Hybrididentitetsöverväganden för Azure Government-molnet
Den här artikeln beskriver överväganden för att integrera en hybridmiljö med Microsoft Azure Government-molnet. Den här informationen tillhandahålls som referens för administratörer och arkitekter som arbetar med Azure Government-molnet.
Kommentar
Om du vill integrera en Microsoft Active Directory-miljö (antingen lokalt eller i en IaaS som ingår i samma molninstans) med Azure Government-molnet måste du uppgradera till den senaste versionen av Microsoft Entra Anslut.
En fullständig lista över USA myndighetsslutpunkter för försvarsdepartementet finns i dokumentationen.
Microsoft Entra-direktautentisering
Följande information beskriver implementeringen av direktautentisering och Azure Government-molnet.
Tillåt åtkomst till webbadresser
Innan du distribuerar direktautentiseringsagenten kontrollerar du om det finns en brandvägg mellan dina servrar och Microsoft Entra-ID. Om brandväggen eller proxyn tillåter att DNS-program (Domain Name System) blockeras eller är säkra lägger du till följande anslutningar.
Viktigt!
Följande vägledning gäller endast för följande:
- direktautentiseringsagenten
- Anslutningsprogram för privata Microsoft Entra-nätverk
Information om URL:er för Microsoft Entra-etableringsagenten finns i installationskraven för molnsynkronisering.
| webbadress | Hur den används |
|---|---|
| *.msappproxy.us *.servicebus.usgovcloudapi.net |
Agenten använder dessa URL:er för att kommunicera med Microsoft Entra-molntjänsten. |
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80 |
Agenten använder dessa URL:er för att verifiera certifikat. |
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 |
Agenten använder dessa URL:er under registreringsprocessen. |
Installera agenten för Azure Government-molnet
Följ dessa steg för att installera agenten för Azure Government-molnet:
I kommandoradsterminalen går du till mappen som innehåller den körbara fil som installerar agenten.
Kör följande kommandon som anger att installationen är för Azure Government.
För direktautentisering:
AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"För Programproxy:
MicrosoftEntraPrivateNetworkConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment"
Enkel inloggning
Konfigurera Microsoft Entra Anslut-servern
Om du använder direktautentisering som inloggningsmetod krävs ingen ytterligare kravkontroll. Om du använder synkronisering av lösenordshash som inloggningsmetod och det finns en brandvägg mellan Microsoft Entra Anslut och Microsoft Entra-ID kontrollerar du att:
Du använder Microsoft Entra Anslut version 1.1.644.0 eller senare.
Om brandväggen eller proxyn tillåter DNS-blockerade eller säkra program lägger du till anslutningarna till *.msappproxy.us-URL:er via port 443.
Annars tillåter du åtkomst till IP-intervall för Azure-datacenter, som uppdateras varje vecka. Den här förutsättningen gäller endast när du aktiverar funktionen. Det krävs inte för faktiska användarinloggningar.
Distribuera sömlös enkel inloggning
Du kan gradvis distribuera sömlös enkel inloggning med Microsoft Entra till dina användare med hjälp av följande instruktioner. Du börjar med att lägga till Microsoft Entra-URL:en https://autologon.microsoft.us till alla eller valda användares inställningar för intranätzonen med hjälp av grupprincip i Active Directory.
Du måste också aktivera principinställningen För intranätzon Tillåt uppdateringar av statusfältet via skript via grupprincip.
Konfigurationen webbläsare
Mozilla Firefox (alla plattformar)
Mozilla Firefox använder inte Kerberos-autentisering automatiskt. Varje användare måste lägga till Microsoft Entra-URL:en manuellt i sina Firefox-inställningar genom att följa dessa steg:
- Kör Firefox och ange about:config i adressfältet. Stäng alla meddelanden som du kan se.
- Sök efter inställningen network.negotiate-auth.trusted-uris . Den här inställningen visar de webbplatser som är betrodda av Firefox för Kerberos-autentisering.
- Högerklicka på inställningsnamnet och välj sedan Ändra.
- Ange
https://autologon.microsoft.usi rutan. - Välj OK och öppna sedan webbläsaren igen.
Microsoft Edge baserat på Chromium (alla plattformar)
Om du har åsidosatt AuthNegotiateDelegateAllowlist principinställningarna eller AuthServerAllowlist i din miljö kontrollerar du att du lägger till Microsoft Entra-URL:en https://autologon.microsoft.us till dem.
Google Chrome (alla plattformar)
Om du har åsidosatt AuthNegotiateDelegateWhitelist principinställningarna eller AuthServerWhitelist i din miljö kontrollerar du att du lägger till Microsoft Entra-URL:en https://autologon.microsoft.us till dem.