本文介绍将混合环境与 Microsoft Azure 政府云集成时的注意事项。 此信息作为参考,供与 Azure 政府云合作的管理员和架构师参考。
注释
若要将 Microsoft Active Directory 环境(本地或托管在属于同一云实例的 IaaS 中)与 Azure 政府云集成,需要升级到 最新版本的 Microsoft Entra Connect。
有关美国政府国防部终结点的完整列表,请参阅 文档。
Microsoft Entra 直通身份验证
以下信息介绍了直通身份验证和 Azure 政府云的实现。
允许访问 URL
在部署直通身份验证代理之前,请验证服务器与 Microsoft Entra ID 之间是否存在防火墙。 如果防火墙或代理允许域名系统(DNS)阻止或安全程序,请添加以下连接。
重要
以下指南仅适用于以下内容:
- 直通身份验证代理
- Microsoft Entra 专用网络连接器
有关 Microsoft Entra 预配代理的 URLS 的信息,请参阅云同步的 安装先决条件 。
| 网址 | 如何使用 |
|---|---|
| *.msappproxy.us *.servicebus.usgovcloudapi.net |
代理使用这些 URL 与 Microsoft Entra 云服务通信。 |
mscrl.microsoft.us:80
crl.microsoft.us:80
ocsp.msocsp.us:80
www.microsoft.us:80
|
代理使用这些 URL 来验证证书。 |
| login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *. msecnd.net*. msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 |
代理在注册过程中使用这些 URL。 |
安装 Azure 政府云的代理
按照以下步骤安装 Azure 政府云的代理:
在命令行终端中,转到包含安装代理的可执行文件的文件夹。
运行以下命令,指定安装适用于 Azure 政府版。
对于直通身份验证:
AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"对于应用程序代理:
MicrosoftEntraPrivateNetworkConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment"
单一登录
设置 Microsoft Entra Connect 服务器
如果使用直通身份验证作为登录方法,则无需进行额外的先决条件检查。 如果使用密码哈希同步作为登录方法,并且Microsoft Entra Connect 和 Microsoft Entra ID 之间存在防火墙,请确保:
使用 Microsoft Entra Connect 1.1.6440 或更高版本。
如果防火墙或代理允许 DNS 阻止或安全程序,请通过端口 443 将连接添加到 *.msappproxy.us URL。
否则,请允许访问每周更新的 Azure 数据中心 IP 范围。 此先决条件仅在启用该功能时才适用。 实际用户登录不需要它。
推出无缝单一 Sign-On
可以使用以下说明逐步向用户推出 Microsoft Entra 无缝单一登录。 首先,在 Active Directory 中使用组策略将Microsoft Entra URL https://autologon.microsoft.us 添加到所有或选定的用户的 Intranet 区域设置。
还需要启用 Intranet 区域策略设置 ,允许通过组策略通过脚本更新状态栏。
浏览器注意事项
Mozilla Firefox(所有平台)
Mozilla Firefox 不会自动使用 Kerberos 身份验证。 每个用户必须按照以下步骤将 Microsoft Entra URL 手动添加到 Firefox 设置:
- 运行 Firefox 并在地址栏中输入 about:config 。 消除可能看到的任何通知。
- 搜索 network.negotiate-auth.trusted-uris 首选项。 此首选项列出了 Firefox 信任的用于 Kerberos 身份验证的站点。
- 右键单击首选项名称,然后选择“ 修改”。
- 在框中输入
https://autologon.microsoft.us。 - 选择 “确定 ”,然后重新打开浏览器。
基于 Chromium 的 Microsoft Edge(所有平台)
如果已替代 AuthNegotiateDelegateAllowlist 环境中的或 AuthServerAllowlist 策略设置,请确保向其添加Microsoft Entra URL https://autologon.microsoft.us 。
Google Chrome(所有平台)
如果已替代 AuthNegotiateDelegateWhitelist 环境中的或 AuthServerWhitelist 策略设置,请确保向其添加Microsoft Entra URL https://autologon.microsoft.us 。