Ports et protocoles nécessaires à l’identité hybride
Le document suivant est une référence technique sur les ports et les protocoles nécessaires à l’implémentation d’une solution d’identité hybride. Consultez la figure ci-dessous et reportez-vous au tableau correspondant.
Tableau 1 – Microsoft Entra Connect et AD sur site
Ce tableau décrit les ports et protocoles requis pour la communication entre le serveur Microsoft Entra Connect et AD sur site.
| Protocole | Ports | Description |
|---|---|---|
| DNS | 53 (TCP/UDP) | Recherches DNS dans la forêt de destination. |
| Kerberos | 88 (TCP/UDP) | Authentification Kerberos auprès de la forêt AD. |
| MS-RPC | 135 (TCP) | Utilisé lors de la configuration initiale de l'assistant Microsoft Entra Connect lorsqu'il se lie à la forêt AD, ainsi que lors de la synchronisation des mots de passe. |
| LDAP | 389 (TCP/UDP) | Utilisé pour l’importation de données à partir d’AD. Les données sont chiffrées à l’aide de Kerberos Sign & Seal. |
| SMB | 445 (TCP) | Utilisé par l’authentification unique fluide pour créer un compte d’ordinateur dans la forêt AD et pendant la réécriture du mot de passe. Pour plus d’informations, consultez Modifier le mot de passe d’un compte d’utilisateur. |
| LDAP/SSL | 636 (TCP/UDP) | Utilisé pour l’importation de données à partir d’AD. Le transfert de données est signé et chiffré. Utilisé uniquement si vous utilisez TLS. |
| RPC | 49152-65535 (port RPC aléatoire élevé) (TCP) | Utilisé lors de la configuration initiale de Microsoft Entra Connect lorsqu'il se lie aux forêts AD et lors de la synchronisation des mots de passe. Si le port dynamique a été modifié, vous devez ouvrir ce port. Pour plus d’informations, consultez les sections KB929851, KB832017 et KB224196. |
| WinRM | 5985 (TCP) | Utilisé uniquement si vous installez AD FS avec gMSA par Microsoft Entra Connect Wizard |
| Services web AD DS | 9389 (TCP) | Utilisé uniquement si vous installez AD FS avec gMSA par Microsoft Entra Connect Wizard |
| Catalogue global | 3268 (TCP) | Utilisé par l’authentification unique fluide pour interroger le catalogue global dans la forêt avant de créer un compte d’ordinateur dans le domaine. |
Tableau 2 – Microsoft Entra Connect et Microsoft Entra ID
Ce tableau décrit les ports et protocoles requis pour la communication entre le serveur Microsoft Entra Connect et Microsoft Entra ID.
| Protocole | Ports | Description |
|---|---|---|
| HTTP | 80 (TCP) | Utilisé pour télécharger des listes de révocation de certificats en vue de vérifier les certificats TLS/SSL. |
| HTTPS | 443 (TCP) | Utilisé pour synchroniser avec Microsoft Entra ID. |
Pour obtenir la liste des URL et des adresses IP que vous devez ouvrir dans votre pare-feu, consultez URL et plages d'adresses IP Office 365 et Dépannage de la connectivité Microsoft Entra Connect.
Tableau 3 – Microsoft Entra Connect et serveurs de fédération AD FS/WAP
Ce tableau décrit les ports et protocoles requis pour la communication entre le serveur Microsoft Entra Connect et les serveurs AD FS Federation/WAP.
| Protocole | Ports | Description |
|---|---|---|
| HTTP | 80 (TCP) | Utilisé pour télécharger des listes de révocation de certificats en vue de vérifier les certificats TLS/SSL. |
| HTTPS | 443 (TCP) | Utilisé pour synchroniser avec Microsoft Entra ID. |
| WinRM | 5985 | Écouteur WinRM |
Tableau 4 - Serveurs de fédération et WAP
Ce tableau décrit les ports et les protocoles nécessaires à la communication entre les serveurs de fédération et les serveurs WAP.
| Protocol | Ports | Description |
|---|---|---|
| HTTPS | 443 (TCP) | Utilisé pour l’authentification. |
Tableau 5 - WAP et utilisateurs
Ce tableau décrit les ports et les protocoles nécessaires à la communication entre les utilisateurs et les serveurs WAP.
| Protocol | Ports | Description |
|---|---|---|
| HTTPS | 443 (TCP) | Utilisé pour l’authentification des appareils. |
| TCP | 49443 (TCP) | Utilisé pour l’authentification par certificat. |
Tableau 6a et 6b - Authentification directe avec authentification unique (SSO) et synchronisation du hachage de mot de passe avec authentification unique (SSO)
Les tableaux suivants décrivent les ports et protocoles requis pour la communication entre Microsoft Entra Connect et Microsoft Entra ID.
Tableau 6a - Authentification directe avec authentification unique (SSO)
| Protocol | Ports | Description |
|---|---|---|
| HTTP | 80 (TCP) | Utilisé pour télécharger des listes de révocation de certificats en vue de vérifier les certificats TLS/SSL. Également nécessaire pour que la fonctionnalité de mise à jour automatique du connecteur fonctionne correctement. |
| HTTPS | 443 (TCP) | Utilisé pour activer et désactiver la fonctionnalité, inscrire des connecteurs, télécharger des mises à jour de connecteur et gérer toutes les demandes de connexion utilisateur. |
De plus, Microsoft Entra Connect doit être capable d'établir des connexions IP directes aux plages IP du centre de données Azure.
Tableau 6b - synchronisation du hachage de mot de passe avec authentification unique
| Protocol | Ports | Description |
|---|---|---|
| HTTPS | 443 (TCP) | Utilisé pour activer l’inscription à l’authentification unique (obligatoire uniquement pour le processus d’inscription SSO). |
De plus, Microsoft Entra Connect doit être capable d'établir des connexions IP directes aux plages IP du centre de données Azure. Là encore, cette option est uniquement requise pour le processus d’inscription SSO.
Tableau 7a et 7b : agent Microsoft Entra Connect Health pour (AD FS/Sync) et Microsoft Entra ID
Les tableaux suivants décrivent les points de terminaison, les ports et les protocoles requis pour la communication entre les agents Microsoft Entra Connect Health et Microsoft Entra ID
Tableau 7a – Ports et protocoles pour l'agent Microsoft Entra Connect Health pour (AD FS/Sync) et Microsoft Entra ID
Ce tableau décrit les ports et protocoles sortants suivants requis pour la communication entre les agents Microsoft Entra Connect Health et Microsoft Entra ID.
| Protocole | Ports | Description |
|---|---|---|
| Azure Service Bus | 5671 (TCP) | Utilisé pour envoyer des informations de santé à Microsoft Entra ID. (recommandé, mais non requis dans les versions les plus récentes) |
| HTTPS | 443 (TCP) | Utilisé pour envoyer des informations de santé à Microsoft Entra ID. (restauration automatique) |
Si 5671 est bloqué, l’agent revient à 443, mais l’utilisation de 5671 est recommandée. Ce point de terminaison n’est pas requis dans la version la plus récente de l’agent. Les dernières versions de l'agent Microsoft Entra Connect Health nécessitent uniquement le port 443.
7b – Points de terminaison pour l'agent Microsoft Entra Connect Health pour (AD FS/Sync) et Microsoft Entra ID
Pour obtenir la liste des points de terminaison, consultez la section Conditions requises pour l'agent Microsoft Entra Connect Health.