Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El siguiente documento es una referencia técnica sobre los puertos y protocolos necesarios para implementar una solución de identidad híbrida. Use la siguiente ilustración y consulte la tabla correspondiente.
Tabla 1: Microsoft Entra Connect y AD local
En esta tabla se describen los puertos y protocolos necesarios para la comunicación entre el servidor de Microsoft Entra Connect y AD local.
| Protocolo | Puertos | Descripción |
|---|---|---|
| DNS (Sistema de Nombres de Dominio) | 53 (TCP/UDP) | Búsquedas DNS en el bosque de destino. |
| Kerberos | 88 (TCP/UDP) | Autenticación Kerberos en el bosque de AD. |
| MS-RPC | 135 (TCP) | Se usa durante la configuración inicial del asistente de Microsoft Entra Connect cuando se enlaza al bosque de AD y también durante la sincronización de contraseñas. |
| LDAP (Protocolo Ligero de Acceso a Directorios) | 389 (TCP/UDP) | Se usa para la importación de datos desde AD. Los datos se cifran con signo y sello kerberos. |
| Pequeñas y Medianas Empresas (PYME) | 445 (TCP) | Usado por SSO de conexión directa para crear una cuenta de equipo en el bosque de AD y durante la escritura diferida de contraseñas. Para obtener más información, consulte Cambio de la contraseña de una cuenta de usuario. |
| LDAP/SSL | 636 (TCP/UDP) | Se usa para la importación de datos desde AD. La transferencia de datos está firmada y cifrada. Solo se usa si usa TLS. |
| RPC | 49152- 65535 (puerto RPC alto aleatorio) (TCP) | Se usa durante la configuración inicial de Microsoft Entra Connect cuando se enlaza a los bosques de AD y durante la sincronización de contraseñas. Si se ha cambiado el puerto dinámico, debe abrir ese puerto. Consulte KB929851, KB832017 y KB224196 para obtener más información. |
| WinRM | 5985 (TCP) | Solo se usa si va a instalar AD FS con gMSA mediante el Asistente para Microsoft Entra Connect |
| Servicios web de AD DS | 9389 (TCP) | Solo se usa si va a instalar AD FS con gMSA mediante el Asistente para Microsoft Entra Connect |
| Catálogo global | 3268 (TCP) | Usado por SSO de conexión directa para consultar el catálogo global en el bosque antes de crear una cuenta de equipo en el dominio. |
Tabla 2: Microsoft Entra Connect y Microsoft Entra ID
En esta tabla se describen los puertos y protocolos necesarios para la comunicación entre el servidor de Microsoft Entra Connect y el identificador de Microsoft Entra.
| Protocolo | Puertos | Descripción |
|---|---|---|
| HTTP | 80 (TCP) | Se usa para descargar CRL (listas de revocación de certificados) para comprobar los certificados TLS/SSL. |
| HTTPS | 443 (TCP) | Se usa para sincronizar con el identificador de Entra de Microsoft. |
Para obtener una lista de direcciones URL y direcciones IP que necesita abrir en el firewall, consulte Direcciones URL y intervalos de direcciones IP de Office 365 ySolución de problemas de conectividad de Microsoft Entra Connect.
Tabla 3: Microsoft Entra Connect y servidores de federación de AD FS/WAP
En esta tabla se describen los puertos y protocolos necesarios para la comunicación entre el servidor de Microsoft Entra Connect y los servidores de federación o WAP de AD FS.
| Protocolo | Puertos | Descripción |
|---|---|---|
| HTTP | 80 (TCP) | Se usa para descargar CRL (listas de revocación de certificados) para comprobar los certificados TLS/SSL. |
| HTTPS | 443 (TCP) | Se usa para sincronizar con el identificador de Entra de Microsoft. |
| WinRM | 5985 | Agente de escucha de WinRM |
Tabla 4: WaP y servidores de federación
En esta tabla se describen los puertos y protocolos necesarios para la comunicación entre los servidores de federación y los servidores WAP.
| Protocolo | Puertos | Descripción |
|---|---|---|
| HTTPS | 443 (TCP) | Se usa para la autenticación. |
Tabla 5: WAP y usuarios
En esta tabla se describen los puertos y protocolos necesarios para la comunicación entre los usuarios y los servidores WAP.
| Protocolo | Puertos | Descripción |
|---|---|---|
| HTTPS | 443 (TCP) | Se usa para la autenticación de dispositivos. |
| TCP | 49443 (TCP) | Se usa para la autenticación de certificados. |
Tabla 6a y 6b: autenticación de paso a través con inicio de sesión único (SSO) y sincronización de hash de contraseña con inicio de sesión único (SSO)
En las tablas siguientes se describen los puertos y protocolos necesarios para la comunicación entre Microsoft Entra Connect y microsoft Entra ID.
Tabla 6a: Autenticación de paso a través con SSO
| Protocolo | Puertos | Descripción |
|---|---|---|
| HTTP | 80 (TCP) | Se usa para descargar CRL (listas de revocación de certificados) para comprobar los certificados TLS/SSL. También es necesario para que la funcionalidad de actualización automática del conector funcione correctamente. |
| HTTPS | 443 (TCP) | Se usa para habilitar y deshabilitar la característica, registrar conectores, descargar actualizaciones del conector y controlar todas las solicitudes de inicio de sesión de usuario. |
Además, Microsoft Entra Connect debe poder realizar conexiones IP directas a los intervalos IP del centro de datos de Azure.
Tabla 6b: sincronización de hash de contraseñas con SSO
| Protocolo | Puertos | Descripción |
|---|---|---|
| HTTPS | 443 (TCP) | Se usa para habilitar el registro de SSO (solo es necesario para el proceso de registro de SSO). |
Además, Microsoft Entra Connect debe poder realizar conexiones IP directas a los intervalos IP del centro de datos de Azure. De nuevo, esto solo es necesario para el proceso de registro de SSO.
Tabla 7a y 7b: Agente de Microsoft Entra Connect Health para (AD FS/Sync) y Microsoft Entra ID
En las tablas siguientes se describen los puntos de conexión, los puertos y los protocolos necesarios para la comunicación entre los agentes de Microsoft Entra Connect Health y el identificador de Microsoft Entra.
Tabla 7a: Puertos y protocolos para el agente de Microsoft Entra Connect Health para (AD FS/Sync) y Microsoft Entra ID
En esta tabla se describen los siguientes puertos y protocolos de salida necesarios para la comunicación entre los agentes de Microsoft Entra Connect Health y el identificador de Microsoft Entra.
| Protocolo | Puertos | Descripción |
|---|---|---|
| Bus de Servicio Azure | 5671 (TCP) | Se usa para enviar información de estado a Microsoft Entra ID. (recomendado, pero no necesario en las versiones más recientes) |
| HTTPS | 443 (TCP) | Se usa para enviar información de estado a Microsoft Entra ID. (conmutación por recuperación) |
Si se bloquea 5671, el agente vuelve a 443, pero se recomienda usar 5671. Este punto de conexión no es necesario en la versión más reciente del agente. Las versiones más recientes del agente de Microsoft Entra Connect Health solo requieren el puerto 443.
7b: puntos de conexión para el agente de Microsoft Entra Connect Health para (AD FS/Sync) y el identificador de Microsoft Entra
Para obtener una lista de puntos de conexión, consulte la sección Requisitos del agente de Microsoft Entra Connect Health.