ハイブリッド ID で必要なポートとプロトコル
次のドキュメントは、ハイブリッド ID ソリューションを実装するために必要なポートとプロトコルに関するテクニカル リファレンスです。 次の図を使用して、対応する表を参照してください。
表 1 - Azure AD Connect とオンプレミスの AD
この表は、Azure AD Connect サーバーとオンプレミスの AD 間の通信に必要なポートとプロトコルについて説明しています。
| Protocol | Port | 説明 |
|---|---|---|
| DNS | 53 (TCP/UDP) | 送信先フォレストでの DNS 参照です。 |
| Kerberos | 88 (TCP/UDP) | AD フォレストに対する Kerberos 認証です。 |
| MS-RPC | 135 (TCP) | Azure AD Connect ウィザードを AD フォレストにバインドするときの初期構成中に使用され、パスワードの同期中にも使用されます。 |
| LDAP | 389 (TCP/UDP) | AD からのデータのインポートに使用されます。 データは Kerberos の署名およびシールによって暗号化されます。 |
| SMB | 445 (TCP) | シームレス SSO によって、AD フォレストとパスワード ライトバック中にコンピューター アカウントを作成するために使用されます。 詳細については、「ユーザーのアカウントのパスワードを変更する」を参照してください。 |
| LDAP/SSL | 636 (TCP/UDP) | AD からのデータのインポートに使用されます。 データ転送は署名されて暗号化されます。 TLS を使用している場合にのみ使用されます。 |
| RPC | 49152 から 65535 (ランダムな高い数値の RPC ポート)(TCP) | Azure AD Connect を AD フォレストにバインドするときの初期構成中と、パスワードの同期中に使用されます。 動的ポートが変更されている場合は、そのポートを開く必要があります。 詳細については、KB929851、KB832017、KB224196 を参照してください。 |
| WinRM | 5985 (TCP) | Azure AD Connect ウィザードで gMSA を使用して AD FS をインストールする場合にのみ使用します |
| AD DS Web サービス | 9389 (TCP) | Azure AD Connect ウィザードで gMSA を使用して AD FS をインストールする場合にのみ使用します |
| グローバル カタログ | 3268 (TCP) | ドメインにコンピューター アカウントを作成する前に、シームレス SSO によってフォレスト内のグローバル カタログに対してクエリを行うために使用されます。 |
表 2 - Azure AD Connect と Azure AD
この表は、Azure AD Connect サーバーと Azure AD 間の通信に必要なポートとプロトコルについて説明しています。
| Protocol | Port | 説明 |
|---|---|---|
| HTTP | 80 (TCP) | TLS/SSL 証明書を検証するための CRL (証明書失効リスト) をダウンロードするために使用されます。 |
| HTTPS | 443 (TCP) | Azure AD と同期するために使用されます。 |
ファイアウォールで開く必要のある URL と IP アドレスの一覧については、「Office 365 の URL と IP アドレスの範囲」および Azure AD Connect の接続性のトラブルシューティングに関するページを参照してください。
表 3 - Azure AD Connect と AD FS フェデレーション サーバー/WAP
この表は、Azure AD Connect サーバーと AD FS フェデレーション/WAP サーバー間の通信に必要なポートとプロトコルについて説明しています。
| Protocol | Port | 説明 |
|---|---|---|
| HTTP | 80 (TCP) | TLS/SSL 証明書を検証するための CRL (証明書失効リスト) をダウンロードするために使用されます。 |
| HTTPS | 443 (TCP) | Azure AD と同期するために使用されます。 |
| WinRM | 5985 | WinRM リスナー |
表 4 - WAP とフェデレーション サーバー
この表は、フェデレーション サーバーと WAP サーバー間の通信に必要なポートとプロトコルについて説明しています。
| Protocol | Port | 説明 |
|---|---|---|
| HTTPS | 443 (TCP) | 認証で使用されます。 |
表 5 - WAP とユーザー
この表は、ユーザーと WAP サーバー間の通信に必要なポートとプロトコルについて説明しています。
| Protocol | Port | 説明 |
|---|---|---|
| HTTPS | 443 (TCP) | デバイスの認証で使用されます。 |
| TCP | 49443 (TCP) | 証明書の認証で使用されます。 |
表 6a および 6b - シングル サインオン (SSO) でのパススルー認証およびシングル サインオン (SSO) でのパスワード ハッシュ同期
次の表は、Azure AD Connect と Azure AD 間の通信に必要なポートとプロトコルについて説明しています。
表 6a - SSO でのパススルー認証のトラブルシューティング
| Protocol | Port | 説明 |
|---|---|---|
| HTTP | 80 (TCP) | TLS/SSL 証明書を検証するための CRL (証明書失効リスト) をダウンロードするために使用されます。 コネクタの自動更新機能が正常に機能するためにも必要です。 |
| HTTPS | 443 (TCP) | 機能の有効化と無効化、コネクタの登録、コネクタの更新プログラムのダウンロード、すべてのユーザー サインイン要求の処理に使用されます。 |
さらに、Azure AD コネクタが Azure データ センターの IP 範囲に対して直接 IP 接続できる必要があります。
表 6b - SSO でのパスワード ハッシュ同期
| Protocol | Port | 説明 |
|---|---|---|
| HTTPS | 443 (TCP) | SSO 登録を有効にするために使用されます (SSO 登録プロセスでのみ必要です)。 |
さらに、Azure AD コネクタが Azure データ センターの IP 範囲に対して直接 IP 接続できる必要があります。 ここでも、これは SSO 登録プロセスでのみ必要です。
表 7a および 7b - Azure AD Connect Health エージェント (AD FS/Sync) と Azure AD
次の表は、Azure AD Connect Health エージェントと Azure AD 間の通信に必要なエンドポイント、ポート、プロトコルについて説明しています。
表 7a - Azure AD Connect Health エージェント (AD FS/Sync) と Azure AD 用のポートとプロトコル
この表は、Azure AD Connect Health エージェントと Azure AD 間の通信に必要な以下の送信ポートとプロトコルについて説明しています。
| Protocol | Port | 説明 |
|---|---|---|
| Azure Service Bus | 5671 (TCP) | Azure AD に正常性の情報を送信するために使用します。 (推奨されますが、最新バージョンでは不要です) |
| HTTPS | 443 (TCP) | Azure AD に正常性の情報を送信するために使用します。 (フェールバック) |
5671がブロックされている場合、エージェントは443にフォールバックしますが、5671を使用することをお勧めします。 このエンドポイントは最新バージョンのエージェントでは不要です。 Azure AD Connect Health エージェントの最新バージョンは、ポート 443 のみを必要とします。
7b - Azure AD Connect Health エージェント (AD FS/Sync) と Azure AD 用のエンドポイント
エンドポイントの一覧については、 Azure AD Connect Health エージェントの「必要条件」セクションを参照してください。