設定 Bastion 工作階段錄製

本文可協助您設定 Bastion 工作階段錄製。 啟用 Azure Bastion Session recording 功能後，您可以錄製透過 bastion 主機與虛擬機（RDP 和 SSH）連線的圖形會話。 工作階段關閉或中斷連線之後，錄製的工作階段會儲存在儲存體帳戶內的 Blob 容器 (透過 SAS URL)。 當會話斷線時，你可以在 Azure 入口網站的會話錄影頁面中存取並查看你錄製的會話。 工作階段錄製需要 Bastion 進階 SKU。

備註

Bastion 圖形化會話錄製支援管理 身份 ，以認證你的儲存帳號，免除管理 SAS 憑證的需求。 您可以使用系統指派或使用者指派的受控識別。 關於受管理身份的一般資訊，請參見 什麼是Azure資源的受管理身份？。

考慮事項

• 此功能需要進階 SKU。
• 目前在入口網站中，Entra ID 無法同時支援 RDP 會話和圖形會話錄製。
• 目前無法透過原生用戶端使用工作階段錄製。
• 不可更改的儲存政策不可存在。
• 工作階段錄製一次支援一個容器/儲存體帳戶。
• 在會話處於活動狀態時更改儲存容器可能會造成會話中斷。
• 錄製上的 Blob 版本控制不得存在。
• 在 Bastion 部署上啟用工作階段錄製時，Bastion 會記錄經過已啟用錄製的堡壘主機的「所有」工作階段。

先決條件

• Azure Bastion 已部署到你的虛擬網路。 請參考 快速入門：從Azure入口網站部署Azure Bastion了解步驟。
• Bastion 必須設定為使用 Premium SKU 來實現此功能。 當您設定工作階段錄製功能時，可以從較低的 SKU 更新至進階 SKU。 若要檢查您的 SKU 並視需要升級，請參閱檢視或升級 SKU。
• 您連線的虛擬機器必須部署至包含堡壘主機的虛擬網路，或直接對等互連至 Bastion 虛擬網路的虛擬網路。
• 若要檢視/列出會話錄製內容，用戶必須具有 記憶體 Blob 數據讀取者 角色。

啟用工作階段錄製

您可以在建立新的堡壘主機資源時啟用工作階段錄製，也可以在部署 Bastion 之後稍後進行設定。

新 Bastion 部署的步驟

當你手動配置並部署堡壘主機時，可以在部署時指定 SKU 和功能。 關於部署堡壘的完整步驟，請參閱Azure入口網站<>部署堡壘>

1. 在Azure入口網站中，選擇Create a Resource。
2. 搜尋 Azure Bastion，選擇 Create。
3. 使用手動設定填入值，務必選取 [進階 SKU]。
4. 在 [進階] 索引標籤中，選取 [工作階段錄製] 以啟用工作階段錄製功能。
5. 檢閱詳細資料，然後選取 [建立]。 Bastion 會立即開始建立堡壘主機。 完成此程序大約需要 10 分鐘。

現有 Bastion 部署的步驟

如果您已部署 Bastion，請使用下列步驟來啟用工作階段錄製。

1. 在 Azure 入口，前往你的 Bastion 資源。
2. 在 Bastion 頁面上，選取左窗格中的 [設定]。
3. 在 [設定] 頁面上，針對 [階層]，選取 [進階] (若尚未選取的話)。 此功能需要進階 SKU。
4. 從列出的功能中選取 [工作階段錄製]。
5. 選取 ，然後套用。 Bastion 會立即開始更新堡壘主機的設定。 更新需要大約 10 分鐘的時間。

設定儲存體帳戶容器

在本節中，您會設定並指定工作階段錄製的容器。

1. 在資源群組中建立儲存體帳戶。 步驟請參見 建立儲存帳號 以及 使用共享存取簽章（SAS）授予有限Azure Storage資源存取權。

2. 在儲存體帳戶內，建立容器。 這是您將用來儲存 Bastion 工作階段錄製的容器。 建議您針對工作階段錄製建立獨佔容器。 如需了解步驟，請參閱建立容器。

3. 在儲存體帳戶的頁面上，於左窗格中展開 [設定]。 選取 [資源共用 (CORS)]。

4. 在 Blob 服務下建立一個新政策，指定以下數值，並在頁面頂端儲存您的變更。

   名稱	值
   允許的原始來源	https:// 後面接著堡壘主機的完整 DNS 名稱，從 bst- 開始。 請記住，這些值會區分大小寫。
   允許的方法	GET
   允許的標頭	*
   公開的標頭	*
   存留期上限	86400

設定儲存存取與觀看錄影

管理服務/使用者身份（推薦）- 預覽版

備註

以下步驟是建立系統指派的管理身份（Managed Identity）。 使用者指派身份也遵循類似步驟。

以下步驟有助於你設定使用管理身份所需的設定。 託管身份是推薦的認證方法。

1. 選取你的 Bastion 資源，然後前往 Identity 面板。

2. 將狀態切換為 開啟 ，等待設定完成。

3. 選擇 Azure 角色分配 並選擇 新增角色分配（預覽）。

   Scope	訂閱	資源	角色
   儲存體	您的儲存體帳戶訂閱	您的儲存體帳戶名稱	Storage Blob 資料貢獻者

4. 選擇 儲存 以儲存角色分配。

5. 回到你的堡壘資源，在左側窗格選擇 配置 。

6. 在 會話記錄設定中，選擇 系統指定的管理身份 ，並輸入你的儲存容器的 Blob 容器 URI 。

檢視錄製

在堡壘主機上啟用工作階段錄製時，會自動錄製工作階段。 你可以透過整合的網頁播放器在 Azure 入口網站觀看錄影。

1. 在 Azure 入口網站中，前往你的Bastion 主機。
2. 在左窗格的 [設定] 之下，選取 [工作階段錄製]。
3. 選取您要檢視的 VM 與錄製連結，然後選取 [檢視錄製]。

SAS 網址

下列步驟可協助您直接在 [產生 SAS] 頁面上設定必要的設定。 不過，您可藉由建立預存存取原則，選擇性地設定部分設定。 接著，您可將預存存取原則連結至 [產生 SAS] 頁面上的 SAS 權杖。 如果您想要建立預存存取原則，請在存取原則中或在 [產生 SAS] 頁面上，選取 [權限] 和 [開始/到期日期和時間]。

1. 在儲存體帳戶頁面上，移至 [資料儲存體 -> 容器]。
2. 找到你建立的容器來存放 Bastion 會話錄音，然後選擇容器右側的三個點（橢圓），從下拉選單中選擇 產生 SAS 。
3. 在 [產生 SAS] 頁面上，針對 [權限]，選取 [讀取]、[建立]、[寫入]、[列出]。
4. 針對 [開始和到期日期/時間]，使用下列建議：
   • 將 [開始時間] 設定為目前時間前至少 15 分鐘。
   • 將 [到期時間] 設定為未來較長的時間。
5. 在 允許的 IP 位址中，選擇接受請求的 IP 位址或 IP 範圍。 欲了解更多資訊，請參閱 「指定 IP 位址或 IP 範圍」。
6. 在 [允許的通訊協定] 下，僅選取 [HTTPS]。
7. 選取 [產生 SAS 權杖和 URL]。 您會看到頁面底部產生的 Blob SAS 權杖和 Blob SAS URL。
8. 複製 Blob SAS URL。
9. 移至您的堡壘主機。 在左窗格中，選取 [工作階段錄製]。
10. 在頁面頂端，選取 [新增或更新 SAS URL]。 貼上你的 SAS 網址，然後選擇 上傳。

新增或更新 SAS URL

下列步驟可協助您直接在 [產生 SAS] 頁面上設定必要的設定。 不過，您可藉由建立預存存取原則，選擇性地設定部分設定。 接著，您可將預存存取原則連結至 [產生 SAS] 頁面上的 SAS 權杖。 如果您想要建立預存存取原則，請在存取原則中或在 [產生 SAS] 頁面上，選取 [權限] 和 [開始/到期日期和時間]。

1. 在儲存體帳戶頁面上，移至 [資料儲存體 -> 容器]。
2. 找到你建立的容器來存放 Bastion 會話錄音，然後選擇容器右側的三個點（橢圓），從下拉選單中選擇 產生 SAS 。
3. 在 [產生 SAS] 頁面上，針對 [權限]，選取 [讀取]、[建立]、[寫入]、[列出]。
4. 針對 [開始和到期日期/時間]，使用下列建議：
   • 將 [開始時間] 設定為目前時間前至少 15 分鐘。
   • 將 [到期時間] 設定為未來較長的時間。
5. 在 允許的 IP 位址中，選擇接受請求的 IP 位址或 IP 範圍。 欲了解更多資訊，請參閱 「指定 IP 位址或 IP 範圍」。
6. 在 [允許的通訊協定] 下，僅選取 [HTTPS]。
7. 選取 [產生 SAS 權杖和 URL]。 您會看到頁面底部產生的 Blob SAS 權杖和 Blob SAS URL。
8. 複製 Blob SAS URL。
9. 移至您的堡壘主機。 在左窗格中，選取 [工作階段錄製]。
10. 在頁面頂端，選取 [新增或更新 SAS URL]。 貼上你的 SAS 網址，然後選擇 上傳。

檢視錄製

在堡壘主機上啟用工作階段錄製時，會自動錄製工作階段。 你可以透過整合的網頁播放器在 Azure 入口網站觀看錄影。

1. 在 Azure 入口網站中，前往你的Bastion 主機。
2. 在左窗格的 [設定] 之下，選取 [工作階段錄製]。
3. SAS URL 應該已經設定 (本練習稍早)。 不過，如果你的 SAS URL 過期或需要新增 SAS URL，請依照前述步驟取得並上傳 Blob SAS URL。
4. 選取您要檢視的 VM 與錄製連結，然後選取 [檢視錄製]。

後續步驟

• 了解Azure資源的管理身份，以及它們如何消除驗證Azure服務時對憑證管理的需求。
• 了解 Azure Bastion，一項全託管服務，提供安全且無縫的 RDP/SSH 連接虛擬機，且不會對外暴露 RDP/SSH 埠口。
• 了解 Azure Bastion 的常見問題集。