Überlegungen zur Hybrididentität für die Azure Government-Cloud
In diesem Artikel werden Überlegungen zum Integrieren einer Hybridumgebung in die Microsoft Azure Government-Cloud beschrieben. Diese Informationen dienen als Referenz für Administratoren und Architekten, die mit der Azure Government-Cloud arbeiten.
Hinweis
Um eine Microsoft Active Directory-Umgebung (entweder lokal oder in einer IaaS gehostet, die Teil derselben Cloudinstanz ist) in die Azure Government-Cloud zu integrieren, müssen Sie ein Upgrade auf die neueste Version von Microsoft Entra Connect durchführen.
Eine vollständige Liste der Endpunkte des US-Verteidigungsministeriums finden Sie in der Dokumentation.
Microsoft Entra-Passthrough-Authentifizierung
Die folgenden Informationen beschreiben die Implementierung von Pass-Through-Authentifizierung und die Azure Government-Cloud.
Zulassen des Zugriffs auf URLs
Überprüfen Sie vor der Bereitstellung des Pass-Through-Authentifizierungs-Agents, ob eine Firewall zwischen Ihren Servern und Microsoft Entra ID vorhanden ist. Wenn Ihre Firewall oder Ihr Proxy durch DNS (Domain Name System) blockierte oder sichere Programme zulässt, fügen Sie die folgenden Verbindungen hinzu.
Wichtig
Die folgenden Leitfäden gelten nur für Folgendes:
- den Passthrough-Authentifizierungs-Agent
- Privater Microsoft Entra-Netzwerkconnector
Informationen zu URLS für den Microsoft Entra-Bereitstellungsagent finden Sie in den Installationsvoraussetzungen für die Cloudsynchronisierung.
| URL | Wie diese verwendet wird |
|---|---|
| *.msappproxy.us*.servicebus.usgovcloudapi.net | Der Agent verwendet diese URLs für die Kommunikation mit dem Microsoft Entra-Clouddienst. |
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80 |
Der Agent verwendet diese URLs zum Überprüfen von Zertifikaten. |
| login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net*.msftauth.net *.msftauthimages.net*.phonefactor.net enterpriseregistration.windows.netmanagement.azure.com policykeyservice.dc.ad.msft.netctldl.windowsupdate.us:80 | Der Agent verwendet diese URLs während der Registrierung. |
Installieren des Agents für die Azure Government-Cloud
Führen Sie die folgenden Schritte aus, um den Agent für die Azure Government-Cloud zu installieren:
Navigieren Sie im Befehlszeilenterminal zu dem Ordner, der die ausführbare Datei enthält, mit der der Agent installiert wird.
Führen Sie die folgenden Befehle aus, die angeben, dass die Installation für Azure Government erfolgt.
Für Pass-Through-Authentifizierung:
AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"Für den Anwendungsproxy:
MicrosoftEntraPrivateNetworkConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment"
Einmaliges Anmelden
Einrichten Ihres Microsoft Entra Connect-Servers
Wenn Sie die Passthrough-Authentifizierung als Anmeldemethode verwenden, ist keine zusätzliche Prüfung der Voraussetzungen erforderlich. Wenn Sie die Kennworthashsynchronisierung als Anmeldemethode verwenden und eine Firewall zwischen Microsoft Entra Connect und Microsoft Entra ID vorhanden ist, stellen Sie folgendes sicher:
Dass Sie Microsoft Entra Connect Version 1.1.644.0 oder höher verwenden.
Wenn Ihre Firewall oder Ihr Proxy DNS-blockierte oder sichere Programme zulässt, fügen Sie die Verbindungen zu den *.msappproxy.us-URLs über Port 443 hinzu.
Aktivieren Sie andernfalls den Zugriff auf die IP-Adressbereiche für das Azure-Rechenzentrum, die wöchentlich aktualisiert werden. Diese Voraussetzung gilt nur, wenn Sie das Feature aktivieren. Sie ist für tatsächliche Benutzeranmeldungen nicht erforderlich.
Rollout von nahtlosem einmaligem Anmelden
Mithilfe der folgenden Anweisungen können Sie schrittweise nahtloses einmaliges Anmelden bei Microsoft Entra für Ihre Benutzer bereitstellen. Zunächst fügen Sie die Microsoft Entra-URL https://autologon.microsoft.us allen oder ausgewählten Intranetzoneneinstellungen der Benutzer mithilfe von Gruppenrichtlinien in Active Directory hinzu.
Außerdem müssen Sie die Richtlinieneinstellung für die Intranetzone Updates der Statusleiste per Skript über Gruppenrichtlinie zulassen aktivieren.
Überlegungen zum Browser
Mozilla Firefox (alle Plattformen)
Mozilla Firefox verwendet nicht automatisch die Kerberos-Authentifizierung. Jeder Benutzer muss die Microsoft Entra-URL manuell zu seinen Firefox-Einstellungen hinzufügen, indem Sie die folgenden Schritte ausführen:
- Starten Sie Firefox und geben Sie about:config in der Adressleiste ein. Schließen Sie alle Benachrichtigungen, die ggf. angezeigt werden.
- Suchen Sie nach der Einstellung network.negotiate-auth.trusted-uris. Diese Einstellung listet die Websites auf, denen Firefox für Kerberos-Authentifizierung vertraut.
- Klicken Sie mit der rechten Maustaste auf den Einstellungsnamen und wählen Sie dann Modifizieren.
- Geben Sie
https://autologon.microsoft.usin das Feld ein. - Klicken Sie auf OK, und öffnen Sie den Browser erneut.
Microsoft Edge auf Chromium-Basis (alle Plattformen)
Wenn Sie die Richtlinieneinstellungen AuthNegotiateDelegateAllowlist oder AuthServerAllowlist in Ihrer Umgebung überschrieben haben, stellen Sie sicher, dass Sie ihnen die Microsoft Entra-URL https://autologon.microsoft.us hinzufügen.
Google Chrome (alle Plattformen)
Wenn Sie die Richtlinieneinstellungen AuthNegotiateDelegateWhitelist oder AuthServerWhitelist in Ihrer Umgebung überschrieben haben, stellen Sie sicher, dass Sie ihnen die Microsoft Entra-URL https://autologon.microsoft.us hinzufügen.