Рекомендации по гибридной идентификации в облаке Azure для государственных организаций
В этой статье приведены рекомендации по интеграции гибридной среды с облаком Microsoft Azure для государственных организаций. Эти сведения предоставляются как справочные материалы для администраторов и архитекторов, работающих с облаком Azure для государственных организаций.
Примечание.
Чтобы интегрировать среду Microsoft Active Directory (локальную или размещенную в IaaS, которая является частью одного облачного экземпляра) с облаком Azure для государственных организаций, необходимо обновить до последнего выпуска Microsoft Entra Connect.
Полный список оконечных точек в Министерстве обороны США см. в документации.
Сквозная проверка подлинности Microsoft Entra
Далее приведены сведения о реализации сквозной проверки подлинности и облака Azure для государственных организаций.
Разрешение доступа к URL-адресам
Перед развертыванием агента сквозной проверки подлинности проверьте, существует ли брандмауэр между серверами и идентификатором Microsoft Entra. Если брандмауэр или прокси-сервер разрешает использовать защищенные программы или программы, заблокированные службой доменных имен (DNS), добавьте следующие подключения.
Внимание
Следующие рекомендации применимы только к указанным аспектам:
- агент сквозной проверки подлинности.
- Соединитель частной сети Microsoft Entra
Сведения о URL-адресах агента подготовки Microsoft Entra см . в предварительных требованиях установки для облачной синхронизации.
| URL | Как он используется |
|---|---|
| *.msappproxy.us *.servicebus.usgovcloudapi.net |
Агент использует эти URL-адреса для взаимодействия с облачной службой Microsoft Entra. |
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80 |
Агент использует эти URL-адреса для проверки сертификатов. |
| login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 |
Агент использует эти URL-адреса в процессе регистрации. |
Установка агента для облака Azure для государственных организаций
Выполните следующие действия, чтобы установить агент для облака Azure для государственных организаций.
В терминале командной строки перейдите в папку, где хранится исполняемый файл, который устанавливает агент.
Выполните следующие команды, которые указывают, что установка выполняется для Azure для государственных организаций.
Для сквозной проверки подлинности:
AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"Для прокси приложения:
MicrosoftEntraPrivateNetworkConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment"
Единый вход
Настройка сервера Microsoft Entra Connect
Если в качестве метода входа в систему используется сквозная проверка подлинности, дополнительные проверки предварительных требований не требуются. Если вы используете синхронизацию хэша паролей в качестве метода входа и существует брандмауэр между Microsoft Entra Connect и идентификатором Microsoft Entra, убедитесь, что:
Вы используете Microsoft Entra Connect версии 1.1.644.0 или более поздней.
Если брандмауэр или прокси-сервер разрешает использовать защищенные программы или программы, заблокированные службой доменных имен (DNS), добавьте подключения к URL-адресам *.msappproxy.us через порт 443.
Если нет, разрешите доступ к диапазонам IP-адресов центра обработки данных Azure. Список диапазонов IP-адресов обновляется еженедельно. Это предварительное условие применяется только при включении функции. Его выполнение не обязательно для фактического входа пользователя в систему.
Тестирование простого единого входа
Вы можете постепенно развернуть единый вход Microsoft Entra для пользователей, выполнив следующие инструкции. Начните с добавления URL-адреса https://autologon.microsoft.us Microsoft Entra ко всем или выбранным параметрам зоны интрасети пользователей с помощью групповой политики в Active Directory.
Кроме того, необходимо включить параметр политики зоны интрасети (с помощью групповой политики), который называется Разрешить обновление строки состояния в сценарии.
Рекомендации в отношении браузера
Mozilla Firefox (все платформы)
Mozilla Firefox не выполняет аутентификацию Kerberos автоматически. Каждый пользователь должен вручную добавить URL-адрес Microsoft Entra в параметры Firefox, выполнив следующие действия:
- Запустите Firefox и введите about:config в адресной строке. Проигнорируйте все отображаемые уведомления.
- Найдите параметр network.negotiate-auth.trusted-uris. Этот параметр выводит список доверенных сайтов в Firefox для проверки подлинности Kerberos.
- Щелкните правой кнопкой мыши имя параметра и выберите Modify (Изменить).
- Введите в поле
https://autologon.microsoft.us. - Нажмите кнопку ОК и вновь откройте браузер.
Microsoft Edge на базе Chromium (все платформы)
Если вы переопределили AuthNegotiateDelegateAllowlist параметры или AuthServerAllowlist параметры политики в вашей среде, убедитесь, что к ним добавлен URL-адрес https://autologon.microsoft.us Microsoft Entra.
Google Chrome (все платформы)
Если вы переопределили AuthNegotiateDelegateWhitelist параметры или AuthServerWhitelist параметры политики в вашей среде, убедитесь, что к ним добавлен URL-адрес https://autologon.microsoft.us Microsoft Entra.