Azure 政府云的混合标识注意事项

本文介绍了将混合环境与 Microsoft Azure 政府云集成时的注意事项。 这些信息是为使用 Azure 政府云的管理员和架构师提供的参考。

注意

要将 Microsoft Active Directory 环境(本地部署或托管在同一云实例包含的 IaaS 中)与 Azure 政府云集成,需要升级到最新版本的 Microsoft Entra Connect

有关美国政府国防部终结点的完整列表,请参阅此文档

Microsoft Entra 直通身份验证

下面介绍了如何实现直通身份验证和 Azure 政府云。

允许访问 URL

在部署直通身份验证代理之前,请验证服务器与 Microsoft Entra ID 之间是否存在防火墙。 如果你的防火墙或代理允许阻止了域名系统 (DNS) 的程序或安全程序,请添加以下连接。

重要

以下指南仅适用于以下各项:

有关 Microsoft Entra 预配代理的 URL 信息,请参阅云同步的安装先决条件

URL 用途
*.msappproxy.us
*.servicebus.usgovcloudapi.net
代理使用这些 URL 与 Microsoft Entra 云服务通信。
mscrl.microsoft.us:80
crl.microsoft.us:80
ocsp.msocsp.us:80
www.microsoft.us:80
代理使用这些 URL 来验证证书。
login.windows.us
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.us
*.microsoftonline-p.us
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.us:80
在注册过程中,代理使用这些 URL。

为 Azure 政府云安装代理

按照以下步骤为 Azure 政府云安装代理:

  1. 在命令行终端中,转到用于安装代理的可执行文件所在的文件夹。

  2. 运行以下命令,这些命令指定该安装是用于 Azure 政府的。

    对于直通身份验证:

    AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"
    

    对于应用程序代理:

    MicrosoftEntraPrivateNetworkConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment" 
    

单一登录

设置 Microsoft Entra Connect 服务器

如果使用直通身份验证作为登录方法,则无需进行其他先决条件检查。 如果使用密码哈希同步作为登录方法,并且 Microsoft Entra Connect 与 Microsoft Entra ID 之间有防火墙,则请确保:

  • 使用 Microsoft Entra Connect 1.1.6440 或更高版本。

  • 如果你的防火墙或代理允许阻止了 DNS 的程序或安全程序,请添加通过端口 443 到 *.msappproxy.us URL 的连接。

    否则,请允许访问每周更新的 Azure 数据中心 IP 范围。 此先决条件仅适用于启用了该功能的情况。 对于实际的用户登录,不需要满足此先决条件。

推行无缝单一登录

你可以根据以下说明逐步向你的用户推行 Microsoft Entra 无缝单一登录。 首先,使用 Active Directory 中的组策略将 Microsoft Entra URL https://autologon.microsoft.us 添加到所有或所选用户的 Intranet 区域设置。

你还需要通过组策略启用 Intranet 区域策略设置“允许通过脚本更新状态栏”。

浏览器注意事项

Mozilla Firefox(所有平台)

Mozilla Firefox 不会自动使用 Kerberos 身份验证。 每个用户必须通过以下步骤手动将 Microsoft Entra URL 添加到其 Firefox 设置:

  1. 运行 Firefox 并在地址栏中输入 about:config。 关闭你可能会看到的任何通知。
  2. 搜索 network.negotiate-auth.trusted-uris 首选项。 此首选项列出了 Firefox 信任的用于 Kerberos 身份验证的站点。
  3. 右键单击首选项名称,然后选择“修改”。
  4. 在框中输入 https://autologon.microsoft.us
  5. 选择“确定”,然后重新打开浏览器。

基于 Chromium 的 Microsoft Edge(所有平台)

如果覆盖了环境中的 AuthNegotiateDelegateAllowlistAuthServerAllowlist 策略设置,请确保将 Microsoft Entra URL https://autologon.microsoft.us 添加到其中。

Google Chrome(所有平台)

如果覆盖了环境中的 AuthNegotiateDelegateWhitelistAuthServerWhitelist 策略设置,请确保将 Microsoft Entra URL https://autologon.microsoft.us 添加到其中。

后续步骤