この記事では、ハイブリッド環境と Microsoft Azure Government クラウドの統合に関する考慮事項について説明します。 この情報は、Azure Government クラウドを使用する管理者とアーキテクト向けのリファレンスとして提供されます。
注
(オンプレミスまたは同じクラウド インスタンスの一部である IaaS でホストされている) Microsoft Active Directory 環境を Azure Government クラウドと統合するには、 Microsoft Entra Connect の最新リリースにアップグレードする必要があります。
米国国防総省エンドポイントの完全な一覧については、ドキュメントを参照 してください。
Microsoft Entra パススルー認証
次の情報では、パススルー認証と Azure Government クラウドの実装について説明します。
URL へのアクセスを許可する
パススルー認証エージェントを展開する前に、サーバーと Microsoft Entra ID の間にファイアウォールが存在するかどうかを確認します。 ファイアウォールまたはプロキシでドメイン ネーム システム (DNS) のブロックまたは安全なプログラムが許可されている場合は、次の接続を追加します。
Von Bedeutung
次のガイダンスは、次の場合にのみ適用されます。
- パススルー認証エージェント
- Microsoft Entra プライベート ネットワーク コネクタ
Microsoft Entra プロビジョニング エージェントの URL については、クラウド同期の インストールの前提条件 を参照してください。
| URL | 使用方法 |
|---|---|
| *.msappproxy.us *.servicebus.usgovcloudapi.net |
エージェントは、これらの URL を使用して Microsoft Entra クラウド サービスと通信します。 |
mscrl.microsoft.us:80
crl.microsoft.us:80
ocsp.msocsp.us:80
www.microsoft.us:80
|
エージェントは、これらの URL を使用して証明書を検証します。 |
| login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 |
エージェントは、登録プロセス中にこれらの URL を使用します。 |
Azure Government クラウドのエージェントをインストールする
Azure Government クラウドのエージェントをインストールするには、次の手順に従います。
コマンド ライン ターミナルで、エージェントをインストールする実行可能ファイルを含むフォルダーに移動します。
次のコマンドを実行して、インストールが Azure Government 用であることを指定します。
パススルー認証の場合:
AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"アプリケーション プロキシの場合:
MicrosoftEntraPrivateNetworkConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment"
単一サインイン
Microsoft Entra Connect サーバーを設定する
サインオン方法としてパススルー認証を使用する場合、追加の前提条件チェックは必要ありません。 サインオン方法としてパスワード ハッシュ同期を使用し、Microsoft Entra Connect と Microsoft Entra ID の間にファイアウォールがある場合は、次のことを確認します。
Microsoft Entra Connect のバージョンは 1.1.644.0 以降を使用します。
ファイアウォールまたはプロキシで DNS のブロックまたは安全なプログラムが許可されている場合は、ポート 443 経由で *.msappproxy.us URL に接続を追加します。
そうでない場合は、毎週更新される Azure データセンターの IP 範囲へのアクセスを許可します。 この前提条件は、この機能を有効にした場合にのみ適用されます。 実際のユーザー のサインオンには必要ありません。
シームレスな単一 Sign-On をロールアウトする
次の手順に従って、Microsoft Entra シームレス シングル サインオンをユーザーに段階的にロールアウトできます。 まず、Active Directory のグループ ポリシーを使用して、Microsoft Entra URL https://autologon.microsoft.us をすべてのユーザーまたは選択したユーザーのイントラネット ゾーン設定に追加します。
また、[グループ ポリシーを 使用してスクリプトを使用してステータス バーの更新を許可する] イントラネット ゾーン ポリシー設定を有効にする必要もあります。
ブラウザーの考慮事項
Mozilla Firefox (すべてのプラットフォーム)
Mozilla Firefox は Kerberos 認証を自動的に使用しません。 各ユーザーは、次の手順に従って、Firefox 設定に Microsoft Entra URL を手動で追加する必要があります。
- Firefox を実行し、アドレス バーに about:config と入力します。 表示される可能性がある通知をすべて無視します。
- network.negotiate-auth.trusted-uris 基本設定を検索します。 この設定では、Kerberos 認証のために Firefox によって信頼されているサイトが一覧表示されます。
- 基本設定名を右クリックし、[ 変更] を選択します。
- ボックスに「
https://autologon.microsoft.us」と入力します。 - [ OK] を 選択し、ブラウザーをもう一度開きます。
Chromium に基づく Microsoft Edge (すべてのプラットフォーム)
環境内の AuthNegotiateDelegateAllowlist または AuthServerAllowlist ポリシー設定をオーバーライドした場合は、必ず Microsoft Entra URL https://autologon.microsoft.us を追加してください。
Google Chrome (すべてのプラットフォーム)
環境内の AuthNegotiateDelegateWhitelist または AuthServerWhitelist ポリシー設定をオーバーライドした場合は、必ず Microsoft Entra URL https://autologon.microsoft.us を追加してください。