Considérations relatives à l’identité hybride pour l’Azure Government Cloud

Cet article contient des considérations relatives à l’intégration d’un environnement hybride avec le Microsoft Azure Government Cloud. Ces informations sont fournies à titre de référence pour les administrateurs et architectes qui travaillent avec l’Azure Government Cloud.

Remarque

Pour intégrer un environnement Microsoft Active Directory (local ou hébergé dans un IaaS faisant partie de la même instance cloud) au cloud Azure Government, vous devez effectuer une mise à niveau vers la dernière version de Microsoft Entra Connect.

Pour obtenir la liste complète des points de terminaison du ministère de la défense du gouvernement des États-Unis, reportez-vous à la documentation.

Authentification directe Microsoft Entra

Les informations suivantes décrivent l’implémentation de l’authentification directe et de l’Azure Government Cloud.

Autoriser l'accès à des URL

Avant de déployer l’agent d’authentification directe, vérifiez s’il existe un pare-feu entre vos serveurs et Microsoft Entra ID. Si votre pare-feu ou proxy autorise les programmes sécurisés ou avec blocage DNS, ajoutez les connexions suivantes.

Important

Les instructions suivantes s’appliquent uniquement aux éléments suivants :

Pour plus d’informations sur les URL pour l’agent d’approvisionnement Microsoft Entra, consultez les conditions préalables à l’installation pour la synchronisation du cloud.

URL Utilisation
*.msappproxy.us
*.servicebus.usgovcloudapi.net
L’agent utilise ces URL pour communiquer avec le service cloud Microsoft Entra.
mscrl.microsoft.us:80
crl.microsoft.us:80
ocsp.msocsp.us:80
www.microsoft.us:80
Azure utilise ces URL pour vérifier les certificats.
login.windows.us
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.us
*.microsoftonline-p.us
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.us:80
L’agent utilise ces URL lors du processus d’inscription.

Installer l’agent pour le cloud Azure Government

Procédez comme suit pour installer l’agent pour l’Azure Government Cloud :

  1. Dans le terminal en ligne de commande, accédez au dossier contenant le fichier exécutable qui installe l’agent.

  2. Exécutez les commandes suivantes qui spécifient que l’installation est destinée à Azure Government.

    Pour l’authentification directe :

    AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"
    

    Pour le proxy d’application :

    AADApplicationProxyConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment" 
    

Authentification unique

Configurez votre serveur Microsoft Entra Connect

Si vous utilisez l’authentification directe comme méthode de connexion, aucune vérification supplémentaire de conditions préalables n’est nécessaire. Si vous utilisez la synchronisation de hachage du mot de passe comme méthode de connexion et qu’il y a un pare-feu entre Microsoft Entra Connect et Microsoft Entra ID, vérifiez que :

  • Vous utilisez Microsoft Entra Connect version 1.1.644.0 ou ultérieure.

  • Si votre pare-feu ou proxy autorise les programmes sécurisés ou avec blocage DNS, ajoutez les connexions aux URL -.msappproxy.us sur le port 443.

    Dans le cas contraire, autorisez l’accès aux plages d’adresses IP du centre de données Azure, qui sont mises à jour chaque semaine. Cette condition préalable s’applique uniquement lorsque vous activez la fonctionnalité. Elle n’est pas requise pour les connexions d’utilisateur réelles.

Déployer l’Authentification unique transparente

Vous pouvez déployer progressivement l’authentification unique transparente Microsoft Entra vers vos utilisateurs en suivant les instructions suivantes. Vous commencez par ajouter l’URL Microsoft Entra https://autologon.microsoft.us aux paramètres de zone intranet de tous les utilisateurs ou d’utilisateurs sélectionnés en utilisant une stratégie de groupe dans Active Directory.

Vous devez également activer le paramètre de stratégie de zone intranet Autoriser les mises à jour de la barre d’état via un script dans la stratégie de groupe.

Considérations sur le navigateur

Mozilla Firefox (toutes les plateformes)

Mozilla Firefox n'utilise pas automatiquement l’authentification Kerberos. Chaque utilisateur doit ajouter manuellement l’URL Microsoft Entra à ses paramètres Firefox en procédant comme suit :

  1. Exécutez Firefox et entrez about:config dans la barre d’adresse. Ignorer les notifications éventuelles.
  2. Recherchez la préférence network.negotiate-auth.trusted-URI. Cette préférence répertorie les sites approuvés par Firefox pour l’authentification Kerberos.
  3. Cliquez avec le bouton droit sur le nom de la préférence, puis sélectionnez Modifier.
  4. Entrez https://autologon.microsoft.us dans la zone.
  5. Sélectionnez OK puis rouvrez le navigateur.

Microsoft Edge basé sur Chromium (toutes les plateformes)

Si vous avez remplacé les paramètres de stratégieAuthNegotiateDelegateAllowlist ou AuthServerAllowlist dans votre environnement, veillez à y ajouter également l’URL Microsoft Entra https://autologon.microsoft.us.

Google Chrome (toutes les plateformes)

Si vous avez remplacé les paramètres de stratégieAuthNegotiateDelegateWhitelist ou AuthServerWhitelist dans votre environnement, veillez à y ajouter également l’URL Microsoft Entra https://autologon.microsoft.us.

Étapes suivantes