Azure Government クラウドのハイブリッド ID に関する考慮事項

この記事では、Microsoft Azure Government クラウドでハイブリッド環境を統合する場合の考慮事項について説明します。 この情報は、Azure Government クラウドを操作している管理者と設計者のための参考資料として提供されています。

注意

Microsoft Active Directory 環境 (オンプレミスのもの、または同じクラウド インスタンスの一部である IaaS にホストされているもの) を Azure Government クラウドと統合するには、Azure AD Connect の最新リリースにアップグレードする必要があります。

米国政府の国防総省エンドポイントの完全一覧については、こちらのドキュメントを参照してください。

Azure AD パススルー認証

次の情報では、パススルー認証と Azure Government クラウドの実装について説明されています。

URL へのアクセスを許可する

パススルー認証エージェントをデプロイする前に、お使いのサーバーと Azure AD の間にファイアウォールがあるかどうかを確認します。 Domain Name System (DNS) でブロックされているプログラムまたは安全なプログラムがお使いのファイアウォールまたはプロキシで許可される場合、次の接続を追加します。

重要

次のガイダンスは、次の場合にのみ適用されます。

Azure Active Directory Connect プロビジョニングエージェントの url の詳細については、「クラウド同期のインストールの前提条件」を参照してください。

URL 用途
*.msappproxy.us
*.servicebus.usgovcloudapi.net
エージェントではこれらの URL を使用し、Azure AD クラウド サービスと通信します。
mscrl.microsoft.us:80
crl.microsoft.us:80
ocsp.msocsp.us:80
www.microsoft.us:80
エージェントでは、これらの URL を使用して、証明書が検証されます。
login.windows.us
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.us
*.microsoftonline-p.us
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.us:80
エージェントでは、登録プロセスの間にこれらの URL が使用されます。

Azure Government クラウド用にエージェントをインストールする

次の手順で Azure Government クラウド用にエージェントをインストールします。

  1. コマンドライン ターミナルで、エージェントをインストールする実行可能ファイルが格納されているフォルダーに移動します。

  2. Azure Government 用のインストールを指定する次のコマンドを実行します。

    パススルー認証の場合:

    AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"
    

    アプリケーション プロキシの場合:

    AADApplicationProxyConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment" 
    

シングル サインオン

Azure AD Connect サーバーをセットアップする

サインオン方法としてパススルー認証を使用する場合、他に確認すべき前提条件はありません。 サインオン方法としてパスワード ハッシュ同期を使用する場合や、Azure AD Connect と Azure AD の間にファイアウォールがある場合は、次の点を確保してください。

  • Azure AD Connect バージョン 1.1.644.0 以降を使用しています。

  • DNS でブロックされているプログラムまたは安全なプログラムがファイアウォールまたはプロキシによって許可されている場合は、*.msappproxy.us の URL に対するポート 443 での接続を追加します。

    そうでない場合は、毎週更新される Azure データセンターの IP 範囲へのアクセスを許可します。 この前提条件は、その機能を有効にした場合にのみ適用されます。 実際のユーザー サインオンに必要な条件ではありません。

シームレス シングル サインオンのロールアウト

次の指示に従い、Azure AD シームレス シングル サインオンをユーザーに段階的にロールアウトします。 まず、Active Directory でグループ ポリシーを利用し、すべてのユーザー、または選択したユーザーのイントラネット ゾーン設定に Azure AD の URL https://autologon.microsoft.us を追加します。

また、グループ ポリシーを使用し、[スクリプトを介したステータス バーの更新を許可する] というイントラネットのゾーン ポリシー設定を有効にする必要があります。

ブラウザーの考慮事項

Mozilla Firefox (すべてのプラットフォーム)

Mozilla Firefox は、Kerberos 認証を自動的には使用しません。 各ユーザーが、次の手順に従って、Firefox の設定に Azure AD の URL を手動で追加する必要があります。

  1. Firefox を実行して、アドレス バーに「about:config」と入力します。 表示されたすべての通知を無視します。
  2. network.negotiate-auth.trusted-uris の設定を検索します。 この設定には、Kerberos 認証で Firefox が信頼するサイトが一覧表示されています。
  3. 設定を右クリックし、[変更] を選択します。
  4. ボックスに「https://autologon.microsoft.us」と入力します。
  5. [OK] を選択してから、ブラウザーをもう一度開きます。

Chromium に基づく Microsoft Edge (すべてのプラットフォーム)

お使いの環境で AuthNegotiateDelegateAllowlist または AuthServerAllowlist ポリシー設定をオーバーライドした場合は、それらの設定に Azure AD の URL https://autologon.microsoft.us を確実に追加してください。

Google Chrome (すべてのプラットフォーム)

お使いの環境で AuthNegotiateDelegateWhitelist または AuthServerWhitelist ポリシー設定をオーバーライドした場合は、それらの設定に Azure AD の URL https://autologon.microsoft.us を確実に追加してください。

次のステップ