Azure Government 클라우드에 대한 하이브리드 ID 고려 사항
이 문서에서는 하이브리드 환경을 Microsoft Azure Government 클라우드와 통합하기 위한 고려 사항을 설명합니다. 이 정보는 Azure Government 클라우드를 사용하는 관리자와 설계자를 위한 참조로 제공됩니다.
참고 항목
Microsoft Active Directory 환경(온-프레미스 또는 동일한 클라우드 인스턴스의 일부인 IaaS에서 호스트됨)을 Azure Government 클라우드와 통합하려면 Microsoft Entra Connect의 최신 릴리스로 업그레이드해야 합니다.
미국 Department of Defense(국방부) 엔드포인트의 전체 목록은 설명서를 참조하세요.
Microsoft Entra 통과 인증
다음 정보는 통과 인증 및 Azure Government 클라우드의 구현에 대해 설명합니다.
URL에 대한 액세스 허용
통과 인증 에이전트를 배포하기 전에 서버와 Microsoft Entra ID 사이에 방화벽이 있는지 확인합니다. 방화벽 또는 프록시에서 DNS(Domain Name System) 차단 또는 안전 프로그램을 허용하는 경우 다음 연결을 추가합니다.
Important
다음 지침은 다음에만 적용됩니다.
- 통과 인증 에이전트
- Microsoft Entra 프라이빗 네트워크 커넥터
Microsoft Entra 프로비전 에이전트의 URL에 대한 자세한 내용은 클라우드 동기화를 위한 설치 필수 구성 요소를 참조하세요.
URL | 사용 방법 |
---|---|
*.msappproxy.us *.servicebus.usgovcloudapi.net |
에이전트는 이러한 URL을 사용하여 Microsoft Entra 클라우드 서비스와 통신합니다. |
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80 |
에이전트는 다음과 같은 URL을 사용하여 인증서를 확인합니다. |
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 |
에이전트는 등록 프로세스 동안 다음과 같은 URL을 사용합니다. |
Azure Government 클라우드에 대한 에이전트를 설치합니다.
Azure Government 클라우드에 대한 에이전트를 설치하려면 다음 단계를 따르세요.
명령줄 터미널에서 에이전트를 설치하는 실행 파일이 포함된 폴더로 이동합니다.
Azure Government에 대한 설치를 지정하는 다음 명령을 실행합니다.
통과 인증의 경우:
AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"
애플리케이션 프록시의 경우:
MicrosoftEntraPrivateNetworkConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment"
SSO(Single Sign-On)
Microsoft Entra Connect 서버 설정
로그인 방법으로 통과 인증을 사용하는 경우 추가 필수 구성 요소 확인이 필요하지 않습니다. 로그인 방법으로 암호 해시 동기화를 사용하고 Microsoft Entra Connect와 Microsoft Entra ID 사이에 방화벽이 있는 경우 다음을 확인합니다.
Microsoft Entra Connect 버전 1.1.644.0 이상을 사용합니다.
방화벽 또는 프록시에서 DNS 차단 또는 안전 프로그램을 허용하는 경우 포트 443을 통한 *.msappproxy.us URL에 대한 연결을 추가합니다.
그렇지 않으면 매주 업데이트되는 Azure 데이터 센터 IP 범위에 액세스하도록 허용합니다. 이 필수 조건은 해당 기능을 사용하도록 설정한 경우에만 적용됩니다. 실제 사용자 로그인에서는 필요하지 않습니다.
원활한 Single Sign-On 롤아웃
다음 지침을 사용하여 사용자에게 Microsoft Entra Seamless Single Sign-On을 점진적으로 롤아웃할 수 있습니다. Active Directory의 그룹 정책을 사용하여 모든 또는 선택된 사용자의 인트라넷 영역 설정에 Microsoft Entra URL https://autologon.microsoft.us
을(를) 추가하기 시작합니다.
또한 그룹 정책으로 스크립트를 통해 상태 표시줄에 대한 업데이트 허용이라는 인트라넷 영역 정책 설정을 사용하도록 설정해야 합니다.
브라우저 고려 사항
Mozilla Firefox(모든 플랫폼)
Mozilla Firefox는 Kerberos 인증을 자동으로 사용하지 않습니다. 각 사용자는 다음 단계에 따라 Firefox 설정에 Microsoft Entra URL을 수동으로 추가해야 합니다.
- Firefox를 실행하고 주소 표시줄에 about:config를 입력합니다. 표시되는 모든 알림을 해제합니다.
- network.negotiate-auth.trusted-uris 기본 설정을 검색합니다. 이 기본 설정은 Kerberos 인증을 위한 Firefox의 신뢰할 수 있는 사이트를 나열합니다.
- 기본 설정 이름을 마우스 오른쪽 단추로 클릭한 다음, 수정을 선택합니다.
- 상자에
https://autologon.microsoft.us
를 입력합니다. - 확인을 선택한 다음, 브라우저를 다시 엽니다.
Chromium 기반 Microsoft Edge(모든 플랫폼)
환경에서 AuthNegotiateDelegateAllowlist
또는 AuthServerAllowlist
정책 설정을 재정의한 경우 해당 설정에 Microsoft Entra URL https://autologon.microsoft.us
을(를) 추가해야 합니다.
Google Chrome(모든 플랫폼)
환경에서 AuthNegotiateDelegateWhitelist
또는 AuthServerWhitelist
정책 설정을 재정의한 경우 해당 설정에 Microsoft Entra URL https://autologon.microsoft.us
을(를) 추가해야 합니다.