Hibrid identitással kapcsolatos szempontok az Azure Government-felhőhöz

Cikk
01/27/2024

Ez a cikk a hibrid környezet Microsoft Azure Government-felhővel való integrálásának szempontjait ismerteti. Ez az információ referenciaként szolgál az Azure Government-felhővel dolgozó rendszergazdák és építészek számára.

Feljegyzés

Ha integrálni szeretne egy Microsoft Active Directory-környezetet (akár a helyszínen, akár egy ugyanazon felhőpéldány részét képező IaaS-ben) az Azure Government-felhővel, frissítenie kell a Microsoft Entra Csatlakozás legújabb kiadására.

A Egyesült Államok Védelmi Minisztérium végpontjainak teljes listájáért tekintse meg a dokumentációt.

Microsoft Entra átmenő hitelesítés

Az alábbi információk az átmenő hitelesítés és az Azure Government-felhő implementálását ismertetik.

URL-címekhez való hozzáférés engedélyezése

Az átmenő hitelesítési ügynök üzembe helyezése előtt ellenőrizze, hogy létezik-e tűzfal a kiszolgálók és a Microsoft Entra-azonosító között. Ha a tűzfal vagy a proxy engedélyezi a tartománynévrendszer (DNS) letiltását vagy a biztonságos programokat, adja hozzá a következő kapcsolatokat.

Fontos

Az alábbi útmutató csak a következőkre vonatkozik:

az átmenő hitelesítési ügynök
Microsoft Entra privát hálózati összekötő

A Microsoft Entra kiépítési ügynök URL-címével kapcsolatos információkért tekintse meg a felhőszinkronizálás telepítési előfeltételeit .

URL-cím	Használat célja
.msappproxy.us .servicebus.usgovcloudapi.net	Az ügynök ezeket az URL-címeket használja a Microsoft Entra felhőszolgáltatással való kommunikációhoz.
`mscrl.microsoft.us:80` `crl.microsoft.us:80` `ocsp.msocsp.us:80` `www.microsoft.us:80`	Az ügynök ezeket az URL-címeket használja a tanúsítványok ellenőrzéséhez.
login.windows.us secure.aadcdn.microsoftonline-p.com .microsoftonline.us .microsoftonline.us .microsoftonline-p.us msauth.net .msauthimages.net .msecnd.net .msftauth.net .msftauthimages.net .phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80	Az ügynök ezeket az URL-címeket használja a regisztrációs folyamat során.

Az Azure Government-felhő ügynökének telepítése

Az Azure Government-felhő ügynökének telepítéséhez kövesse az alábbi lépéseket:

A parancssori terminálban nyissa meg azt a mappát, amely az ügynököt telepítő végrehajtható fájlt tartalmazza.
Futtassa a következő parancsokat, amelyek meghatározzák, hogy a telepítés az Azure Governmentre van-e.

Átmenő hitelesítés esetén:
```
AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"
```
Alkalmazásproxy esetén:
```
MicrosoftEntraPrivateNetworkConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment" 
```

Egyszeri bejelentkezés

A Microsoft Entra Csatlakozás-kiszolgáló beállítása

Ha az átmenő hitelesítést használja bejelentkezési módszerként, nincs szükség további előfeltétel-ellenőrzésre. Ha bejelentkezési módszerként jelszókivonat-szinkronizálást használ, és tűzfal van a Microsoft Entra Csatlakozás és a Microsoft Entra ID között, győződjön meg arról, hogy:

A Microsoft Entra Csatlakozás 1.1.644.0-s vagy újabb verzióját használja.
Ha a tűzfala vagy proxyja engedélyezi a DNS letiltását vagy a biztonságos programokat, adja hozzá a kapcsolatokat a *.msappproxy.us URL-címekhez a 443-as porton keresztül.

Ha nem, akkor engedélyezze az Azure-adatközpont hetente frissített IP-tartományainak elérését. Ez az előfeltétel csak akkor érvényes, ha engedélyezi a funkciót. A tényleges felhasználói bejelentkezésekhez nem szükséges.

Zökkenőmentes egyszeri bejelentkezés bevezetése

A Microsoft Entra zökkenőmentes egyszeri bejelentkezését fokozatosan helyezheti üzembe a felhasználók számára az alábbi utasítások használatával. Először hozzáadja a Microsoft Entra URL-címét https://autologon.microsoft.us az összes vagy kijelölt felhasználó intranetes zónabeállításaihoz az Active Directory csoportházirendjének használatával.

Engedélyeznie kell az intranetes zónaházirend-beállítást is, amely lehetővé teszi az állapotsor frissítését parancsfájlon keresztül a csoportházirenden keresztül.

Böngészői szempontok

Mozilla Firefox (minden platform)

A Mozilla Firefox nem használja automatikusan a Kerberos-hitelesítést. Minden felhasználónak manuálisan kell hozzáadnia a Microsoft Entra URL-címét a Firefox-beállításaihoz az alábbi lépések végrehajtásával:

Futtassa a Firefoxot, és adja meg a about:config címet a címsorban. Zárja be az esetlegesen megjelenő értesítéseket.
Keresse meg a network.negotiate-auth.trusted-uris beállítást. Ez a beállítás felsorolja a Firefox által a Kerberos-hitelesítéshez megbízhatónak részesített webhelyeket.
Kattintson a jobb gombbal a beállítás nevére, majd válassza a Módosítás parancsot.
Írja be https://autologon.microsoft.us a mezőbe.
Válassza az OK gombot, majd nyissa meg újra a böngészőt.

Chromiumon alapuló Microsoft Edge (minden platform)

Ha felülírta a környezet vagy AuthServerAllowlist a AuthNegotiateDelegateAllowlist házirend beállításait, győződjön meg arról, hogy hozzáadja hozzájuk a Microsoft Entra URL-címéthttps://autologon.microsoft.us.

Google Chrome (minden platform)

Ha felülírta a környezet vagy AuthServerWhitelist a AuthNegotiateDelegateWhitelist házirend beállításait, győződjön meg arról, hogy hozzáadja hozzájuk a Microsoft Entra URL-címéthttps://autologon.microsoft.us.