Dela via


Hybrididentitetsöverväganden för Azure Government-molnet

Den här artikeln beskriver överväganden för att integrera en hybridmiljö med Microsoft Azure Government-molnet. Den här informationen tillhandahålls som referens för administratörer och arkitekter som arbetar med Azure Government-molnet.

Kommentar

Om du vill integrera en Microsoft Active Directory-miljö (antingen lokalt eller i en IaaS som ingår i samma molninstans) med Azure Government-molnet måste du uppgradera till den senaste versionen av Microsoft Entra Connect.

En fullständig lista över usa:s myndigheters slutpunkter för försvarsdepartementet finns i dokumentationen.

Microsoft Entra-direktautentisering

Följande information beskriver implementeringen av direktautentisering och Azure Government-molnet.

Tillåt åtkomst till webbadresser

Innan du distribuerar direktautentiseringsagenten kontrollerar du om det finns en brandvägg mellan dina servrar och Microsoft Entra-ID. Om brandväggen eller proxyn tillåter att DNS-program (Domain Name System) blockeras eller är säkra lägger du till följande anslutningar.

Viktigt!

Följande vägledning gäller endast för följande:

Information om URL:er för Microsoft Entra-etableringsagenten finns i installationskraven för molnsynkronisering.

webbadress Hur den används
*.msappproxy.us
*.servicebus.usgovcloudapi.net
Agenten använder dessa URL:er för att kommunicera med Microsoft Entra-molntjänsten.
mscrl.microsoft.us:80
crl.microsoft.us:80
ocsp.msocsp.us:80
www.microsoft.us:80
Agenten använder dessa URL:er för att verifiera certifikat.

login.windows.us secure.aadcdn.microsoftonline-p.com
*.microsoftonline.us
*.microsoftonline-p.us
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.us:80
Agenten använder dessa URL:er under registreringsprocessen.

Installera agenten för Azure Government-molnet

Följ dessa steg för att installera agenten för Azure Government-molnet:

  1. I kommandoradsterminalen går du till mappen som innehåller den körbara fil som installerar agenten.

  2. Kör följande kommandon som anger att installationen är för Azure Government.

    För direktautentisering:

    AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"
    

    För programproxy:

    MicrosoftEntraPrivateNetworkConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment" 
    

Enkel inloggning

Konfigurera Microsoft Entra Connect-servern

Om du använder direktautentisering som inloggningsmetod krävs ingen ytterligare kravkontroll. Om du använder synkronisering av lösenordshash som inloggningsmetod och det finns en brandvägg mellan Microsoft Entra Connect och Microsoft Entra ID kontrollerar du att:

  • Du använder Microsoft Entra Connect version 1.1.644.0 eller senare.

  • Om brandväggen eller proxyn tillåter DNS-blockerade eller säkra program lägger du till anslutningarna till *.msappproxy.us-URL:er via port 443.

    Annars tillåter du åtkomst till IP-intervall för Azure-datacenter, som uppdateras varje vecka. Den här förutsättningen gäller endast när du aktiverar funktionen. Det krävs inte för faktiska användarinloggningar.

Distribuera sömlös enkel inloggning

Du kan gradvis distribuera sömlös enkel inloggning med Microsoft Entra till dina användare med hjälp av följande instruktioner. Du börjar med att lägga till Microsoft Entra-URL:en https://autologon.microsoft.us till alla eller valda användares inställningar för intranätzonen med hjälp av grupprincip i Active Directory.

Du måste också aktivera principinställningen För intranätzon Tillåt uppdateringar av statusfältet via skript via grupprincip.

Konfigurationen webbläsare

Mozilla Firefox (alla plattformar)

Mozilla Firefox använder inte Kerberos-autentisering automatiskt. Varje användare måste lägga till Microsoft Entra-URL:en manuellt i sina Firefox-inställningar genom att följa dessa steg:

  1. Kör Firefox och ange about:config i adressfältet. Stäng alla meddelanden som du kan se.
  2. Sök efter inställningen network.negotiate-auth.trusted-uris . Den här inställningen visar de webbplatser som är betrodda av Firefox för Kerberos-autentisering.
  3. Högerklicka på inställningsnamnet och välj sedan Ändra.
  4. Ange https://autologon.microsoft.us i rutan.
  5. Välj OK och öppna sedan webbläsaren igen.

Microsoft Edge baserat på Chromium (alla plattformar)

Om du har åsidosatt AuthNegotiateDelegateAllowlist principinställningarna eller AuthServerAllowlist i din miljö kontrollerar du att du lägger till Microsoft Entra-URL:en https://autologon.microsoft.us till dem.

Google Chrome (alla plattformar)

Om du har åsidosatt AuthNegotiateDelegateWhitelist principinställningarna eller AuthServerWhitelist i din miljö kontrollerar du att du lägger till Microsoft Entra-URL:en https://autologon.microsoft.us till dem.

Nästa steg