Pertimbangan identitas hibrid untuk cloud Azure Government

Artikel ini menjelaskan pertimbangan untuk mengintegrasikan lingkungan hibrid dengan cloud Microsoft Azure Government. Informasi ini disediakan sebagai referensi untuk admin dan arsitek yang bekerja dengan cloud Azure Government.

Catatan

Untuk mengintegrasikan lingkungan Microsoft Active Directory (baik lokal atau dihosting di IaaS yang merupakan bagian dari instans cloud yang sama) dengan cloud Azure Government, Anda perlu meningkatkan ke rilis terbaru Azure AD Connect.

Untuk daftar lengkap titik akhir Departemen Pertahanan pemerintah Amerika Serikat, lihat dokumentasi.

Autentikasi Pass-through Azure AD

Informasi berikut menjelaskan implementasi Autentikasi Pass-through dan cloud Azure Government.

Mengizinkan akses ke URL

Sebelum Anda menyebarkan agen Autentikasi Pass-through, verifikasi apakah firewall ada antara server Anda dan Azure AD. Jika firewall atau proksi Anda memperbolehkan Sistem Nama Domain (DNS) memblokir atau menghapus program, tambahkan koneksi berikut.

Catatan

Panduan berikut juga berlaku untuk memasang konektor Proksi Aplikasi Azure AD untuk lingkungan Azure Government.

URL Cara menggunakannya
*.msappproxy.us
*.servicebus.usgovcloudapi.net
Agen menggunakan URL ini untuk berkomunikasi dengan layanan cloud Azure AD.
mscrl.microsoft.us:80
crl.microsoft.us:80
ocsp.msocsp.us:80
www.microsoft.us:80
Konektor menggunakan URL ini untuk memverifikasi sertifikat.
login.windows.us
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.us
*.microsoftonline-p.us
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.us:80
Agen menggunakan URL ini selama proses pendaftaran.

Memasang agen untuk cloud Azure Government

Ikuti langkah-langkah berikut untuk menginstal agen untuk cloud Azure Government:

  1. Di terminal baris perintah, buka folder yang berisi file yang dapat dieksekusi yang memasang agen.

  2. Jalankan perintah berikut, yang menentukan bahwa penginstalan adalah untuk Azure Government.

    Untuk Autentikasi Pass-through:

    AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"
    

    Untuk Proksi Aplikasi:

    AADApplicationProxyConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment" 
    

Akses menyeluruh

Menyiapkan server Azure AD Connect Anda

Jika Anda menggunakan Autentikasi Pass-through sebagai metode masuk, Anda tidak perlu pemeriksaan prasyarat tambahan. Jika Anda menggunakan sinkronisasi hash kata sandi sebagai metode masuk dan ada firewall antara Azure Active Directory Connect dan Azure Active Directory, pastikan bahwa:

  • Anda menggunakan Azure AD Connect versi 1.1.644.0 atau yang lebih baru.

  • Jika firewall atau proksi Anda mengizinkan DNS diblokir atau program yang aman, tambahkan koneksi ke URL *.msappproxy.us melalui port 443.

    Jika tidak, izinkan akses ke rentang IP pusat data Azure, yang diperbarui setiap minggu. Prasyarat ini hanya berlaku jika Anda mengaktifkan fitur tersebut. Ini tidak diperlukan untuk masuk pengguna yang sebenarnya.

Meluncurkan Akses Menyeluruh yang Mulus

Anda dapat secara bertahap meluncurkan Azure AD Akses Menyeluruh yang Mulus kepada pengguna Anda dengan menggunakan instruksi berikut. Anda mulai dengan menambahkan Azure AD URL https://autologon.microsoft.us ke semua atau pengaturan zona Intranet pengguna yang dipilih dengan menggunakan Kebijakan Grup di Direktori Aktif.

Anda juga perlu mengaktifkan pengaturan kebijakan zona intranet Izinkan pembaruan pada bilah status melalui skrip melalui Kebijakan Grup.

Pertimbangan browser

Mozilla Firefox (semua platform)

Mozilla Firefox tidak secara otomatis menggunakan autentikasi Kerberos. Setiap pengguna harus menambahkan URL Azure AD secara manual ke pengaturan Firefox mereka dengan mengikuti langkah-langkah berikut:

  1. Jalankan Firefox dan masukkan about:config di bilah alamat. Matikan pemberitahuan apa pun yang mungkin Anda lihat.
  2. Cari preferensi network.negotiate-auth.trusted-uris. Preferensi ini mencantumkan situs yang dipercaya oleh Firefox untuk autentikasi Kerberos.
  3. Klik kanan nama preferensi, lalu pilih Ubah.
  4. Masukkan https://autologon.microsoft.us di dalam kotak.
  5. Pilih OK lalu buka kembali browser.

Microsoft Edge berdasarkan Chromium (semua platform)

Jika Anda telah mengganti pengaturan kebijakan AuthNegotiateDelegateAllowlist atau AuthServerAllowlist di lingkungan Anda, pastikan Anda menambahkan URL Azure Active Directory https://autologon.microsoft.us ke pengaturan tersebut.

Google Chrome (semua platform)

Jika Anda telah mengganti pengaturan kebijakan AuthNegotiateDelegateWhitelist atau AuthServerWhitelist di lingkungan Anda, pastikan Anda menambahkan URL Azure Active Directory https://autologon.microsoft.us ke pengaturan tersebut.

Langkah berikutnya