Azure Government 雲端的混合式身分識別考量
本文說明整合混合式環境與 Microsoft Azure Government 雲端的考量。 此資訊會提供給使用 Azure Government 雲端的系統管理員和架構設計人員參考。
注意
若要將 Microsoft Active Directory 環境 (可以是內部部署,或是裝載於屬於相同雲端執行個體的 IaaS) 與 Azure Government 雲端相整合,必須升級至最新版本的Microsoft Entra Connect。
如需美國國防部的完整端點清單,請參閱這份文件。
Microsoft Entra 傳遞驗證
下列資訊說明如何實作傳遞驗證和 Azure Government 雲端。
允許存取 URL
在您部署傳遞驗證代理程式之前,請先確認您的伺服器與 Microsoft Entra ID 之間是否有防火牆存在。 如果您的防火牆或 Proxy 允許網域名稱系統 (DNS) 封鎖或安全的程式,請新增下列連線。
重要
下列指引僅適用於下列各項:
- 傳遞驗證代理程式
- Microsoft Entra 私人網路連接器
如需 Microsoft Entra 佈建代理程式的 URLS 資訊,請參閱雲端同步的安裝必要條件。
| URL | 使用方式 |
|---|---|
| *.msappproxy.us *.servicebus.usgovcloudapi.net |
代理程式會使用這些 URL 來與 Microsoft Entra 雲端服務進行通訊。 |
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80 |
代理程式會使用這些 URL 來驗證憑證。 |
| login.windows.us secure.aadcdn.microsoftonline-p.com *. microsoftonline.us *. microsoftonline-p.us *. msauth.net *. msauthimages.net *. msecnd.net *. msftauth.net *. msftauthimages.net *. phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 |
代理程式會在註冊過程中使用這些 URL。 |
安裝適用於 Azure Government 雲端的代理程式
請遵循下列步驟來安裝適用於 Azure Government 雲端的代理程式:
在命令列終端機中,移至包含可執行檔的資料夾,而該可執行檔用於安裝代理程式。
執行下列命令,以指定安裝適用於 Azure Government。
針對傳遞驗證:
AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"針對應用程式 Proxy:
MicrosoftEntraPrivateNetworkConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment"
單一登入
設定您的 Microsoft Entra Connect 伺服器
如果使用傳遞驗證做為登入方法,則不需要檢查其他必要條件。 如果使用密碼雜湊同步處理做為登入方法,且 Microsoft Entra Connect 與 Microsoft Entra ID 之間有防火牆,請確定:
您要使用 Microsoft Entra Connect 1.1.644.0 版或更新版本。
如果防火牆或 Proxy 允許 DNS 封鎖或安全的程式,請透過連接埠 443 新增與 *.msappproxy.us 連線的 URL。
如果不允許建立,請允許存取每週更新的 Azure 資料中心 IP 範圍。 只有啟用此功能時,才適用此必要條件。 不需要實際的使用者登入。
推出無縫單一登入
您可以使用下列指示,逐步向您的使用者推出 Microsoft Entra 無縫單一登入。 您一開始可使用 Active Directory 中的群組原則,將 Microsoft Entra URL https://autologon.microsoft.us 新增至所有或已選取之使用者的內部網路區域設定。
您也需要啟用內部網路區域原則設定 [允許透過群組原則經由指令碼更新狀態列]。
瀏覽器考量
Mozilla Firefox (所有平台)
Mozilla Firefox 不會自動使用 Kerberos 驗證。 每個使用者都必須依照下列步驟,手動將 Microsoft Entra URL 新增至其 Firefox 設定:
- 執行 Firefox 並在網址列輸入 about:config。 關閉任何您看到的通知。
- 搜尋 network.negotiate-auth.trusted-uris 喜好設定。 此喜好設定列出 Firefox 進行 Kerberos 驗證時信任的網站。
- 以滑鼠右鍵按一下喜好設定名稱,然後選取 [修改]。
- 在方塊中輸入
https://autologon.microsoft.us。 - 選取 [確定],然後重新開啟瀏覽器。
以 Chromium 為基礎的 Microsoft Edge (所有平台)
如果覆寫了環境中的 AuthNegotiateDelegateAllowlist 或 AuthServerAllowlist 原則設定,請務必將 Microsoft Entra URL https://autologon.microsoft.us 加入設定中。
Google Chrome (所有平台)
如果覆寫了環境中的 AuthNegotiateDelegateWhitelist 或 AuthServerWhitelist 原則設定,請務必將 Microsoft Entra URL https://autologon.microsoft.us 加入設定中。