Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit les considérations relatives à l’intégration d’un environnement hybride au cloud Microsoft Azure Government. Ces informations sont fournies en tant que référence pour les administrateurs et les architectes qui travaillent avec le cloud Azure Government.
Remarque
Pour intégrer un environnement Microsoft Active Directory (local ou hébergé dans un IaaS qui fait partie de la même instance cloud) avec le cloud Azure Government, vous devez effectuer une mise à niveau vers la dernière version de Microsoft Entra Connect.
Pour obtenir la liste complète des points de terminaison du ministère de la Défense des États-Unis, reportez-vous à la documentation.
Authentification avec passage direct Microsoft Entra
Les informations suivantes décrivent l’implémentation de l’authentification directe et du cloud Azure Government.
Autoriser l’accès aux URL
Avant de déployer l’agent d’authentification directe, vérifiez si un pare-feu existe entre vos serveurs et l’ID Microsoft Entra. Si votre pare-feu ou proxy autorise les programmes bloqués ou sécurisés par le système de noms de domaine (DNS), ajoutez les connexions suivantes.
Important
Les instructions suivantes s’appliquent uniquement aux éléments suivants :
- l’agent d’authentification directe
- Connecteur de réseau privé Microsoft Entra
Pour plus d’informations sur les URL de l’agent de provisionnement Microsoft Entra, consultez les conditions préalables d’installation pour la synchronisation cloud.
| URL | Comment il est utilisé |
|---|---|
| *.msappproxy.us *.servicebus.usgovcloudapi.net |
L’agent utilise ces URL pour communiquer avec le service cloud Microsoft Entra. |
mscrl.microsoft.us:80
crl.microsoft.us:80
ocsp.msocsp.us:80
www.microsoft.us:80
|
L’agent utilise ces URL pour vérifier les certificats. |
| login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 |
L’agent utilise ces URL pendant le processus d’inscription. |
Installer l’agent pour le cloud Azure Government
Procédez comme suit pour installer l’agent pour le cloud Azure Government :
Dans le terminal de ligne de commande, accédez au dossier qui contient le fichier exécutable qui installe l’agent.
Exécutez les commandes suivantes, qui spécifient que l’installation est pour Azure Government.
Pour l’authentification directe :
AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"Pour le proxy d’application :
MicrosoftEntraPrivateNetworkConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment"
Authentification unique
Configurer votre serveur Microsoft Entra Connect
Si vous utilisez l’authentification directe comme méthode d’authentification, aucune vérification supplémentaire des prérequis n’est requise. Si vous utilisez la synchronisation de hachage de mot de passe comme méthode d’authentification et qu’il existe un pare-feu entre Microsoft Entra Connect et Microsoft Entra ID, assurez-vous que :
Vous utilisez Microsoft Entra Connect version 1.1.644.0 ou ultérieure.
Si votre pare-feu ou proxy autorise des programmes DNS bloqués ou sécurisés, ajoutez les connexions aux URL *.msappproxy.us sur le port 443.
Dans le cas contraire, autorisez l’accès aux plages d’adresses IP du centre de données Azure, qui sont mises à jour chaque semaine. Cette condition préalable s’applique uniquement lorsque vous activez la fonctionnalité. Il n’est pas nécessaire pour les connexions utilisateur réelles.
Déployer des Sign-On uniques transparentes
Vous pouvez déployer progressivement l’authentification unique transparente Microsoft Entra pour vos utilisateurs à l’aide des instructions suivantes. Vous commencez par ajouter l’URL https://autologon.microsoft.us Microsoft Entra à tous les paramètres de zone Intranet des utilisateurs ou sélectionnés à l’aide de la stratégie de groupe dans Active Directory.
Vous devez également activer le paramètre de stratégie de zone intranet Autoriser les mises à jour de la barre d’état via un script via une stratégie de groupe.
Considérations sur le navigateur
Mozilla Firefox (toutes les plateformes)
Mozilla Firefox n’utilise pas automatiquement l’authentification Kerberos. Chaque utilisateur doit ajouter manuellement l’URL Microsoft Entra à ses paramètres Firefox en procédant comme suit :
- Exécutez Firefox et entrez about :config dans la barre d’adresses. Ignorer les notifications que vous pouvez voir.
- Recherchez la préférence network.negotiate-auth.trusted-uris . Cette préférence répertorie les sites approuvés par Firefox pour l’authentification Kerberos.
- Cliquez avec le bouton droit sur le nom de la préférence, puis sélectionnez Modifier.
- Entrez
https://autologon.microsoft.usdans la zone. - Sélectionnez OK , puis rouvrez le navigateur.
Microsoft Edge basé sur Chromium (toutes les plateformes)
Si vous avez remplacé les AuthNegotiateDelegateAllowlist paramètres de stratégie dans AuthServerAllowlist votre environnement, veillez à y ajouter l’URL https://autologon.microsoft.us Microsoft Entra.
Google Chrome (toutes les plateformes)
Si vous avez remplacé les AuthNegotiateDelegateWhitelist paramètres de stratégie dans AuthServerWhitelist votre environnement, veillez à y ajouter l’URL https://autologon.microsoft.us Microsoft Entra.