Overwegingen voor hybride identiteit voor de Azure Government cloud

In dit artikel worden overwegingen beschreven voor het integreren van een hybride omgeving met de Microsoft Azure Government-cloud. Deze informatie wordt verstrekt als referentie voor beheerders en architecten die met de Azure Government cloud werken.

Notitie

Als u een Microsoft Active Directory-omgeving (on-premises of gehost in een IaaS die deel uitmaakt van hetzelfde cloud-exemplaar) wilt integreren met de Azure Government-cloud, moet u een upgrade uitvoeren naar de nieuwste versie van Azure AD Verbinding maken.

Raadpleeg de documentatie Verenigde Staten een volledige lijst met eindpunten van het Amerikaanse ministerie van defensie.

Pass-through-verificatie in Azure AD

De volgende informatie beschrijft de implementatie van pass-through-verificatie en de Azure Government cloud.

Toegang tot URL's toestaan

Voordat u de Agent voor pass-through-verificatie implementeert, controleert u of er een firewall bestaat tussen uw servers en Azure AD. Als uw firewall of proxy Domain Name System (DNS) geblokkeerde of veilige programma's toestaat, voegt u de volgende verbindingen toe.

Notitie

De volgende richtlijnen zijn ook van toepassing op het installeren van de Azure AD toepassingsproxy-connector voor Azure Government omgevingen.

URL Hoe dat wordt gebruikt
*.msappproxy.us
*.servicebus.usgovcloudapi.net
De agent gebruikt deze URL's om te communiceren met de Azure AD-cloudservice.
mscrl.microsoft.us:80
crl.microsoft.us:80
ocsp.msocsp.us:80
www.microsoft.us:80
De agent gebruikt deze URL's om certificaten te verifiëren.
login.windows.us
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.us
*.microsoftonline-p.us
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.us:80
De agent gebruikt deze URL's tijdens het registratieproces.

De agent voor de Azure Government cloud installeren

Volg deze stappen om de agent voor de cloud Azure Government installeren:

  1. Ga in de opdrachtregelterminal naar de map met het uitvoerbare bestand dat de agent installeert.

  2. Voer de volgende opdrachten uit om aan te geven dat de installatie voor Azure Government.

    Voor pass-through-verificatie:

    AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"
    

    Voor toepassingsproxy:

    AADApplicationProxyConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment" 
    

Eenmalige aanmelding

Uw Azure AD-Verbinding maken server instellen

Als u pass-through-verificatie als aanmeldingsmethode gebruikt, is er geen aanvullende controle op vereisten vereist. Als u wachtwoordhashsynchronisatie als aanmeldingsmethode gebruikt en er een firewall is tussen Azure AD Verbinding maken en Azure AD, controleert u of:

  • U gebruikt Azure AD Verbinding maken versie 1.1.644.0 of hoger.

  • Als uw firewall of proxy dns-geblokkeerde of veilige programma's toestaat, voegt u de verbindingen toe aan de *.msappproxy.us-URL's via poort 443.

    Zo niet, sta dan toegang toe tot de IP-bereiken van het Azure-datacenter, die wekelijks worden bijgewerkt. Deze vereiste is alleen van toepassing wanneer u de functie inschakelen. Dit is niet vereist voor daadwerkelijke gebruikers sign-ons.

Naadloze één-op-Sign-On

Aan de hand van de volgende instructies kunt u naadloze een Sign-On Azure AD geleidelijk implementeren voor uw gebruikers. U begint met het toevoegen van de Azure AD-URL aan de intranetzone-instellingen van alle of geselecteerde gebruikers met https://autologon.microsoft.us behulp van groepsbeleid in Active Directory.

U moet ook de beleidsinstelling Updates aan de statusbalk toestaan via script via groepsbeleid.

Browseroverwegingen

Mozilla Firefox (alle platforms)

Mozilla Firefox maakt niet automatisch gebruik van Kerberos-verificatie. Elke gebruiker moet de Azure AD-URL handmatig toevoegen aan de Firefox-instellingen door de volgende stappen uit te voeren:

  1. Voer Firefox uit en voer about:config in   de adresbalk in. Alle meldingen die u mogelijk ziet, kunt u afwijzen.
  2. Zoek naar de voorkeur network.negotiate-auth.trusted-uris.   Deze voorkeur geeft een lijst van de sites die worden vertrouwd door Firefox voor Kerberos-verificatie.
  3. Klik met de rechtermuisknop op de naam van de voorkeur en selecteer wijzigen.
  4. Voer https://autologon.microsoft.us in het vak in.
  5. Selecteer OK   en open de browser opnieuw.

Microsoft Edge op basis van Chromium (alle platforms)

Als u de beleidsinstellingen of in uw omgeving hebt overschrijven, moet u ervoor zorgen dat  AuthNegotiateDelegateAllowlist   u er de Azure AuthServerAllowlist   AD-URL https://autologon.microsoft.us aan toevoegt.

Google Chrome (alle platforms)

Als u de beleidsinstellingen of in uw omgeving hebt overschrijven, moet u ervoor zorgen dat  AuthNegotiateDelegateWhitelist   u er de Azure AuthServerWhitelist   AD-URL https://autologon.microsoft.us aan toevoegt.

Volgende stappen