Considerações de identidade híbrida para a nuvem do Azure Governamental

Este artigo descreve as considerações para a integração de um ambiente híbrido com a nuvem do Microsoft Azure Governamental. Essas informações são fornecidas como uma referência para administradores e arquitetos que trabalham com a nuvem do Azure Governamental.

Observação

Para integrar um ambiente do Active Directory da Microsoft (local ou hospedado em uma IaaS que faz parte da mesma instância de nuvem) com a nuvem do Azure Governamental, você precisa atualizar para a versão mais recente do Microsoft Entra Connect.

Para obter uma lista completa dos pontos de extremidade do departamento de defesa do governo dos Estados Unidos, consulte a documentação.

Autenticação de passagem do Microsoft Entra

As informações a seguir descrevem a implementação da Autenticação de Passagem e da nuvem do Azure Governamental.

Permitir acesso às URLs

Antes de implantar o agente de Autenticação de Passagem, verifique se existe um firewall entre os servidores e o Microsoft Entra ID. Se o firewall ou o proxy permitir programas bloqueados ou seguros do Sistema de Nomes de Domínio (DNS), adicione as seguintes conexões.

Importante

Estas diretrizes se aplicam apenas ao seguinte:

• o agente de autenticação de passagem
• Conector de rede privada do Microsoft Entra

Para obter informações sobre URLS para o agente de provisionamento do Microsoft Entra, consulte os pré-requisitos de instalação para sincronização na nuvem.

URL	Como ele é usado
*.msappproxy.us *.servicebus.usgovcloudapi.net	O agente usa essas URLs para se comunicar com o serviço de nuvem do Microsoft Entra.
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80	O agente usa essas URLs para verificar certificados.
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80	O agente usa essas URLs durante o processo de registro.

Instalar o agente para a nuvem do Azure Governamental

Siga estas etapas para instalar o agente para a nuvem do Azure Governamental:

1. No terminal da linha de comando, vá para a pasta que contém o arquivo executável que instala o agente.

2. Execute os comandos a seguir, que especificam que a instalação é para o Azure Governamental.

   Para a Autenticação de Passagem:

   AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"
   

   Para o Proxy de Aplicativo:

   MicrosoftEntraPrivateNetworkConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment" 
   

Logon único

Configurar o servidor do Microsoft Entra Connect

Se você usa a Autenticação de Passagem como seu método de entrada, não é necessária nenhuma verificação de pré-requisitos adicional. Se você usar a sincronização de hash de senha como seu método de logon e houver um firewall entre o Microsoft Entra Connect e o Microsoft Entra ID, verifique se:

• Você usa o Microsoft Entra Connect versão 1.1.644.0 ou posterior.

• Se o firewall ou o proxy permitir programas bloqueados ou protegidos por DNS, adicione as conexões às URLs *.msappproxy.us pela porta 443.

  Caso contrário, permita o acesso aos Intervalos de IP do datacenter do Azure, os quais são atualizados semanalmente. Esse pré-requisito é aplicável somente quando você habilita o recurso. Não é obrigatório para logons reais de usuários.

Distribuir logon único contínuo

Você pode distribuir gradualmente o logon único contínuo do Microsoft Entra para seus usuários usando as instruções a seguir. Comece adicionando a URL https://autologon.microsoft.us do Microsoft Entra às configurações de zona de intranet de todos ou de alguns usuários selecionados usando a Política de Grupo no Active Directory.

Você também precisa habilitar a configuração da política de zona de intranet Permitir atualizações à barra de status por meio de script usando a Política de Grupo.

Considerações de navegador

Mozilla Firefox (todas as plataformas)

O Mozilla Firefox não usa a autenticação Kerberos automaticamente. Cada usuário precisa adicionar manualmente as URLs do Microsoft Entra às configurações do Firefox com as seguintes etapas:

1. Execute o Firefox e insiraabout: configna barra de endereços. Ignore todas as notificações que possam aparecer.
2. Pesquise a preferência network.negotiate-auth.trusted-uris. Esta preferência lista os sites confiáveis do Firefox para a autenticação Kerberos.
3. Clique com o botão direito do mouse no nome de preferência e selecione Modificar.
4. Insira https://autologon.microsoft.us na caixa.
5. Selecione OK e, em seguida, reabra o navegador.

Microsoft Edge com base em Chromium (todas as plataformas)

Se você tiver substituído as configurações de política AuthNegotiateDelegateAllowlist ou AuthServerAllowlist em seu ambiente, certifique-se de adicionar a URL https://autologon.microsoft.us do Microsoft Entra a elas.

Google Chrome (todas as plataformas)

Se você tiver substituído as configurações de política AuthNegotiateDelegateWhitelist ou AuthServerWhitelist em seu ambiente, certifique-se de adicionar a URL https://autologon.microsoft.us do Microsoft Entra a elas.

Próximas etapas

• Autenticação de Passagem
• Logon único