Wymagane porty i protokoły tożsamości hybrydowej
Poniższy dokument zawiera informacje techniczne dotyczące wymaganych portów i protokołów do implementowania rozwiązania tożsamości hybrydowej. Użyj poniższej ilustracji i zapoznaj się z odpowiednią tabelą.
microsoft Entra Connect
Tabela 1 — Microsoft Entra Connect i lokalna usługa AD
W tej tabeli opisano porty i protokoły wymagane do komunikacji między serwerem Microsoft Entra Connect i lokalną usługą AD.
| Protokół | Porty | Opis |
|---|---|---|
| DNS | 53 (TCP/UDP) | Wyszukiwania DNS w lesie docelowym. |
| Kerberos | 88 (TCP/UDP) | Uwierzytelnianie Kerberos w lesie usługi AD. |
| MS-RPC | 135 (TCP) | Używany podczas początkowej konfiguracji kreatora Microsoft Entra Connect, gdy jest powiązany z lasem usługi AD, a także podczas synchronizacji haseł. |
| LDAP | 389 (TCP/UDP) | Służy do importowania danych z usługi AD. Dane są szyfrowane za pomocą & seal podpisywania Kerberos. |
| SMB | 445 (TCP) | Używane przez bezproblemowe logowanie jednokrotne do tworzenia konta komputera w lesie usługi AD i podczas zapisywania zwrotnego haseł. Aby uzyskać więcej informacji, zobacz Zmienianie hasła konta użytkownika. |
| LDAP/SSL | 636 (TCP/UDP) | Służy do importowania danych z usługi AD. Transfer danych jest podpisany i zaszyfrowany. Używane tylko w przypadku korzystania z protokołu TLS. |
| RPC | 49152- 65535 (losowy wysoki port RPC) (TCP) | Używany podczas początkowej konfiguracji programu Microsoft Entra Connect, gdy wiąże się z lasami usługi AD i podczas synchronizacji haseł. Jeśli port dynamiczny został zmieniony, musisz otworzyć ten port. Aby uzyskać więcej informacji, zobacz KB929851, KB832017i KB224196. |
| Usługa WinRM | 5985 (TCP) | Używane tylko w przypadku instalowania usług AD FS z gMSA przez Kreatora programu Microsoft Entra Connect |
| Usługi sieci Web usług AD DS | 9389 (TCP) | Używane tylko w przypadku instalowania usług AD FS z gMSA przez Kreatora programu Microsoft Entra Connect |
| Wykaz globalny | 3268 (TCP) | Używane przez bezproblemowe logowanie jednokrotne do wykonywania zapytań względem wykazu globalnego w lesie przed utworzeniem konta komputera w domenie. |
Tabela 2 — Microsoft Entra Connect i Microsoft Entra ID
W tej tabeli opisano porty i protokoły wymagane do komunikacji między serwerem Microsoft Entra Connect i identyfikatorem Microsoft Entra ID.
| Protokół | Porty | Opis |
|---|---|---|
| HTTP | 80 (TCP) | Służy do pobierania list CRL (list odwołania certyfikatów) w celu zweryfikowania certyfikatów TLS/SSL. |
| HTTPS | 443 (TCP) | Służy do synchronizowania z identyfikatorem Entra firmy Microsoft. |
Aby uzyskać listę adresów URL i adresów IP, które należy otworzyć w zaporze, zobacz adresy URL i zakresy adresów IP usługi Office 365 i Rozwiązywanie problemów z łącznością z usługą Microsoft Entra Connect.
Tabela 3 — Microsoft Entra Connect i serwery federacyjne usług AD FS/WAP
W tej tabeli opisano porty i protokoły wymagane do komunikacji między serwerem Microsoft Entra Connect i serwerami federacyjnych/WAP usług AD FS.
| Protokół | Porty | Opis |
|---|---|---|
| HTTP | 80 (TCP) | Służy do pobierania list CRL (list odwołania certyfikatów) w celu zweryfikowania certyfikatów TLS/SSL. |
| HTTPS | 443 (TCP) | Służy do synchronizowania z identyfikatorem Entra firmy Microsoft. |
| Usługa WinRM | 5985 | Odbiornik usługi WinRM |
Tabela 4 — serwery WAP i federacyjne
W tej tabeli opisano porty i protokoły wymagane do komunikacji między serwerami federacyjnym i serwerami WAP.
| Protokół | Porty | Opis |
|---|---|---|
| HTTPS | 443 (TCP) | Służy do uwierzytelniania. |
Tabela 5 — WAP i Użytkownicy
W tej tabeli opisano porty i protokoły wymagane do komunikacji między użytkownikami a serwerami WAP.
| Protokół | Porty | Opis |
|---|---|---|
| HTTPS | 443 (TCP) | Służy do uwierzytelniania urządzeń. |
| TCP | 49443 (TCP) | Służy do uwierzytelniania certyfikatu. |
Tabela 6a & 6b — uwierzytelnianie przekazywane przy użyciu logowania jednokrotnego (SSO) i synchronizacja skrótów haseł z logowaniem jednokrotnym (SSO)
W poniższych tabelach opisano porty i protokoły wymagane do komunikacji między programem Microsoft Entra Connect i identyfikatorem Microsoft Entra ID.
Tabela 6a — uwierzytelnianie przekazywane przy użyciu logowania jednokrotnego
| Protokół | Porty | Opis |
|---|---|---|
| HTTP | 80 (TCP) | Służy do pobierania list CRL (list odwołania certyfikatów) w celu zweryfikowania certyfikatów TLS/SSL. Wymagane jest również, aby funkcja automatycznej aktualizacji łącznika działała prawidłowo. |
| HTTPS | 443 (TCP) | Służy do włączania i wyłączania funkcji, rejestrowania łączników, pobierania aktualizacji łączników i obsługi wszystkich żądań logowania użytkownika. |
Ponadto firma Microsoft Entra Connect musi mieć możliwość nawiązywania bezpośrednich połączeń IP z zakresami adresów IP centrum danych platformy Azure .
Tabela 6b — synchronizacja skrótów haseł z logowaniem jednokrotnym
| Protokół | Porty | Opis |
|---|---|---|
| HTTPS | 443 (TCP) | Służy do włączania rejestracji logowania jednokrotnego (wymagane tylko w procesie rejestracji logowania jednokrotnego). |
Ponadto firma Microsoft Entra Connect musi mieć możliwość nawiązywania bezpośrednich połączeń IP z zakresami adresów IP centrum danych platformy Azure . Ponownie jest to wymagane tylko w przypadku procesu rejestracji logowania jednokrotnego.
Tabela 7a & 7b — microsoft Entra Connect Health agent for (AD FS/Sync) i Microsoft Entra ID
W poniższych tabelach opisano punkty końcowe, porty i protokoły wymagane do komunikacji między agentami programu Microsoft Entra Connect Health i Identyfikatorem Entra firmy Microsoft
Tabela 7a — porty i protokoły dla agenta programu Microsoft Entra Connect Health dla (AD FS/Sync) i identyfikator entra firmy Microsoft
W tej tabeli opisano następujące porty wychodzące i protokoły wymagane do komunikacji między agentami programu Microsoft Entra Connect Health i identyfikatorem Microsoft Entra ID.
| Protokół | Porty | Opis |
|---|---|---|
| Azure Service Bus | 5671 (TCP) | Służy do wysyłania informacji o kondycji do identyfikatora Entra firmy Microsoft. (zalecane, ale nie jest wymagane w najnowszych wersjach) |
| HTTPS | 443 (TCP) | Służy do wysyłania informacji o kondycji do identyfikatora Entra firmy Microsoft. (powrót po awarii) |
Jeśli 5671 zostanie zablokowany, agent wróci do 443, ale zaleca się użycie 5671. Ten punkt końcowy nie jest wymagany w najnowszej wersji agenta. Najnowsze wersje agenta programu Microsoft Entra Connect Health wymagają tylko portu 443.
7b — Punkty końcowe dla agenta programu Microsoft Entra Connect Health dla (AD FS/Sync) i identyfikator entra firmy Microsoft
Aby uzyskać listę punktów końcowych, zobacz sekcji Wymagania dotyczące agenta programu Microsoft Entra Connect Health.