Hibrid identitással kapcsolatos szempontok az Azure Government-felhőhöz
Ez a cikk a hibrid környezet Microsoft Azure Government-felhővel való integrálásának szempontjait ismerteti. Ez az információ referenciaként szolgál az Azure Government-felhővel dolgozó rendszergazdák és építészek számára.
Feljegyzés
Ha integrálni szeretne egy Microsoft Active Directory-környezetet (akár a helyszínen, akár egy ugyanazon felhőpéldány részét képező IaaS-ben) az Azure Government-felhővel, frissítenie kell a Microsoft Entra Csatlakozás legújabb kiadására.
A Egyesült Államok Védelmi Minisztérium végpontjainak teljes listájáért tekintse meg a dokumentációt.
Microsoft Entra átmenő hitelesítés
Az alábbi információk az átmenő hitelesítés és az Azure Government-felhő implementálását ismertetik.
URL-címekhez való hozzáférés engedélyezése
Az átmenő hitelesítési ügynök üzembe helyezése előtt ellenőrizze, hogy létezik-e tűzfal a kiszolgálók és a Microsoft Entra-azonosító között. Ha a tűzfal vagy a proxy engedélyezi a tartománynévrendszer (DNS) letiltását vagy a biztonságos programokat, adja hozzá a következő kapcsolatokat.
Fontos
Az alábbi útmutató csak a következőkre vonatkozik:
- az átmenő hitelesítési ügynök
- Microsoft Entra privát hálózati összekötő
A Microsoft Entra kiépítési ügynök URL-címével kapcsolatos információkért tekintse meg a felhőszinkronizálás telepítési előfeltételeit .
URL-cím | Használat célja |
---|---|
*.msappproxy.us*.servicebus.usgovcloudapi.net | Az ügynök ezeket az URL-címeket használja a Microsoft Entra felhőszolgáltatással való kommunikációhoz. |
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80 |
Az ügynök ezeket az URL-címeket használja a tanúsítványok ellenőrzéséhez. |
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline.us *.microsoftonline-p.us msauth.net *.msauthimages.net *.msecnd.net*.msftauth.net *.msftauthimages.net*.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 | Az ügynök ezeket az URL-címeket használja a regisztrációs folyamat során. |
Az Azure Government-felhő ügynökének telepítése
Az Azure Government-felhő ügynökének telepítéséhez kövesse az alábbi lépéseket:
A parancssori terminálban nyissa meg azt a mappát, amely az ügynököt telepítő végrehajtható fájlt tartalmazza.
Futtassa a következő parancsokat, amelyek meghatározzák, hogy a telepítés az Azure Governmentre van-e.
Átmenő hitelesítés esetén:
AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"
Alkalmazásproxy esetén:
MicrosoftEntraPrivateNetworkConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment"
Egyszeri bejelentkezés
A Microsoft Entra Csatlakozás-kiszolgáló beállítása
Ha az átmenő hitelesítést használja bejelentkezési módszerként, nincs szükség további előfeltétel-ellenőrzésre. Ha bejelentkezési módszerként jelszókivonat-szinkronizálást használ, és tűzfal van a Microsoft Entra Csatlakozás és a Microsoft Entra ID között, győződjön meg arról, hogy:
A Microsoft Entra Csatlakozás 1.1.644.0-s vagy újabb verzióját használja.
Ha a tűzfala vagy proxyja engedélyezi a DNS letiltását vagy a biztonságos programokat, adja hozzá a kapcsolatokat a *.msappproxy.us URL-címekhez a 443-as porton keresztül.
Ha nem, akkor engedélyezze az Azure-adatközpont hetente frissített IP-tartományainak elérését. Ez az előfeltétel csak akkor érvényes, ha engedélyezi a funkciót. A tényleges felhasználói bejelentkezésekhez nem szükséges.
Zökkenőmentes egyszeri bejelentkezés bevezetése
A Microsoft Entra zökkenőmentes egyszeri bejelentkezését fokozatosan helyezheti üzembe a felhasználók számára az alábbi utasítások használatával. Először hozzáadja a Microsoft Entra URL-címét https://autologon.microsoft.us
az összes vagy kijelölt felhasználó intranetes zónabeállításaihoz az Active Directory csoportházirendjének használatával.
Engedélyeznie kell az intranetes zónaházirend-beállítást is, amely lehetővé teszi az állapotsor frissítését parancsfájlon keresztül a csoportházirenden keresztül.
Böngészői szempontok
Mozilla Firefox (minden platform)
A Mozilla Firefox nem használja automatikusan a Kerberos-hitelesítést. Minden felhasználónak manuálisan kell hozzáadnia a Microsoft Entra URL-címét a Firefox-beállításaihoz az alábbi lépések végrehajtásával:
- Futtassa a Firefoxot, és adja meg a about:config címet a címsorban. Zárja be az esetlegesen megjelenő értesítéseket.
- Keresse meg a network.negotiate-auth.trusted-uris beállítást. Ez a beállítás felsorolja a Firefox által a Kerberos-hitelesítéshez megbízhatónak részesített webhelyeket.
- Kattintson a jobb gombbal a beállítás nevére, majd válassza a Módosítás parancsot.
- Írja be
https://autologon.microsoft.us
a mezőbe. - Válassza az OK gombot, majd nyissa meg újra a böngészőt.
Chromiumon alapuló Microsoft Edge (minden platform)
Ha felülírta a környezet vagy AuthServerAllowlist
a AuthNegotiateDelegateAllowlist
házirend beállításait, győződjön meg arról, hogy hozzáadja hozzájuk a Microsoft Entra URL-címéthttps://autologon.microsoft.us
.
Google Chrome (minden platform)
Ha felülírta a környezet vagy AuthServerWhitelist
a AuthNegotiateDelegateWhitelist
házirend beállításait, győződjön meg arról, hogy hozzáadja hozzájuk a Microsoft Entra URL-címéthttps://autologon.microsoft.us
.