Поделиться через


Рекомендации по гибридной идентификации в облаке Azure для государственных организаций

В этой статье приведены рекомендации по интеграции гибридной среды с облаком Microsoft Azure для государственных организаций. Эти сведения предоставляются как справочные материалы для администраторов и архитекторов, работающих с облаком Azure для государственных организаций.

Примечание.

Чтобы интегрировать среду Microsoft Active Directory (локальную или размещенную в IaaS, которая является частью одного облачного экземпляра) с облаком Azure для государственных организаций, необходимо обновить до последнего выпуска Microsoft Entra Connect.

Полный список оконечных точек в Министерстве обороны США см. в документации.

Сквозная проверка подлинности Microsoft Entra

Далее приведены сведения о реализации сквозной проверки подлинности и облака Azure для государственных организаций.

Разрешение доступа к URL-адресам

Перед развертыванием агента сквозной проверки подлинности проверьте, существует ли брандмауэр между серверами и идентификатором Microsoft Entra. Если брандмауэр или прокси-сервер разрешает использовать защищенные программы или программы, заблокированные службой доменных имен (DNS), добавьте следующие подключения.

Внимание

Следующие рекомендации применимы только к указанным аспектам:

Сведения о URL-адресах агента подготовки Microsoft Entra см . в предварительных требованиях установки для облачной синхронизации.

URL Как он используется
*.msappproxy.us
*.servicebus.usgovcloudapi.net
Агент использует эти URL-адреса для взаимодействия с облачной службой Microsoft Entra.
mscrl.microsoft.us:80
crl.microsoft.us:80
ocsp.msocsp.us:80
www.microsoft.us:80
Агент использует эти URL-адреса для проверки сертификатов.
login.windows.us
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.us
*.microsoftonline-p.us
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.us:80
Агент использует эти URL-адреса в процессе регистрации.

Установка агента для облака Azure для государственных организаций

Выполните следующие действия, чтобы установить агент для облака Azure для государственных организаций.

  1. В терминале командной строки перейдите в папку, где хранится исполняемый файл, который устанавливает агент.

  2. Выполните следующие команды, которые указывают, что установка выполняется для Azure для государственных организаций.

    Для сквозной проверки подлинности:

    AADConnectAuthAgentSetup.exe ENVIRONMENTNAME="AzureUSGovernment"
    

    Для прокси приложения:

    MicrosoftEntraPrivateNetworkConnectorInstaller.exe ENVIRONMENTNAME="AzureUSGovernment" 
    

Единый вход

Настройка сервера Microsoft Entra Connect

Если в качестве метода входа в систему используется сквозная проверка подлинности, дополнительные проверки предварительных требований не требуются. Если вы используете синхронизацию хэша паролей в качестве метода входа и существует брандмауэр между Microsoft Entra Connect и идентификатором Microsoft Entra, убедитесь, что:

  • Вы используете Microsoft Entra Connect версии 1.1.644.0 или более поздней.

  • Если брандмауэр или прокси-сервер разрешает использовать защищенные программы или программы, заблокированные службой доменных имен (DNS), добавьте подключения к URL-адресам *.msappproxy.us через порт 443.

    Если нет, разрешите доступ к диапазонам IP-адресов центра обработки данных Azure. Список диапазонов IP-адресов обновляется еженедельно. Это предварительное условие применяется только при включении функции. Его выполнение не обязательно для фактического входа пользователя в систему.

Тестирование простого единого входа

Вы можете постепенно развернуть единый вход Microsoft Entra для пользователей, выполнив следующие инструкции. Начните с добавления URL-адреса https://autologon.microsoft.us Microsoft Entra ко всем или выбранным параметрам зоны интрасети пользователей с помощью групповой политики в Active Directory.

Кроме того, необходимо включить параметр политики зоны интрасети (с помощью групповой политики), который называется Разрешить обновление строки состояния в сценарии.

Рекомендации в отношении браузера

Mozilla Firefox (все платформы)

Mozilla Firefox не выполняет аутентификацию Kerberos автоматически. Каждый пользователь должен вручную добавить URL-адрес Microsoft Entra в параметры Firefox, выполнив следующие действия:

  1. Запустите Firefox и введите about:config в адресной строке. Проигнорируйте все отображаемые уведомления.
  2. Найдите параметр network.negotiate-auth.trusted-uris. Этот параметр выводит список доверенных сайтов в Firefox для проверки подлинности Kerberos.
  3. Щелкните правой кнопкой мыши имя параметра и выберите Modify (Изменить).
  4. Введите в поле https://autologon.microsoft.us.
  5. Нажмите кнопку ОК и вновь откройте браузер.

Microsoft Edge на базе Chromium (все платформы)

Если вы переопределили AuthNegotiateDelegateAllowlist параметры или AuthServerAllowlist параметры политики в вашей среде, убедитесь, что к ним добавлен URL-адрес https://autologon.microsoft.us Microsoft Entra.

Google Chrome (все платформы)

Если вы переопределили AuthNegotiateDelegateWhitelist параметры или AuthServerWhitelist параметры политики в вашей среде, убедитесь, что к ним добавлен URL-адрес https://autologon.microsoft.us Microsoft Entra.

Следующие шаги