Considerações de identidade híbrida para a nuvem do Azure Governamental
Este artigo descreve as considerações para a integração de um ambiente híbrido com a nuvem do Microsoft Azure Governamental. Essas informações são fornecidas como uma referência para administradores e arquitetos que trabalham com a nuvem do Azure Governamental.
Observação
Para integrar um ambiente do Active Directory da Microsoft (local ou hospedado em uma IaaS que faz parte da mesma instância de nuvem) com a nuvem do Azure Governamental, você precisa atualizar para a versão mais recente do Microsoft Entra Connect.
Para obter uma lista completa dos pontos de extremidade do departamento de defesa do governo dos Estados Unidos, consulte a documentação.
Autenticação de passagem do Microsoft Entra
As informações a seguir descrevem a implementação da Autenticação de Passagem e da nuvem do Azure Governamental.
Permitir acesso às URLs
Antes de implantar o agente de Autenticação de Passagem, verifique se existe um firewall entre os servidores e o Microsoft Entra ID. Se o firewall ou o proxy permitir programas bloqueados ou seguros do Sistema de Nomes de Domínio (DNS), adicione as seguintes conexões.
Importante
Estas diretrizes se aplicam apenas ao seguinte:
- o agente de autenticação de passagem
- Conector de rede privada do Microsoft Entra
Para obter informações sobre URLS para o agente de provisionamento do Microsoft Entra, consulte os pré-requisitos de instalação para sincronização na nuvem.
| URL | Como ele é usado |
|---|---|
| *.msappproxy.us *.servicebus.usgovcloudapi.net |
O agente usa essas URLs para se comunicar com o serviço de nuvem do Microsoft Entra. |
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80 |
O agente usa essas URLs para verificar certificados. |
| login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 |
O agente usa essas URLs durante o processo de registro. |
Instalar o agente para a nuvem do Azure Governamental
Siga estas etapas para instalar o agente para a nuvem do Azure Governamental:
No terminal da linha de comando, vá para a pasta que contém o arquivo executável que instala o agente.
Execute os comandos a seguir, que especificam que a instalação é para o Azure Governamental.
Para a Autenticação de Passagem:
AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"Para o Proxy de Aplicativo:
MicrosoftEntraPrivateNetworkConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment"
Logon único
Configurar o servidor do Microsoft Entra Connect
Se você usa a Autenticação de Passagem como seu método de entrada, não é necessária nenhuma verificação de pré-requisitos adicional. Se você usar a sincronização de hash de senha como seu método de logon e houver um firewall entre o Microsoft Entra Connect e o Microsoft Entra ID, verifique se:
Você usa o Microsoft Entra Connect versão 1.1.644.0 ou posterior.
Se o firewall ou o proxy permitir programas bloqueados ou protegidos por DNS, adicione as conexões às URLs *.msappproxy.us pela porta 443.
Caso contrário, permita o acesso aos Intervalos de IP do datacenter do Azure, os quais são atualizados semanalmente. Esse pré-requisito é aplicável somente quando você habilita o recurso. Não é obrigatório para logons reais de usuários.
Distribuir logon único contínuo
Você pode distribuir gradualmente o logon único contínuo do Microsoft Entra para seus usuários usando as instruções a seguir. Comece adicionando a URL https://autologon.microsoft.us do Microsoft Entra às configurações de zona de intranet de todos ou de alguns usuários selecionados usando a Política de Grupo no Active Directory.
Você também precisa habilitar a configuração da política de zona de intranet Permitir atualizações à barra de status por meio de script usando a Política de Grupo.
Considerações de navegador
Mozilla Firefox (todas as plataformas)
O Mozilla Firefox não usa a autenticação Kerberos automaticamente. Cada usuário precisa adicionar manualmente as URLs do Microsoft Entra às configurações do Firefox com as seguintes etapas:
- Execute o Firefox e insiraabout: configna barra de endereços. Ignore todas as notificações que possam aparecer.
- Pesquise a preferência network.negotiate-auth.trusted-uris. Esta preferência lista os sites confiáveis do Firefox para a autenticação Kerberos.
- Clique com o botão direito do mouse no nome de preferência e selecione Modificar.
- Insira
https://autologon.microsoft.usna caixa. - Selecione OK e, em seguida, reabra o navegador.
Microsoft Edge com base em Chromium (todas as plataformas)
Se você tiver substituído as configurações de política AuthNegotiateDelegateAllowlist ou AuthServerAllowlist em seu ambiente, certifique-se de adicionar a URL https://autologon.microsoft.us do Microsoft Entra a elas.
Google Chrome (todas as plataformas)
Se você tiver substituído as configurações de política AuthNegotiateDelegateWhitelist ou AuthServerWhitelist em seu ambiente, certifique-se de adicionar a URL https://autologon.microsoft.us do Microsoft Entra a elas.