Consideraciones al respecto de la identidad híbrida para la nube de Azure Government

En este artículo se describen las consideraciones para la integración de un entorno híbrido con la nube de Microsoft Azure Government. Esta información se proporciona como referencia para los administradores y arquitectos que trabajan con la nube de Azure Government.

Nota:

Para integrar un entorno de Microsoft Azure Active Directory (local u hospedado en IaaS como parte de la misma instancia en la nube) con la nube de Azure Government, debe realizar la actualización a la versión más reciente de Azure AD Connect.

Para obtener una lista completa de los puntos de conexión del Departamento de Defensa del Gobierno de Estados Unidos, consulte la documentación.

Autenticación de paso a través de Azure AD

La siguiente información describe la implementación de la autenticación de paso a través (PTA) y la nube de Azure Government.

Permiso de acceso a direcciones URL

Antes de implementar el agente de autenticación de paso a través, compruebe si hay un firewall entre los servidores y Azure AD. Si su firewall o proxy permite programas bloqueados o seguros del Sistema de nombres de dominio, agregue las siguientes conexiones.

Importante

Las siguientes instrucciones solo se aplican a lo siguiente:

Para obtener información sobre las direcciones URL de Azure Active Directory Connect Provisioning Agent, consulte los requisitos previos de instalación para la sincronización en la nube.

URL Cómo se usa
*.msappproxy.us
*.servicebus.usgovcloudapi.net
El agente utiliza estas direcciones URL para comunicarse con el servicio en la nube de Azure AD.
mscrl.microsoft.us:80
crl.microsoft.us:80
ocsp.msocsp.us:80
www.microsoft.us:80
El agente utiliza estas direcciones URL para verificar los certificados.
login.windows.us
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.us
*.microsoftonline-p.us
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.us:80
El agente utiliza estas direcciones URL durante el proceso de registro.

Instalación del agente para la nube de Azure Government

Siga estos pasos para instalar el agente para la nube de Azure Government:

  1. En el terminal de la línea de comandos, vaya a la carpeta que contiene el archivo ejecutable que instala el agente.

  2. Ejecute el siguiente comando, que especifica que la instalación es para Azure Government.

    Para la autenticación de paso a través:

    AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"
    

    Para el proxy de aplicación:

    AADApplicationProxyConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment" 
    

Inicio de sesión único

Configuración del servidor de Azure AD Connect

Si usa la autenticación de paso a través como método de inicio de sesión, no es necesaria ninguna otra comprobación de requisitos previos. Si usa la sincronización de hash de contraseña como método de inicio de sesión y hay un firewall entre Azure AD Connect y Azure AD, asegúrese de que:

  • Usa Azure AD Connect, versión 1.1.644.0 o posterior.

  • Si el firewall o proxy permite programas de DNS bloqueados o seguros, agregue las conexiones a las direcciones URL de *.msappproxy.us a través del puerto 443.

    En caso contrario, permita el acceso a los intervalos de direcciones IP del centro de datos de Azure, que se actualizan cada semana. Este requisito solo es aplicable cuando se habilita la característica. No es necesario para los inicios de sesión de usuarios reales.

Implementación del inicio de sesión único de conexión directa

Puede implementar gradualmente el inicio de sesión único de conexión directa de Azure AD a los usuarios mediante las instrucciones siguientes. Para empezar, agregue la dirección URL de Azure AD https://autologon.microsoft.us a la configuración de la zona de la intranet de todos los usuarios o de los seleccionados mediante la directiva de grupo de Active Directory.

Además, debe habilitar una configuración de directiva de zona de intranet llamada Permitir actualizaciones en la barra de estado a través de script mediante la directiva de grupo.

Consideraciones sobre el explorador

Mozilla Firefox (todas las plataformas)

Mozilla Firefox no realiza automáticamente la autenticación Kerberos. Cada usuario debe agregar manualmente la dirección URL de Azure AD a su configuración de Firefox mediante estos pasos:

  1. Ejecute Firefox y escriba about:config en la barra de direcciones. Descarte las notificaciones que vea.
  2. Busque la preferencia network.negotiate-auth.trusted-URI. Esta preferencia enumera los sitios de confianza de Firefox para la autenticación Kerberos.
  3. Haga clic con el botón derecho en el nombre de la preferencia y después seleccione Modificar.
  4. Escriba https://autologon.microsoft.us en el cuadro.
  5. Seleccione Aceptar y después vuelva a abrir el explorador.

Microsoft Edge basado en Chromium (todas las plataformas)

Si ha reemplazado la configuración de las directivas AuthNegotiateDelegateAllowlist o AuthServerAllowlist en el entorno, asegúrese de agregarles la dirección URL de Azure ADhttps://autologon.microsoft.us.

Google Chrome (todas las plataformas)

Si ha reemplazado la configuración de las directivas AuthNegotiateDelegateWhitelist o AuthServerWhitelist en el entorno, asegúrese de agregarles la dirección URL de Azure ADhttps://autologon.microsoft.us.

Pasos siguientes