使用 SSH 管理远程服务器

安全外壳（SSH）在 IT 行业被广泛认可为系统管理员的关键服务。 它提供了一种安全加密的方法，用于通过不安全的网络访问和管理远程系统。 IT 管理员依靠 SSH 安全地执行基本任务，包括组织的基础结构中的服务器和应用程序的配置、部署和维护。

本指南和 本视频介绍如何使用 Microsoft Entra Private Access 配置和建立 SSH 连接，以增强远程访问工作流的安全性。

使用 Microsoft Entra Private Access 建立 SSH 连接

Microsoft Entra Private Access 提供一个以身份为中心的零信任网络访问(ZTNA)解决方案，从而增强 SSH 管理流量的安全性和效率，使 IT 管理员可以安全地与远程服务器建立 SSH 连接。

先决条件

确保满足以下先决条件。

• 许可 - 了解Microsoft全局安全访问的许可
  • 详细了解 Microsoft Entra 计划和定价
  • 请参阅 适用于 Windows 的全局安全访问客户端
• 一个启用了 SSH 的远程服务器
• 具有与资源的网络连接的Microsoft全球安全访问专用网络连接器
  • 了解如何 配置连接器
• 具有全局安全访问客户端的设备
• 已启用专用访问配置文件
  • 请参阅 全局安全访问流量转发配置文件
• 全局安全访问管理员角色（供管理员）
  • 了解 内置角色

使用条件访问策略配置 SSH 流量获取和安全

创建企业应用程序：

1. 在 Microsoft Entra 管理中心中，浏览到 全局安全访问。
2. 依次选择 “应用程序”、“ 企业应用程序”。
3. 选择“新建应用程序” 。
4. 键入 SSH 企业应用程序的名称。
5. 此时会显示 “创建应用程序段 ”面板。
6. 若要获取 SSH 流量的应用程序段，请选择 “目标”类型 ，并添加提供与远程服务器的连接的 IP 或子网。
7. 配置 端口 以获取发往端口 22 的流量。
8. 对于协议，请选择TCP。
9. 选择“保存”。

将用户和组分配给应用程序。 只有分配给企业应用程序的用户才能通过指定的应用程序段连接到它。

1. 在 Microsoft Entra 管理中心中，浏览到 全局安全访问。
2. 依次选择 “应用程序”、“ 企业应用程序”。
3. 选择创建的 SSE 企业应用程序，然后选择 “用户和组”。
4. 添加需要访问权限的用户和组。
5. 如果需要，请创建 Microsoft Entra 条件访问 策略以提高应用程序安全性。 有关详细信息，请参阅将条件访问策略应用于专用访问应用。
6. 确认可以从客户端设备访问 SSH 服务。

配置清单

使用以下清单来帮助确认配置。

• 确保服务器正在运行并可由 SSH 端口访问。
• 确认正确的主机防火墙配置。
  • 在 适用于 Windows 的 OpenSSH Server 配置中查找指南。
• 确认应用程序段已下载到 Global Secure Access 客户端。
  • 右键单击 Windows 任务栏中的 全局安全访问 客户端图标。
  • 选择 高级诊断>转发配置文件>专用访问。
  • 验证应用程序是否显示在访问配置文件中。

连接失败

如果连接失败，请使用以下清单。

• 验证服务器 IP 地址和端口号。
• 确认是否允许从专用连接器服务器使用 SSH 端口。
• 隔离可能阻止 SSH 流量的防火墙规则。
• 验证全球安全访问客户端是否捕获流量。
• 验证是否已将用户分配到应用程序。

后续步骤

• 观看使用专用访问管理 SSH 基于服务器管理流量的视频演练
• 了解专用访问
• 如何为专用访问配置连接器
• 如何使用 GSA 应用配置每个应用的访问