Pertimbangan identitas hibrid untuk cloud Azure Government
Artikel ini menjelaskan pertimbangan untuk mengintegrasikan lingkungan hibrid dengan cloud Microsoft Azure Government. Informasi ini disediakan sebagai referensi untuk admin dan arsitek yang bekerja dengan cloud Azure Government.
Catatan
Untuk mengintegrasikan lingkungan Microsoft Active Directory (baik lokal atau dihosting di IaaS yang merupakan bagian dari instans cloud yang sama) dengan cloud Azure Government, Anda perlu meningkatkan ke rilis terbaru Microsoft Entra Koneksi.
Untuk daftar lengkap titik akhir Departemen Pertahanan pemerintah Amerika Serikat, lihat dokumentasi.
Autentikasi pass-through Microsoft Entra
Informasi berikut menjelaskan implementasi Autentikasi Pass-through dan cloud Azure Government.
Mengizinkan akses ke URL
Sebelum Anda menyebarkan agen Autentikasi Pass-through, verifikasi apakah firewall ada antara server Anda dan ID Microsoft Entra. Jika firewall atau proksi Anda memperbolehkan Sistem Nama Domain (DNS) memblokir atau menghapus program, tambahkan koneksi berikut.
Penting
Panduan berikut hanya berlaku untuk hal-hal berikut:
- agen autentikasi pass-through
- Konektor jaringan privat Microsoft Entra
Untuk informasi tentang URL untuk agen provisi Microsoft Entra, lihat prasyarat penginstalan untuk sinkronisasi cloud.
| URL | Cara menggunakannya |
|---|---|
| *.msappproxy.us *.servicebus.usgovcloudapi.net |
Agen menggunakan URL ini untuk berkomunikasi dengan layanan cloud Microsoft Entra. |
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80 |
Konektor menggunakan URL ini untuk memverifikasi sertifikat. |
| login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 |
Agen menggunakan URL ini selama proses pendaftaran. |
Memasang agen untuk cloud Azure Government
Ikuti langkah-langkah berikut untuk menginstal agen untuk cloud Azure Government:
Di terminal baris perintah, buka folder yang berisi file yang dapat dieksekusi yang memasang agen.
Jalankan perintah berikut, yang menentukan bahwa penginstalan adalah untuk Azure Government.
Untuk Autentikasi Pass-through:
AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"Untuk Proksi Aplikasi:
MicrosoftEntraPrivateNetworkConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment"
Akses menyeluruh
Menyiapkan server Microsoft Entra Koneksi Anda
Jika Anda menggunakan Autentikasi Pass-through sebagai metode masuk, Anda tidak perlu pemeriksaan prasyarat tambahan. Jika Anda menggunakan sinkronisasi hash kata sandi sebagai metode masuk Anda dan ada firewall antara Microsoft Entra Koneksi dan ID Microsoft Entra, pastikan bahwa:
Anda menggunakan Microsoft Entra Koneksi versi 1.1.644.0 atau yang lebih baru.
Jika firewall atau proksi Anda mengizinkan DNS diblokir atau program yang aman, tambahkan koneksi ke URL *.msappproxy.us melalui port 443.
Jika tidak, izinkan akses ke rentang IP pusat data Azure, yang diperbarui setiap minggu. Prasyarat ini hanya berlaku jika Anda mengaktifkan fitur tersebut. Ini tidak diperlukan untuk masuk pengguna yang sebenarnya.
Meluncurkan Akses Menyeluruh yang Mulus
Anda dapat meluncurkan akses menyeluruh Tanpa Hambatan Microsoft Entra secara bertahap kepada pengguna Anda dengan menggunakan instruksi berikut. Anda mulai dengan menambahkan URL https://autologon.microsoft.us Microsoft Entra ke semua atau pengaturan zona Intranet pengguna yang dipilih dengan menggunakan Kebijakan Grup di Direktori Aktif.
Anda juga perlu mengaktifkan pengaturan kebijakan zona intranet Izinkan pembaruan pada bilah status melalui skrip melalui Kebijakan Grup.
Pertimbangan browser
Mozilla Firefox (semua platform)
Mozilla Firefox tidak secara otomatis menggunakan autentikasi Kerberos. Setiap pengguna harus menambahkan URL Microsoft Entra secara manual ke pengaturan Firefox mereka dengan mengikuti langkah-langkah berikut:
- Jalankan Firefox dan masukkan about:config di bilah alamat. Matikan pemberitahuan apa pun yang mungkin Anda lihat.
- Cari preferensi network.negotiate-auth.trusted-uris. Preferensi ini mencantumkan situs yang dipercaya oleh Firefox untuk autentikasi Kerberos.
- Klik kanan nama preferensi, lalu pilih Ubah.
- Masukkan
https://autologon.microsoft.usdi dalam kotak. - Pilih OK lalu buka kembali browser.
Microsoft Edge berdasarkan Chromium (semua platform)
Jika Anda telah mengesampingkan AuthNegotiateDelegateAllowlist pengaturan kebijakan atau AuthServerAllowlist di lingkungan Anda, pastikan Anda menambahkan URL https://autologon.microsoft.us Microsoft Entra ke pengaturan tersebut.
Google Chrome (semua platform)
Jika Anda telah mengesampingkan AuthNegotiateDelegateWhitelist pengaturan kebijakan atau AuthServerWhitelist di lingkungan Anda, pastikan Anda menambahkan URL https://autologon.microsoft.us Microsoft Entra ke pengaturan tersebut.