Azure Bastion 常見問題集

Bastion 常見問題

支援哪些瀏覽器?

瀏覽器必須支援 HTML 5。 在 Windows 中,請使用 Microsoft Edge 瀏覽器或 Google Chrome。 若為 Apple Mac,請使用 Google Chrome 瀏覽器。 Microsoft Edge Chromium 也分別受到 Windows 和 Mac 的支援。

價格如何運作?

Azure Bastion 定價是根據 SKU 和實例(縮放單位),加上數據傳輸費率的每小時定價組合。 從部署 Bastion 的那一刻起,不論輸出數據使用量為何,每小時定價都會開始。 如需最新的定價資訊,請參閱 Azure Bastion 定價 頁面。

是否支援 IPv6?

目前不支援 IPv6。 Azure Bastion 僅支援 IPv4。 這表示您只能將 IPv4 公用 IP 位址指派給 Bastion 資源,而且您可以使用 Bastion 連線到 IPv4 目標 VM。 您也可以使用 Bastion 連線到雙堆棧目標 VM,但您只能透過 Azure Bastion 傳送和接收 IPv4 流量。

Azure Bastion 會將客戶資料儲存在何處?

Azure Bastion 不會將客戶數據從其部署的區域移出或儲存。

Azure Bastion 是否支援虛擬 WAN?

是,您可以使用 Azure Bastion 進行虛擬 WAN 部署。 不過,不支援在虛擬 WAN 中樞內部署 Azure Bastion。 您可以在輪輻 VNet 中部署 Azure Bastion,並使用 IP 型連線 功能,透過虛擬 WAN 中樞連線到跨不同 VNet 部署的虛擬機。 如果 Azure 虛擬 WAN 中樞將與 Azure 防火牆 整合為安全的虛擬中樞,AzureBastionSubnet 必須位於預設的 0.0.0.0/0 路由傳播在 VNet 連線層級停用的 虛擬網絡 內。

Azure Bastion 是否支援虛擬 WAN?

如果我將強制通道因特網流量傳回內部部署,可以使用 Azure Bastion 嗎?

否,如果您透過 ExpressRoute 或 VPN 公告預設路由 (0.0.0.0.0/0),且此路由會插入至您的 虛擬網絡,這會中斷 Azure Bastion 服務。

Azure Bastion 必須能夠與特定內部端點通訊,才能成功連線到目標資源。 因此,只要您選取的區域名稱不會與這些內部端點的命名重疊,您就可以搭配 Azure 私用 DNS 區域使用 Azure Bastion。 部署 Azure Bastion 資源之前,請確定主機虛擬網路未連結至具有下列確切名稱的私人 DNS 區域:

  • management.azure.com
  • blob.core.windows.net
  • core.windows.net
  • vaultcore.windows.net
  • vault.azure.net
  • azure.com

您可以使用私人 DNS 區域,結尾是上面所列的其中一個名稱(例如:privatelink.blob.core.windows.net)。

國家雲端中的 Azure 私用 DNS 區域不支援 Azure Bastion。

Azure Bastion 是否支援 Private Link?

否,Azure Bastion 目前不支援私人連結。

為什麼我在入口網站中使用 「部署 Bastion」時收到「無法新增子網」錯誤?

此時,針對大部分的位址空間,您必須先將名為 AzureBastionSubnet 的子網新增至虛擬網路,才能選取 [部署 Bastion]。

我是否可以有大小為 /27 或更小的 Azure Bastion 子網(/28、/29 等)?

針對部署在 2021 年 11 月 2 日或之後的 Azure Bastion 資源,最小 AzureBastionSubnet 大小為 /26 或更大(/25、/24 等等)。 在此日期之前的子網中部署的所有 Azure Bastion 資源都不受此變更影響,且將繼續運作。 不過,強烈建議您將任何現有的 AzureBastionSubnet 大小增加到 /26,以防您在未來選擇利用 主機調整

我可以在 Azure Bastion 子網中部署多個 Azure 資源嗎?

否。 Azure Bastion 子網 (AzureBastionSubnet) 只會保留給您 Azure Bastion 資源的部署。

Azure Bastion 子網是否支援使用者定義的路由 (UDR?

否。 Azure Bastion 子網不支援 UDR。

針對同時在相同虛擬網路中包含 Azure Bastion 和 Azure 防火牆/網路虛擬設備 (NVA) 的案例,您不需要強制來自 Azure Bastion 子網的流量 Azure 防火牆,因為 Azure Bastion 與您的 VM 之間的通訊是私人的。 如需詳細資訊,請參閱使用 Bastion 存取 Azure 防火牆 後方的 VM。

我應該使用哪一個 SKU?

Azure Bastion 有多個 SKU。 您應該根據連線和功能需求選取 SKU。 如需 SKU 層和支援連線和功能的完整清單,請參閱組 態設定 一文。

我可以升級 SKU 嗎?

是。 如需步驟,請參閱 升級 SKU。 如需 SKU 的詳細資訊,請參閱組 態設定 一文。

我可以降級 SKU 嗎?

否。 不支援降級 SKU。 如需 SKU 的詳細資訊,請參閱組 態設定 一文。

Bastion 是否支援與 Azure 虛擬桌面的連線?

否,不支援與 Azure 虛擬桌面的 Bastion 連線。

為什麼在 Bastion 會話開始之前收到「您的工作階段已過期」錯誤訊息?

會話應該只從 Azure 入口網站 起始。 登入 Azure 入口網站,然後再次開始您的會話。 如果您直接從另一個瀏覽器會話或索引標籤移至 URL,則預期會發生此錯誤。 這有助於確保您的會話更安全,而且只能透過 Azure 入口網站 存取會話。

我該如何處理部署失敗?

檢視任何錯誤訊息,並視需要在 Azure 入口網站 中提出支援要求。 部署失敗可能是因為 Azure 訂用帳戶限制、配額和條件約束所造成。 具體而言,客戶可能會遇到每個訂用帳戶允許的公用IP位址數目限制,導致Azure Bastion部署失敗。

如何? 在災害復原方案中納入 Azure Bastion 嗎?

Azure Bastion 會部署在 VNet 或對等互連 VNet 內,且與 Azure 區域相關聯。 您負責將 Azure Bastion 部署至災害復原 (DR) 網站 VNet。 發生 Azure 區域失敗時,請為 VM 執行故障轉移作業至 DR 區域。 然後,使用部署在DR區域中的 Azure Bastion 主機,連線到現在部署在該處的 VM。

Bastion 是否支持區域備援?

根據預設,新的 Bastion 部署目前不支援區域備援。 先前部署的防禦可能或可能不是區域備援。 例外狀況是南韓中部和東南亞的 Bastion 部署,這些部署確實支援區域備援。

Bastion 是否支援 Microsoft Entra 來賓帳戶?

是, Microsoft Entra 來賓帳戶 可以授與 Bastion 的存取權,並可連線到虛擬機。 不過,Microsoft Entra 來賓用戶無法透過 Microsoft Entra 驗證連線到 Azure VM。 透過 Microsoft Entra 驗證支援非來賓使用者。 如需 Azure VM 的 Microsoft Entra 驗證的詳細資訊(適用於非來賓使用者),請參閱 使用 Microsoft Entra ID 登入 Azure 中的 Windows 虛擬機。

否,Bastion 可共用連結不支援自定義網域。 用戶在嘗試在 Bastion 主機憑證的 CN/SAN 中新增特定網域時收到憑證錯誤。

VM 功能和連線常見問題

存取虛擬機需要任何角色嗎?

若要建立連線,需要下列角色:

  • 虛擬機上的讀取者角色。
  • 具有虛擬機私人IP之 NIC 上的讀取者角色。
  • Azure Bastion 資源的讀者角色。
  • 目標虛擬機虛擬網路上的讀取者角色(如果 Bastion 部署位於對等互連虛擬網路中)。

此外,用戶必須具有連線到 VM 的許可權(如有必要)。 例如,如果使用者透過 RDP 連線到 Windows VM,而且不是本機 管理員 istrators 群組的成員,則必須是遠端桌面使用者群組的成員。

我需要虛擬機上的公用IP才能透過 Azure Bastion 連線嗎?

否。 當您使用 Azure Bastion 連線到 VM 時,您不需要連線到之 Azure 虛擬機上的公用 IP。 Bastion 服務會透過虛擬網路內的虛擬機私人 IP,開啟與虛擬機的 RDP/SSH 會話/連線。

我需要 RDP 或 SSH 用戶端嗎?

否。 您可以使用瀏覽器,從 Azure 入口網站 存取虛擬機。 如需可用的連線和方法,請參閱 關於 VM 連線和功能

使用者是否需要目標 VM 上的特定許可權才能進行 RDP 連線?

當使用者透過 RDP 連線到 Windows VM 時,他們必須具有目標 VM 的許可權。 如果使用者不是本機系統管理員,請將使用者新增至目標 VM 上的遠端桌面使用者群組。

我可以使用原生用戶端連線到 VM 嗎?

是。 您可以使用原生用戶端從本機電腦連線到 VM。 請參閱使用原生用戶端 連線 至 VM。

我需要在 Azure 虛擬機器中執行代理程式嗎?

否。 您不需要在瀏覽器或 Azure 虛擬機上安裝代理程式或任何軟體。 Bastion 服務是無代理程式,不需要 RDP/SSH 的任何其他軟體。

VM 會話支援哪些功能?

如需支援的功能,請參閱 關於 VM 連線和功能

否。 有些組織有公司原則,當使用者第一次登入本機帳戶時,需要重設密碼。 使用可共享連結時,用戶無法變更密碼,即使可能會出現 [重設密碼] 按鈕。

VM 是否可使用遠端音訊?

是。 請參閱 關於 VM 連線和功能

Azure Bastion 是否支援文件傳輸?

Azure Bastion 支援使用 Bastion 和原生 RDP 或 SSH 用戶端,在目標 VM 與本機電腦之間進行檔傳輸。 目前,您無法使用 PowerShell 或透過 Azure 入口網站 上傳或下載檔案。 如需詳細資訊,請參閱 使用原生用戶端上傳和下載檔。

Bastion 強化是否可與已加入 AADJ VM 擴充功能的 VM 搭配運作?

此功能不適用於使用 Microsoft Entra 使用者的 AADJ VM 擴充功能聯結機器。 如需詳細資訊,請參閱 使用 Microsoft Entra ID 登入 Azure 中的 Windows 虛擬機。

Bastion 是否與設定為 RDS 會話主機的 VM 相容?

Bastion 不支持連線到設定為 RDS 會話主機的 VM。

Bastion 遠端會話期間支援哪些鍵盤配置?

Azure Bastion 目前支援 VM 內的下列鍵盤配置:

  • en-us-qwerty
  • en-gb-qwerty
  • de-ch-qwertz
  • de-de-qwertz
  • fr-be-azerty
  • fr-fr-azerty
  • fr-ch-qwertz
  • hu-hu-qwertz
  • it-it-qwerty
  • ja-jp-qwerty
  • pt-br-qwerty
  • es-es-qwerty
  • es-latam-qwerty
  • sv-se-qwerty
  • tr-tr-qwerty

若要為您的目標語言建立正確的按鍵對應,您必須將本機計算機上的鍵盤配置設定為目標語言 ,並將 目標 VM 內的鍵盤設定設定為目標語言。 這兩個鍵盤都必須設定為目標語言,才能在目標 VM 內建立正確的按鍵對應。

若要將您的目標語言設定為 Windows 工作站上的鍵盤配置,請流覽至 [設定 > 時間與語言>語言與區域]。 在 [慣用語言] 底下,選取 [新增語言],然後新增您的目標語言。 然後,您將能夠在工具列上看到鍵盤配置。 若要將英文 (美國) 設定為鍵盤配置,請在工具列上選取 [ENG],或按兩下 [Windows + 空格鍵] 以開啟鍵盤配置。

是否有鍵盤解決方案可在 VM 與瀏覽器之間切換焦點?

使用者可以使用 「Ctrl+Shift+Alt」 來有效地切換 VM 與瀏覽器之間的焦點。

如何? 從實例中將鍵盤或滑鼠焦點帶回?

按兩下資料列中的 Windows 鍵兩次,以在 Bastion 視窗中取回焦點。

透過 Bastion 支援的最大螢幕解析度為何?

目前,1920x1080 (1080p) 是支援的最大解析度。

Azure Bastion 是否支持目標 VM 的時區設定或時區重新導向?

Azure Bastion 目前不支援時區重新導向,而且無法設定時區。 成功連線到客體 OS 之後,可以手動更新 VM 的時區設定。

在 Bastion 主機上維護期間,現有的會話是否會中斷連線?

是,目標 Bastion 資源上的現有會話會在 Bastion 資源的維護期間中斷連線。

VNet 對等互連常見問題

我仍然可以跨對等互連的虛擬網路部署多個 Bastion 主機嗎?

是。 根據預設,使用者會看到部署在 VM 所在相同虛擬網路中的 Bastion 主機。 不過,在 [連線] 功能表中,使用者可以看到跨對等互連網路偵測到的多個 Bastion 主機。 他們可以選取他們偏好用來連線到虛擬網路中部署的 VM 的 Bastion 主機。

如果我的對等互連 VNet 部署在不同的訂用帳戶中,則透過 Bastion 的連線是否能夠運作?

是,透過 Bastion 的連線將會繼續針對單一租使用者的不同訂用帳戶使用對等互連 VNet。 不支援跨兩個不同租用戶的訂用帳戶。 若要查看 [連線] 下拉功能表中的 Bastion,用戶必須在 [訂>用帳戶] 全域訂用帳戶中選取他們可存取的子。

Global subscriptions filter.

我有對等互連 VNet 的存取權,但我看不到該處部署的 VM。

請確定使用者具有 VM 和對等互連 VNet 的讀取 許可權。 此外,在 IAM 底下檢查使用者是否具有 下列資源的讀取權限

  • 虛擬機上的讀取者角色。
  • 具有虛擬機私人IP之 NIC 上的讀取者角色。
  • Azure Bastion 資源的讀者角色。
  • 虛擬網路上的讀取者角色(如果沒有對等互連虛擬網路,則不需要)。
權限 描述 權限類型
Microsoft.Network/bastionHosts/read 取得 Bastion 主機 動作
Microsoft.Network/virtualNetworks/BastionHosts/action 取得虛擬網路中的 Bastion 主機參考。 動作
Microsoft.Network/virtualNetworks/bastionHosts/default/action 取得虛擬網路中的 Bastion 主機參考。 動作
Microsoft.Network/networkInterfaces/read 取得網路介面定義。 動作
Microsoft.Network/networkInterfaces/ipconfigurations/read 取得網路介面IP組態定義。 動作
Microsoft.Network/virtualNetworks/read 取得虛擬網路定義 動作
Microsoft.Network/virtualNetworks/subnets/virtualMachines/read 取得虛擬網路子網中所有虛擬機的參考 動作
Microsoft.Network/virtualNetworks/virtualMachines/read 取得虛擬網路中所有虛擬機的參考 動作

我使用 JIT 原則連線到 VM,是否需要其他許可權?

如果使用者使用 JIT 原則連線到 VM,則不需要額外的許可權。 如需使用 JIT 原則連線到 VM 的詳細資訊,請參閱 在 VM 上啟用 Just-In-Time 存取

我的 privatelink.azure.com 無法解析為 management.privatelink.azure.com

這可能是因為 privatelink.azure.com 連結至 Bastion 虛擬網路的 私用 DNS 區域,導致 MANAGEMENT.AZURE.COM CNAME 解析為幕後 management.privatelink.azure.com。 在 privatelink.azure.com 區域中建立 CNAME 記錄,讓 management.privatelink.azure.com arm-frontdoor-prod.trafficmanager.net 啟用成功的 DNS 解析。

下一步

如需詳細資訊,請參閱 什麼是 Azure Bastion