Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive le considerazioni per l'integrazione di un ambiente ibrido con il cloud di Microsoft Azure per enti pubblici. Queste informazioni vengono fornite come riferimento per amministratori e architetti che lavorano con il cloud di Azure per enti pubblici.
Annotazioni
Per integrare un ambiente Microsoft Active Directory (locale o ospitato in un IaaS che fa parte della stessa istanza cloud) con il cloud di Azure per enti pubblici, è necessario eseguire l'aggiornamento alla versione più recente di Microsoft Entra Connect.
Per un elenco completo degli endpoint del Dipartimento della Difesa degli Stati Uniti, vedere la documentazione.
Autenticazione pass-through di Microsoft Entra
Le informazioni seguenti descrivono l'implementazione dell'autenticazione pass-through e del cloud di Azure per enti pubblici.
Consentire l'accesso agli URL
Prima di distribuire l'agente di autenticazione pass-through, verificare se esiste un firewall tra i server e Microsoft Entra ID. Se il firewall o il proxy consente programmi bloccati o sicuri di Domain Name System (DNS), aggiungere le connessioni seguenti.
Importante
Le indicazioni seguenti si applicano solo ai seguenti:
- l'agente di autenticazione pass-through
- Connettore di rete privata Microsoft Entra
Per informazioni sugli URL per l'agente di provisioning Di Microsoft Entra, vedere i prerequisiti di installazione per la sincronizzazione cloud.
| URL | Come viene utilizzato |
|---|---|
| *.msappproxy.us *.servicebus.usgovcloudapi.net |
L'agente usa questi URL per comunicare con il servizio cloud Microsoft Entra. |
mscrl.microsoft.us:80
crl.microsoft.us:80
ocsp.msocsp.us:80
www.microsoft.us:80
|
L'agente usa questi URL per verificare i certificati. |
|
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 |
L'agente usa questi URL durante il processo di registrazione. |
Installare l'agente per il cloud di Azure per enti pubblici
Seguire questa procedura per installare l'agente per il cloud di Azure per enti pubblici:
Nel terminale della riga di comando passare alla cartella che contiene il file eseguibile che installa l'agente.
Eseguire i comandi seguenti, che specificano che l'installazione è per Azure per enti pubblici.
Per l'autenticazione pass-through:
AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"Per Il proxy di applicazione:
MicrosoftEntraPrivateNetworkConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment"
Autenticazione unica
Configurare il server Microsoft Entra Connect
Se si usa l'autenticazione pass-through come metodo di accesso, non è necessario alcun controllo dei prerequisiti aggiuntivo. Se si usa la sincronizzazione dell'hash delle password come metodo di accesso e esiste un firewall tra Microsoft Entra Connect e Microsoft Entra ID, assicurarsi che:
Si usa Microsoft Entra Connect versione 1.1.644.0 o successiva.
Se il firewall o il proxy consente programmi dns bloccati o sicuri, aggiungere le connessioni agli URL *.msappproxy.us sulla porta 443.
In caso contrario, è necessario consentire l'accesso agli intervalli IP del data center di Azure, che vengono aggiornati ogni settimana. Questo prerequisito si applica solo quando si abilita la funzionalità. Non è necessario per gli accessi utente effettivi.
Implementare un singolo Sign-On facile
È possibile implementare gradualmente l'accesso Single Sign-On facile di Microsoft Entra agli utenti usando le istruzioni seguenti. Per iniziare, aggiungere l'URL https://autologon.microsoft.us di Microsoft Entra alle impostazioni dell'area Intranet di tutti o gli utenti selezionati usando Criteri di gruppo in Active Directory.
È anche necessario abilitare l'impostazione dei criteri dell'area Intranet Consenti aggiornamenti alla barra di stato tramite script tramite Criteri di gruppo.
Considerazioni sul browser
Mozilla Firefox (tutte le piattaforme)
Mozilla Firefox non usa automaticamente l'autenticazione Kerberos. Ogni utente deve aggiungere manualmente l'URL di Microsoft Entra alle impostazioni di Firefox seguendo questa procedura:
- Eseguire Firefox e immettere about:config nella barra degli indirizzi. Ignorare le notifiche visualizzate.
- Cercare la preferenza network.negotiate-auth.trusted-uris . Questa preferenza elenca i siti considerati attendibili da Firefox per l'autenticazione Kerberos.
- Fare clic con il pulsante destro del mouse sul nome della preferenza e quindi scegliere Modifica.
- Immettere
https://autologon.microsoft.usnella casella. - Selezionare OK e quindi riaprire il browser.
Microsoft Edge basato su Chromium (tutte le piattaforme)
Se sono state sostituite le impostazioni dei AuthNegotiateDelegateAllowlist criteri o AuthServerAllowlist nell'ambiente in uso, assicurarsi di aggiungere l'URL https://autologon.microsoft.us di Microsoft Entra a tali impostazioni.
Google Chrome (tutte le piattaforme)
Se sono state sostituite le impostazioni dei AuthNegotiateDelegateWhitelist criteri o AuthServerWhitelist nell'ambiente in uso, assicurarsi di aggiungere l'URL https://autologon.microsoft.us di Microsoft Entra a tali impostazioni.
Passaggi successivi
- di autenticazione pass-through
- Single Sign-On