Compartir a través de


La identidad híbrida requería puertos y protocolos

El documento siguiente es una referencia técnica sobre los puertos y protocolos para implementar una solución de identidad híbrida. Use la siguiente ilustración y consulte la tabla correspondiente.

What is Microsoft Entra Connect

Tabla 1 - Microsoft Entra Connect y AD local

Esta tabla describe los puertos y protocolos necesarios para la comunicación entre el servidor Microsoft Entra Connect y el AD local.

Protocolo Puertos Descripción
DNS 53 (TCP/UDP) Búsquedas DNS en el bosque de destino.
Kerberos 88 (TCP/UDP) Autenticación Kerberos para el bosque de AD.
MS-RPC 135 (TCP) Se usa durante la configuración inicial del asistente de Microsoft Entra Connect cuando se vincula al bosque AD, y también durante la sincronización de contraseñas.
LDAP 389 (TCP/UDP) Se usa para la importación de datos de AD. Los datos se cifran con Kerberos Sign & Seal.
SMB 445 (TCP) Inicio de sesión único de conexión directa lo usa para crear una cuenta de equipo en el bosque de AD y durante la escritura diferida de contraseñas. Para más información, consulte el artículo que incluye un ejemplo de cambio del tipo de cuenta de un usuario.
LDAP/SSL 636 (TCP/UDP) Se usa para la importación de datos de AD. La transferencia de datos se firma y se cifra. Solo se utiliza si está usando TLS.
RPC 49152 - 65535 (Puerto RPC alto aleatorio) (TCP) Se utiliza durante la configuración inicial de Microsoft Entra Connect cuando se vincula a los bosques AD, y durante la sincronización de contraseñas. Si se ha cambiado el puerto dinámico, debe abrir ese puerto. Consulte KB929851, KB832017 y KB224196 para más información.
WinRM 5985 (TCP) Solo se usa si está instalando AD FS con gMSA a través del asistente de Microsoft Entra Connect
Servicios web de AD DS 9389 (TCP) Solo se usa si está instalando AD FS con gMSA a través del asistente de Microsoft Entra Connect
Catálogo global 3268 (TCP) Inicio de sesión único de conexión directa lo usa para consultar el catálogo global en el bosque antes de crear una cuenta de equipo en el dominio.

Tabla 2: Microsoft Entra Connect y Microsoft Entra ID

En esta tabla se describen los puertos y protocolos necesarios para la comunicación entre el servidor de Microsoft Entra Connect y Microsoft Entra ID.

Protocolo Puertos Descripción
HTTP 80 (TCP) Se usa para descargar CRL (listas de revocación de certificados) para comprobar certificados TLS/SSL.
HTTPS 443 (TCP) Se usa para sincronizar con Microsoft Entra ID.

Para obtener una lista de direcciones URL y direcciones IP que debe abrir en el firewall, consulte Direcciones URL y rangos de direcciones IP de Office 365 y Solución de problemas de conectividad de Microsoft Entra Connect.

Tabla 3: Microsoft Entra Connect y Servidores de federación AD FS/WAP

En esta tabla se describen los puertos y protocolos que son necesarios para la comunicación entre el servidor de Microsoft Entra Connect y servidores de federación AD FS/WAP.

Protocolo Puertos Descripción
HTTP 80 (TCP) Se usa para descargar CRL (listas de revocación de certificados) para comprobar certificados TLS/SSL.
HTTPS 443 (TCP) Se usa para sincronizar con Microsoft Entra ID.
WinRM 5985 Agente de escucha de WinRM

Tabla 4: Servidores de federación y WAP

En esta tabla se describen los puertos y protocolos que son necesarios para la comunicación entre los servidores de federación y los servidores WAP.

Protocolo Puertos Descripción
HTTPS 443 (TCP) Se usa para autenticación.

Tabla 5 - WAP y usuarios

En esta tabla se describen los puertos y protocolos que son necesarios para la comunicación entre los usuarios y los servidores WAP.

Protocolo Puertos Descripción
HTTPS 443 (TCP) Se usa para la autenticación de dispositivos.
TCP 49443 (TCP) Se usa para la autenticación de certificados.

Tabla 6a y 6b: autenticación de paso a través con inicio de sesión único (SSO) y sincronización de Hash de contraseña con inicio de sesión único (SSO)

En las tablas siguientes se describen los puertos y protocolos necesarios para la comunicación entre Microsoft Entra Connect y Microsoft Entra ID.

Tabla 6a: autenticación de paso a través con SSO

Protocolo Puertos Descripción
HTTP 80 (TCP) Se usa para descargar CRL (listas de revocación de certificados) para comprobar certificados TLS/SSL. También se necesita para que la funcionalidad de actualización automática del conector se lleve a cabo correctamente.
HTTPS 443 (TCP) Se usa para habilitar y deshabilitar la característica, registrar conectores, descargar actualizaciones de los conectores y controlar todas las solicitudes de inicio de sesión de los usuarios.

Además, Microsoft Entra Connect debe ser capaz de establecer conexiones directas de IP con intervalos de direcciones IP del centro de datos de Azure.

Tabla 6b: sincronización de Hash de contraseña con SSO

Protocolo Puertos Descripción
HTTPS 443 (TCP) Se usa para habilitar el registro de SSO (solo es necesario para el proceso de registro de SSO).

Además, Microsoft Entra Connect debe ser capaz de establecer conexiones directas de IP con intervalos de direcciones IP del centro de datos de Azure. Una vez más, esto solo es necesario para el proceso de registro SSO.

Tabla 7a 7b: Agente Microsoft Entra Connect Health para (AD FS/Sync) y Microsoft Entra ID

En las tablas siguientes se describen los puntos de conexión, puertos y protocolos que son necesarios para la comunicación entre los agentes de Microsoft Entra Connect Health y Microsoft Entra ID

Tabla 7a 7b: Puertos y protocolos para el agente Microsoft Entra Connect Health para (AD FS/Sync) y Microsoft Entra ID

En las tablas siguientes se describen los puertos de salida y protocolos que se requieren para la comunicación entre los agentes de Microsoft Entra Connect Health y Microsoft Entra ID.

Protocolo Puertos Descripción
Azure Service Bus 5671 (TCP) Se usa para enviar información de estado a Microsoft Entra ID. (Se recomienda pero no es necesario en las versiones más recientes).
HTTPS 443 (TCP) Se usa para enviar información de estado a Microsoft Entra ID. (Conmutación por recuperación).

Si el puerto 5671 está bloqueado, el agente recurre al 443, aunque se recomienda el uso del 5671. Este punto de conexión no es necesario en la versión más reciente del agente. Las versiones más recientes del agente de Microsoft Entra Connect Health solo necesitan el puerto 443.

7b: Puntos de conexión para el agente de Microsoft Entra Connect Health para (AD FS/Sync) y Microsoft Entra ID

Para obtener una lista de puntos de conexión, consulte la sección Requisitos para el agente de Microsoft Entra Connect Health.