練習 - 啟用 JIT VM 存取

  • 10 分鐘

您必須具備適用於雲端的 Microsoft Defender 增強式安全性功能,才能使用此功能。 在您啟動試用或對訂閱啟用增強的安全性後,您可以對訂閱中特定的 Azure 虛擬機器 (VM) 啟用 Just-In-Time (JIT) 虛擬機器 (VM) 存取。 若您不想立即開始試用,可以閱讀下列指示以了解所需的步驟。

建立新的 VM

讓我們從使用 Azure Cloud Shell 建立虛擬機器開始。

注意

無法在 Azure 沙箱中執行本練習。 請務必選取已啟用適用於雲端的 Defender 增強式安全性功能的訂用帳戶。

  1. 登入 Azure 入口網站

  2. 選取 Azure 入口網站工具列右上方的 [Cloud Shell] 圖示。 入口網站底部隨即會出現 Cloud Shell。

    一開始先設定一些預設值,這樣您就不需要多次加以輸入。

  3. 設定預設位置。 在這裡,我們使用 eastus,但您可以隨意將其變更為較接近您的位置。

    az configure --defaults location=eastus

    提示

    您可以使用 [複製] 按鈕將命令複製到剪貼簿。 要貼上命令,請在 Cloud Shell 終端中,以滑鼠右鍵按一下新行,然後選取 [貼上],或使用 Shift+Insert 鍵盤快速鍵 (在 macOS 上為 ⌘+V)。

  4. 接下來,建立新的 Azure 資源群組來保存您的 VM 資源。 我們在此處使用了名稱 mslearnDeleteMe,以提醒自己在完成後要刪除該群組。

    az group create --name mslearnDeleteMe --location eastus

  5. 請繼續進行,並將 mslearnDeleteMe 設定為預設的資源群組。

    az configure --defaults group="mslearnDeleteMe"

  6. 然後,使用下列命令建立新的 Windows 型 VM。 請確保將 <your-password-here> 值取代為您自己的有效密碼。

    az vm create \
    --name SRVDC01 \
    --image win2019datacenter \
    --resource-group mslearnDeleteMe \
    --admin-username azureuser \
    --admin-password <your-password-here>

    建立虛擬機器和支援資源需要幾分鐘的時間。 您應該會看到類似以下範例的回應。

    {
  "fqdns": "",
  "id": "/subscriptions/abcd/resourceGroups/mslearnDeleteMe/providers/Microsoft.Compute/virtualMachines/SRVDC01",
  "location": "eastus",
  "macAddress": "00-00-00-00-00-00",
  "powerState": "VM running",
  "privateIpAddress": "10.1.0.4",
  "publicIpAddress": "52.123.123.123",
  "resourceGroup": "mslearnDeleteMe",
  "zones": ""
}

  7. 若要使用遠端桌面 (RDP) 連線至 VM,請在回應中使用公用 IP 位址。 Windows 具有內建 RDP 用戶端。 如果您使用不同的用戶端系統,則 macOS 和 Linux 也有可用的用戶端。

您可以連線並管理 VM。 現在來新增 JIT 以提高安全性!

在適用於雲端的 Defender 中啟用 JIT VM 存取

  1. Azure 入口網站首頁的頂端搜尋列中,搜尋並選取 [適用於雲端的 Microsoft Defender]。 [適用於雲端的 Microsoft Defender] 的 [概觀] 窗格隨即出現。

  2. 在左側的功能表窗格中,選取 [雲端安全性] 底下的 [工作負載保護]。 [工作負載保護] 窗格隨即顯示。

  3. 在主視窗中,向下捲動至 [進階防護]。 選取 [Just-In-Time VM 存取]。 [Just-In-Time VM 存取] 窗格隨即顯示。

  4. 在 [虛擬機器] 底下,選取 [未設定] 索引標籤。

  5. 從資源群組 MSLEARNDELETEME 中選取虛擬機器。

  6. 為您選取的 VM 選取 [在 1 個 VM 上啟用 JIT],如下列螢幕擷取畫面所示。

    Screenshot that depicts how you can enable JIT VM Access for a selected VM.

    VM 的 [JIT VM 存取設定] 窗格隨即顯示。 啟用 JIT 規則後,您就可以檢查 VM 的網路安全性群組。 其會套用一組新的規則來封鎖遠端管理存取,如下圖所示。

    Screenshot that depicts rules to block remote management access.

    請注意,規則會套用至內部位址,並包含所有管理連接埠 - 遠端桌面通訊協定 (3389) 和 SSH (22)。

  7. 在頂端功能表列上,選取 [儲存]。 [Just-In-Time VM 存取] 窗格隨即再次出現。

要求遠端桌面存取

如果您在此時嘗試 RDP 進入 Windows VM,存取會遭封鎖。 當您的系統管理員需要存取權時,可以進入適用於雲端的 Defender 以要求存取權。

  1. 在 [虛擬機器] 底下,選取 [已設定] 索引標籤。

  2. 選取您的 VM,然後選取 [要求存取] 以開啟管理連接埠。

    Screenshot that depicts how you can request access to a VM.

    供 SRVD01 使用的 [要求存取] 窗格會隨即出現。

  3. 選取您想要開啟的連接埠;在此案例中為遠端桌面連接埠 (3389)。

    Screenshot that depicts opening a port by selecting On for its toggle.

  4. 選取 [開啟連接埠] 以完成要求。 您也可以透過此窗格設定使連接埠保持開啟狀態的時數。 時間過期後,連接埠將關閉,存取將遭拒絕。

現在,您的遠端桌面用戶端可以成功連線,至少在您透過適用於雲端的 Defender 配置的時間段內如此。