次の方法で共有


ハイブリッド ID で必要なポートとプロトコル

次のドキュメントは、ハイブリッド ID ソリューションを実装するために必要なポートとプロトコルに関するテクニカル リファレンスです。 次の図を使用して、対応する表を参照してください。

Microsoft Entra Connect とは

表 1 - Microsoft Entra Connect とオンプレミス AD

次の表では、Microsoft Entra Connect サーバーとオンプレミス AD の間の通信に必要なポートとプロトコルについて説明します。

プロトコル ポート 説明
DNS(ドメインネームシステム) 53 (TCP/UDP) 宛先フォレストでの DNS 参照。
ケルベロス 88 (TCP/UDP) AD フォレストに対する Kerberos 認証。
MS-RPC 135 (TCP) Microsoft Entra Connect ウィザードの初期構成時に、AD フォレストにバインドするとき、およびパスワード同期中に使用されます。
LDAP 389 (TCP/UDP) AD からのデータインポートに使用されます。 データは Kerberos の署名とシールで暗号化されます。
中小企業 445 (TCP) シームレス SSO によって、AD フォレスト内およびパスワード ライトバック中にコンピューター アカウントを作成するために使用されます。 詳細については、「 ユーザー アカウントのパスワードを変更する」を参照してください。
LDAP/SSL 636 (TCP/UDP) AD からのデータインポートに使用されます。 データ転送は署名され、暗号化されます。 TLS を使用している場合にのみ使用されます。
RPC 49152 - 65535 (ランダム高 RPC ポート) (TCP) Ad フォレストにバインドするとき、およびパスワード同期中に、Microsoft Entra Connect の初期構成中に使用されます。 動的ポートが変更されている場合は、そのポートを開く必要があります。 詳細については、「 KB929851KB832017およびKB224196 」を参照してください。
WinRM 5985 (TCP) Microsoft Entra Connect ウィザードで gMSA を使用して AD FS をインストールする場合にのみ使用します。
AD DS Web サービス 9389 (TCP) Microsoft Entra Connect ウィザードで gMSA を使用して AD FS をインストールする場合にのみ使用します。
グローバル カタログ 3268 (TCP) シームレス SSO によって、ドメインにコンピューター アカウントを作成する前に、フォレスト内のグローバル カタログに対してクエリを実行するために使用されます。

表 2 - Microsoft Entra Connect と Microsoft Entra ID

次の表では、Microsoft Entra Connect サーバーと Microsoft Entra ID の間の通信に必要なポートとプロトコルについて説明します。

プロトコル ポート 説明
HTTP 80 (TCP) TLS/SSL 証明書を確認するために CRL (証明書失効リスト) をダウンロードするために使用されます。
HTTPS 443 (TCP) Microsoft Entra ID と同期するために使用されます。

ファイアウォールで開く必要がある URL と IP アドレスの一覧については、「Office 365 URL と IP アドレス範囲」および「Microsoft Entra Connect 接続のトラブルシューティング」を参照してください。

表 3 - Microsoft Entra Connect と AD FS フェデレーション サーバー/WAP

次の表では、Microsoft Entra Connect サーバーと AD FS フェデレーション/WAP サーバー間の通信に必要なポートとプロトコルについて説明します。

プロトコル ポート 説明
HTTP 80 (TCP) TLS/SSL 証明書を確認するために CRL (証明書失効リスト) をダウンロードするために使用されます。
HTTPS 443 (TCP) Microsoft Entra ID と同期するために使用されます。
WinRM 5985 WinRM リスナー

表 4 - WAP およびフェデレーション サーバー

次の表では、フェデレーション サーバーと WAP サーバー間の通信に必要なポートとプロトコルについて説明します。

プロトコル ポート 説明
HTTPS 443 (TCP) 認証に使用されます。

表 5 - WAP とユーザー

次の表では、ユーザーと WAP サーバー間の通信に必要なポートとプロトコルについて説明します。

プロトコル ポート 説明
HTTPS 443 (TCP) デバイス認証に使用されます。
TCP 49443 (TCP) 証明書認証に使用されます。

表 6a & 6b - シングル サインオン (SSO) によるパススルー認証とシングル サインオン (SSO) によるパスワード ハッシュ同期

次の表では、Microsoft Entra Connect と Microsoft Entra ID の間の通信に必要なポートとプロトコルについて説明します。

表 6a - SSO を使用したパススルー認証

プロトコル ポート 説明
HTTP 80 (TCP) TLS/SSL 証明書を確認するために CRL (証明書失効リスト) をダウンロードするために使用されます。 コネクタの自動更新機能が正常に機能するためにも必要です。
HTTPS 443 (TCP) 機能の有効化と無効化、コネクタの登録、コネクタの更新プログラムのダウンロード、およびすべてのユーザー サインイン要求の処理に使用されます。

さらに、Microsoft Entra Connect は 、Azure データ センターの IP 範囲に直接 IP 接続できる必要があります。

表 6b - SSO を使用したパスワード ハッシュ同期

プロトコル ポート 説明
HTTPS 443 (TCP) SSO 登録を有効にするために使用されます (SSO 登録プロセスにのみ必要)。

さらに、Microsoft Entra Connect は 、Azure データ センターの IP 範囲に直接 IP 接続できる必要があります。 ここでも、これは SSO 登録プロセスにのみ必要です。

表 7a および 7b - Microsoft Entra Connect Health エージェント (AD FS/Sync) と Microsoft Entra ID

次の表では、Microsoft Entra Connect Health エージェントと Microsoft Entra ID の間の通信に必要なエンドポイント、ポート、プロトコルについて説明します

表 7a - Microsoft Entra Connect Health エージェント (AD FS/Sync) および Microsoft Entra ID のポートとプロトコル

この表では、Microsoft Entra Connect Health エージェントと Microsoft Entra ID の間の通信に必要な次の送信ポートとプロトコルについて説明します。

プロトコル ポート 説明
Azure Service Bus(アジュール サービス バス) 5671 (TCP) Microsoft Entra ID に正常性情報を送信するために使用されます。 (推奨されますが、最新バージョンでは必須ではありません)
HTTPS 443 (TCP) Microsoft Entra ID に正常性情報を送信するために使用されます。 (フェールバック)

5671 がブロックされている場合、エージェントは 443 にフォールバックしますが、5671 を使用することをお勧めします。 このエンドポイントは、最新バージョンのエージェントでは必要ありません。 Microsoft Entra Connect Health エージェントの最新バージョンでは、ポート 443 のみが必要です。

7b - Microsoft Entra Connect Health エージェントのエンドポイント (AD FS/Sync) と Microsoft Entra ID

エンドポイントの一覧については、 Microsoft Entra Connect Health エージェントの要件に関するセクションを参照してください。