Udostępnij za pośrednictwem


Zagadnienia dotyczące tożsamości hybrydowej dla chmury Azure Government

W tym artykule opisano zagadnienia dotyczące integrowania środowiska hybrydowego z chmurą Microsoft Azure Government. Te informacje są dostarczane jako informacje dla administratorów i architektów, którzy pracują z chmurą platformy Azure Government.

Uwaga

Aby zintegrować środowisko usługi Microsoft Active Directory (lokalne lub hostowane w usłudze IaaS będące częścią tego samego wystąpienia chmury) z chmurą Platformy Azure Government, należy przeprowadzić uaktualnienie do najnowszej wersji programu Microsoft Entra Connect.

Pełną listę punktów końcowych Departamentu Obrony Stany Zjednoczone rządu można znaleźć w dokumentacji.

Uwierzytelnianie przekazywane przez firmę Microsoft Entra

Poniższe informacje opisują implementację uwierzytelniania przekazywanego i chmury platformy Azure Government.

Zezwalanie na dostęp do adresów URL

Przed wdrożeniem agenta uwierzytelniania z przekazywaniem sprawdź, czy istnieje zapora między serwerami i identyfikatorem Firmy Microsoft Entra. Jeśli zapora lub serwer proxy zezwala na blokowanie lub bezpieczne programy systemu nazw domen (DNS), dodaj następujące połączenia.

Ważne

Poniższe wskazówki dotyczą tylko następujących elementów:

Aby uzyskać informacje na temat adresów URL agenta aprowizacji firmy Microsoft, zobacz wymagania wstępne instalacji dotyczące synchronizacji w chmurze.

URL Zastosowanie
*.msappproxy.us
*.servicebus.usgovcloudapi.net
Agent używa tych adresów URL do komunikowania się z usługą firmy Microsoft Entra w chmurze.
mscrl.microsoft.us:80
crl.microsoft.us:80
ocsp.msocsp.us:80
www.microsoft.us:80
Agent używa tych adresów URL do weryfikowania certyfikatów.

login.windows.us
secure.aadcdn.microsoftonline-p.com *.microsoftonline.us
*.microsoftonline-p.us
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net

enterpriseregistration.windows.net management.azure.com
policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80
Agent używa tych adresów URL podczas procesu rejestracji.

Instalowanie agenta dla chmury Azure Government

Wykonaj następujące kroki, aby zainstalować agenta dla chmury Azure Government:

  1. W terminalu wiersza polecenia przejdź do folderu zawierającego plik wykonywalny, który instaluje agenta.

  2. Uruchom następujące polecenia, które określają, że instalacja jest dla platformy Azure Government.

    W przypadku uwierzytelniania przekazywanego:

    AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"
    

    W przypadku serwer proxy aplikacji:

    MicrosoftEntraPrivateNetworkConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment" 
    

Logowanie jednokrotne

Konfigurowanie serwera Microsoft Entra Connect

Jeśli używasz uwierzytelniania przekazywanego jako metody logowania, nie jest wymagane dodatkowe sprawdzenie wymagań wstępnych. Jeśli używasz synchronizacji skrótów haseł jako metody logowania i istnieje zapora między programem Microsoft Entra Connect i identyfikatorem Microsoft Entra ID, upewnij się, że:

  • Używasz programu Microsoft Entra Connect w wersji 1.1.644.0 lub nowszej.

  • Jeśli zapora lub serwer proxy zezwala na blokowanie lub bezpieczne programy DNS, dodaj połączenia do adresów URL *.msappproxy.us przez port 443.

    W przeciwnym razie musisz zezwolić na dostęp do zakresów adresów IP centrum danych platformy Azure, które są aktualizowane co tydzień. To wymaganie wstępne ma zastosowanie tylko w przypadku włączenia funkcji. Nie jest to wymagane w przypadku rzeczywistych logów użytkownika.

Wdrażanie bezproblemowego logowania jednokrotnego

Możesz stopniowo wdrażać bezproblemowe logowanie jednokrotne firmy Microsoft dla użytkowników, korzystając z poniższych instrukcji. Zacznij od dodania adresu URL https://autologon.microsoft.us witryny Microsoft Entra do wszystkich lub wybranych ustawień strefy intranetowej użytkowników przy użyciu zasad grupy w usłudze Active Directory.

Należy również włączyć ustawienie zasad strefy intranetowej Zezwalaj na aktualizacje paska stanu za pośrednictwem skryptu za pośrednictwem zasad grupy.

Inne kwestie dotyczące przeglądarek

Mozilla Firefox (wszystkie platformy)

Mozilla Firefox nie używa automatycznie uwierzytelniania Kerberos. Każdy użytkownik musi ręcznie dodać adres URL firmy Microsoft Entra do ustawień przeglądarki Firefox, wykonując następujące kroki:

  1. Uruchom przeglądarkę Firefox i wprowadź ciąg about:config na pasku adresu. Odrzuć wszelkie powiadomienia, które mogą być widoczne.
  2. Wyszukaj preferencję network.negotiate-auth.trusted-uris . Ta preferencja zawiera listę witryn zaufanych przez przeglądarkę Firefox na potrzeby uwierzytelniania Kerberos.
  3. Kliknij prawym przyciskiem myszy nazwę preferencji, a następnie wybierz polecenie Modyfikuj.
  4. Wprowadź https://autologon.microsoft.us w polu .
  5. Wybierz przycisk OK , a następnie otwórz ponownie przeglądarkę.

Przeglądarka Microsoft Edge oparta na Chromium (wszystkie platformy)

Jeśli ustawienia zasad lub AuthServerAllowlist zostały zastąpione AuthNegotiateDelegateAllowlist w danym środowisku, upewnij się, że dodasz do nich adres URL https://autologon.microsoft.us usługi Microsoft Entra.

Google Chrome (wszystkie platformy)

Jeśli ustawienia zasad lub AuthServerWhitelist zostały zastąpione AuthNegotiateDelegateWhitelist w danym środowisku, upewnij się, że dodasz do nich adres URL https://autologon.microsoft.us usługi Microsoft Entra.

Następne kroki