Overwegingen voor hybride identiteit voor de Azure Government-cloud

In dit artikel worden overwegingen beschreven voor het integreren van een hybride omgeving met de Microsoft Azure Government-cloud. Deze informatie wordt verstrekt als referentie voor beheerders en architecten die met de Azure Government-cloud werken.

Notitie

Als u een Microsoft Active Directory-omgeving (on-premises of gehost in een IaaS die deel uitmaakt van hetzelfde cloudexemplaren) wilt integreren met de Azure Government-cloud, moet u een upgrade uitvoeren naar de nieuwste versie van Microsoft Entra Verbinding maken.

Raadpleeg de documentatie voor een volledige lijst met eindpunten voor het Amerikaanse ministerie van defensie.

PassThrough-verificatie van Microsoft Entra

In de volgende informatie wordt de implementatie van passthrough-verificatie en de Azure Government-cloud beschreven.

Toegang tot URL's toestaan

Voordat u de passthrough-verificatieagent implementeert, controleert u of er een firewall bestaat tussen uw servers en de Microsoft Entra-id. Als uw firewall of proxy geblokkeerde of veilige DNS (Domain Name System)-programma's toestaat, voegt u de volgende verbindingen toe.

Belangrijk

De volgende richtlijnen zijn alleen van toepassing op het volgende:

• de passthrough-verificatieagent
• Microsoft Entra Private Network Connector

Zie de installatievereisten voor cloudsynchronisatie voor informatie over URL's voor de Microsoft Entra-inrichtingsagent .

URL	Hoe dat wordt gebruikt
*.msappproxy.us *.servicebus.usgovcloudapi.net	De agent gebruikt deze URL's om te communiceren met de Microsoft Entra-cloudservice.
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80	De agent gebruikt deze URL's om certificaten te controleren.
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80	De agent gebruikt deze URL's tijdens het registratieproces.

De agent voor de Azure Government-cloud installeren

Volg deze stappen om de agent voor de Azure Government-cloud te installeren:

1. Ga in de opdrachtregelterminal naar de map met het uitvoerbare bestand waarmee de agent wordt geïnstalleerd.

2. Voer de volgende opdrachten uit, die aangeven dat de installatie voor Azure Government is.

   Voor passthrough-verificatie:

   AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"
   

   Voor de toepassingsproxy:

   MicrosoftEntraPrivateNetworkConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment" 
   

Eenmalige aanmelding

Uw Microsoft Entra Verbinding maken-server instellen

Als u passthrough-verificatie gebruikt als aanmeldingsmethode, is er geen aanvullende controle van vereisten vereist. Als u wachtwoord-hashsynchronisatie gebruikt als uw aanmeldingsmethode en er een firewall is tussen Microsoft Entra Verbinding maken en Microsoft Entra-id, moet u ervoor zorgen dat:

• U gebruikt Microsoft Entra Verbinding maken versie 1.1.644.0 of hoger.

• Als uw firewall of proxy geblokkeerde of veilige DNS-programma's toestaat, voegt u de verbindingen toe aan de URL's *.msappproxy.us via poort 443.

  Als dat niet het geval is, moet u toegang toestaan tot de IP-adresbereiken van Azure Datacenter, die elke week worden bijgewerkt. Deze vereiste geldt alleen wanneer u de functie inschakelt. Dit is niet vereist voor werkelijke aanmeldingen van gebruikers.

Naadloze eenmalige aanmelding implementeren

U kunt naadloze eenmalige aanmelding van Microsoft Entra geleidelijk implementeren voor uw gebruikers met behulp van de volgende instructies. U begint met het toevoegen van de URL https://autologon.microsoft.us van Microsoft Entra aan de intranetzone-instellingen van alle of geselecteerde gebruikers met behulp van groepsbeleid in Active Directory.

U moet ook de intranetzone-beleidsinstelling Updates voor de statusbalk toestaan via script door middel van groepsbeleid inschakelen.

Overwegingen ten aanzien van browsers

Mozilla Firefox (alle platforms)

Mozilla Firefox maakt niet automatisch gebruik van Kerberos-verificatie. Elke gebruiker moet de URL van Microsoft Entra handmatig toevoegen aan de Firefox-instellingen door de volgende stappen uit te voeren:

1. Voer Firefox uit en voer about:config in de adresbalk in. Sluit eventuele meldingen die u mogelijk ziet.
2. Zoek naar de voorkeurslijst network.negotiate-auth.trusted-uris. In deze voorkeurslijsten worden de sites vermeld die worden vertrouwd door Firefox voor Kerberos-verificatie.
3. Klik met de rechtermuisknop op de naam van de voorkeur en selecteer vervolgens Wijzigen.
4. Geef https://autologon.microsoft.us op in het vak.
5. Selecteer OK en open de browser opnieuw.

Microsoft Edge op basis van Chromium (alle platforms)

Als u de AuthNegotiateDelegateAllowlist of AuthServerAllowlist beleidsinstellingen in uw omgeving hebt overschreven, moet u ervoor zorgen dat u de URL https://autologon.microsoft.us van Microsoft Entra toevoegt.

Google Chrome (alle platformen)

Als u de AuthNegotiateDelegateWhitelist of AuthServerWhitelist beleidsinstellingen in uw omgeving hebt overschreven, moet u ervoor zorgen dat u de URL https://autologon.microsoft.us van Microsoft Entra toevoegt.

Volgende stappen

• Passthrough-verificatie
• Eenmalige aanmelding