Überlegungen zur Hybrididentität für die Azure Government-CloudHybrid identity considerations for the Azure Government cloud

In diesem Artikel werden Überlegungen zum Integrieren einer Hybridumgebung in die Microsoft Azure Government-Cloud beschrieben.This article describes considerations for integrating a hybrid environment with the Microsoft Azure Government cloud. Diese Informationen dienen als Referenz für Administratoren und Architekten, die mit der Azure Government-Cloud arbeiten.This information is provided as a reference for administrators and architects who work with the Azure Government cloud.

Hinweis

Um eine lokale Microsoft Active Directory-Umgebung (lokal oder in einer IaaS in derselben Cloudinstanz gehostet) mit der Azure Government-Cloud zu integrieren, müssen Sie ein Upgrade auf das neueste Release von Azure AD Connect durchführen.To integrate a Microsoft Active Directory environment (either on-premises or hosted in an IaaS that is part of the same cloud instance) with the Azure Government cloud, you need to upgrade to the latest release of Azure AD Connect.

Hinweis

Dieser Artikel enthält Verweise auf den Begriff Whitelist, den Microsoft nicht länger verwendet.This article contains references to the term whitelist, a term that Microsoft no longer uses. Sobald der Begriff aus der Software entfernt wurde, wird er auch aus diesem Artikel entfernt.When the term is removed from the software, we'll remove it from this article.

Eine vollständige Liste der Endpunkte des US-Verteidigungsministeriums finden Sie in der Dokumentation.For a full list of United States government Department of Defense endpoints, refer to the documentation.

Azure AD-Passthrough-AuthentifizierungAzure AD Pass-through Authentication

Die folgenden Informationen beschreiben die Implementierung von Pass-Through-Authentifizierung und die Azure Government-Cloud.The following information describes implementation of Pass-through Authentication and the Azure Government cloud.

Zulassen des Zugriffs auf URLsAllow access to URLs

Überprüfen Sie vor dem Bereitstellen des Pass-Through-Authentifizierungs-Agents, ob zwischen den Servern und Azure AD eine Firewall vorhanden ist.Before you deploy the Pass-through Authentication agent, verify whether a firewall exists between your servers and Azure AD. Wenn Ihre Firewall oder Ihr Proxy durch DNS (Domain Name System) blockierte oder sichere Programme zulässt, fügen Sie die folgenden Verbindungen hinzu.If your firewall or proxy allows Domain Name System (DNS) blocked or safe programs, add the following connections.

Hinweis

Die folgende Anleitung gilt auch für die Installation des Azure AD-Anwendungsproxyconnectors für Azure Government-Umgebungen.The following guidance also applies to installing the Azure AD Application Proxy connector for Azure Government environments.

URLURL Wie diese verwendet wirdHow it's used
*.msappproxy.us*.msappproxy.us
*.servicebus.usgovcloudapi.net*.servicebus.usgovcloudapi.net
Der Agent verwendet diese URLs für die Kommunikation mit dem Azure AD-Clouddienst.The agent uses these URLs to communicate with the Azure AD cloud service.
mscrl.microsoft.us:80
crl.microsoft.us:80
ocsp.msocsp.us:80
www.microsoft.us:80
Der Agent verwendet diese URLs zum Überprüfen von Zertifikaten.The agent uses these URLs to verify certificates.
login.windows.uslogin.windows.us
secure.aadcdn.microsoftonline-p.comsecure.aadcdn.microsoftonline-p.com
*.microsoftonline.us*.microsoftonline.us
*.microsoftonline-p.us*.microsoftonline-p.us
*.msauth.net*.msauth.net
*.msauthimages.net*.msauthimages.net
*.msecnd.net*.msecnd.net
*.msftauth.net*.msftauth.net
*.msftauthimages.net*.msftauthimages.net
*.phonefactor.net*.phonefactor.net
enterpriseregistration.windows.netenterpriseregistration.windows.net
management.azure.commanagement.azure.com
policykeyservice.dc.ad.msft.netpolicykeyservice.dc.ad.msft.net
ctldl.windowsupdate.us:80ctldl.windowsupdate.us:80
Der Agent verwendet diese URLs während der Registrierung.The agent uses these URLs during the registration process.

Installieren des Agents für die Azure Government-CloudInstall the agent for the Azure Government cloud

Führen Sie die folgenden Schritte aus, um den Agent für die Azure Government-Cloud zu installieren:Follow these steps to install the agent for the Azure Government cloud:

  1. Navigieren Sie im Befehlszeilenterminal zu dem Ordner, der die ausführbare Datei enthält, mit der der Agent installiert wird.In the command-line terminal, go to the folder that contains the executable file that installs the agent.

  2. Führen Sie die folgenden Befehle aus, die angeben, dass die Installation für Azure Government erfolgt.Run the following commands, which specify that the installation is for Azure Government.

    Für Pass-Through-Authentifizierung:For Pass-through Authentication:

    AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"
    

    Für den Anwendungsproxy:For Application Proxy:

    AADApplicationProxyConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment" 
    

Einmaliges AnmeldenSingle sign-on

Einrichten des Azure AD Connect-ServersSet up your Azure AD Connect server

Wenn Sie Pass-Through-Authentifizierung als Anmeldemethode verwenden, ist keine zusätzliche Überprüfung der Voraussetzungen erforderlich.If you use Pass-through Authentication as your sign-on method, no additional prerequisite check is required. Wenn Ihre Anmeldemethode Kennworthashsynchronisierung ist und eine Firewall zwischen Azure AD Connect und Azure AD vorhanden ist, sollten Sie Folgendes sicherstellen:If you use password hash synchronization as your sign-on method and there is a firewall between Azure AD Connect and Azure AD, ensure that:

  • Sie verwenden Azure AD Connect, Version 1.1.644.0 oder höher.You use Azure AD Connect version 1.1.644.0 or later.

  • Wenn Ihre Firewall oder Ihr Proxy durch DNS blockierte oder sichere Programme zulässt, fügen Sie die Verbindungen den *.msapproxy.us-URLs über Port 443 hinzu.If your firewall or proxy allows DNS blocked or safe programs, add the connections to the *.msappproxy.us URLs over port 443.

    Aktivieren Sie andernfalls den Zugriff auf die IP-Adressbereiche für das Azure-Rechenzentrum, die wöchentlich aktualisiert werden.If not, allow access to the Azure datacenter IP ranges, which are updated weekly. Diese Voraussetzung gilt nur, wenn Sie das Feature aktivieren.This prerequisite applies only when you enable the feature. Sie ist für tatsächliche Benutzeranmeldungen nicht erforderlich.It isn't required for actual user sign-ons.

Rollout von nahtlosem einmaligem AnmeldenRoll out Seamless Single Sign-On

Mithilfe der folgenden Anleitungen können Sie schrittweise nahtloses einmaliges Anmelden von Azure AD für Ihre Benutzer einführen.You can gradually roll out Azure AD Seamless Single Sign-On to your users by using the following instructions. Sie fügen zuerst mithilfe der Gruppenrichtlinie in Active Directory den Intranetzoneneinstellungen aller oder ausgewählter Benutzer die Azure AD-URL https://autologon.microsoft.us hinzu.You start by adding the Azure AD URL https://autologon.microsoft.us to all or selected users' Intranet zone settings by using Group Policy in Active Directory.

Darüber hinaus müssen Sie die Intranetzonen-Gruppenrichtlinieneinstellung Aktualisierungen der Statusleiste über Skript über Gruppenrichtlinie zulassen aktivieren.You also need to enable the intranet zone policy setting Allow updates to status bar via script through Group Policy.

Überlegungen zum BrowserBrowser considerations

Mozilla Firefox (alle Plattformen)Mozilla Firefox (all platforms)

Mozilla Firefox verwendet nicht automatisch die Kerberos-Authentifizierung.Mozilla Firefox doesn't automatically use Kerberos authentication. Jeder Benutzer muss den Firefox-Einstellungen manuell die Azure AD-URL mithilfe der folgenden Schritte hinzufügen:Each user must manually add the Azure AD URL to their Firefox settings by following these steps:

  1. Führen Sie Firefox aus, und geben Sie in die Adressleiste  about:config  ein.Run Firefox and enter about:config in the address bar. Schließen Sie alle Benachrichtigungen, die ggf. angezeigt werden.Dismiss any notifications that you might see.
  2. Suchen Sie nach der Einstellung  network.negotiate-auth.trusted-uris .Search for the network.negotiate-auth.trusted-uris preference. Diese Einstellung listet die Websites auf, denen Firefox für Kerberos-Authentifizierung vertraut.This preference lists the sites trusted by Firefox for Kerberos authentication.
  3. Klicken Sie mit der rechten Maustaste auf den Namen der Einstellung, und wählen Sie dann  Ändern aus.Right-click the preference name and then select Modify.
  4. Geben Sie https://autologon.microsoft.us in das Feld ein.Enter https://autologon.microsoft.us in the box.
  5. Wählen Sie  OK  aus, und öffnen Sie den Browser dann erneut.Select OK and then reopen the browser.

Microsoft Edge auf Chromium-Basis (alle Plattformen)Microsoft Edge based on Chromium (all platforms)

Wenn Sie die Richtlinieneinstellungen  AuthNegotiateDelegateAllowlist  oder AuthServerAllowlist  in Ihrer Umgebung außer Kraft gesetzt haben, stellen Sie sicher, dass Sie ihnen die Azure AD-URL (https://autologon.microsoft.us) hinzufügen.If you have overridden the AuthNegotiateDelegateAllowlist or AuthServerAllowlist policy settings in your environment, ensure that you add the Azure AD URL https://autologon.microsoft.us to them.

Google Chrome (alle Plattformen)Google Chrome (all platforms)

Wenn Sie die Richtlinieneinstellungen  AuthNegotiateDelegateWhitelist  oder AuthServerWhitelist  in Ihrer Umgebung außer Kraft gesetzt haben, stellen Sie sicher, dass Sie ihnen die Azure AD-URL (https://autologon.microsoft.us) hinzufügen.If you have overridden the AuthNegotiateDelegateWhitelist or AuthServerWhitelist policy settings in your environment, ensure that you add the Azure AD URL https://autologon.microsoft.us to them.

Nächste SchritteNext steps