この記事のポイント
パブリックIP不要のRDP/SSH接続を提供するマネージドPaaS
ブラウザ/ネイティブクライアント接続の使い分けによる運用負荷削減
Basic/Standard/PremiumのSKUと時間/転送料金課金
BastionサブネットとパブリックIP前提の構成設計
ファイル転送・リージョン間接続など拡張機能の利用

Microsoft MVP・AIパートナー。LinkX Japan株式会社 代表取締役。東京工業大学大学院にて自然言語処理・金融工学を研究。NHK放送技術研究所でAI・ブロックチェーンの研究開発に従事し、国際学会・ジャーナルでの発表多数。経営情報学会 優秀賞受賞。シンガポールでWeb3企業を創業後、現在は企業向けAI導入・DX推進を支援。
Azure Bastionは、仮想マシンに対するRDP/SSH接続をブラウザ経由で安全に提供するマネージドサービスです。VMにパブリックIPを付けずに接続できるため、攻撃面を減らせます。
本記事では、Azure Bastionの特徴、価格体系、接続方法、ファイル転送やリージョン間接続のポイントまで整理します。
Azure Bastionとは
Azure Bastionは、Azure上のVMに対してRDP/SSHを安全に提供するフルマネージドPaaSです。踏み台サーバーを自前運用せずに、Azureポータルまたはネイティブクライアントから接続できます。
SKUはDeveloper/Basic/Standard/Premiumの4種類で、必要な機能(ネイティブ接続、ファイル転送、セッション記録、Private-only構成)に応じて選択します。運用要件がある環境は、最初からStandard以上を前提に設計するのが実務的です。
Basic/Standard/PremiumではAzureBastionSubnetが必須です。VM側にパブリックIPを付けずに接続できるため、公開面を減らしつつ管理者の接続性を維持できます。

Azure Bastionの特徴
Azure Bastionは、セキュリティ、運用性、拡張性を同時に満たしやすいのが特徴です。
高度なセキュリティ
Azure Bastionは、Bastionサブネットを介してVMに接続するため、VMを直接公開する必要がありません。
これにより、VMがインターネットにさらされるリスクを低減できます。必要に応じてJust-In-TimeアクセスやNSGの制御を組み合わせると、さらに安全性が高まります。
この機能は、必要なときだけアクセスを許可し、それ以外の時間帯にはアクセスを制限することで、セキュリティを強化します。
Microsoft Azureの他のセキュリティサービスとも連携でき、セキュリティの可視性と管理を向上させます。
【関連記事】
➡️Azureのセキュリティ対策を徹底解説!主要機能や製品、導入事例も
利便性の向上
Azure Bastionを使用すると、ブラウザ経由ですぐにRDP/SSHセッションを開始できます。端末ごとの踏み台設定が不要になり、運用手順を標準化しやすくなります。
Standard以上ではネイティブクライアント接続、共有リンク、カスタムポート、ファイル転送が使えます。Premiumではセッション記録とPrivate-onlyデプロイが加わるため、監査要件のある環境で有効です。
スケーラビリティと可用性
Azure Bastionはホストスケーリングで同時接続性を拡張できます。Standard以上ではスケールユニットを増やして混雑を避ける設計が可能です。
公式仕様(SKU比較・要件):
Azure Bastionの価格体系
Azure Bastionの料金体系は、使用時間とデータ転送量に基づいています。SKUごとに時間課金があり、Standard/Premiumでは追加機能が提供されます。
価格例(2026年2月時点 / Japan East / USD)
以下はAzure Retail Prices APIに基づく一例です。価格はリージョンや課金体系で変動します。
| SKU | 料金(USD/時間) | 主な用途 |
|---|---|---|
| Basic | 0.19 | 小規模・検証用途 |
| Standard | 0.29 | 本番利用、ファイル転送やネイティブ接続 |
| Premium | 0.45 | セッション記録・Private-only要件 |
| Standard Additional Gateway | 0.14 | 同時接続拡張時の追加コスト |
| Premium Additional Gateway | 0.22 | Premiumの同時接続拡張時 |
※データ転送量(Outbound)は別途課金されます。
※取得日: 2026-02-21。通貨: USD。リージョン: Japan East。単位: 時間。
※最新価格は公式価格ページを確認してください。
参考:Azure Bastion pricing
例えば、金融機関や医療機関など、高度なセキュリティが要求される業界での利用や、大規模なeコマースサイトの運用などに適しています
Azure BastionのデプロイとNSG設定
Azure Bastionのデプロイは以下の手順で行います。
デプロイ手順
- Azureポータルにログインします。
- 左側のメニューから「リソースの作成」を選択します。
- 「Bastion」を検索し、「Bastionの作成」を選択します。
- 必要な情報(リソースグループ、名前、リージョンなど)を入力し、「確認および作成」をクリックしてデプロイを開始します。
- 仮想ネットワーク(VNet)内に専用のサブネットを作成します。名前は必ず「AzureBastionSubnet」とします。
- サブネットのアドレス範囲を指定し、作成します。
- 作成したサブネットにBastionリソースを関連付けます。
NSG(Network Security Group)の設定
Azure BastionとNSGの設定は、仮想マシンのセキュリティを強化するために重要です。
NSGは、仮想ネットワーク内のトラフィックを制御するためのセキュリティルールを定義します。
NSG設定の手順
- Azureポータルで「ネットワークセキュリティグループ」を検索し、新しいNSGを作成します。
- NSGを作成するリソースグループと名前を指定し、作成します。
- 作成したNSGに移動し、「インバウンドセキュリティルール」を選択します。
- 「ルールの追加」をクリックし、以下の設定でルールを追加します。
ソース: 任意
ソースポート範囲: *
宛先: 任意
宛先ポート範囲: 443
プロトコル: TCP
アクション: 許可
優先度: 任意の値(例えば、100)
名前: 任意(例: Allow-Bastion-TCP-443)
アウトバウンドセキュリティルールの確認
5. 同様に「アウトバウンドセキュリティルール」を確認し、必要に応じて設定を調整します。
この設定により、Azure Bastionを使用して安全に仮想マシンにアクセスできるようになります。
NSGの設定を適切に行うことで、ネットワーク全体のセキュリティが向上します。
Azure Bastionの接続方法
Azureポータルでの設定手順
- Azureポータルにサインインします。
- 左側のメニューから「リソースの作成」を選択します。
- 「Bastion」を検索し、「Bastionの作成」を選択します。
- 必要な情報を入力し、Bastionホストを作成します。
- Bastionホストを既存の仮想ネットワーク(VNet)にデプロイします。
- Bastion専用のサブネット「AzureBastionSubnet」を選択します。
これにより、Azure Bastionを使用して仮想マシンに接続する準備が整います。
SSH/RDPを使用した接続方法
SSH接続
- Azureポータルで接続したい仮想マシンを選択します。
- 上部のメニューから「接続」を選択し、「Bastion」を選びます。
- 「SSH」を選択し、SSHキーを入力します。
- 「接続」をクリックすると、ブラウザ内でSSH接続が開始されます。
これにより、セキュアなコマンドラインアクセスが可能になります。
RDP接続
Azureポータルから仮想マシンに接続
- Azureポータルで接続したい仮想マシンを選択します。
- 上部のメニューから「接続」を選択し、「Bastion」を選びます。
- 「RDP」を選択し、必要な認証情報を入力します(ユーザー名とパスワード)。
- 「接続」をクリックすると、ブラウザ内でRDP接続が開始されます。
これにより、仮想マシンのデスクトップにアクセスできます。
Azure Bastionでファイル転送を行う方法
Azure Bastionでは、接続方式とSKUに応じてファイル転送方法が異なります。設計時に「運用者が何で接続するか」を先に固定しておくと手順が安定します。
RDP接続では、Bastionセッション上でコピー&ペーストやファイル転送機能を利用できます。SSHではStandard/Premiumのネイティブクライアント接続を使う構成が実務で一般的です。
RDP接続の場合
- Azure Bastionを使用してRDP接続を確立します。
- ローカルコンピュータ上で、転送するファイルをコピーします(Ctrl+C)。
- Bastionセッション内で、ファイルを貼り付けます(Ctrl+V)。
この手順により、ファイルがVMに転送されます。
SSH接続の場合
SSH運用では、Bastionのネイティブクライアント接続機能(Standard/Premium)を利用して転送します。ポータル接続だけでなく、運用スクリプトと組み合わせたい場合に有効です。
Azure Bastionのリージョン間接続
Azure Bastion自体がリージョンをまたいで直接中継するわけではありません。実運用ではVNetピアリングや接続設計を組み合わせて、別リージョンVMへの到達性を作ります。
地理分散環境では、どのリージョンにBastionを置くか、どのVNetをハブにするかを先に決めるとトラブルを減らせます。
実際の手順
リージョン間接続を設定するには、VNetピアリングを使用します。
これにより、異なるリージョンのVNet間でのシームレスな接続が確立され、業務効率が向上します。
- Azureポータルにサインインします。
- ピアリングを設定する最初の仮想ネットワーク(VNet)に移動します。
- 左側のメニューから「ピアリング」を選択し、「追加」をクリックします。
- ピアリングリンク名を入力します。
- ピア接続する仮想ネットワークを選択します。これは異なるリージョンにあるVNetでも構いません。
- リモートネットワークの設定を確認し、トラフィックが相互に流れるように設定します(リソースマネージャーモード)。
- 必要な設定を確認し、「作成」をクリックします。これで、2つの異なるリージョンのVNetがピアリングされます。
- BastionリソースがデプロイされているVNetから、ピアリングされたリモートVNet内の仮想マシンにアクセスできます。
Azure Bastionが接続できない場合の対処法
Azure Bastionは通常、安定した接続を提供しますが、時に接続の問題が発生することがあります。このような場合、以下の対処法を試してみてください。
ネットワーク設定の確認
NSG(Network Security Group)の設定を確認します。
- インバウンドセキュリティルールで、ポート443(HTTPS)が開放されていることを確認してください。
- アウトバウンドセキュリティルールも適切に設定されていることを確認します。
ファイアウォール設定の確認
- Azure Firewallを使用している場合、Bastionトラフィックが許可されていることを確認します。
- 仮想マシンのOSレベルのファイアウォールも確認し、必要なポートが開放されていることを確認します。
サブネットの設定を確認
- Bastionサブネットの名前が正確に「AzureBastionSubnet」となっていることを確認します。
- サブネットのアドレス空間が/26以上であることを確認します。
Bastion設定の確認
Bastionリソースのステータスを確認します。
- Azureポータルで、Bastionリソースが「実行中」状態であることを確認します。
- 問題がある場合は、Bastionリソースの再起動を試みてください。
仮想マシンの設定を確認
- 接続しようとしている仮想マシンが実行中であることを確認します。
- 仮想マシンのネットワークインターフェイスが正しく設定されていることを確認します。
認証とアクセス権の確認
- RDP接続の場合、正しいユーザー名とパスワードを使用していることを確認します。
- SSH接続の場合、正しい秘密鍵を使用していることを確認します。
その他の対処法
ブラウザのキャッシュとCookieをクリアし、再試行します。
別のブラウザや別のデバイスからの接続を試みます。
Azure Supportに問い合わせる前に、Azure Status Pageで現在のサービス状態を確認します。
これらの対処法を試しても問題が解決しない場合は、Azure Supportに問い合わせることをお勧めします。
その際、具体的な症状やエラーメッセージ、試した対処法などの情報を提供すると、より迅速な解決につながります。
公式トラブルシュート:
【無料DL】AI業務自動化ガイド(220P)
Microsoft環境でのAI活用を徹底解説
Microsoft環境でのAI業務自動化・AIエージェント活用の完全ガイドです。Azure OpenAI、AI Agent Hub、n8nを活用した業務効率化の実践方法を詳しく解説します。
まとめ
Azure Bastionは、Azure仮想マシンへのセキュアなリモートアクセスを提供するための強力なツールです。パブリックIPアドレスを公開せずにアクセスできるため、セキュリティが向上します。
Azure Bastionの価格プランや設定方法、接続方法について理解し、最適な利用方法を選択することで、企業のITインフラの効率とセキュリティを高めることができます。また、他のAzureセキュリティサービスとの統合により、さらなるセキュリティ強化が図れます。











