Wymagane porty i protokoły dotyczące tożsamości hybrydowej
Poniższy dokument zawiera informacje techniczne dotyczące wymaganych portów i protokołów do implementowania rozwiązania tożsamości hybrydowej. Użyj poniższej ilustracji i zapoznaj się z odpowiednią tabelą.
Tabela 1 — Microsoft Entra Połączenie i lokalna usługa AD
W tej tabeli opisano porty i protokoły wymagane do komunikacji między serwerem microsoft Entra Połączenie i lokalną usługą AD.
| Protokół | Porty | opis |
|---|---|---|
| DNS | 53 (TCP/UDP) | Wyszukiwania DNS w lesie docelowym. |
| Kerberos | 88 (TCP/UDP) | Uwierzytelnianie Kerberos w lesie usługi AD. |
| MS-RPC | 135 (TCP) | Używany podczas początkowej konfiguracji kreatora microsoft Entra Połączenie, gdy jest powiązany z lasem usługi AD, a także podczas synchronizacji haseł. |
| LDAP | 389 (TCP/UDP) | Służy do importowania danych z usługi AD. Dane są szyfrowane przy użyciu protokołu Kerberos Sign &Seal. |
| SMB | 445 (TCP) | Używane przez bezproblemowe logowanie jednokrotne do tworzenia konta komputera w lesie usługi AD i podczas zapisywania zwrotnego haseł. Aby uzyskać więcej informacji, zobacz Zmienianie hasła konta użytkownika. |
| LDAP/SSL | 636 (TCP/UDP) | Służy do importowania danych z usługi AD. Transfer danych jest podpisany i zaszyfrowany. Używane tylko w przypadku korzystania z protokołu TLS. |
| Zdalne wywołanie procedury | 49152- 65535 (losowy wysoki port RPC) (TCP) | Używany podczas początkowej konfiguracji usługi Microsoft Entra Połączenie, gdy jest on powiązany z lasami usługi AD i podczas synchronizacji haseł. Jeśli port dynamiczny został zmieniony, musisz otworzyć ten port. Aby uzyskać więcej informacji, zobacz KB929851, KB832017 i KB224196 . |
| WinRM | 5985 (TCP) | Używane tylko w przypadku instalowania usług AD FS z gMSA firmy Microsoft Entra Połączenie Wizard |
| Usługi sieci Web usług AD DS | 9389 (TCP) | Używane tylko w przypadku instalowania usług AD FS z gMSA firmy Microsoft Entra Połączenie Wizard |
| Wykaz globalny | 3268 (TCP) | Używane przez bezproblemowe logowanie jednokrotne do wykonywania zapytań względem wykazu globalnego w lesie przed utworzeniem konta komputera w domenie. |
Tabela 2 — Microsoft Entra Połączenie i Microsoft Entra ID
W tej tabeli opisano porty i protokoły wymagane do komunikacji między serwerem Microsoft Entra Połączenie i identyfikatorem Entra firmy Microsoft.
| Protokół | Porty | opis |
|---|---|---|
| HTTP | 80 (TCP) | Służy do pobierania list CRL (list odwołania certyfikatów) w celu zweryfikowania certyfikatów TLS/SSL. |
| HTTPS | 443 (TCP) | Służy do synchronizowania z identyfikatorem Entra firmy Microsoft. |
Aby uzyskać listę adresów URL i adresów IP, które należy otworzyć w zaporze, zobacz Artykuł Office 365 URL and IP address ranges (Adresy URL i zakresy adresów IP usługi Office 365) oraz Troubleshooting Microsoft Entra Połączenie connectivity (Rozwiązywanie problemów z łącznością z usługą Microsoft Entra Połączenie).
Tabela 3 — Microsoft Entra Połączenie i serwery federacyjne usług AD FS/WAP
W tej tabeli opisano porty i protokoły wymagane do komunikacji między serwerem Microsoft Entra Połączenie i serwerami federacyjnych/WAP usług AD FS.
| Protokół | Porty | opis |
|---|---|---|
| HTTP | 80 (TCP) | Służy do pobierania list CRL (list odwołania certyfikatów) w celu zweryfikowania certyfikatów TLS/SSL. |
| HTTPS | 443 (TCP) | Służy do synchronizowania z identyfikatorem Entra firmy Microsoft. |
| WinRM | 5985 | Odbiornik usługi WinRM |
Tabela 4 — serwery WAP i federacyjne
W tej tabeli opisano porty i protokoły wymagane do komunikacji między serwerami federacyjnym i serwerami WAP.
| Protokół | Porty | opis |
|---|---|---|
| HTTPS | 443 (TCP) | Służy do uwierzytelniania. |
Tabela 5 — WAP i Użytkownicy
W tej tabeli opisano porty i protokoły wymagane do komunikacji między użytkownikami a serwerami WAP.
| Protokół | Porty | opis |
|---|---|---|
| HTTPS | 443 (TCP) | Służy do uwierzytelniania urządzeń. |
| TCP | 49443 (TCP) | Służy do uwierzytelniania certyfikatu. |
Tabela 6a i 6b — uwierzytelnianie przekazywane za pomocą Logowanie jednokrotne (SSO) i synchronizacja skrótów haseł z Logowanie jednokrotne (SSO)
W poniższych tabelach opisano porty i protokoły wymagane do komunikacji między firmą Microsoft Entra Połączenie i identyfikatorem Entra firmy Microsoft.
Tabela 6a — uwierzytelnianie przekazywane przy użyciu logowania jednokrotnego
| Protokół | Porty | opis |
|---|---|---|
| HTTP | 80 (TCP) | Służy do pobierania list CRL (list odwołania certyfikatów) w celu zweryfikowania certyfikatów TLS/SSL. Wymagane jest również, aby funkcja automatycznej aktualizacji łącznika działała prawidłowo. |
| HTTPS | 443 (TCP) | Służy do włączania i wyłączania funkcji, rejestrowania łączników, pobierania aktualizacji łączników i obsługi wszystkich żądań logowania użytkownika. |
Ponadto firma Microsoft Entra Połączenie musi mieć możliwość nawiązywania bezpośrednich połączeń IP z zakresami adresów IP centrum danych platformy Azure.
Tabela 6b — synchronizacja skrótów haseł z logowaniem jednokrotnym
| Protokół | Porty | opis |
|---|---|---|
| HTTPS | 443 (TCP) | Służy do włączania rejestracji logowania jednokrotnego (wymagane tylko w procesie rejestracji logowania jednokrotnego). |
Ponadto firma Microsoft Entra Połączenie musi mieć możliwość nawiązywania bezpośrednich połączeń IP z zakresami adresów IP centrum danych platformy Azure. Ponownie jest to wymagane tylko w przypadku procesu rejestracji logowania jednokrotnego.
Tabela 7a i 7b — Microsoft Entra Połączenie Health agent for (AD FS/Sync) i Microsoft Entra ID
W poniższych tabelach opisano punkty końcowe, porty i protokoły wymagane do komunikacji między agentami microsoft Entra Połączenie Health i identyfikatorem Entra firmy Microsoft
Tabela 7a — porty i protokoły dla agenta microsoft Entra Połączenie Health dla programu (AD FS/Sync) i identyfikator entra firmy Microsoft
W tej tabeli opisano następujące porty wychodzące i protokoły wymagane do komunikacji między agentami microsoft Entra Połączenie Health i identyfikatorem Entra firmy Microsoft.
| Protokół | Porty | opis |
|---|---|---|
| Azure Service Bus | 5671 (TCP) | Służy do wysyłania informacji o kondycji do identyfikatora Entra firmy Microsoft. (zalecane, ale nie jest wymagane w najnowszych wersjach) |
| HTTPS | 443 (TCP) | Służy do wysyłania informacji o kondycji do identyfikatora Entra firmy Microsoft. (powrót po awarii) |
Jeśli 5671 zostanie zablokowany, agent wróci do 443, ale zaleca się użycie 5671. Ten punkt końcowy nie jest wymagany w najnowszej wersji agenta. Najnowsze wersje agenta microsoft Entra Połączenie Health wymagają tylko portu 443.
7b — Punkty końcowe dla agenta microsoft Entra Połączenie Health dla (AD FS/Sync) i Identyfikator entra firmy Microsoft
Aby uzyskać listę punktów końcowych, zobacz sekcję Wymagania dla agenta Microsoft Entra Połączenie Health.