Porte e protocolli necessari per la soluzione ibrida di gestione delle identità
Il documento seguente è un riferimento tecnico per fornire informazioni sulle porte e i protocolli necessari per l'implementazione di una soluzione ibrida di gestione delle identità. Usare la figura riportata di seguito e vedere la tabella corrispondente.
Tabella 1 - Azure AD Connect e AD locale
Questa tabella descrive le porte e i protocolli necessari per la comunicazione tra il server Azure AD Connect e l'AD locale.
| Protocollo | Porte | Descrizione |
|---|---|---|
| DNS | 53 (TCP/UDP) | Ricerche DNS della foresta di destinazione. |
| Kerberos | 88 (TCP/UDP) | Autenticazione Kerberos per la foresta Active Directory. |
| MS-RPC | 135 (TCP) | Usato durante la configurazione iniziale della procedura guidata Azure AD Connect quando si esegue l'associazione alla foresta Active Directory e anche durante la sincronizzazione della password. |
| LDAP | 389 (TCP/UDP) | Usato per l'importazione di dati da Active Directory. I dati vengono crittografati con Kerberos Sign & Seal. |
| SMB | 445 (TCP) | Usato da Seamless SSO per creare un account computer nella foresta di Active Directory e durante il writeback delle password. Per altre informazioni, vedere Modificare la password di un account utente. |
| LDAP/SSL | 636 (TCP/UDP) | Usato per l'importazione di dati da Active Directory. Il trasferimento dati è firmato e crittografato. Usato solo se si usa TLS. |
| RPC | 49152- 65535 (porta RPC alta casuale) (TCP) | Usato durante la configurazione iniziale di Azure AD Connect quando si esegue l'associazione alla foresta Active Directory e durante la sincronizzazione della password. Se la porta dinamica è stata modificata, è necessario aprire tale porta. Per altre informazioni, vedere gli articoli KB929851, KB832017 e KB224196. |
| WinRM | 5985 (TCP) | Usato solo se si installa AD FS con gMSA tramite la procedura guidata di Azure AD Connect |
| Servizi Web di Active Directory Domain Services | 9389 (TCP) | Usato solo se si installa AD FS con gMSA tramite la procedura guidata di Azure AD Connect |
| Catalogo globale | 3268 (TCP) | Usato da Seamless SSO per eseguire query sul catalogo globale nella foresta prima di creare un account computer nel dominio. |
Tabella 2 - Azure AD Connect e AD locale
Questa tabella descrive le porte e i protocolli necessari per la comunicazione tra il server Azure AD Connect e Azure AD.
| Protocollo | Porte | Descrizione |
|---|---|---|
| HTTP | 80 (TCP) | Usato per scaricare CRL (elenchi di revoche di certificati) per verificare i certificati TLS/SSL. |
| HTTPS | 443 (TCP) | Usato per la sincronizzazione con Azure AD. |
Per un elenco di URL e indirizzi IP che è necessario aprire nel firewall, vedere Office 365 URL e intervalli di indirizzi IP eRisoluzione dei problemi di connettività di Azure AD Connect.
Tabella 3 - Azure AD Connect e server federativi/WAP di AD FS
Questa tabella descrive le porte e i protocolli necessari per la comunicazione tra il server Azure AD Connect e i server federativi/WAP di AD FS.
| Protocollo | Porte | Descrizione |
|---|---|---|
| HTTP | 80 (TCP) | Usato per scaricare CRL (elenchi di revoche di certificati) per verificare i certificati TLS/SSL. |
| HTTPS | 443 (TCP) | Usato per la sincronizzazione con Azure AD. |
| WinRM | 5985 | Listener di Gestione remota Windows |
Tabella 4 - server federativi e WAP
Questa tabella descrive le porte e i protocolli necessari per la comunicazione tra i server federativi e i server WAP.
| Protocollo | Porte | Descrizione |
|---|---|---|
| HTTPS | 443 (TCP) | Usato per l'autenticazione. |
Tabella 5 - WAP e utenti
Questa tabella descrive le porte e i protocolli necessari per la comunicazione tra gli utenti e i server WAP.
| Protocollo | Porte | Descrizione |
|---|---|---|
| HTTPS | 443 (TCP) | Usato per l'autenticazione del dispositivo. |
| TCP | 49443 (TCP) | Usato per l'autenticazione del certificato. |
Tabella 6a & 6b - Autenticazione pass-through con Single Sign-On (SSO) e sincronizzazione dell'hash delle password con Single Sign-On (SSO)
La tabella seguente descrive le porte e i protocolli necessari per la comunicazione tra il server Azure AD Connect e Azure AD.
Tabella 6a - Autenticazione pass-through con SSO
| Protocollo | Porte | Descrizione |
|---|---|---|
| HTTP | 80 (TCP) | Usato per scaricare CRL (elenchi di revoche di certificati) per verificare i certificati TLS/SSL. Serve anche per il funzionamento corretto dell'aggiornamento automatico del connettore. |
| HTTPS | 443 (TCP) | Usato per abilitare e disabilitare la funzionalità, registrare i connettori, scaricare gli aggiornamenti del connettore e gestire tutte le richieste di accesso utente. |
È necessario anche che Azure AD Connect sia in grado di creare connessioni IP dirette agli intervalli IP dei data center di Azure.
Tabella 6b - Sincronizzazione degli hash delle password con SSO
| Protocollo | Porte | Descrizione |
|---|---|---|
| HTTPS | 443 (TCP) | Usato per abilitare la registrazione SSO (obbligatorio solo per il processo di registrazione SSO). |
È necessario anche che Azure AD Connect sia in grado di creare connessioni IP dirette agli intervalli IP dei data center di Azure. Anche questo requisito è necessario solo per il processo di registrazione SSO.
Tabella 7a & 7b - Agente di Azure AD Connect Health per (AD FS/Sincronizzazione) e Azure AD
Le tabelle seguenti descrivono gli endpoint, le porte e i protocolli necessari per la comunicazione tra gli agenti di Azure AD Connect Health e Azure AD
Tabella 7a - Porte e protocolli per l'agente di Azure AD Connect Health (AD FS/sincronizzazione) e Azure AD
Questa tabella descrive le porte in uscita seguenti e i protocolli necessari per la comunicazione tra gli agenti di Azure AD Connect Health e Azure AD.
| Protocollo | Porte | Descrizione |
|---|---|---|
| Bus di servizio di Azure | 5671 (TCP) | Usato per inviare informazioni sull'integrità ad Azure AD. (consigliato ma non obbligatorio nelle versioni più recenti) |
| HTTPS | 443 (TCP) | Usato per inviare informazioni sull'integrità ad Azure AD. (failback) |
Se 5671 è bloccato, l'agente esegue il fallback a 443, ma è consigliabile usare 5671. Questo endpoint non è necessario nella versione più recente dell'agente. Le versioni più recenti dell'agente di Azure AD Connect Health richiedono solo la porta 443.
7b - Endpoint per l'agente di Azure AD Connect Health (AD FS/sincronizzazione) e Azure AD
Per un elenco di endpoint vedere la sezione Requisiti in Installazione dell'agente di Azure AD Connect Health.