次のドキュメントは、ハイブリッド ID ソリューションを実装するために必要なポートとプロトコルに関するテクニカル リファレンスです。 次の図を使用して、対応する表を参照してください。
表 1 - Microsoft Entra Connect とオンプレミス AD
次の表では、Microsoft Entra Connect サーバーとオンプレミス AD の間の通信に必要なポートとプロトコルについて説明します。
| プロトコル | ポート | 説明 |
|---|---|---|
| DNS(ドメインネームシステム) | 53 (TCP/UDP) | 宛先フォレストでの DNS 参照。 |
| ケルベロス | 88 (TCP/UDP) | AD フォレストに対する Kerberos 認証。 |
| MS-RPC | 135 (TCP) | Microsoft Entra Connect ウィザードの初期構成時に、AD フォレストにバインドするとき、およびパスワード同期中に使用されます。 |
| LDAP | 389 (TCP/UDP) | AD からのデータインポートに使用されます。 データは Kerberos の署名とシールで暗号化されます。 |
| 中小企業 | 445 (TCP) | シームレス SSO によって、AD フォレスト内およびパスワード ライトバック中にコンピューター アカウントを作成するために使用されます。 詳細については、「 ユーザー アカウントのパスワードを変更する」を参照してください。 |
| LDAP/SSL | 636 (TCP/UDP) | AD からのデータインポートに使用されます。 データ転送は署名され、暗号化されます。 TLS を使用している場合にのみ使用されます。 |
| RPC | 49152 - 65535 (ランダム高 RPC ポート) (TCP) | Ad フォレストにバインドするとき、およびパスワード同期中に、Microsoft Entra Connect の初期構成中に使用されます。 動的ポートが変更されている場合は、そのポートを開く必要があります。 詳細については、「 KB929851、 KB832017、 およびKB224196 」を参照してください。 |
| WinRM | 5985 (TCP) | Microsoft Entra Connect ウィザードで gMSA を使用して AD FS をインストールする場合にのみ使用します。 |
| AD DS Web サービス | 9389 (TCP) | Microsoft Entra Connect ウィザードで gMSA を使用して AD FS をインストールする場合にのみ使用します。 |
| グローバル カタログ | 3268 (TCP) | シームレス SSO によって、ドメインにコンピューター アカウントを作成する前に、フォレスト内のグローバル カタログに対してクエリを実行するために使用されます。 |
表 2 - Microsoft Entra Connect と Microsoft Entra ID
次の表では、Microsoft Entra Connect サーバーと Microsoft Entra ID の間の通信に必要なポートとプロトコルについて説明します。
| プロトコル | ポート | 説明 |
|---|---|---|
| HTTP | 80 (TCP) | TLS/SSL 証明書を確認するために CRL (証明書失効リスト) をダウンロードするために使用されます。 |
| HTTPS | 443 (TCP) | Microsoft Entra ID と同期するために使用されます。 |
ファイアウォールで開く必要がある URL と IP アドレスの一覧については、「Office 365 URL と IP アドレス範囲」および「Microsoft Entra Connect 接続のトラブルシューティング」を参照してください。
表 3 - Microsoft Entra Connect と AD FS フェデレーション サーバー/WAP
次の表では、Microsoft Entra Connect サーバーと AD FS フェデレーション/WAP サーバー間の通信に必要なポートとプロトコルについて説明します。
| プロトコル | ポート | 説明 |
|---|---|---|
| HTTP | 80 (TCP) | TLS/SSL 証明書を確認するために CRL (証明書失効リスト) をダウンロードするために使用されます。 |
| HTTPS | 443 (TCP) | Microsoft Entra ID と同期するために使用されます。 |
| WinRM | 5985 | WinRM リスナー |
表 4 - WAP およびフェデレーション サーバー
次の表では、フェデレーション サーバーと WAP サーバー間の通信に必要なポートとプロトコルについて説明します。
| プロトコル | ポート | 説明 |
|---|---|---|
| HTTPS | 443 (TCP) | 認証に使用されます。 |
表 5 - WAP とユーザー
次の表では、ユーザーと WAP サーバー間の通信に必要なポートとプロトコルについて説明します。
| プロトコル | ポート | 説明 |
|---|---|---|
| HTTPS | 443 (TCP) | デバイス認証に使用されます。 |
| TCP | 49443 (TCP) | 証明書認証に使用されます。 |
表 6a & 6b - シングル サインオン (SSO) によるパススルー認証とシングル サインオン (SSO) によるパスワード ハッシュ同期
次の表では、Microsoft Entra Connect と Microsoft Entra ID の間の通信に必要なポートとプロトコルについて説明します。
表 6a - SSO を使用したパススルー認証
| プロトコル | ポート | 説明 |
|---|---|---|
| HTTP | 80 (TCP) | TLS/SSL 証明書を確認するために CRL (証明書失効リスト) をダウンロードするために使用されます。 コネクタの自動更新機能が正常に機能するためにも必要です。 |
| HTTPS | 443 (TCP) | 機能の有効化と無効化、コネクタの登録、コネクタの更新プログラムのダウンロード、およびすべてのユーザー サインイン要求の処理に使用されます。 |
さらに、Microsoft Entra Connect は 、Azure データ センターの IP 範囲に直接 IP 接続できる必要があります。
表 6b - SSO を使用したパスワード ハッシュ同期
| プロトコル | ポート | 説明 |
|---|---|---|
| HTTPS | 443 (TCP) | SSO 登録を有効にするために使用されます (SSO 登録プロセスにのみ必要)。 |
さらに、Microsoft Entra Connect は 、Azure データ センターの IP 範囲に直接 IP 接続できる必要があります。 ここでも、これは SSO 登録プロセスにのみ必要です。
表 7a および 7b - Microsoft Entra Connect Health エージェント (AD FS/Sync) と Microsoft Entra ID
次の表では、Microsoft Entra Connect Health エージェントと Microsoft Entra ID の間の通信に必要なエンドポイント、ポート、プロトコルについて説明します
表 7a - Microsoft Entra Connect Health エージェント (AD FS/Sync) および Microsoft Entra ID のポートとプロトコル
この表では、Microsoft Entra Connect Health エージェントと Microsoft Entra ID の間の通信に必要な次の送信ポートとプロトコルについて説明します。
| プロトコル | ポート | 説明 |
|---|---|---|
| Azure Service Bus(アジュール サービス バス) | 5671 (TCP) | Microsoft Entra ID に正常性情報を送信するために使用されます。 (推奨されますが、最新バージョンでは必須ではありません) |
| HTTPS | 443 (TCP) | Microsoft Entra ID に正常性情報を送信するために使用されます。 (フェールバック) |
5671 がブロックされている場合、エージェントは 443 にフォールバックしますが、5671 を使用することをお勧めします。 このエンドポイントは、最新バージョンのエージェントでは必要ありません。 Microsoft Entra Connect Health エージェントの最新バージョンでは、ポート 443 のみが必要です。
7b - Microsoft Entra Connect Health エージェントのエンドポイント (AD FS/Sync) と Microsoft Entra ID
エンドポイントの一覧については、 Microsoft Entra Connect Health エージェントの要件に関するセクションを参照してください。