Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden Überlegungen zur Integration einer Hybridumgebung in die Microsoft Azure Government-Cloud beschrieben. Diese Informationen werden als Referenz für Administratoren und Architekten bereitgestellt, die mit der Azure Government-Cloud arbeiten.
Hinweis
Um eine Microsoft Active Directory-Umgebung (entweder lokal oder in einer IaaS gehostet, die Teil derselben Cloudinstanz ist) in die Azure Government-Cloud zu integrieren, müssen Sie ein Upgrade auf die neueste Version von Microsoft Entra Connect durchführen.
Eine vollständige Liste der Endpunkte des Us-Amerikanischen Verteidigungsministeriums finden Sie in der Dokumentation.
Benutzeranmeldung mit Passthrough-Authentifizierung von Microsoft Entra
Die folgenden Informationen beschreiben die Implementierung der Pass-Through-Authentifizierung und der Azure Government-Cloud.
Zulassen des Zugriffs auf URLs
Überprüfen Sie vor der Bereitstellung des Pass-Through-Authentifizierungs-Agents, ob eine Firewall zwischen Ihren Servern und der Microsoft Entra-ID vorhanden ist. Wenn Ihre Firewall oder Ihr Proxy blockierte oder sichere Programme (Domain Name System) zulässt, fügen Sie die folgenden Verbindungen hinzu.
Von Bedeutung
Die folgenden Anleitungen gelten nur für Folgendes:
- Der Pass-Through-Authentifizierungs-Agent
- Microsoft Entra Private Network Connector
Informationen zu URLS für den Microsoft Entra-Bereitstellungs-Agent finden Sie in den Installationsvoraussetzungen für die Cloudsynchronisierung.
| URL | Wie diese verwendet wird |
|---|---|
| *.msappproxy.us *.servicebus.usgovcloudapi.net |
Der Agent verwendet diese URLs für die Kommunikation mit dem Microsoft Entra-Clouddienst. |
mscrl.microsoft.us:80
crl.microsoft.us:80
ocsp.msocsp.us:80
www.microsoft.us:80
|
Der Agent verwendet diese URLs, um Zertifikate zu überprüfen. |
|
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 |
Der Agent verwendet diese URLs während des Registrierungsprozesses. |
Installieren des Agents für die Azure Government-Cloud
Führen Sie die folgenden Schritte aus, um den Agent für die Azure Government-Cloud zu installieren:
Wechseln Sie im Befehlszeilenterminal zu dem Ordner, der die ausführbare Datei enthält, die den Agent installiert.
Führen Sie die folgenden Befehle aus, die angeben, dass die Installation für Azure Government gilt.
Für Pass-Through-Authentifizierung:
AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"Für Anwendungsproxy:
MicrosoftEntraPrivateNetworkConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment"
Einmaliges Anmelden
Einrichten Ihres Microsoft Entra Connect-Servers
Wenn Sie die Pass-Through-Authentifizierung als Anmeldemethode verwenden, ist keine zusätzliche Voraussetzungsprüfung erforderlich. Wenn Sie die Kennworthashsynchronisierung als Anmeldemethode verwenden und eine Firewall zwischen Microsoft Entra Connect und Microsoft Entra ID vorhanden ist, stellen Sie folgendes sicher:
Microsoft Entra Connect Version 1.1.644.0 oder höher.
Wenn Ihre Firewall oder Ihr Proxy DNS blockierte oder sichere Programme zulässt, fügen Sie die Verbindungen zu den URLs *.msappproxy.us über Port 443 hinzu.
Aktivieren Sie andernfalls den Zugriff auf die IP-Adressbereiche für das Azure-Rechenzentrum, die wöchentlich aktualisiert werden. Diese Voraussetzung gilt nur, wenn Sie das Feature aktivieren. Es ist nicht für tatsächliche Benutzeranmeldungen erforderlich.
Rollout nahtloser einzelner Sign-On
Sie können Microsoft Entra schrittweise ein nahtloses einmaliges Anmelden für Ihre Benutzer bereitstellen, indem Sie die folgenden Anweisungen verwenden. Zunächst fügen Sie die Microsoft Entra-URL https://autologon.microsoft.us zu den Intranetzoneneinstellungen aller oder ausgewählten Benutzer mithilfe von Gruppenrichtlinien in Active Directory hinzu.
Sie müssen auch die Intranetzonenrichtlinieneinstellung "Aktualisierungen der Statusleiste über Skript über Gruppenrichtlinie zulassen" aktivieren.
Überlegungen zum Browser
Mozilla Firefox (alle Plattformen)
Mozilla Firefox verwendet die Kerberos-Authentifizierung nicht automatisch. Jeder Benutzer muss die Microsoft Entra-URL manuell zu seinen Firefox-Einstellungen hinzufügen, indem Sie die folgenden Schritte ausführen:
- Führen Sie Firefox aus, und geben Sie "about:config " in der Adressleiste ein. Schließen Sie alle Benachrichtigungen, die möglicherweise angezeigt werden.
- Suchen Sie nach der Einstellung "network.negotiate-auth.trusted-uris ". Diese Einstellung listet die Websites auf, die von Firefox für die Kerberos-Authentifizierung vertrauenswürdig sind.
- Klicken Sie mit der rechten Maustaste auf den Einstellungsnamen, und wählen Sie dann "Ändern" aus.
- Geben Sie das Feld
https://autologon.microsoft.usein. - Wählen Sie "OK" aus, und öffnen Sie dann den Browser erneut.
Microsoft Edge auf Chromium-Basis (alle Plattformen)
Wenn Sie die AuthNegotiateDelegateAllowlist Einstellungen oder AuthServerAllowlist Richtlinieneinstellungen in Ihrer Umgebung außer Kraft gesetzt haben, stellen Sie sicher, dass Sie die Microsoft Entra-URL https://autologon.microsoft.us zu ihnen hinzufügen.
Google Chrome (alle Plattformen)
Wenn Sie die AuthNegotiateDelegateWhitelist Einstellungen oder AuthServerWhitelist Richtlinieneinstellungen in Ihrer Umgebung außer Kraft gesetzt haben, stellen Sie sicher, dass Sie die Microsoft Entra-URL https://autologon.microsoft.us zu ihnen hinzufügen.