Configurer l’enregistrement de session Bastion (préversion)

Cet article vous aide à configurer l’enregistrement de session Bastion. Lorsque la fonctionnalité d’enregistrement de session Azure Bastion est activée, vous pouvez enregistrer les sessions graphiques pour les connexions apportées aux machines virtuelles (RDP et SSH) via l’hôte bastion. Une fois la session fermée ou déconnectée, les sessions enregistrées sont stockées dans un conteneur blob au sein de votre compte de stockage (via l'URL SAS). Lorsqu'une session est déconnectée, vous pouvez accéder et afficher vos sessions enregistrées dans le portail Azure sur la page Enregistrement de session. L’enregistrement de session nécessite la référence SKU Bastion Premium.

Avant de commencer

Les sections suivantes décrivent les considérations, limitations et conditions préalables à l’enregistrement de session Bastion.

Considérations et limitations

  • La référence SKU Premium est requise pour cette fonctionnalité.
  • L’enregistrement de session n’est pas disponible via le client natif pour l’instant.
  • L’enregistrement de session prend en charge un seul conteneur/compte de stockage à la fois.
  • Lorsque l'enregistrement de session est activé sur un hôte bastion, Bastion enregistre TOUTES les sessions qui passent par l'hôte bastion activé pour l'enregistrement.

Conditions préalables

  • Azure Bastion est déployé sur votre réseau virtuel. Voir Didacticiel - Déployer Bastion à l'aide des paramètres spécifiés pour connaître les étapes.
  • Bastion doit être configuré pour utiliser référence SKU Premium pour cette fonctionnalité. Vous pouvez effectuer une mise à jour vers la référence SKU Premium à partir d’une référence SKU inférieure lorsque vous configurez la fonctionnalité d’enregistrement de session. Pour vérifier votre référence SKU et la mise à niveau, si nécessaire, consultez Afficher ou mettre à niveau une référence SKU.
  • La machine virtuelle à laquelle vous vous connectez doit être déployée soit sur le réseau virtuel qui contient l'hôte bastion, soit sur un réseau virtuel directement appairé au réseau virtuel Bastion.

Activer l’enregistrement de session

Vous pouvez activer l’enregistrement de session lorsque vous créez une ressource hôte bastion, ou vous pouvez la configurer ultérieurement après le déploiement de Bastion.

Capture d’écran montrant la page de configuration de l’hôte bastion.

Étapes pour les nouveaux déploiements Bastion

Lorsque vous configurez et déployez manuellement un hôte bastion, vous pouvez spécifier le niveau de référence SKU et les fonctionnalités au moment du déploiement. Pour obtenir des étapes complètes pour déployer Bastion, consultez Déployer Bastion à l’aide des paramètres spécifiés.

  1. Dans le portail Azure, sélectionnez Créer une ressource.
  2. Recherchez Azure Bastion, puis sélectionnez Créer.
  3. Renseignez les valeurs à l’aide des paramètres manuels, en veillant à sélectionner la référence SKU Premium.
  4. Sous l’onglet avancé, sélectionnez d’enregistrement de session pour activer la fonctionnalité d’enregistrement de session.
  5. Passez en revue vos détails et sélectionnez Créer. Bastion commence immédiatement à créer votre hôte bastion. Ce processus prend environ 10 minutes.

Étapes pour les déploiements Bastion existants

Si vous avez déjà déployé Bastion, procédez comme suit pour activer l’enregistrement de session.

  1. Dans le portail Azure, accédez à votre ressource Bastion.
  2. Dans votre page Bastion, dans le volet gauche, sélectionnez Configuration.
  3. Dans la page Configuration, pour le niveau, sélectionnez Premium s’il n’est pas déjà sélectionné. Cette fonctionnalité nécessite la référence SKU Premium.
  4. Sélectionnez enregistrement de session (préversion) dans les fonctionnalités répertoriées.
  5. Sélectionnez Appliquer. Bastion commence immédiatement à mettre à jour les paramètres de votre hôte bastion. Les mises à jour prennent environ 10 minutes.

Configurer le conteneur de compte de stockage

Dans cette section, vous configurez et spécifiez le conteneur pour les enregistrements de session.

  1. Créez un compte de stockage dans votre groupe de ressources. Pour connaître la procédure, consultez Créer un compte de stockage et Accorder un accès limité aux ressources de stockage Azure à l'aide de signatures d'accès partagé (SAS).

  2. Dans le compte de stockage, créez un conteneur. Il s’agit du conteneur que vous allez utiliser pour stocker vos enregistrements de session Bastion. Nous vous recommandons de créer un conteneur exclusif pour les enregistrements de session. Pour obtenir des instructions, consultez Créer un compte de stockage.

  3. Dans la page de votre compte de stockage, dans le volet gauche, développez Paramètres. Sélectionnez Partage de ressources (CORS).

  4. Créez une nouvelle politique sous Service Blob et enregistrez vos modifications en haut de la page.

Nom Valeur
Origines autorisées https:// suivi du nom DNS complet de votre bastion, commençant par bst-. Gardez à l’esprit que ces valeurs sont sensibles à la casse.
Méthodes autorisées GET
En-têtes autorisés *
En-têtes exposés *
Âge maximal 86400

Ajouter ou mettre à jour l'URL SAS

Pour configurer les enregistrements de session, vous devez ajouter une URL SAS à la configuration de vos enregistrements Bastion Session. Dans cette section, vous générez l’URL SAS d’objet blob à partir de votre conteneur, puis chargez-la sur votre hôte bastion.

Les étapes suivantes vous aident à configurer les paramètres requis directement sur la page Générer SAS. Toutefois, vous pouvez éventuellement configurer certains des paramètres en créant une stratégie d’accès stockée. Vous pouvez ensuite lier la stratégie d'accès stockée au jeton SAS sur la page Générer SAS. Si vous souhaitez créer une stratégie d'accès stockée, sélectionnez Autorisations et Date et heure de début/expiration dans la stratégie d'accès ou sur la page Générer SAS.

  1. Dans la page de votre compte de stockage, accédez à stockage de données -> Conteneurs.
  2. Recherchez le conteneur que vous avez créé pour stocker les enregistrements de session Bastion, puis cliquez sur les 3 points (points de suspension) à droite de votre conteneur, puis sélectionnez Générer des SAS dans la liste déroulante.
  3. Sur la page Générer SAS, pour Autorisations, sélectionnez READ, CREATE, WRITE, LIST.
  4. Pour date/heure de début et d’expiration, utilisez les recommandations suivantes :
    • Définissez heure de début d’au moins 15 minutes avant l’heure actuelle.
    • Définissez heure d’expiration à long terme.
  5. Sous protocoles autorisés, sélectionnez HTTPS uniquement.
  6. Cliquez sur Générer une URL et un jeton SAS. Vous verrez le jeton SAS d’objet blob et l’URL SAS d’objet blob générées en bas de la page.
  7. Copiez l’URL SAS de l’objet Blob.
  8. Accédez à votre hôte bastion. Dans le volet gauche, sélectionnez enregistrements de session.
  9. En haut de la page, sélectionnez Ajouter ou mettre à jour l'URL SAS. Collez votre URL SAS, puis cliquez sur Charger.

Afficher un enregistrement

Les sessions sont automatiquement enregistrées lorsque l’enregistrement de session est activé sur l’hôte bastion. Vous pouvez afficher les enregistrements sur le portail Azure via un lecteur Web intégré.

  1. Dans le portail Azure, accédez à votre hôte Bastion.
  2. Dans le volet gauche, sous Paramètres, sélectionnez enregistrements de session.
  3. L'URL SAS doit déjà être configurée (plus tôt dans cet exercice). Toutefois, si votre URL SAS a expiré ou que vous devez ajouter l’URL SAS, utilisez les étapes précédentes pour acquérir et charger l’URL SAS d’objet blob.
  4. Sélectionnez la machine virtuelle et le lien d’enregistrement que vous souhaitez afficher, puis sélectionnez Afficher l’enregistrement.

Étapes suivantes

Consultez la FAQ Bastion pour plus d’informations sur Bastion.