練習 - 啟用 JIT VM 存取
您必須具備適用於雲端的 Microsoft Defender 增強式安全性功能,才能使用此功能。 在您啟動試用或對訂閱啟用增強的安全性後,您可以對訂閱中特定的 Azure 虛擬機器 (VM) 啟用 Just-In-Time (JIT) 虛擬機器 (VM) 存取。 若您不想立即開始試用,可以閱讀下列指示以了解所需的步驟。
建立新的 VM
讓我們從使用 Azure Cloud Shell 建立虛擬機器開始。
注意
無法在 Azure 沙箱中執行本練習。 請務必選取已啟用適用於雲端的 Defender 增強式安全性功能的訂用帳戶。
登入 Azure 入口網站。
選取 Azure 入口網站工具列右上方的 [Cloud Shell] 圖示。 入口網站底部隨即會出現 Cloud Shell。
一開始先設定一些預設值,這樣您就不需要多次加以輸入。
設定預設位置。 在這裡,我們使用 eastus,但您可以隨意將其變更為較接近您的位置。
az configure --defaults location=eastus
提示
您可以使用 [複製] 按鈕將命令複製到剪貼簿。 要貼上命令,請在 Cloud Shell 終端中,以滑鼠右鍵按一下新行,然後選取 [貼上],或使用 Shift+Insert 鍵盤快速鍵 (在 macOS 上為 ⌘+V)。
接下來,建立新的 Azure 資源群組來保存您的 VM 資源。 我們在此處使用了名稱
mslearnDeleteMe
,以提醒自己在完成後要刪除該群組。az group create --name mslearnDeleteMe --location eastus
請繼續進行,並將
mslearnDeleteMe
設定為預設的資源群組。az configure --defaults group="mslearnDeleteMe"
然後,使用下列命令建立新的 Windows 型 VM。 請確保將
<your-password-here>
值取代為您自己的有效密碼。az vm create \ --name SRVDC01 \ --image win2019datacenter \ --resource-group mslearnDeleteMe \ --admin-username azureuser \ --admin-password <your-password-here>
建立虛擬機器和支援資源需要幾分鐘的時間。 您應該會看到類似以下範例的回應。
{ "fqdns": "", "id": "/subscriptions/abcd/resourceGroups/mslearnDeleteMe/providers/Microsoft.Compute/virtualMachines/SRVDC01", "location": "eastus", "macAddress": "00-00-00-00-00-00", "powerState": "VM running", "privateIpAddress": "10.1.0.4", "publicIpAddress": "52.123.123.123", "resourceGroup": "mslearnDeleteMe", "zones": "" }
若要使用遠端桌面 (RDP) 連線至 VM,請在回應中使用公用 IP 位址。 Windows 具有內建 RDP 用戶端。 如果您使用不同的用戶端系統,則 macOS 和 Linux 也有可用的用戶端。
您可以連線並管理 VM。 現在來新增 JIT 以提高安全性!
在適用於雲端的 Defender 中啟用 JIT VM 存取
在 Azure 入口網站首頁的頂端搜尋列中,搜尋並選取 [適用於雲端的 Microsoft Defender]。 [適用於雲端的 Microsoft Defender] 的 [概觀] 窗格隨即出現。
在左側的功能表窗格中,選取 [雲端安全性] 底下的 [工作負載保護]。 [工作負載保護] 窗格隨即顯示。
在主視窗中,向下捲動至 [進階防護]。 選取 [Just-In-Time VM 存取]。 [Just-In-Time VM 存取] 窗格隨即顯示。
在 [虛擬機器] 底下,選取 [未設定] 索引標籤。
從資源群組 MSLEARNDELETEME 中選取虛擬機器。
為您選取的 VM 選取 [在 1 個 VM 上啟用 JIT],如下列螢幕擷取畫面所示。
VM 的 [JIT VM 存取設定] 窗格隨即顯示。 啟用 JIT 規則後,您就可以檢查 VM 的網路安全性群組。 其會套用一組新的規則來封鎖遠端管理存取,如下圖所示。
請注意,規則會套用至內部位址,並包含所有管理連接埠 - 遠端桌面通訊協定 (3389) 和 SSH (22)。
在頂端功能表列上,選取 [儲存]。 [Just-In-Time VM 存取] 窗格隨即再次出現。
要求遠端桌面存取
如果您在此時嘗試 RDP 進入 Windows VM,存取會遭封鎖。 當您的系統管理員需要存取權時,可以進入適用於雲端的 Defender 以要求存取權。
在 [虛擬機器] 底下,選取 [已設定] 索引標籤。
選取您的 VM,然後選取 [要求存取] 以開啟管理連接埠。
供 SRVD01 使用的 [要求存取] 窗格會隨即出現。
選取您想要開啟的連接埠;在此案例中為遠端桌面連接埠 (3389)。
選取 [開啟連接埠] 以完成要求。 您也可以透過此窗格設定使連接埠保持開啟狀態的時數。 時間過期後,連接埠將關閉,存取將遭拒絕。
現在,您的遠端桌面用戶端可以成功連線,至少在您透過適用於雲端的 Defender 配置的時間段內如此。