Hibrid identitással kapcsolatos szempontok a Azure Government felhőhöz

  • Cikk
  • 2 perc alatt elolvasható

Ez a cikk a hibrid környezet Microsoft Azure Government felhővel való integrálásának szempontjait ismerteti. Ezek az információk referenciaként szolgálnak a Azure Government felhővel dolgozó rendszergazdák és építészek számára.

Megjegyzés

Ha integrálni szeretne egy Microsoft Active Directory-környezetet (akár a helyszínen, akár egy olyan IaaS-ben üzemeltetve, amely ugyanahhoz a felhőpéldányhoz tartozik) a Azure Government felhővel, frissítenie kell a Azure AD Connect legújabb kiadására.

Az Egyesült Államok védelmi minisztérium végpontjainak teljes listájáért tekintse meg a dokumentációt.

átmenő hitelesítés Azure AD

Az alábbi információk az átmenő hitelesítés és a Azure Government felhő implementálását ismertetik.

URL-címekhez való hozzáférés engedélyezése

Az átmenő hitelesítési ügynök üzembe helyezése előtt ellenőrizze, hogy létezik-e tűzfal a kiszolgálók és a Azure AD között. Ha a tűzfal vagy a proxy engedélyezi a tartománynévrendszer (DNS) letiltását vagy a biztonságos programokat, adja hozzá a következő kapcsolatokat.

Fontos

Az alábbi útmutató csak a következőkre vonatkozik:

Az Azure Active Directory Connect Provisioning Agent URL-címével kapcsolatos információkért lásd a felhőszinkronizálás telepítési előfeltételeit .

URL-cím Használat célja
*.msappproxy.us
*.servicebus.usgovcloudapi.net		 Az ügynök ezeket az URL-címeket használja a Azure AD felhőszolgáltatással való kommunikációhoz.
mscrl.microsoft.us:80
crl.microsoft.us:80
ocsp.msocsp.us:80
www.microsoft.us:80		 Az ügynök ezeket az URL-címeket használja a tanúsítványok ellenőrzéséhez.
login.windows.us secure.aadcdn.microsoftonline-p.com
*.microsoftonline.us
*.microsoftonline-p.us *.msauth.net
*.msauthimages.net

*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net management.azure.com

policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80

 Az ügynök ezeket az URL-címeket használja a regisztrációs folyamat során.

Az ügynök telepítése a Azure Government felhőhöz

Az alábbi lépéseket követve telepítse az ügynököt a Azure Government felhőhöz:

  1. A parancssori terminálban lépjen arra a mappára, amely az ügynököt telepítő végrehajtható fájlt tartalmazza.

  2. Futtassa a következő parancsokat, amelyek megadják, hogy a telepítés Azure Government.

    Átmenő hitelesítés esetén:

    AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"

    Alkalmazásproxy esetén:

    AADApplicationProxyConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment"

Egyszeri bejelentkezés

A Azure AD Connect-kiszolgáló beállítása

Ha az átmenő hitelesítést használja bejelentkezési módszerként, nincs szükség további előfeltételek ellenőrzésére. Ha bejelentkezési módszerként jelszókivonat-szinkronizálást használ, és tűzfal van Azure AD Connect és Azure AD között, győződjön meg arról, hogy:

  • A Azure AD Connect 1.1.644.0-s vagy újabb verzióját használja.

  • Ha a tűzfal vagy proxy engedélyezi a DNS letiltását vagy a biztonságos programokat, adja hozzá a kapcsolatokat a *.msappproxy.us URL-címekhez a 443-os porton keresztül.

    Ha nem, akkor engedélyezze az Azure-adatközpont hetente frissített IP-tartományainak elérését. Ez az előfeltétel csak akkor érvényes, ha engedélyezi a funkciót. Nem szükséges a tényleges felhasználói bejelentkezésekhez.

Közvetlen egyszeri Sign-On bevezetése

Az alábbi utasításokat követve fokozatosan Azure AD közvetlen egyszeri Sign-On helyezheti el a felhasználók számára. Először vegye fel a Azure AD URL-címet https://autologon.microsoft.us az összes vagy kijelölt felhasználó intranetes zónabeállításaiba az Active Directory Csoportházirend használatával.

Emellett engedélyeznie kell az intranetes zónaházirend-beállítást Is engedélyeznie kell az állapotsor frissítéseinek engedélyezése szkripttel a Csoportházirend keresztül.

Böngészővel kapcsolatos szempontok

Mozilla Firefox (minden platform)

A Mozilla Firefox nem használja automatikusan a Kerberos-hitelesítést. Minden felhasználónak manuálisan kell hozzáadnia a Azure AD URL-címet a Firefox beállításaihoz az alábbi lépések végrehajtásával:

  1. Futtassa a Firefoxot, és adja meg a about:config kifejezést a címsorban. Az esetlegesen megjelenő értesítések elvetése.
  2. Keressen rá a network.negotiate-auth.trusted-uris beállításra . Ez a beállítás felsorolja a Firefox által a Kerberos-hitelesítéshez megbízhatónak részesített webhelyeket.
  3. Kattintson a jobb gombbal a beállítás nevére, majd válassza a Módosítás parancsot.
  4. Írja be https://autologon.microsoft.us a mezőbe.
  5. Válassza az OK gombot , majd nyissa meg újra a böngészőt.

Microsoft Edge Chromium alapján (minden platform)

Ha felülírta a vagy a AuthNegotiateDelegateAllowlistAuthServerAllowlist házirend beállításait a környezetben, győződjön meg arról, hogy hozzáadja hozzájuk a Azure AD URL-címethttps://autologon.microsoft.us.

Google Chrome (minden platform)

Ha felülírta a vagy a AuthNegotiateDelegateWhitelistAuthServerWhitelist házirend beállításait a környezetben, győződjön meg arról, hogy hozzáadja hozzájuk a Azure AD URL-címethttps://autologon.microsoft.us.

Következő lépések