Aspekty hybridní identity pro cloud Azure Government
Tento článek popisuje aspekty integrace hybridního prostředí s cloudem Microsoft Azure Government. Tyto informace jsou poskytovány jako referenční informace pro správce a architekty, kteří pracují s cloudem Azure Government.
Poznámka:
Pokud chcete integrovat prostředí Microsoft Active Directory (buď místně, nebo hostované ve službě IaaS, která je součástí stejné cloudové instance) s cloudem Azure Government, musíte upgradovat na nejnovější verzi microsoft Entra Connect.
Úplný seznamkoncovýchch USA ch
Předávací ověřování Microsoft Entra
Následující informace popisují implementaci předávacího ověřování a cloudu Azure Government.
Povolit přístup k adresám URL
Před nasazením předávacího ověřovacího agenta ověřte, jestli mezi servery a ID Microsoft Entra existuje brána firewall. Pokud vaše brána firewall nebo proxy server povolí blokované nebo bezpečné programy DNS (Domain Name System), přidejte následující připojení.
Důležité
Následující pokyny platí jenom pro následující:
- předávací ověřovací agent
- Microsoft Entra Private Network Connector
Informace o adresách URL pro agenta zřizování Microsoft Entra najdete v požadavcích instalace pro synchronizaci cloudu.
| Adresa URL | K čemu slouží |
|---|---|
| *.msappproxy.us *.servicebus.usgovcloudapi.net |
Agent používá tyto adresy URL ke komunikaci s cloudovou službou Microsoft Entra. |
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80 |
Agent používá tyto adresy URL k ověření certifikátů. |
| login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 |
Agent používá tyto adresy URL během procesu registrace. |
Instalace agenta pro cloud Azure Government
Při instalaci agenta pro cloud Azure Government postupujte takto:
V terminálu příkazového řádku přejděte do složky, která obsahuje spustitelný soubor, který nainstaluje agenta.
Spusťte následující příkazy, které určují, že instalace je určená pro Azure Government.
Předávací ověřování:
AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"Pro proxy aplikací:
MicrosoftEntraPrivateNetworkConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment"
Jednotné přihlášení
Nastavení serveru Microsoft Entra Connect
Pokud jako metodu přihlašování používáte předávací ověřování, nevyžaduje se žádná další kontrola požadavků. Pokud jako metodu přihlašování používáte synchronizaci hodnot hash hesel a mezi Microsoft Entra Connect a MICROSOFT Entra ID existuje brána firewall, ujistěte se, že:
Používáte Microsoft Entra Connect verze 1.1.644.0 nebo novější.
Pokud brána firewall nebo proxy server povolí blokované nebo bezpečné programy DNS, přidejte připojení k adresám URL *.msappproxy.us přes port 443.
Pokud ne, povolte přístup k rozsahům IP adres datacenter Azure, které se aktualizují každý týden. Tento požadavek platí jenom v případě, že tuto funkci povolíte. Nevyžaduje se pro skutečné přihlašování uživatelů.
Zavedení bezproblémového jednotného přihlašování
Bezproblémové jednotné přihlašování microsoftu Entra můžete uživatelům postupně zavádět pomocí následujících pokynů. Začnete přidáním adresy URL https://autologon.microsoft.us Microsoft Entra do nastavení zóny intranetu všech nebo vybraných uživatelů pomocí zásad skupiny ve službě Active Directory.
Musíte také povolit nastavení zásad zóny intranetu Povolit aktualizace stavový řádek prostřednictvím skriptu prostřednictvím zásad skupiny.
Důležité informace o prohlížeči
Mozilla Firefox (všechny platformy)
Mozilla Firefox automaticky nepoužívá ověřování kerberos. Každý uživatel musí ručně přidat adresu URL aplikace Microsoft Entra do nastavení prohlížeče Firefox pomocí následujícího postupu:
- Spusťte Firefox a do adresního řádku zadejte about:config . Zavřete všechna oznámení, která se můžou zobrazit.
- Vyhledejte předvolbu network.negotiate-auth.trusted-uris . Tato předvolba uvádí weby, kterým Firefox důvěřuje pro ověřování protokolem Kerberos.
- Klikněte pravým tlačítkem myši na název předvolby a pak vyberte Upravit.
- Zadejte
https://autologon.microsoft.usdo pole. - Vyberte OK a znovu otevřete prohlížeč.
Microsoft Edge založený na Chromiu (všechny platformy)
Pokud jste v prostředí přepsali AuthNegotiateDelegateAllowlist nastavení nebo AuthServerAllowlist nastavení zásad, ujistěte se, že do nich přidáte adresu URL https://autologon.microsoft.us Microsoft Entra.
Google Chrome (všechny platformy)
Pokud jste v prostředí přepsali AuthNegotiateDelegateWhitelist nastavení nebo AuthServerWhitelist nastavení zásad, ujistěte se, že do nich přidáte adresu URL https://autologon.microsoft.us Microsoft Entra.