Azure Government クラウドのハイブリッド ID に関する考慮事項
この記事では、Microsoft Azure Government クラウドでハイブリッド環境を統合する場合の考慮事項について説明します。 この情報は、Azure Government クラウドを操作している管理者と設計者のための参考資料として提供されています。
Note
Microsoft Active Directory 環境 (オンプレミスのもの、または同じクラウド インスタンスの一部である IaaS にホストされているもの) を Azure Government クラウドと統合するには、Microsoft Entra Connect の最新リリースにアップグレードする必要があります。
米国政府の国防総省エンドポイントの完全一覧については、こちらのドキュメントを参照してください。
Microsoft Entra パススルー認証
次の情報では、パススルー認証と Azure Government クラウドの実装について説明されています。
URL へのアクセスを許可する
パススルー認証エージェントをデプロイする前に、お使いのサーバーと Microsoft Entra ID の間にファイアウォールがあるかどうかを確認します。 Domain Name System (DNS) でブロックされているプログラムまたは安全なプログラムがお使いのファイアウォールまたはプロキシで許可される場合、次の接続を追加します。
重要
次のガイダンスは、次の場合にのみ適用されます。
- パススルー認証エージェントに関する問題
- Microsoft Entra プライベート ネットワーク コネクタ
Microsoft Entra プロビジョニング エージェントの URL については、クラウド同期のためのインストールの前提条件に関するページを参照してください。
| URL | 用途 |
|---|---|
| *.msappproxy.us *.servicebus.usgovcloudapi.net |
エージェントではこれらの URL を使用し、Microsoft Entra クラウド サービスと通信します。 |
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80 |
エージェントでは、これらの URL を使用して、証明書が検証されます。 |
| login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 |
エージェントでは、登録プロセスの間にこれらの URL が使用されます。 |
Azure Government クラウド用にエージェントをインストールする
次の手順で Azure Government クラウド用にエージェントをインストールします。
コマンドライン ターミナルで、エージェントをインストールする実行可能ファイルが格納されているフォルダーに移動します。
Azure Government 用のインストールを指定する次のコマンドを実行します。
パススルー認証の場合:
AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"アプリケーション プロキシの場合:
MicrosoftEntraPrivateNetworkConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment"
シングル サインオン
Microsoft Entra Connect サーバーを設定する
サインオン方法としてパススルー認証を使用する場合、他に確認すべき前提条件はありません。 サインオン方法としてパスワード ハッシュ同期を使用する場合や、Microsoft Entra Connect と Microsoft Entra ID の間にファイアウォールがある場合は、次の点を確保してください。
Microsoft Entra Connect のバージョンは 1.1.644.0 以降を使用します。
DNS でブロックされているプログラムまたは安全なプログラムがファイアウォールまたはプロキシによって許可されている場合は、*.msappproxy.us の URL に対するポート 443 での接続を追加します。
そうでない場合は、毎週更新される Azure データセンターの IP 範囲へのアクセスを許可します。 この前提条件は、その機能を有効にした場合にのみ適用されます。 実際のユーザー サインオンに必要な条件ではありません。
シームレス シングル サインオンのロールアウト
次の指示に従い、Microsoft Entra シームレス シングル サインオンをユーザーに段階的にロールアウトします。 まず、Active Directory でグループ ポリシーを利用し、すべてのユーザー、または選択したユーザーのイントラネット ゾーン設定に Microsoft Entra の URL https://autologon.microsoft.us を追加します。
また、グループ ポリシーを使用し、[スクリプトを介したステータス バーの更新を許可する] というイントラネットのゾーン ポリシー設定を有効にする必要があります。
ブラウザーの考慮事項
Mozilla Firefox (すべてのプラットフォーム)
Mozilla Firefox は、Kerberos 認証を自動的には使用しません。 各ユーザーが、次の手順に従って、Firefox の設定に Microsoft Entra の URL を手動で追加する必要があります。
- Firefox を実行して、アドレス バーに「about:config」と入力します。 表示されたすべての通知を無視します。
- network.negotiate-auth.trusted-uris の設定を検索します。 この設定には、Kerberos 認証で Firefox が信頼するサイトが一覧表示されています。
- 設定を右クリックし、[変更] を選択します。
- ボックスに「
https://autologon.microsoft.us」と入力します。 - [OK] を選択してから、ブラウザーをもう一度開きます。
Chromium に基づく Microsoft Edge (すべてのプラットフォーム)
お使いの環境で AuthNegotiateDelegateAllowlist または AuthServerAllowlist ポリシー設定をオーバーライドした場合は、それらの設定に Microsoft Entra の URL https://autologon.microsoft.us を確実に追加してください。
Google Chrome (すべてのプラットフォーム)
お使いの環境で AuthNegotiateDelegateWhitelist または AuthServerWhitelist ポリシー設定をオーバーライドした場合は、それらの設定に Microsoft Entra の URL https://autologon.microsoft.us を確実に追加してください。