はじめに

Azure Bastionは、VNET内部の仮想マシンに安全に接続することが可能な、フルマネージドの踏み台サービスです。端的にいうと、Azureポータルの画面内部で、RDPの画面だけ転送してくれるRDP proxy・・・といったところでしょうか。

ちょっと安全に気を配ったシステムを運用する場合、Bastion経由でVNET内にアクセスしましょうという運用設計とし、VNETにはインターネットなど外部からアクセスできないようにする・・・というのが一般的に行われます。
一方で、開発行為自体をAzure上で行いたいというときに、複数のユーザーがWindows Serverに接続して操作を行いたい…ということが出てくるのですが、「Bastion経由でアクセスする場合、後続のWindows Serverに複数セッションで接続できるんだっけ？」という疑問が出てきます。

そのような場合の制約を調べたので、本記事で残しておきます。

接続数制限

Windows Serverの制限

Windows系OSへのRDPは、通常２セッションまでと制限されています。これは管理用途での「管理セッション」と呼ばれているものです。
一方で、複数人がユーザーとして利用する場合は、CALを追加しリモートデスクトップセッションホスト（RDSH）として構成することで、２セッションまでという上限を突破することが可能です。
では、Azure Bastion＋RDSHとするとことで、３人以上のユーザーが同時に利用することが可能になるん所でしょうか？

Bastionの制限

特にドキュメントやFAQなどでの記載は見つからなかったのですが、サポートに確認したところ残念dなながら「RDSHへの接続はサポートしていない」「2セッション（管理セッション）のみの利用を想定して
いる」とのことでした。（2024/6時点）

ただし、技術的に禁止されているわけではないようで、「多分使えるけど…」「技術的なサポートはするけど、もしRDS構成に起因するエラーで解決できない場合は諦めてね」という、なんとも前向きなコメントをいただきました。
私は試せてないのですが、うまくいかなくても困らない環境で試せる方がいたら、ぜひ試してみてくださいね！

Bastionの性能制限

ところで、技術的に多セッション接続が許されたとしても、如何ともし難いのがBastion自体の性能制限です。RDP接続を転送するような仕組みになっているので、処理性能・ネットワーク的な性能で上限がくることが想定されます。
Bastionの性能上限に引っかかるようでしたら、Standard以上のskuにする（ホストのスケーリングを使えるようにする）必要がありますね。本記事の制限にかかわらず、上記制約にはご注意ください。

おわりに

Bastion経由でWindows Serverに接続する場合のセッション数制限について記載しました。
技術的には突破できそうですが、公式サポートにはなってない…ということで、現時点では常用するのは難しそうです。今後この辺りが正式サポートされると嬉しいですね。