安全殼層 (SSH) 在IT產業中被廣泛辨識為系統管理員的重要服務。 它提供安全且加密的方法,可透過不安全的網路存取和管理遠程系統。 IT 系統管理員依賴 SSH 安全地執行基本工作,包括組織基礎結構中伺服器和應用程式的設定、部署和維護。
在本指南和 這段影片中,您將瞭解如何使用 Microsoft Entra Private Access 來設定和建立 SSH 連線,以增強遠端訪問工作流程的安全性。
使用 Microsoft Entra Private Access 建立 SSH 連線
Microsoft Entra Private Access 藉由提供安全、以身分識別為中心的零信任網路存取 (ZTNA) 解決方案,讓 IT 系統管理員安全地建立與遠端伺服器的 SSH 連線,藉此增強 SSH 管理流量的安全性和效率。
先決條件
請確定您符合下列必要條件。
- 授權 - 瞭解Microsoft全域安全存取的授權
- 已啟用 SSH 的遠端伺服器
- Microsoft具有資源網路連線的全域安全存取專用網連接器
- 瞭解如何 設定連接器
- 具有全域安全存取客戶端的裝置
- 已啟用 個人訪問設定
- 請參閱 全域安全存取流量轉送配置檔
- 系統管理員的全域安全存取管理員角色
- 瞭解 內建角色
配置 SSH 流量監控並使用條件式存取原則來保護
若要建立企業應用程式:
- 在 Microsoft Entra 系統管理中心,流覽至 [全域安全存取]。
- 選取 [應用程式],然後選取 [企業應用程式]。
- 選擇 新增應用程式。
- 輸入SSH企業應用程式的名稱。
- [ 建立應用程式區段 ] 面板隨即出現。
- 若要為應用程式中的區段獲取 SSH 流量,請選取 [ 目的地類型 ],然後新增 IP 或子網,以便連接到您的遠端伺服器。
- 設定 埠 以取得目的地為埠 22 的流量。
- 在 [通訊協定] 中,選取 [TCP]。
- 選取 [儲存]。
將使用者和群組指派給應用程式。 只有指派給企業應用程式的使用者才能透過指定的應用程式區段連線到它。
- 在 Microsoft Entra 系統管理中心,流覽至 [全域安全存取]。
- 選取 [應用程式],然後選取 [企業應用程式]。
- 選取您建立的 SSE 企業應用程式,然後選取 [使用者和群組]。
- 新增需要存取權的使用者和群組。
- 如有需要,請建立 Microsoft Entra 條件式存取 原則,以提高應用程式安全性。 如需詳細資訊,請參閱將條件式存取原則套用至私人存取應用程式。
- 確認您可以從用戶端裝置存取 SSH 服務。
配置檢查清單
使用下列檢查清單來協助確認設定。
- 請確定伺服器正在執行,並由 SSH 埠存取。
- 確認正確的主機防火牆設定。
- 在 適用於 Windows 的 OpenSSH 伺服器設定中尋找指引。
- 確認應用程式區段已下載至全域安全存取用戶端。
- 以滑鼠右鍵按下 Windows 任務列中的 全域安全存取 客戶端圖示。
- 選取 [ 進階診斷>轉送配置檔>私人存取]。
- 確認應用程式出現在存取配置檔中。
連線失敗
如果連線失敗,請使用下列檢查清單。
- 確認伺服器IP位址和埠號碼。
- 確認來自私人連接器伺服器的 SSH 連接埠是被允許的。
- 隔離可能會封鎖 SSH 流量的防火牆規則。
- 請確認 Global Secure Access 用戶端會擷取流量。
- 請確認使用者已分配至應用程式。
後續步驟
- 使用 Private Access 管理 SSH 環境中的伺服器流量的逐步解說影片
- 瞭解私人存取
- 如何設定 Private Access 的連接器
- 如何使用 GSA 應用程式設定個別應用程式存取