Consideraciones al respecto de la identidad híbrida para la nube de Azure Government

En este artículo se describen las consideraciones para la integración de un entorno híbrido con la nube de Microsoft Azure Government. Esta información se proporciona como referencia para los administradores y arquitectos que trabajan con la nube de Azure Government.

Nota:

Para integrar un entorno de Microsoft Azure Active Directory (local u hospedado en IaaS como parte de la misma instancia en la nube) con la nube de Azure Government, debe actualizar a la versión más reciente de Microsoft Entra Connect.

Para obtener una lista completa de los puntos de conexión del Departamento de Defensa del Gobierno de Estados Unidos, consulte la documentación.

Autenticación de paso a través de Microsoft Entra

La siguiente información describe la implementación de la autenticación de paso a través (PTA) y la nube de Azure Government.

Permiso de acceso a direcciones URL

Antes de implementar el agente de autenticación transferida, compruebe si hay un firewall entre los servidores y Microsoft Entra ID. Si su firewall o proxy permite programas bloqueados o seguros del Sistema de nombres de dominio, agregue las siguientes conexiones.

Importante

Las siguientes instrucciones solo se aplican a lo siguiente:

• el agente de autenticación de tránsito
• Conector de red privada de Microsoft Entra

Para obtener información sobre las direcciones URL del agente de aprovisionamiento de Microsoft Entra, consulte los requisitos previos de instalación para la sincronización en la nube.

URL	Cómo se usa
*.msappproxy.us *.servicebus.usgovcloudapi.net	El agente utiliza estas direcciones URL para comunicarse con el servicio en la nube de Microsoft Entra.
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80	El agente utiliza estas direcciones URL para verificar los certificados.
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80	El agente utiliza estas direcciones URL durante el proceso de registro.

Instalación del agente para la nube de Azure Government

Siga estos pasos para instalar el agente para la nube de Azure Government:

1. En el terminal de la línea de comandos, vaya a la carpeta que contiene el archivo ejecutable que instala el agente.

2. Ejecute el siguiente comando, que especifica que la instalación es para Azure Government.

   Para la autenticación de paso a través:

   AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"
   

   Para el proxy de aplicación:

   MicrosoftEntraPrivateNetworkConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment" 
   

Inicio de sesión único

Configuración del servidor de Microsoft Entra Connect

Si usa la autenticación de paso a través como método de inicio de sesión, no es necesaria ninguna otra comprobación de requisitos previos. Si usa la sincronización de hash de contraseña como método de inicio de sesión y hay un firewall entre Microsoft Entra Connect y Microsoft Entra ID, asegúrese de lo siguiente:

• Utiliza la versión 1.1.644.0 o posterior de Microsoft Entra Connect.

• Si el firewall o proxy permite programas de DNS bloqueados o seguros, agregue las conexiones a las direcciones URL de *.msappproxy.us a través del puerto 443.

  En caso contrario, permita el acceso a los intervalos de direcciones IP del centro de datos de Azure, que se actualizan cada semana. Este requisito solo es aplicable cuando se habilita la característica. No es necesario para los inicios de sesión de usuarios reales.

Implementación del inicio de sesión único de conexión directa

Puede implementar gradualmente el inicio de sesión único de conexión directa de Microsoft Entra a los usuarios con las instrucciones siguientes. Para empezar, agregue la dirección URL de Microsoft Entra https://autologon.microsoft.us a la configuración de la zona de la intranet de todos los usuarios o de los seleccionados mediante la directiva de grupo de Active Directory.

Además, debe habilitar una configuración de directiva de zona de intranet llamada Permitir actualizaciones en la barra de estado a través de script mediante la directiva de grupo.

Consideraciones sobre el explorador

Mozilla Firefox (todas las plataformas)

Mozilla Firefox no realiza automáticamente la autenticación Kerberos. Cada usuario debe agregar manualmente la dirección URL de Microsoft Entra a su configuración de Firefox mediante estos pasos:

1. Ejecute Firefox y escriba about:config en la barra de direcciones. Descarte las notificaciones que vea.
2. Busque la preferencia network.negotiate-auth.trusted-URI. Esta preferencia enumera los sitios de confianza de Firefox para la autenticación Kerberos.
3. Haga clic con el botón derecho en el nombre de la preferencia y después seleccione Modificar.
4. Escriba https://autologon.microsoft.us en el cuadro.
5. Seleccione Aceptar y después vuelva a abrir el explorador.

Microsoft Edge basado en Chromium (todas las plataformas)

Si ha reemplazado la configuración de las directivas AuthNegotiateDelegateAllowlist o AuthServerAllowlist en el entorno, asegúrese de agregarles la dirección URL de Microsoft Entra https://autologon.microsoft.us.

Google Chrome (todas las plataformas)

Si ha reemplazado la configuración de las directivas AuthNegotiateDelegateWhitelist o AuthServerWhitelist en el entorno, asegúrese de agregarles la dirección URL de Microsoft Entra https://autologon.microsoft.us.

Pasos siguientes

• Autenticación de paso a través
• Inicio de sesión único