Freigeben über


Überlegungen zur Hybrididentität für die Azure Government-Cloud

In diesem Artikel werden Überlegungen zum Integrieren einer Hybridumgebung in die Microsoft Azure Government-Cloud beschrieben. Diese Informationen dienen als Referenz für Administratoren und Architekten, die mit der Azure Government-Cloud arbeiten.

Hinweis

Um eine Microsoft Active Directory-Umgebung (entweder lokal oder in einer IaaS gehostet, die Teil derselben Cloudinstanz ist) in die Azure Government-Cloud zu integrieren, müssen Sie ein Upgrade auf die neueste Version von Microsoft Entra Connect durchführen.

Eine vollständige Liste der Endpunkte des US-Verteidigungsministeriums finden Sie in der Dokumentation.

Microsoft Entra-Passthrough-Authentifizierung

Die folgenden Informationen beschreiben die Implementierung von Pass-Through-Authentifizierung und die Azure Government-Cloud.

Zulassen des Zugriffs auf URLs

Überprüfen Sie vor der Bereitstellung des Pass-Through-Authentifizierungs-Agents, ob eine Firewall zwischen Ihren Servern und Microsoft Entra ID vorhanden ist. Wenn Ihre Firewall oder Ihr Proxy durch DNS (Domain Name System) blockierte oder sichere Programme zulässt, fügen Sie die folgenden Verbindungen hinzu.

Wichtig

Die folgenden Leitfäden gelten nur für Folgendes:

Informationen zu URLS für den Microsoft Entra-Bereitstellungsagent finden Sie in den Installationsvoraussetzungen für die Cloudsynchronisierung.

URL Wie diese verwendet wird
*.msappproxy.us
*.servicebus.usgovcloudapi.net
Der Agent verwendet diese URLs für die Kommunikation mit dem Microsoft Entra-Clouddienst.
mscrl.microsoft.us:80
crl.microsoft.us:80
ocsp.msocsp.us:80
www.microsoft.us:80
Der Agent verwendet diese URLs zum Überprüfen von Zertifikaten.
login.windows.us
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.us
*.microsoftonline-p.us
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.us:80
Der Agent verwendet diese URLs während der Registrierung.

Installieren des Agents für die Azure Government-Cloud

Führen Sie die folgenden Schritte aus, um den Agent für die Azure Government-Cloud zu installieren:

  1. Navigieren Sie im Befehlszeilenterminal zu dem Ordner, der die ausführbare Datei enthält, mit der der Agent installiert wird.

  2. Führen Sie die folgenden Befehle aus, die angeben, dass die Installation für Azure Government erfolgt.

    Für Pass-Through-Authentifizierung:

    AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"
    

    Für den Anwendungsproxy:

    MicrosoftEntraPrivateNetworkConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment" 
    

Einmaliges Anmelden

Einrichten Ihres Microsoft Entra Connect-Servers

Wenn Sie die Passthrough-Authentifizierung als Anmeldemethode verwenden, ist keine zusätzliche Prüfung der Voraussetzungen erforderlich. Wenn Sie die Kennworthashsynchronisierung als Anmeldemethode verwenden und eine Firewall zwischen Microsoft Entra Connect und Microsoft Entra ID vorhanden ist, stellen Sie folgendes sicher:

  • Dass Sie Microsoft Entra Connect Version 1.1.644.0 oder höher verwenden.

  • Wenn Ihre Firewall oder Ihr Proxy DNS-blockierte oder sichere Programme zulässt, fügen Sie die Verbindungen zu den *.msappproxy.us-URLs über Port 443 hinzu.

    Aktivieren Sie andernfalls den Zugriff auf die IP-Adressbereiche für das Azure-Rechenzentrum, die wöchentlich aktualisiert werden. Diese Voraussetzung gilt nur, wenn Sie das Feature aktivieren. Sie ist für tatsächliche Benutzeranmeldungen nicht erforderlich.

Rollout von nahtlosem einmaligem Anmelden

Mithilfe der folgenden Anweisungen können Sie schrittweise nahtloses einmaliges Anmelden bei Microsoft Entra für Ihre Benutzer bereitstellen. Zunächst fügen Sie die Microsoft Entra-URL https://autologon.microsoft.us allen oder ausgewählten Intranetzoneneinstellungen der Benutzer mithilfe von Gruppenrichtlinien in Active Directory hinzu.

Außerdem müssen Sie die Richtlinieneinstellung für die Intranetzone Updates der Statusleiste per Skript über Gruppenrichtlinie zulassen aktivieren.

Überlegungen zum Browser

Mozilla Firefox (alle Plattformen)

Mozilla Firefox verwendet nicht automatisch die Kerberos-Authentifizierung. Jeder Benutzer muss die Microsoft Entra-URL manuell zu seinen Firefox-Einstellungen hinzufügen, indem Sie die folgenden Schritte ausführen:

  1. Starten Sie Firefox und geben Sie about:config in der Adressleiste ein. Schließen Sie alle Benachrichtigungen, die ggf. angezeigt werden.
  2. Suchen Sie nach der Einstellung network.negotiate-auth.trusted-uris. Diese Einstellung listet die Websites auf, denen Firefox für Kerberos-Authentifizierung vertraut.
  3. Klicken Sie mit der rechten Maustaste auf den Einstellungsnamen und wählen Sie dann Modifizieren.
  4. Geben Sie https://autologon.microsoft.us in das Feld ein.
  5. Klicken Sie auf OK, und öffnen Sie den Browser erneut.

Microsoft Edge auf Chromium-Basis (alle Plattformen)

Wenn Sie die Richtlinieneinstellungen AuthNegotiateDelegateAllowlist oder AuthServerAllowlist in Ihrer Umgebung überschrieben haben, stellen Sie sicher, dass Sie ihnen die Microsoft Entra-URL https://autologon.microsoft.us hinzufügen.

Google Chrome (alle Plattformen)

Wenn Sie die Richtlinieneinstellungen AuthNegotiateDelegateWhitelist oder AuthServerWhitelist in Ihrer Umgebung überschrieben haben, stellen Sie sicher, dass Sie ihnen die Microsoft Entra-URL https://autologon.microsoft.us hinzufügen.

Nächste Schritte