Considerações de identidade híbrida para a nuvem do Azure Government

Este artigo descreve considerações para integrar um ambiente híbrido com a nuvem do Microsoft Azure Government. Essas informações são fornecidas como uma referência para administradores e arquitetos que trabalham com a nuvem do Azure Government.

Nota

Para integrar um ambiente do Microsoft Ative Directory (local ou hospedado em uma IaaS que faz parte da mesma instância de nuvem) com a nuvem do Azure Government, você precisa atualizar para a versão mais recente do Microsoft Entra Connect.

Para obter uma lista completa dos pontos finais do Departamento de Defesa do governo dos Estados Unidos, consulte a documentação.

Autenticação de passagem do Microsoft Entra

As informações a seguir descrevem a implementação da Autenticação de Passagem e da nuvem do Azure Governamental.

Permitir acesso a URLs

Antes de implantar o agente de Autenticação de Passagem, verifique se existe um firewall entre seus servidores e o ID do Microsoft Entra. Se o seu firewall ou proxy permitir que o DNS (Sistema de Nomes de Domínio) bloqueie ou proteja programas, adicione as seguintes conexões.

Importante

As orientações que se seguem aplicam-se apenas ao seguinte:

Para obter informações sobre URLs para o agente de provisionamento do Microsoft Entra, consulte os pré-requisitos de instalação para sincronização na nuvem.

URL Como é utilizado
*.msappproxy.us
*.servicebus.usgovcloudapi.net
O agente usa essas URLs para se comunicar com o serviço de nuvem Microsoft Entra.
mscrl.microsoft.us:80
crl.microsoft.us:80
ocsp.msocsp.us:80
www.microsoft.us:80
O agente usa essas URLs para verificar certificados.

login.windows.us secure.aadcdn.microsoftonline-p.com
*.microsoftonline.us
*.microsoftonline-p.us
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.us:80
O agente usa essas URLs durante o processo de registro.

Instalar o agente para a nuvem do Azure Government

Siga estas etapas para instalar o agente para a nuvem do Azure Government:

  1. No terminal de linha de comando, vá para a pasta que contém o arquivo executável que instala o agente.

  2. Execute os comandos a seguir, que especificam que a instalação é para o Azure Government.

    Para autenticação de passagem:

    AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"
    

    Para o Proxy de Aplicativo:

    AADApplicationProxyConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment" 
    

Início de sessão único

Configurar o servidor Microsoft Entra Connect

Se você usar a Autenticação de Passagem como seu método de logon, nenhuma verificação de pré-requisito adicional será necessária. Se você usar a sincronização de hash de senha como método de logon e houver um firewall entre o Microsoft Entra Connect e o Microsoft Entra ID, verifique se:

  • Você usa o Microsoft Entra Connect versão 1.1.644.0 ou posterior.

  • Se o seu firewall ou proxy permitir DNS bloqueado ou programas seguros, adicione as conexões aos URLs *.msappproxy.us pela porta 443.

    Caso contrário, permita o acesso aos intervalos de IP do datacenter do Azure, que são atualizados semanalmente. Esse pré-requisito se aplica somente quando você habilita o recurso. Ele não é necessário para logins de usuários reais.

Implemente o Logon Único Contínuo

Você pode implantar gradualmente o logon único contínuo do Microsoft Entra para seus usuários usando as instruções a seguir. Você começa adicionando a URL https://autologon.microsoft.us do Microsoft Entra a todas as configurações de zona da Intranet de todos ou de usuários selecionados usando a Diretiva de Grupo no Ative Directory.

Você também precisa habilitar a configuração de diretiva de zona da intranet Permitir atualizações na barra de status por meio de script por meio da Diretiva de Grupo.

Considerações sobre o browser

Mozilla Firefox (todas as plataformas)

O Mozilla Firefox não usa automaticamente a autenticação Kerberos. Cada utilizador deve adicionar manualmente o URL do Microsoft Entra às suas definições do Firefox seguindo estes passos:

  1. Execute o Firefox e digite about:config na barra de endereço. Dispense todas as notificações que possa ver.
  2. Procure a preferência network.negotiate-auth.trusted-uris . Esta preferência lista os sites confiáveis pelo Firefox para autenticação Kerberos.
  3. Clique com o botão direito do rato no nome da preferência e, em seguida, selecione Modificar.
  4. Entre https://autologon.microsoft.us na caixa.
  5. Selecione OK e reabra o navegador.

Microsoft Edge baseado no Chromium (todas as plataformas)

Se você tiver substituído as AuthNegotiateDelegateAllowlist configurações de política ou AuthServerAllowlist em seu ambiente, certifique-se de adicionar a URL https://autologon.microsoft.us do Microsoft Entra a elas.

Google Chrome (todas as plataformas)

Se você tiver substituído as AuthNegotiateDelegateWhitelist configurações de política ou AuthServerWhitelist em seu ambiente, certifique-se de adicionar a URL https://autologon.microsoft.us do Microsoft Entra a elas.

Próximos passos