Hibrid identitás – szükséges portok és protokollok
Az alábbi dokumentum egy technikai referencia a hibrid identitásmegoldás implementálásához szükséges portokkal és protokollokkal kapcsolatban. Használja az alábbi ábrát, és tekintse meg a megfelelő táblát.
1. táblázat – Microsoft Entra Csatlakozás és helyszíni AD
Ez a táblázat a Microsoft Entra Csatlakozás kiszolgáló és a helyszíni AD közötti kommunikációhoz szükséges portokat és protokollokat ismerteti.
| Protokoll | Ports | Leírás |
|---|---|---|
| DNS | 53 (TCP/UDP) | DNS-keresések a célerdőben. |
| Kerberos | 88 (TCP/UDP) | Kerberos-hitelesítés az AD-erdőben. |
| MS-RPC | 135 (TCP) | A Microsoft Entra Csatlakozás varázsló kezdeti konfigurációja során, amikor az AD-erdőhöz, valamint a jelszó-szinkronizáláshoz kapcsolódik. |
| LDAP | 389 (TCP/UDP) | Az AD-ből történő adatimportáláshoz használatos. Az adatok titkosítása Kerberos Sign &fókával történik. |
| SMB | 445 (TCP) | A közvetlen egyszeri bejelentkezéssel számítógépfiókot hozhat létre az AD-erdőben és a jelszóvisszaíró során. További információ: Felhasználói fiók jelszavának módosítása. |
| LDAP/SSL | 636 (TCP/UDP) | Az AD-ből történő adatimportáláshoz használatos. Az adatátvitel aláírt és titkosított. Csak TLS használata esetén használható. |
| RPC | 49152- 65535 (Véletlenszerűen magas RPC-port) (TCP) | A Microsoft Entra kezdeti konfigurációja során Csatlakozás az AD-erdőkhöz való kötéskor és a jelszó-szinkronizálás során. Ha a dinamikus port megváltozott, meg kell nyitnia a portot. További információért lásd : KB929851, KB832017 és KB224196 . |
| WinRM | 5985 (TCP) | Csak akkor használható, ha a Microsoft Entra Csatlakozás varázsló gMSA-val telepíti az AD FS-t |
| AD DS Web Services | 9389 (TCP) | Csak akkor használható, ha a Microsoft Entra Csatlakozás varázsló gMSA-val telepíti az AD FS-t |
| Globális katalógus | 3268 (TCP) | A közvetlen egyszeri bejelentkezéssel lekérdezheti a globális katalógust az erdőben, mielőtt létrehoz egy számítógépfiókot a tartományban. |
2. táblázat – Microsoft Entra Csatlakozás és Microsoft Entra ID
Ez a táblázat a Microsoft Entra Csatlakozás kiszolgáló és a Microsoft Entra ID közötti kommunikációhoz szükséges portokat és protokollokat ismerteti.
| Protokoll | Ports | Leírás |
|---|---|---|
| HTTP | 80 (TCP) | A CRL-ek (tanúsítvány-visszavonási listák) letöltésére szolgál a TLS/SSL-tanúsítványok ellenőrzéséhez. |
| HTTPS | 443 (TCP) | A Microsoft Entra-azonosítóval való szinkronizálásra szolgál. |
A tűzfalon megnyitni kívánt URL-címek és IP-címek listáját az Office 365 URL-címeit és IP-címtartományait, valamint a Microsoft Entra Csatlakozás-kapcsolat hibaelhárítását bemutató cikkben találja.
3. táblázat – Microsoft Entra Csatlakozás és AD FS összevonási kiszolgálók/WAP
Ez a táblázat a Microsoft Entra Csatlakozás kiszolgáló és az AD FS összevonási/WAP-kiszolgálók közötti kommunikációhoz szükséges portokat és protokollokat ismerteti.
| Protokoll | Ports | Leírás |
|---|---|---|
| HTTP | 80 (TCP) | A CRL-ek (tanúsítvány-visszavonási listák) letöltésére szolgál a TLS/SSL-tanúsítványok ellenőrzéséhez. |
| HTTPS | 443 (TCP) | A Microsoft Entra-azonosítóval való szinkronizálásra szolgál. |
| WinRM | 5985 | WinRM-figyelő |
4. táblázat – WAP- és összevonási kiszolgálók
Ez a táblázat az összevonási kiszolgálók és a WAP-kiszolgálók közötti kommunikációhoz szükséges portokat és protokollokat ismerteti.
| Protokoll | Ports | Leírás |
|---|---|---|
| HTTPS | 443 (TCP) | Hitelesítéshez használatos. |
5. táblázat – WAP és felhasználók
Ez a táblázat a felhasználók és a WAP-kiszolgálók közötti kommunikációhoz szükséges portokat és protokollokat ismerteti.
| Protokoll | Ports | Leírás |
|---|---|---|
| HTTPS | 443 (TCP) | Eszközhitelesítéshez használatos. |
| TCP | 49443 (TCP) | Tanúsítványhitelesítéshez használatos. |
6a& 6b. táblázat – Átmenő hitelesítés Egyszeri bejelentkezés (SSO) és jelszókivonat-szinkronizálás Egyszeri bejelentkezés (SSO) használatával
Az alábbi táblázatok a Microsoft Entra Csatlakozás és a Microsoft Entra ID közötti kommunikációhoz szükséges portokat és protokollokat ismertetik.
6a. táblázat – Átmenő hitelesítés egyszeri bejelentkezéssel
| Protokoll | Ports | Leírás |
|---|---|---|
| HTTP | 80 (TCP) | A CRL-ek (tanúsítvány-visszavonási listák) letöltésére szolgál a TLS/SSL-tanúsítványok ellenőrzéséhez. Az összekötő automatikus frissítési funkciójának megfelelő működéséhez is szükség van. |
| HTTPS | 443 (TCP) | A funkció engedélyezésére és letiltására, összekötők regisztrálására, összekötőfrissítések letöltésére és az összes felhasználói bejelentkezési kérés kezelésére szolgál. |
Emellett a Microsoft Entra Csatlakozás képesnek kell lennie közvetlen IP-kapcsolatokat létesíteni az Azure adatközpont IP-tartományaihoz.
6b. táblázat – Jelszókivonat szinkronizálása egyszeri bejelentkezéssel
| Protokoll | Ports | Leírás |
|---|---|---|
| HTTPS | 443 (TCP) | Egyszeri bejelentkezés engedélyezésére szolgál (csak az egyszeri bejelentkezés regisztrációs folyamatához szükséges). |
Emellett a Microsoft Entra Csatlakozás képesnek kell lennie közvetlen IP-kapcsolatokat létesíteni az Azure adatközpont IP-tartományaihoz. Ez ismét csak az egyszeri bejelentkezés regisztrációs folyamatához szükséges.
7a& 7b. táblázat – Microsoft Entra Csatlakozás Health agent for (AD FS/Sync) és Microsoft Entra ID
Az alábbi táblázatok ismertetik a Microsoft Entra Csatlakozás Health-ügynökök és a Microsoft Entra ID közötti kommunikációhoz szükséges végpontokat, portokat és protokollokat
7a. táblázat – Portok és protokollok a Microsoft Entra Csatlakozás Health-ügynökhöz (AD FS/Sync) és a Microsoft Entra ID-hoz
Ez a táblázat az alábbi kimenő portokat és protokollokat ismerteti, amelyek szükségesek a Microsoft Entra Csatlakozás Health-ügynökök és a Microsoft Entra-azonosító közötti kommunikációhoz.
| Protokoll | Ports | Leírás |
|---|---|---|
| Azure Service Bus | 5671 (TCP) | Állapotinformációk küldése a Microsoft Entra-azonosítóra. (a legújabb verziókban ajánlott, de nem kötelező) |
| HTTPS | 443 (TCP) | Állapotinformációk küldése a Microsoft Entra-azonosítóra. (feladat-visszavétel) |
Ha az 5671 le van tiltva, az ügynök visszaáll a 443-ra, de az 5671 használata ajánlott. Ez a végpont nem szükséges az ügynök legújabb verziójában. A Microsoft Entra Csatlakozás Health-ügynök legújabb verzióihoz csak a 443-as port szükséges.
7b – A Microsoft Entra Csatlakozás Health-ügynök végpontjai (AD FS/Sync) és Microsoft Entra-azonosító
A végpontok listáját a Microsoft Entra Csatlakozás Health-ügynök Követelmények szakaszában találja.