Considerazioni sulle identità ibride per il cloud di Azure per enti pubblici
Questo articolo contiene considerazioni per l'integrazione di un ambiente ibrido con il cloud di Microsoft Azure per enti pubblici. Queste informazioni costituiscono un riferimento per gli amministratori e i progettisti che lavorano con il cloud di Azure per enti pubblici.
Nota
Per integrare un ambiente Microsoft Active Directory (locale o ospitato in un IaaS che fa parte della stessa istanza cloud) con il cloud Azure per enti pubblici, è necessario eseguire l'aggiornamento alla versione più recente di Microsoft Entra Connect.
Per un elenco completo degli endpoint del Dipartimento della Difesa del governo degli Stati Uniti, vedere la documentazione.
Autenticazione pass-through di Microsoft Entra
Le informazioni seguenti descrivono l'implementazione dell'autenticazione pass-through e il cloud di Azure per enti pubblici.
Consentire l'accesso agli URL
Prima di distribuire l'agente di autenticazione pass-through, verificare se esiste un firewall tra i server e Microsoft Entra ID. Se il firewall o il proxy consentono programmi Domain Name System (DNS) bloccati o sicuri, aggiungere le connessioni seguenti.
Importante
Le indicazioni seguenti si applicano solo ai seguenti:
- l'agente di autenticazione pass-through
- Connettore di rete privata Microsoft Entra
Per informazioni sugli URL per l'agente di provisioning Di Microsoft Entra, vedere i prerequisiti di installazione per la sincronizzazione cloud.
URL | Uso |
---|---|
*.msappproxy.us *.servicebus.usgovcloudapi.net |
L'operatore usa questi URL per comunicare con il servizio cloud di Microsoft Entra. |
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80 |
L'operatore usa questi URL per verificare i certificati. |
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 |
L'operatore usa questi URL durante il processo di registrazione. |
Installare l'agente per il cloud di Azure per enti pubblici
Seguire questa procedura per installare l'agente per il cloud di Azure per enti pubblici:
Nel terminale della riga di comando passare alla cartella contenente il file eseguibile di installazione dell'agente.
Eseguire i comandi seguenti per specificare che si tratta di un'installazione per Azure per enti pubblici.
Per l'autenticazione pass-through:
AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"
Per il proxy dell'applicazione:
MicrosoftEntraPrivateNetworkConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment"
Single Sign-On
Configurare il server Microsoft Entra Connect
Se si usa l'autenticazione pass-through come metodo di accesso, non è necessario alcun controllo dei prerequisiti aggiuntivo. Se si usa la sincronizzazione dell'hash delle password come metodo di accesso e esiste un firewall tra Microsoft Entra Connect e Microsoft Entra ID, assicurarsi che:
Si usa Microsoft Entra Connect versione 1.1.644.0 o successiva.
Se il firewall o il proxy consente programmi dns bloccati o sicuri, aggiungere le connessioni agli URL *.msappproxy.us sulla porta 443.
In caso contrario, è necessario consentire l'accesso agli intervalli IP del data center di Azure, che vengono aggiornati ogni settimana. Questo prerequisito si applica solo quando si abilita la funzionalità. Non è necessario per gli accessi utente effettivi.
Implementare l'accesso Single Sign-On facile
È possibile implementare gradualmente l'accesso Single Sign-On facile di Microsoft Entra agli utenti usando le istruzioni seguenti. Per iniziare, aggiungere l'URL https://autologon.microsoft.us
di Microsoft Entra alle impostazioni dell'area Intranet di tutti o gli utenti selezionati usando Criteri di gruppo in Active Directory.
È anche necessario abilitare l'impostazione dei criteri dell'area Intranet Consenti aggiornamenti alla barra di stato tramite script tramite Criteri di gruppo.
Considerazioni sul browser
Mozilla Firefox (tutte le piattaforme)
Mozilla Firefox non usa automaticamente l'autenticazione Kerberos. Ogni utente deve aggiungere manualmente l'URL di Microsoft Entra alle impostazioni di Firefox seguendo questa procedura:
- Eseguire Firefox e immettere about:config nella barra degli indirizzi. Ignorare tutte le eventuali notifiche visualizzate.
- Cercare la preferenza network.negotiate-auth.trusted-uris. Questa preferenza elenca i siti considerati attendibili da Firefox per l'autenticazione Kerberos.
- Fare clic con il pulsante destro del mouse sul nome della preferenza e quindi scegliere Modifica.
- Immettere
https://autologon.microsoft.us
nella casella. - Fare clic su OK e quindi riaprire il browser.
Microsoft Edge basato su Chromium (tutte le piattaforme)
Se sono state sostituite le impostazioni dei AuthNegotiateDelegateAllowlist
criteri o AuthServerAllowlist
nell'ambiente in uso, assicurarsi di aggiungere l'URL https://autologon.microsoft.us
di Microsoft Entra a tali impostazioni.
Google Chrome (tutte le piattaforme)
Se sono state sostituite le impostazioni dei AuthNegotiateDelegateWhitelist
criteri o AuthServerWhitelist
nell'ambiente in uso, assicurarsi di aggiungere l'URL https://autologon.microsoft.us
di Microsoft Entra a tali impostazioni.