Überlegungen zur Hybrididentität für die Azure Government-Cloud

In diesem Artikel werden Überlegungen zum Integrieren einer Hybridumgebung in die Microsoft Azure Government-Cloud beschrieben. Diese Informationen dienen als Referenz für Administratoren und Architekten, die mit der Azure Government-Cloud arbeiten.

Hinweis

Um eine lokale Microsoft Active Directory-Umgebung (lokal oder in einer IaaS in derselben Cloudinstanz gehostet) mit der Azure Government-Cloud zu integrieren, müssen Sie ein Upgrade auf das neueste Release von Azure AD Connect durchführen.

Eine vollständige Liste der Endpunkte des US-Verteidigungsministeriums finden Sie in der Dokumentation.

Azure AD-Passthrough-Authentifizierung

Die folgenden Informationen beschreiben die Implementierung von Pass-Through-Authentifizierung und die Azure Government-Cloud.

Zulassen des Zugriffs auf URLs

Überprüfen Sie vor dem Bereitstellen des Pass-Through-Authentifizierungs-Agents, ob zwischen den Servern und Azure AD eine Firewall vorhanden ist. Wenn Ihre Firewall oder Ihr Proxy durch DNS (Domain Name System) blockierte oder sichere Programme zulässt, fügen Sie die folgenden Verbindungen hinzu.

Hinweis

Die folgende Anleitung gilt auch für die Installation des Azure AD-Anwendungsproxyconnectors für Azure Government-Umgebungen.

URL Wie diese verwendet wird
*.msappproxy.us
*.servicebus.usgovcloudapi.net
Der Agent verwendet diese URLs für die Kommunikation mit dem Azure AD-Clouddienst.
mscrl.microsoft.us:80
crl.microsoft.us:80
ocsp.msocsp.us:80
www.microsoft.us:80
Der Agent verwendet diese URLs zum Überprüfen von Zertifikaten.
login.windows.us
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.us
*.microsoftonline-p.us
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.us:80
Der Agent verwendet diese URLs während der Registrierung.

Installieren des Agents für die Azure Government-Cloud

Führen Sie die folgenden Schritte aus, um den Agent für die Azure Government-Cloud zu installieren:

  1. Navigieren Sie im Befehlszeilenterminal zu dem Ordner, der die ausführbare Datei enthält, mit der der Agent installiert wird.

  2. Führen Sie die folgenden Befehle aus, die angeben, dass die Installation für Azure Government erfolgt.

    Für Pass-Through-Authentifizierung:

    AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"
    

    Für den Anwendungsproxy:

    AADApplicationProxyConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment" 
    

Einmaliges Anmelden

Einrichten des Azure AD Connect-Servers

Wenn Sie die Passthrough-Authentifizierung als Anmeldemethode verwenden, ist keine zusätzliche Prüfung der Voraussetzungen erforderlich. Wenn Sie die Kennworthashsynchronisierung als Anmeldemethode verwenden und eine Firewall zwischen Azure AD Connect und Azure AD vorhanden ist, stellen Sie Folgendes sicher:

  • Sie verwenden Azure AD Connect, Version 1.1.644.0 oder höher.

  • Wenn Ihre Firewall oder Ihr Proxy DNS-blockierte oder sichere Programme zulässt, fügen Sie die Verbindungen zu den *.msappproxy.us-URLs über Port 443 hinzu.

    Aktivieren Sie andernfalls den Zugriff auf die IP-Adressbereiche für das Azure-Rechenzentrum, die wöchentlich aktualisiert werden. Diese Voraussetzung gilt nur, wenn Sie das Feature aktivieren. Sie ist für tatsächliche Benutzeranmeldungen nicht erforderlich.

Rollout von nahtlosem einmaligem Anmelden

Mithilfe der folgenden Anleitungen können Sie schrittweise nahtloses einmaliges Anmelden von Azure AD für Ihre Benutzer einführen. Sie fügen zuerst mithilfe der Gruppenrichtlinie in Active Directory den Intranetzoneneinstellungen aller oder ausgewählter Benutzer die Azure AD-URL https://autologon.microsoft.us hinzu.

Außerdem müssen Sie die Richtlinieneinstellung für die Intranetzone Updates der Statusleiste per Skript über Gruppenrichtlinie zulassen aktivieren.

Überlegungen zum Browser

Mozilla Firefox (alle Plattformen)

Mozilla Firefox verwendet nicht automatisch die Kerberos-Authentifizierung. Jeder Benutzer muss den Firefox-Einstellungen manuell die Azure AD-URL mithilfe der folgenden Schritte hinzufügen:

  1. Starten Sie Firefox und geben Sie about:config in der Adressleiste ein. Schließen Sie alle Benachrichtigungen, die ggf. angezeigt werden.
  2. Suchen Sie nach der Einstellung network.negotiate-auth.trusted-uris. Diese Einstellung listet die Websites auf, denen Firefox für Kerberos-Authentifizierung vertraut.
  3. Klicken Sie mit der rechten Maustaste auf den Einstellungsnamen und wählen Sie dann Modifizieren.
  4. Geben Sie https://autologon.microsoft.us in das Feld ein.
  5. Klicken Sie auf OK, und öffnen Sie den Browser erneut.

Microsoft Edge auf Chromium-Basis (alle Plattformen)

Wenn Sie die Richtlinieneinstellungen AuthNegotiateDelegateAllowlist oder AuthServerAllowlist in Ihrer Umgebung überschrieben haben, stellen Sie sicher, dass Sie ihnen die Azure AD-URL https://autologon.microsoft.us hinzufügen.

Google Chrome (alle Plattformen)

Wenn Sie die Richtlinieneinstellungen AuthNegotiateDelegateWhitelist oder AuthServerWhitelist in Ihrer Umgebung überschrieben haben, stellen Sie sicher, dass Sie ihnen die Azure AD-URL https://autologon.microsoft.us hinzufügen.

Nächste Schritte