Zagadnienia dotyczące tożsamości hybrydowej dla chmury Azure Government
W tym artykule opisano zagadnienia dotyczące integrowania środowiska hybrydowego z chmurą Microsoft Azure Government. Te informacje są dostarczane jako informacje dla administratorów i architektów, którzy pracują z chmurą platformy Azure Government.
Uwaga
Aby zintegrować środowisko usługi Microsoft Active Directory (lokalne lub hostowane w usłudze IaaS będące częścią tego samego wystąpienia chmury) z chmurą Platformy Azure Government, należy przeprowadzić uaktualnienie do najnowszej wersji usługi Microsoft Entra Połączenie.
Pełną listę punktów końcowych Departamentu Obrony Stany Zjednoczone rządu można znaleźć w dokumentacji.
Uwierzytelnianie przekazywane przez firmę Microsoft Entra
Poniższe informacje opisują implementację uwierzytelniania przekazywanego i chmury platformy Azure Government.
Zezwalanie na dostęp do adresów URL
Przed wdrożeniem agenta uwierzytelniania z przekazywaniem sprawdź, czy istnieje zapora między serwerami i identyfikatorem Firmy Microsoft Entra. Jeśli zapora lub serwer proxy zezwala na blokowanie lub bezpieczne programy systemu nazw domen (DNS), dodaj następujące połączenia.
Ważne
Poniższe wskazówki dotyczą tylko następujących elementów:
- agent uwierzytelniania przekazywanego
- Łącznik sieci prywatnej firmy Microsoft Entra
Aby uzyskać informacje na temat adresów URL agenta aprowizacji firmy Microsoft, zobacz wymagania wstępne instalacji dotyczące synchronizacji w chmurze.
| URL | Zastosowanie |
|---|---|
| *.msappproxy.us*.servicebus.usgovcloudapi.net | Agent używa tych adresów URL do komunikowania się z usługą firmy Microsoft Entra w chmurze. |
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80 |
Agent używa tych adresów URL do weryfikowania certyfikatów. |
| login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net*.msftauth.net *.msftauthimages.net*.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 | Agent używa tych adresów URL podczas procesu rejestracji. |
Instalowanie agenta dla chmury Azure Government
Wykonaj następujące kroki, aby zainstalować agenta dla chmury Azure Government:
W terminalu wiersza polecenia przejdź do folderu zawierającego plik wykonywalny, który instaluje agenta.
Uruchom następujące polecenia, które określają, że instalacja jest dla platformy Azure Government.
W przypadku uwierzytelniania przekazywanego:
AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"W przypadku serwer proxy aplikacji:
MicrosoftEntraPrivateNetworkConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment"
Logowanie jednokrotne
Konfigurowanie serwera Microsoft Entra Połączenie
Jeśli używasz uwierzytelniania przekazywanego jako metody logowania, nie jest wymagane dodatkowe sprawdzenie wymagań wstępnych. Jeśli używasz synchronizacji skrótów haseł jako metody logowania i istnieje zapora między firmą Microsoft Entra Połączenie i identyfikatorem Microsoft Entra ID, upewnij się, że:
Używasz usługi Microsoft Entra Połączenie w wersji 1.1.644.0 lub nowszej.
Jeśli zapora lub serwer proxy zezwala na blokowanie lub bezpieczne programy DNS, dodaj połączenia do adresów URL *.msappproxy.us przez port 443.
W przeciwnym razie musisz zezwolić na dostęp do zakresów adresów IP centrum danych platformy Azure, które są aktualizowane co tydzień. To wymaganie wstępne ma zastosowanie tylko w przypadku włączenia funkcji. Nie jest to wymagane w przypadku rzeczywistych logów użytkownika.
Wdrażanie bezproblemowego logowania jednokrotnego
Możesz stopniowo wdrażać bezproblemowe logowanie jednokrotne firmy Microsoft dla użytkowników, korzystając z poniższych instrukcji. Zacznij od dodania adresu URL https://autologon.microsoft.us witryny Microsoft Entra do wszystkich lub wybranych ustawień strefy intranetowej użytkowników przy użyciu zasad grupy w usłudze Active Directory.
Należy również włączyć ustawienie zasad strefy intranetowej Zezwalaj na aktualizacje paska stanu za pośrednictwem skryptu za pośrednictwem zasad grupy.
Inne kwestie dotyczące przeglądarek
Mozilla Firefox (wszystkie platformy)
Mozilla Firefox nie używa automatycznie uwierzytelniania Kerberos. Każdy użytkownik musi ręcznie dodać adres URL firmy Microsoft Entra do ustawień przeglądarki Firefox, wykonując następujące kroki:
- Uruchom przeglądarkę Firefox i wprowadź ciąg about:config na pasku adresu. Odrzuć wszelkie powiadomienia, które mogą być widoczne.
- Wyszukaj preferencję network.negotiate-auth.trusted-uris . Ta preferencja zawiera listę witryn zaufanych przez przeglądarkę Firefox na potrzeby uwierzytelniania Kerberos.
- Kliknij prawym przyciskiem myszy nazwę preferencji, a następnie wybierz polecenie Modyfikuj.
- Wprowadź
https://autologon.microsoft.usw polu . - Wybierz przycisk OK , a następnie otwórz ponownie przeglądarkę.
Przeglądarka Microsoft Edge oparta na Chromium (wszystkie platformy)
Jeśli ustawienia zasad lub AuthServerAllowlist zostały zastąpione AuthNegotiateDelegateAllowlist w danym środowisku, upewnij się, że dodasz do nich adres URL https://autologon.microsoft.us usługi Microsoft Entra.
Google Chrome (wszystkie platformy)
Jeśli ustawienia zasad lub AuthServerWhitelist zostały zastąpione AuthNegotiateDelegateWhitelist w danym środowisku, upewnij się, że dodasz do nich adres URL https://autologon.microsoft.us usługi Microsoft Entra.