Abilitare l'accesso JUST-In-Time

• È necessario abilitare Microsoft Defender per server piano 2 nella sottoscrizione.

• Macchine virtuali supportate: macchine virtuali distribuite tramite Azure Resource Manager, macchine virtuali distribuite con modelli di distribuzione classica, macchine virtuali protette da Firewall di Azure nella stessa rete virtuale della macchina virtuale, macchine virtuali protette da Firewall di Azure controllate da Firewall di Azure Manager, istanze DI AWS EC2 (anteprima)

• Per configurare l'accesso JUST-In-Time nelle macchine virtuali AWS, è necessario connettere l'account AWS a Microsoft Defender per il cloud.

• Per i criteri JIT, il nome del criterio, insieme al nome della macchina virtuale di destinazione, non deve superare un totale di 56 caratteri.

• Sono necessarie autorizzazioni Lettore e SecurityReader oppure un ruolo personalizzato può visualizzare lo stato e i parametri JIT.

• Per un ruolo personalizzato, assegnare le autorizzazioni riepilogate nella tabella. tPer creare un ruolo con privilegi minimi per gli utenti che devono richiedere solo l'accesso JIT a una macchina virtuale, usare lo script Set-JitLeastPrivilegedRole.

  Azione utente	Autorizzazioni da impostare
  Configurare o modificare un criterio JIT per una macchina virtuale	Assegnare queste azioni al ruolo: Nell'ambito di una sottoscrizione (o di un gruppo di risorse quando si usa solo l'API o PowerShell) associato alla macchina virtuale: Microsoft.Security/locations/jitNetworkAccessPolicies/write Nell'ambito di una sottoscrizione (o di un gruppo di risorse quando si usa solo l'API o PowerShell) della macchina virtuale: Microsoft.Compute/virtualMachines/write
  Richiedere l'accesso JIT a una macchina virtuale	Assegnare queste azioni all'utente: Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action Microsoft.Security/locations/jitNetworkAccessPolicies/*/read Microsoft.Compute/virtualMachines/read Microsoft.Network/networkInterfaces/*/read Microsoft.Network/publicIPAddresses/read
  Leggere i criteri JIT	Assegnare queste azioni all'utente: Microsoft.Security/locations/jitNetworkAccessPolicies/read Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action Microsoft.Security/policies/read Microsoft.Security/pricings/read Microsoft.Compute/virtualMachines/read Microsoft.Network/*/read

  Nota

  Solo le autorizzazioni Microsoft.Security sono rilevanti per AWS. Per creare un ruolo con privilegi minimi per gli utenti che devono solo richiedere l'accesso JIT a una macchina virtuale, usare lo script Set-JitLeastPrivilegedRole script.

È possibile usare Defender per il cloud oppure abilitare l'accesso JIT alle macchine virtuali a livello di codice con opzioni personalizzate oppure abilitare JIT con parametri predefiniti hardcoded dalle macchine virtuali di Azure.

L'accesso just-in-time alle macchine virtuali mostra le macchine virtuali raggruppate in:

• Configurata - Le macchine virtuali configurate per supportare l'accesso just-in-time alle macchine virtuali e mostra:
  • numero di richieste JIT approvate negli ultimi sette giorni
  • data e ora dell'ultimo accesso
  • dettagli della connessione configurati
  • ultimo utente
• Non configurato - Macchine virtuali senza JIT abilitato, ma in grado di supportare JIT. È consigliabile abilitare JIT per queste macchine virtuali.
• Non supportato - Macchine virtuali che non supportano JIT perché:
  • Gruppo di sicurezza di rete mancante (NSG) o Firewall di Azure - JIT richiede la configurazione di un gruppo di sicurezza di rete o una configurazione del firewall (o entrambe)
  • Macchina virtuale classica - JIT supporta le macchine virtuali distribuite tramite Azure Resource Manager.
  • Altro - La soluzione JIT è disabilitata nei criteri di sicurezza della sottoscrizione o del gruppo di risorse.

Abilitare JIT nelle macchine virtuali da Microsoft Defender per il cloud

Da Defender per il cloud è possibile abilitare e configurare l'accesso JIT alla macchina virtuale.

1. Aprire le protezioni del carico di lavoro e, nelle protezioni avanzate, selezionare Accesso just-in-time alle macchine virtuali.

2. Nella scheda Macchine virtuali non configurate contrassegnare le macchine virtuali da proteggere con JIT e selezionare Abilita JIT nelle macchine virtuali.

   Viene visualizzata la pagina di accesso alla macchina virtuale JIT che elenca le porte che Defender per il cloud consiglia di proteggere:

   • 22 - SSH
   • 3389 - RDP
   • 5985 - WinRM
   • 5986 - WinRM

   Per personalizzare l'accesso JIT:

   1. Selezionare Aggiungi.

   2. Selezionare una delle porte nell'elenco per modificarla o per immettere altre porte. Per ogni porta, è possibile impostare:

      • Il protocollo - Il protocollo consentito su questa porta quando viene approvata una richiesta
      • Gli IP di origine consentiti - Gli intervalli IP consentiti su questa porta quando viene approvata una richiesta
      • Il tempo massimo richiesta - Intervallo di tempo massimo durante il quale è possibile aprire una porta specifica

   3. Seleziona OK.

3. Per salvare la configurazione della porta, selezionare Salva.

Modificare la configurazione JIT in una macchina virtuale abilitata per JIT usando Defender per il cloud

È possibile modificare la configurazione just-in-time di una macchina virtuale aggiungendo e configurando una nuova porta da proteggere per quella macchina virtuale o modificando qualsiasi altra impostazione correlata a una porta già protetta.

Per modificare le regole JIT esistenti per una macchina virtuale:

1. Aprire le protezioni del carico di lavoro e, nelle protezioni avanzate, selezionare Accesso just-in-time alle macchine virtuali.

2. Nella scheda Macchine virtuali Configurate fare clic con il pulsante destro del mouse su una macchina virtuale e selezionare Modifica.

3. Nella configurazione di accesso jit alla macchina virtuale è possibile modificare l'elenco delle porte oppure selezionare Aggiungi una nuova porta personalizzata.

4. Al termine della modifica delle porte, selezionare Salva.

Richiedere l'accesso a una macchina virtuale abilitata per JIT da Microsoft Defender per il cloud

Quando una macchina virtuale ha un JIT abilitato, è necessario richiedere l'accesso per la connessione. È possibile richiedere l'accesso in uno dei modi supportati, indipendentemente da come si è abilitato il JIT.

1. Nella pagina accesso just-in-time alle macchine virtuali selezionare la scheda configurata.

2. Selezionare le macchine virtuali a cui si vuole accedere:

   • L'icona nella colonna dei Dettagli Connessione indica se JIT è abilitato nel gruppo di sicurezza di rete o nel firewall. Se è abilitata in entrambi i casi, viene visualizzata solo l'icona del firewall.

   • La colonna Dettagli Connessione mostra l'utente e le porte che possono accedere alla macchina virtuale.

3. Selezionare Richiedi accesso. Verrà visualizzata la finestra Richiedi accesso.

4. In Richiedi l'accesso selezionare le porte da aprire per ogni macchina virtuale, gli indirizzi IP di origine su cui si vuole aprire la porta e l'intervallo di tempo per aprire le porte.

5. Selezionare Open ports (Apri porte).

   Nota

   Se un utente che richiede l'accesso è protetto da un proxy, è possibile immettere l'intervallo di indirizzi IP del proxy.

Macchine virtuali di Azure

Abilitare JIT nelle macchine virtuali da macchine virtuali di Azure

È possibile abilitare JIT in una macchina virtuale dalle pagine delle macchine virtuali di Azure del portale di Azure.

1. Nel portale di Azure cercare e selezionare Macchine virtuali.

2. Selezionare la macchina virtuale da proteggere con JIT.

3. Nel menu a sinistra, selezionare Configurazione.

4. In Accesso just-in-time selezionare Abilita just-in-time.

   Per impostazione predefinita, l'accesso just-in-time per la macchina virtuale usa queste impostazioni:

   • Macchine virtuali Windows
     • Porta RDP: 3389
     • Accesso massimo consentito: Tre ore
     • Indirizzi IP di origine consentiti: Qualsiasi
   • Macchine virtuali Linux
     • SSH port: 22
     • Accesso massimo consentito: Tre ore
     • Indirizzi IP di origine consentiti: Qualsiasi

5. Per modificare uno qualsiasi di questi valori o aggiungere altre porte alla configurazione JIT, usare la pagina just-in-time di Microsoft Defender per il cloud:

   1. Dal menu di Defender per il cloud selezionare Accesso just-in-time alle macchine virtuali.

   2. Nella scheda Configurato fare clic con il pulsante destro del mouse sulla macchina virtuale a cui si vuole aggiungere una porta e scegliere Modifica.

      

   3. In Configurazione dell'accesso JIT alla VM è possibile modificare le impostazioni esistenti di una porta già protetta o aggiungere una nuova porta personalizzata.

   4. Al termine della modifica delle porte, selezionare Salva.

Richiedere l'accesso a una macchina virtuale abilitata per JIT dalla pagina di connessione della macchina virtuale di Azure

Quando una macchina virtuale ha un JIT abilitato, è necessario richiedere l'accesso per la connessione. È possibile richiedere l'accesso in uno dei modi supportati, indipendentemente da come si è abilitato il JIT.

Per richiedere l'accesso dalle macchine virtuali di Azure:

1. Nel portale di Azure aprire le pagine delle macchine virtuali.

2. Selezionare la macchina virtuale a cui connettersi e aprire la pagina Connetti .

   Azure verifica se JIT è abilitato in tale macchina virtuale.

   • Se JIT non è abilitato per la macchina virtuale, viene richiesto di abilitarlo.

   • Se JIT è abilitato, selezionare Richiedi accesso per passare una richiesta di accesso con l'indirizzo IP, l'intervallo di tempo e le porte richieste configurate per la macchina virtuale.

PowerShell

Abilitare JIT nelle macchine virtuali usando PowerShell

Per abilitare l'accesso just-in-time alle macchine virtuali da PowerShell, usare il cmdlet Set-AzJitNetworkAccessPolicy ufficiale di Microsoft Defender per il cloud di PowerShell.

Esempio - Abilitare l'accesso just-in-time alle macchine virtuali in una macchina virtuale specifica con le regole seguenti:

• Chiudere le porte 22 e 3389
• Impostare un intervallo di tempo massimo di 3 ore per ognuno in modo che possano essere aperti per ogni richiesta approvata
• Consentire all'utente che richiede l'accesso per controllare gli indirizzi IP di origine
• Consentire all'utente che richiede l'accesso per stabilire una sessione con esito positivo dopo una richiesta di accesso just-in-time approvata

I comandi di PowerShell seguenti creano questa configurazione JIT:

1. Assegnare una variabile che contiene le regole di accesso just-in-time per una macchina virtuale:

   $JitPolicy = (@{
       id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
       ports=(@{
           number=22;
           protocol="*";
           allowedSourceAddressPrefix=@("*");
           maxRequestAccessDuration="PT3H"},
           @{
           number=3389;
           protocol="*";
           allowedSourceAddressPrefix=@("*");
           maxRequestAccessDuration="PT3H"})})
   

2. Inserire le regole di accesso just-in-time della macchina virtuale in una matrice:

   $JitPolicyArr=@($JitPolicy)
   

3. Configurare le regole di accesso just-in-time delle macchine virtuali nella macchina virtuale selezionata:

   Set-AzJitNetworkAccessPolicy -Kind "Basic" -Location "LOCATION" -Name "default" -ResourceGroupName "RESOURCEGROUP" -VirtualMachine $JitPolicyArr
   

   Usare il parametro -Nome per specificare una macchina virtuale. Ad esempio, per stabilire la configurazione JIT per due macchine virtuali diverse, VM1 e VM2, usare: Set-AzJitNetworkAccessPolicy -Name VM1 e Set-AzJitNetworkAccessPolicy -Name VM2.

Richiedere accesso a una macchina virtuale abilitata per JIT usando PowerShell

Nell'esempio seguente è possibile visualizzare una richiesta di accesso just-in-time alla macchina virtuale a una macchina virtuale specifica per la porta 22, per un indirizzo IP specifico e per un periodo di tempo specifico:

Eseguire i comandi seguenti in PowerShell:

1. Configurare le proprietà di accesso alle richieste della macchina virtuale:

   $JitPolicyVm1 = (@{
       id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
       ports=(@{
         number=22;
         endTimeUtc="2020-07-15T17:00:00.3658798Z";
         allowedSourceAddressPrefix=@("IPV4ADDRESS")})})
   

2. Inserire i parametri della richiesta di accesso alla macchina virtuale in una matrice:

   $JitPolicyArr=@($JitPolicyVm1)
   

3. Inviare l'accesso alla richiesta (usare l'ID risorsa del passaggio 1)

   Start-AzJitNetworkAccessPolicy -ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default" -VirtualMachine $JitPolicyArr
   

Per altre informazioni, vedere la documentazione dei cmdlet di PowerShell.

REST API

Abilitare JIT nelle macchine virtuali usando l'API REST

La funzionalità di accesso JUST-In-Time alle macchine virtuali può essere usata tramite l'API Microsoft Defender per il cloud. Usare questa API per ottenere informazioni sulle macchine virtuali configurate, aggiungerne di nuove, richiedere l'accesso a una macchina virtuale e altro ancora.

Per altre informazioni, vedere Criteri di accesso alla rete JIT.

Richiedere l'accesso a una macchina virtuale abilitata per JIT usando l'API REST

La funzionalità di accesso JUST-In-Time alle macchine virtuali può essere usata tramite l'API Microsoft Defender per il cloud. Usare questa API per ottenere informazioni sulle macchine virtuali configurate, aggiungerne di nuove, richiedere l'accesso a una macchina virtuale e altro ancora.

Per altre informazioni, vedere Criteri di accesso alla rete JIT.

Controllare l'attività di accesso JIT in Defender per il cloud

È possibile ottenere informazioni approfondite sulle attività delle macchine virtuali tramite la funzionalità Ricerca log. Per visualizzare i log:

1. Dall'accesso JUST-in-time alle macchine virtuali selezionare la scheda Configurata.

2. Per la macchina virtuale che si vuole controllare, aprire il menu con i puntini di sospensione alla fine della riga.

3. Selezionare Log attività dal menu.

   

   Il log attività fornisce una visualizzazione filtrata delle operazioni precedenti per la macchina virtuale insieme a ora, data e sottoscrizione.

4. Per scaricare le informazioni di log, selezionare Scarica come CSV.