Azureへのサインインはもう不要！ Azure仮想マシンへの安全な接続を実現するAzure Bastionの「共有可能なリンク」が一般提供開始：Microsoft Azure最新機能フォローアップ（193）

Microsoftは「Azure Bastion」の「Standard」プランで、新機能「共有可能（な）リンク」の一般提供を開始しました。この機能を利用すると、Azure仮想マシンにパブリックIPを割り当て、ポートを許可せず、また、Azureサブスクリプションへのアクセス許可を全く与えずに、Azure仮想マシンへの安全な接続を提供できます。

[山市良，テクニカルライター]

Microsoft Azure最新機能フォローアップ

RDPとSSHのゲートウェイとして機能するAzure Bastion

　「Azure Bastion」（要塞《ようさい》）については、本連載でも何度か取り上げてきました。Azure Bastionは、Microsoft Azureで管理される、RDP（リモートデスクトッププロトコル）とSSH（Secure Shell）のゲートウェイとして機能する仮想マシンインスタンスです。

　Azure仮想マシンが接続されるサブネットと、インターネットとの間の境界のサブネットに配置され、TLS（443/TCP）でアクセスされるAzureポータルから、インターネットから隔離されたサブネット上のAzure仮想マシンのRDP（通常、3389/TCP）またはSSH（通常、22/TCP）への接続を中継します。

　Azure仮想マシンには、本連載第180回で紹介したように、RDPまたはSSH接続する方法が幾つかあります。Azure Bastionは有料になりますが、ブラウザだけで、またはRDPやSSHのネイティブクライアント（コマンドライン操作によるトンネルの作成が必要）からの安全なリモートアクセスを可能にします（画面1）。

• Azure仮想マシンへの安全なRDP接続を実現する5つの方法（本連載 第180回）
• Azure仮想マシンへの接続がもっと簡単、安全に――Azure Bastionの“使える”新機能「共有可能リンク」とは（本連載 第184回）

画面1　Azure BastionによるAzure仮想マシンへのブラウザからのリモートデスクトップ接続

　本連載第184回で紹介した、これまでプレビュー機能として提供されてきた「共有可能（な）リンク（shareable links）」が、Azure Bastionの「Standard」プラン（38.671円／時間〜）で2023年5月10日（米国時間）に一般提供となりました。

• Generally available: Azure Bastion now support shareable links［英語］（Microsoft Azure）

　管理者は特定のAzure仮想マシンに対して共有可能なリンクを作成し、そのリンクをAzure仮想マシンの利用者に渡すことができます。Azure仮想マシンの利用者は、Azureポータルにアクセスすることなく、つまりAzureにサインインすることなく、ブラウザを使用してAzure仮想マシンの管理者アカウントの資格情報でRDPまたはSSHアクセスを開始できます（図1）。

図1　Azure BastionによるAzure仮想マシンへの接続イメージ。共有可能なリンクを使用すると、Azureにサインインすることなく、直接、Azure仮想マシンにアクセスできる

Azure仮想マシンに接続するための「共有可能なリンク」を作成するには

　Azure Bastionは既定の構成の場合、Azure仮想マシンの「設定｜接続」ページの「Bastion」タブやAzure仮想ネットワークの「設定｜Bastion」ページから数クリックで簡単にデプロイできます（画面2）。

画面2　Azure Bastionは、Azure仮想マシンやAzure仮想ネットワークの「設定」ページからから簡単にデプロイできる

　既定の構成では「Basic」プランとしてデプロイされるので、「共有可能なリンク」を作成するには「Standard」プランにアップグレードします。アップグレードは「Bastion」管理ブレードで「設定｜構成」ページを開き、プランを「Standard」に切り替え、「共有可能なリンク」オプションをチェックします（画面3）。

画面3　「共有可能なリンク」を作成するには、「Standard」プランに切り替え、「共有可能なリンク」オプションをチェックする

　プランのアップグレードが完了すると「Bastion」ブレードに「設定｜共有可能リンク」が表示されるので、「＋追加」をクリックして、Azure仮想ネットワークのAzure仮想マシン用サブネットに接続されたAzure仮想マシンを追加して、作成された「共有可能なリンク」をコピーし、利用者に渡します（画面4）。

画面4　共有可能なリンクによる接続を許可するAzure仮想マシンを追加して、リンクを作成、コピーする

　利用者がそのリンクをブラウザで開くと、「AZURE BASTION」ログインページが表示されるので、「プロトコル（RDPまたはSSH）」「ポート」「Azure仮想マシンの管理者アカウントの資格情報」を入力してログインします（画面5）。

画面5　共有可能なリンクをブラウザで開き、Azure仮想マシンの管理者アカウントの資格情報でログインする

　なお、Azure Bastionのインスタンス（既定は2インスタンス）は常時稼働しており、デプロイされてから1時間ごとに課金されます。Azure Bastion経由のリモートアクセスの有無やAzure仮想マシンの状態に関係なく、Azure Bastionのリソースが削除されるまで課金は継続します。そのため、常時稼働するAzure仮想マシンのある運用環境には適していますが、開発やテスト目的での利用には適していません。

• Azure Bastionの価格（Microsoft Azure）

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP 2009 to 2023（Cloud and Datacenter Management）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker＆Windowsコンテナーテクノロジ入門』（日経BP社）、『ITプロフェッショナル向けWindowsトラブル解決 コマンド＆テクニック集』（日経BP社）。