Compartilhar via


Considerações de identidade híbrida para a nuvem do Azure Governamental

Este artigo descreve as considerações para a integração de um ambiente híbrido com a nuvem do Microsoft Azure Governamental. Essas informações são fornecidas como uma referência para administradores e arquitetos que trabalham com a nuvem do Azure Governamental.

Observação

Para integrar um ambiente do Active Directory da Microsoft (local ou hospedado em uma IaaS que faz parte da mesma instância de nuvem) com a nuvem do Azure Governamental, você precisa atualizar para a versão mais recente do Microsoft Entra Connect.

Para obter uma lista completa dos pontos de extremidade do departamento de defesa do governo dos Estados Unidos, consulte a documentação.

Autenticação de passagem do Microsoft Entra

As informações a seguir descrevem a implementação da Autenticação de Passagem e da nuvem do Azure Governamental.

Permitir acesso às URLs

Antes de implantar o agente de Autenticação de Passagem, verifique se existe um firewall entre os servidores e o Microsoft Entra ID. Se o firewall ou o proxy permitir programas bloqueados ou seguros do Sistema de Nomes de Domínio (DNS), adicione as seguintes conexões.

Importante

Estas diretrizes se aplicam apenas ao seguinte:

Para obter informações sobre URLS para o agente de provisionamento do Microsoft Entra, consulte os pré-requisitos de instalação para sincronização na nuvem.

URL Como ele é usado
*.msappproxy.us
*.servicebus.usgovcloudapi.net
O agente usa essas URLs para se comunicar com o serviço de nuvem do Microsoft Entra.
mscrl.microsoft.us:80
crl.microsoft.us:80
ocsp.msocsp.us:80
www.microsoft.us:80
O agente usa essas URLs para verificar certificados.
login.windows.us
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.us
*.microsoftonline-p.us
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.us:80
O agente usa essas URLs durante o processo de registro.

Instalar o agente para a nuvem do Azure Governamental

Siga estas etapas para instalar o agente para a nuvem do Azure Governamental:

  1. No terminal da linha de comando, vá para a pasta que contém o arquivo executável que instala o agente.

  2. Execute os comandos a seguir, que especificam que a instalação é para o Azure Governamental.

    Para a Autenticação de Passagem:

    AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"
    

    Para o Proxy de Aplicativo:

    MicrosoftEntraPrivateNetworkConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment" 
    

Logon único

Configurar o servidor do Microsoft Entra Connect

Se você usa a Autenticação de Passagem como seu método de entrada, não é necessária nenhuma verificação de pré-requisitos adicional. Se você usar a sincronização de hash de senha como seu método de logon e houver um firewall entre o Microsoft Entra Connect e o Microsoft Entra ID, verifique se:

  • Você usa o Microsoft Entra Connect versão 1.1.644.0 ou posterior.

  • Se o firewall ou o proxy permitir programas bloqueados ou protegidos por DNS, adicione as conexões às URLs *.msappproxy.us pela porta 443.

    Caso contrário, permita o acesso aos Intervalos de IP do datacenter do Azure, os quais são atualizados semanalmente. Esse pré-requisito é aplicável somente quando você habilita o recurso. Não é obrigatório para logons reais de usuários.

Distribuir logon único contínuo

Você pode distribuir gradualmente o logon único contínuo do Microsoft Entra para seus usuários usando as instruções a seguir. Comece adicionando a URL https://autologon.microsoft.us do Microsoft Entra às configurações de zona de intranet de todos ou de alguns usuários selecionados usando a Política de Grupo no Active Directory.

Você também precisa habilitar a configuração da política de zona de intranet Permitir atualizações à barra de status por meio de script usando a Política de Grupo.

Considerações de navegador

Mozilla Firefox (todas as plataformas)

O Mozilla Firefox não usa a autenticação Kerberos automaticamente. Cada usuário precisa adicionar manualmente as URLs do Microsoft Entra às configurações do Firefox com as seguintes etapas:

  1. Execute o Firefox e insiraabout: configna barra de endereços. Ignore todas as notificações que possam aparecer.
  2. Pesquise a preferência network.negotiate-auth.trusted-uris. Esta preferência lista os sites confiáveis do Firefox para a autenticação Kerberos.
  3. Clique com o botão direito do mouse no nome de preferência e selecione Modificar.
  4. Insira https://autologon.microsoft.us na caixa.
  5. Selecione OK e, em seguida, reabra o navegador.

Microsoft Edge com base em Chromium (todas as plataformas)

Se você tiver substituído as configurações de política AuthNegotiateDelegateAllowlist ou AuthServerAllowlist em seu ambiente, certifique-se de adicionar a URL https://autologon.microsoft.us do Microsoft Entra a elas.

Google Chrome (todas as plataformas)

Se você tiver substituído as configurações de política AuthNegotiateDelegateWhitelist ou AuthServerWhitelist em seu ambiente, certifique-se de adicionar a URL https://autologon.microsoft.us do Microsoft Entra a elas.

Próximas etapas