Connessione Remote Desktop (RDP) ai Windows Server 2025 gestiti con Azure Arc utilizzando SSH

Azure Arc permette di gestire e connettersi ai server Windows distribuiti su più cloud o on-premises senza la necessità di VPN o indirizzi IP pubblici. Il processo include l’onboarding dei server su Azure Arc, la configurazione delle policy di accesso remoto e l’utilizzo di Azure CLI per abilitare la connessione SSH, sia verso server Linux che verso server Windows. Questo metodo garantisce sicurezza e semplicità nella gestione da un’unica piattaforma centralizzata.

I server gestiti con Azure Arc vi permettono di utilizzare l’estensione SSH dell’Azure CLI per connettervi al Control Plane di Azure e da lì stabilire una connessione sicura al server gestito da Azure Arc, utilizzando l’Azure Connected Machine Agent, senza dover aprire porte aggiuntive o configurare firewall.

In questa breve guida voglio mostrarvi come sia possibile effettuare una connessione RDP ad una macchina Windows gestita da Azure Arc passando attraverso un tunnel SSH. I passaggi da seguire sono:

  • Effettuare l’onboarding di Windows Server ad Azure Arc
  • Assicurarsi che la versione dell’agent di Azure Arc sia almeno la 1.31.xxxx o superiore
  • Assicurarsi che la sottoscrizione abbia l’HybridConnectivity resource provider registrato
  • Creare il connectivity endpoint in Azure
  • Installare il modulo PowerShell per Arc su Windows Server
  • Abilitare la funzionalità SSH nel server Arc-enabled
  • Connettersi tramite SSH e aviare una connessione RDP remota

Tutte le indicazioni per abilitare l’accesso SSH alle macchine Linux e Windows gestite tramite Azure Arc sono contenute alla pagina SSH access to Azure Arc-enabled servers – Azure Arc | Microsoft Learn

Onboarding delle macchine Windows in Azure Arc

Per effettuare l’onboarding delle macchine Windows in Azure Arc è necessario seguire una serie di passaggi che permettono di registrare e gestire i server fisici o virtuali attraverso il portale di Azure. Innanzitutto, assicurarsi di avere un account Azure con le autorizzazioni necessarie e che le macchine Windows da aggiungere eseguano una versione supportata del sistema operativo, come Windows Server 2012 R2 o successivo. È fondamentale che queste macchine abbiano accesso a Internet per comunicare con i servizi Azure; in caso contrario, bisogna configurare un proxy o considerare l’onboarding offline. Vi rimando quindi alla lettura della mia guida Gestire Windows Server 2025 con Microsoft Azure Arc – ICT Power per conoscere le modalità di onboarding di Windows Server 2025.

Figura 1: Macchina con Windows Server 2025 gestita da Azure Arc

Registrazione dell’HybridConnectivity resource provider

Per controllare che la vostra sottoscrizione abbia l’HybridConnectivity resource provider registrato è sufficiente selezionare la sottoscrizione e nel nodo Resource Providers effettuare un filtro per trovare HybridConnectivity. Se il provider non risulta registrato procedete alla registrazione, come mostrato nella figura sotto:

Figura 2: Registrazione dell’HybridConnectivity resource provider

Creazione del Connectivity Endpoint

Il Connectivity Endpoint è un servizio che consente la connessione sicura ai server gestiti tramite Azure Arc. Serve per stabilire una connessione remota sicura (SSH per Linux e Windows o RDP per Windows) senza la necessità di esporre pubblicamente gli indirizzi IP dei server. Utilizzando questo endpoint gli amministratori possono gestire i server remoti, indipendentemente dalla loro posizione (on-premises o multi-cloud), migliorando la sicurezza e centralizzando la gestione tramite la piattaforma Azure.

Per abilitare il Connectivity Endpoint è sufficiente aprire Azure Cloud Shell e digitare il comando di seguito, avendo cura di personalizzarlo con i propri parametri.

Figura 3: Creazione del Connectivity Endpoint

Se volete verificare che la creazione del Connectivity Endpoint sia stata effettuata potete lanciare il comando:

Invoke-AzRestMethod -Method get -Path /subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15

Installazione dei local command line tool in Windows Server 2025

Nei server gestiti da Azure Arc sarà necessario installare un paio di moduli di PowerShell che permetteranno di eseguire comandi per gestire le connessioni remote e altri aspetti della gestione dei server Arc, come l’accesso SSH o RDP. I comandi Powershell da lanciare in Windows Server sono:

Figura 4: Installazione dei moduli PowerShell necessari alle connessioni remote

Configurazione del servizio nel Connectivity Endpoint

Per abilitare la funzionalità SSH su un server abilitato ad Azure Arc è necessario aggiornare la configurazione del servizio nel Connectivity Endpoint per consentire la connessione SSH su una porta specifica. Sebbene gli strumenti CLI tentino di aggiornare la porta consentita automaticamente durante l’esecuzione, potete configurarla manualmente. Questo assicura che solo una singola porta SSH sia aperta per le connessioni remote.

Aprite Azure Cloud Shell in modalità PowerShell e digitate il comando:

Figura 5: Configurazione del servizio nel Connectivity Endpoint

Connessione RDP attraverso il tunnel SSH

Per connettervi al vostro server gestito da Azure Arc sarà sufficiente utilizzare Azure CLI. Nella macchina da cui volete connettervi (una macchina qualsiasi da cui volete fare la gestione dei server) installate Azure CLI seguendo le indicazioni contenute alla pagina Install the Azure CLI for Windows | Microsoft Learn e lanciate i comandi di connessione:

Se ricevete un messaggio di errore come quello mostrato nella figura sotto e viene rifiutata la connessione allora sarà necessario abilitare Remote SSH Access in Windows Server 2025.

Figura 6: La connessione al server viene rifiutata perchè non è abilitatoRemote SSH

Potete abilitare Remote SSH Access sul server Windows Server 2025 gestito da Azure Arc dal Server Manager, come mostrato nella figura sotto. Cliccando su Disabled vi apparirà un prompt senza scritte che scomparirà nel giro di qualche secondo, una volta terminata l’abilitazione della funzionalità.

Figura 7: Abilitazione di Remote SSH Access in Windows Server 2025

Figura 8: Abilitazione di Remote SSH Access effettuata

Non dimenticate anche di abilitare dal Server Manager anche la funzionalità Remote Desktop, per poter accedere in desktop remoto (che poi è esattamente la finalità di questa guida)

Figura 9: Abilitazione di Remote Desktop Access in Windows Server 2025

Riprovando a rilanciare il comando di connessione

sono riuscito a collegarmi alla macchina Windows Server 2025 gestita da Azure Arc senza problemi, come si può vedere dalle figure sotto.

Ho inserito prima le credenziali per poter effettuare la connessione SSH a Windows Server 2025 ed instaurare il tunnel e quando mi è apparso il client di desktop remoto ho inserito le credenziali di accesso alla connessione RDP. Si noti che la connessione RDP riporta come endpoint di connessione localhost:porta casuale

Figura 10: Connessione in RDP tramite SSH su Windows Server 2025

Figura 11: Connessione RDP avvenuta con successo

Conclusioni

La connessione RDP attraverso un tunnel SSH ai server Windows gestiti con Azure Arc offre una soluzione sicura e flessibile per accedere e gestire server remoti senza la necessità di esporre indirizzi IP pubblici o utilizzare VPN. Questa funzionalità semplifica la gestione centralizzata dei server on-premise e multi-cloud, migliorando sia l’efficienza operativa che la sicurezza