗎?

針對在 2021 年 11 月 2 日或之後部署的 Azure Bastion 資源,最小的 AzureBastionSubnet 大小為 /26 或更大 (/25、/24 等)。 在此日期之前於大小為 /27 的子網路中部署的所有 Azure Bastion 資源都不受此變更影響,且將繼續運作。 不過,強烈建議您將任何現有的 AzureBastionSubnet 大小增加至 /26,以防您在未來選擇利用主機調整

我可以在 Azure Bastion 子網路中部署多個 Azure 資源嗎?

否。 Azure Bastion 子網路 (AzureBastionSubnet) 僅保留給 Azure Bastion 資源的部署。

Azure Bastion 子網路是否支援使用者定義的路由 (UDR)?

否。 Azure Bastion 子網路不支援 UDR。

若是相同的虛擬網路中同時包含 Azure Bastion 和 Azure 防火牆/網路虛擬設備 (NVA),您無需強制將 Azure Bastion 子網路的流量導向 Azure 防火牆,因為 Azure Bastion 和您的 VM 間採用私人通訊。 如需詳細資訊,請參閱透過 Bastion 從 Azure 防火牆後方存取 VM

我應該使用哪個 SKU?

Azure Bastion 具有多個 SKU。 應該根據連線和功能需求選取 SKU。 如需 SKU 層和支援連線和功能的完整清單,請參閱組態設定一文。

是否可以升級 SKU?

是。 如需步驟,請參閱升級 SKU。 如需 SKU 的詳細資訊,請參閱組態設定一文。

是否可以降級 SKU?

否。 不支援降級 SKU。 如需 SKU 的詳細資訊,請參閱組態設定一文。

Bastion 是否支援 Azure 虛擬桌面的連線?

否,不支援 Azure 虛擬桌面的 Bastion 連線。

我該如何處理部署失敗?

檢閱任何錯誤訊息,並視需要在 Azure 入口網站提出支援要求。 部署失敗的原因可能是 Azure 訂用帳戶限制、配額和條件約束。 具體而言,客戶可能會遇到每個訂用帳戶允許的公用 IP 位址數目限制,進而導致 Azure Bastion 部署失敗。

Bastion 是否支援將 VNet 移至另一個資源群組?

否。 如果您將虛擬網路移至另一個資源群組 (即使它位於相同的訂用帳戶中),您將必須先從虛擬網路中刪除 Bastion,然後繼續將虛擬網路移至新的資源群組。 一旦虛擬網路位於新的資源群組中,您就可以將 Bastion 部署到虛擬網路。

Bastion 是否支援 Microsoft Entra 來賓帳戶?

是,Microsoft Entra 來賓帳戶可以獲得 Bastion 的存取權,並可連線到虛擬機器。 但是,Microsoft Entra 來賓帳戶無法透過 Microsoft Entra 驗證連線到 Azure VM。 透過 Microsoft Entra 驗證支援非來賓使用者。 如需 Azure VM 的 Microsoft Entra 驗證的詳細資訊 (適用於非來賓使用者),請參閱使用 Microsoft Entra ID 登入 Azure 中的 Windows 虛擬機器

否,Bastion 可共享連結不支援自訂網域。 使用者嘗試在 Bastion 主機憑證的 CN/SAN 中新增特定網域時,會收到憑證錯誤。

VM 連線和可用功能常見問題集

需要哪些角色權限才能存取虛擬機器?

若要建立連線,必須具備下列角色:

  • 虛擬機器上的讀取者角色。
  • 虛擬機器的私人 IP 位址與 NIC 上的讀取者角色。
  • Azure Bastion 資源上的讀者角色。
  • 目標虛擬機器的虛擬網路上讀取者角色 (若 Bastion 部署位於對等互連的虛擬網路中)。

此外,使用者必須具有連線到 VM 的權限 (如有必要)。 例如,如果使用者透過 RDP 連線到 Windows VM,而且不是本機管理員群組的成員,則其必須是遠端桌面使用者群組的成員。

為什麼在 Bastion 工作階段開始之前,收到「您的工作階段已過期」錯誤訊息?

如果您直接從另一個瀏覽器工作階段或索引標籤移至 URL,則預計會發生此錯誤。 這有助於確保您的工作階段更加安全,而且只能透過 Azure 入口網站存取工作階段。 登入 Azure 入口網站並再次開始您的工作階段。

我的虛擬機器上是否需要公用 IP 才能透過 Azure Bastion 進行連線?

否。 使用 Azure Bastion 連線至 VM 時,要與 VM 連線的 Azure 虛擬機器上不需要公用 IP。 Bastion 服務會透過虛擬網路中虛擬機器的私人 IP,開啟至虛擬機器的 RDP/SSH 工作階段/連線。

我需要 RDP 或 SSH 用戶端嗎?

否。 您可以使用瀏覽器,從 Azure 入口網站存取虛擬機器。 如需可用的連線和方法,請參閱關於 VM 連線和功能

使用者是否需要對目標 VM 具有特定權限才能進行 RDP 連線?

當使用者透過 RDP 連線到 Windows VM 時,他們必須在目標 VM 上具有權限。 如果使用者不是本機管理員,請將使用者新增至目標 VM 上的遠端桌面使用者群組。

是否可以使用原生用戶端連線到我的 VM?

是。 您可以使用原生用戶端從本機電腦連線到 VM。 請參閱使用原生用戶端連線到 VM

我需要在 Azure 虛擬機器中執行代理程式嗎?

否。 您不需要在瀏覽器或 Azure 虛擬機器上安裝代理程式或任何軟體。 Bastion 服務沒有代理程式,不需要任何其他 RDP/SSH 軟體。

VM 工作階段支援哪些功能?

如需支援的功能,請參閱關於 VM 連線和功能

否。 某些組織的公司原則要求使用者在第一次登入本機帳戶時重設密碼。 使用可共享連結時,即使可能會出現 [重設密碼] 按鈕,使用者也無法變更密碼。

VM 是否可以使用遠端音訊?

是。 請參閱關於 VM 連線和功能

Azure Bastion 是否支援檔案傳輸?

Azure Bastion 支援使用 Bastion 和 RDP 或原生 SSH 用戶端,在目標 VM 與本機電腦之間傳輸檔案。 目前,您無法使用 PowerShell 或透過 Azure 入口網站上傳或下載檔案。 如需詳細資訊,請參閱使用原生用戶端上傳和下載檔案

Bastion 是否使用已加入 Entra ID 擴充功能的 VM?

Bastion 會使用已加入 Entra ID 延伸模組的 VM,Microsoft在原生用戶端上使用 RDP 和 SSH 的 Entra 使用者,而只在入口網站上使用 SSH。 尚未支援入口網站上 RDP 的項目識別碼。 如需詳細資訊,請參閱使用 Microsoft Entra ID 登入 Azure 中的 Windows 虛擬機器

Bastion 是否與設定為 RDS 工作階段主機的 VM 相容?

Bastion 不支援連線到設定為 RDS 工作階段主機的 VM。

Bastion 遠端工作階段期間支援哪些鍵盤配置?

Azure Bastion 目前在 VM 內支援下列鍵盤配置:

  • en-us-qwerty
  • en-gb-qwerty
  • de-ch-qwertz
  • de-de-qwertz
  • fr-be-azerty
  • fr-fr-azerty
  • fr-ch-qwertz
  • hu-hu-qwertz
  • it-it-qwerty
  • ja-jp-qwerty
  • pt-br-qwerty
  • es-es-qwerty
  • es-latam-qwerty
  • sv-se-qwerty
  • tr-tr-qwerty

若要為目標語言建立正確的按鍵對應,您必須將本機電腦上的鍵盤配置設定為目標語言「並且」將目標 VM 內的鍵盤配置設定為目標語言。 這兩個鍵盤都必須設定為目標語言,才能在目標 VM 內建立正確的按鍵對應。

若要將目標語言設定為 Windows 工作站上的鍵盤配置,請瀏覽至 [設定] > [時間與語言] > [語言和區域]。 在 [慣用語言] 底下,選取 [新增語言],然後新增目標語言。 然後,您將能夠在工具列上看到鍵盤配置。 若要將英文 (美國) 設定為鍵盤配置,請在工具列上選取 [ENG],或按一下 Windows + 空格鍵以開啟鍵盤配置。

是否有鍵盤解決方案可在 VM 與瀏覽器之間切換焦點?

使用者可以使用「Ctrl+Shift+Alt」,在 VM 與瀏覽器之間有效地切換焦點。

如何從執行個體中恢復鍵盤或滑鼠焦點?

按兩下資料列中的 Windows 鍵,即可在 Bastion 視窗中恢復焦點。

透過 Bastion 支援的最大螢幕解析度為何?

目前,1920x1080 (1080p) 是支援的最大解析度。

Azure Bastion 是否支援目標 VM 的時區設定或時區重新導向?

Azure Bastion 目前不支援時區重新導向,而且無法設定時區。 成功連線到客體 OS 之後,可以手動更新 VM 的時區設定。

在 Bastion 主機的維護期間,現有的工作階段是否會中斷連線?

是的,在 Bastion 資源的維護期間,目標 Bastion 資源上的現有工作階段會中斷連線。

我正在使用 JIT 原則連線到 VM,是否需要額外權限?

如果使用者使用 JIT 原則連線到 VM,則不需要額外的權限。 如需使用 JIT 原則連線到 VM 的詳細資訊,請參閱在 VM 上啟用 Just-In-Time 存取

VNet 對等互連常見問題集

我是否仍然可以跨對等互連虛擬網路部署多個 Bastion 主機?

是。 根據預設,使用者會看到 Bastion 主機部署在 VM 所在的相同虛擬網路中。 不過,在 [連線] 功能表中,使用者可以看到跨對等互連網路偵測到的 多個 Bastion 主機。 其可以選取偏好的 Bastion 主機,用來連線到虛擬網路中部署的 VM。

如果我的對等互連 VNet 部署在不同的訂用帳戶中,則透過 Bastion 的連線是否會運作?

是,透過 Bastion 的連線會繼續跨單一租用戶的不同訂用帳戶針對對等互連虛擬網路運作。 不支援跨兩個不同租用戶的訂用帳戶。 若要在 [連線] 下拉式功能表中看到 Bastion,使用者必須在 [訂用帳戶 > 全域訂用帳戶] 中選取其有權存取的訂用帳戶。

全域訂用帳戶篩選條件。

我有對等互連 VNet 的存取權,但看不到該處部署的 VM。

請確定使用者具有 VM 和對等互連虛擬網路的讀取存取權。 此外,請在 IAM 底下檢查使用者是否具有下列資源的讀取存取權:

  • 虛擬機器上的讀取者角色。
  • 虛擬機器的私人 IP 位址與 NIC 上的讀取者角色。
  • Azure Bastion 資源上的讀者角色。
  • 虛擬網路上的讀者角色 (如果沒有對等互連的虛擬網路,則不需要此角色)。
權限 描述 權限類型
Microsoft.Network/bastionHosts/read 取得堡壘主機 動作
Microsoft.Network/virtualNetworks/BastionHosts/action 取得虛擬網路中的堡壘主機參考。 動作
Microsoft.Network/virtualNetworks/bastionHosts/default/action 取得虛擬網路中的堡壘主機參考。 動作
Microsoft.Network/networkInterfaces/read 取得網路介面定義。 動作
Microsoft.Network/networkInterfaces/ipconfigurations/read 取得網路介面 IP 設定定義。 動作
Microsoft.Network/virtualNetworks/read 取得虛擬網路定義 動作
Microsoft.Network/virtualNetworks/subnets/virtualMachines/read 取得虛擬網路子網路中所有虛擬機器的參考 動作
Microsoft.Network/virtualNetworks/virtualMachines/read 取得虛擬網路中所有虛擬機器的參考 動作

下一步

如需詳細資訊,請參閱什麼是 Azure Bastion