Portas e Protocolos Requeridos para Identidade Híbrida
O documento a seguir é uma referência técnica sobre as portas e os protocolos para implementar uma solução de identidade híbrida. Use a ilustração a seguir e confira a tabela correspondente.
Tabela 1 – Microsoft Entra Connect e AD local
Esta tabela descreve as portas e protocolos que são necessários para a comunicação entre o servidor do Microsoft Entra Connect e AD local.
| Protocolo | Portas | Descrição |
|---|---|---|
| DNS | 53 (TCP/UDP) | Pesquisas de DNS na floresta de destino. |
| Kerberos | 88 (TCP/UDP) | Autenticação Kerberos na floresta do AD. |
| MS-RPC | 135 (TCP) | Usado durante a configuração inicial do assistente do Microsoft Entra Connect quando ele se vincula à floresta do AD e também durante a sincronização de senha. |
| LDAP | 389 (TCP/UDP) | Usado para importar dados do AD. Dados são criptografados com Sinal e Selo do Kerberos. |
| SMB | 445 (TCP) | Usado pelo SSO contínuo para criar uma conta de computador na floresta do AD e durante o write-back de senha. Para obter mais informações, consulte Alterar a senha de uma conta de usuário. |
| LDAP/SSL | 636 (TCP/UDP) | Usado para importar dados do AD. A transferência de dados é assinada e criptografada. Usado somente se você estiver usando TLS. |
| RPC | 49152- 65535 (Porta RPC alta aleatória)(TCP) | Usado durante a configuração inicial do assistente do Microsoft Entra Connect quando ele se vincula às florestas do AD e durante a sincronização de senha. Se a porta dinâmica tiver sido alterada, abra essa porta. Confira os artigos KB929851, KB832017 e KB224196 para saber mais. |
| WinRM | 5985 (TCP) | Usado somente se você estiver instalando AD FS com gMSA pelo assistente do Microsoft Entra Connect |
| Serviços Web do AD DS | 9389 (TCP) | Usado somente se você estiver instalando AD FS com gMSA pelo assistente do Microsoft Entra Connect |
| Catálogo Global | 3268 (TCP) | Usado pelo SSO contínuo para consultar o catálogo global na floresta antes de criar uma conta de computador no domínio. |
Tabela 2 – Microsoft Entra Connect e Microsoft Entra ID
Essa tabela descreve as portas e protocolos que são necessários para a comunicação entre o servidor do Microsoft Entra Connect e o Microsoft Entra ID.
| Protocolo | Portas | Descrição |
|---|---|---|
| HTTP | 80 (TCP) | Usada para baixar as CRLs (Listas de Certificados Revogados) para verificar os certificados TLS/SSL. |
| HTTPS | 443 (TCP) | Usado para sincronizar com o Microsoft Entra ID. |
Para ver uma lista de URLs e endereços IP que você precisa abrir no firewall, veja URLs do Office 365 e intervalos de endereços IP e Solução de problemas de conectividade do Microsoft Entra Connect.
Tabela 3 – Microsoft Entra Connect e Servidores de Federação AD FS/WAP
Essa tabela descreve as portas e protocolos que são necessários para a comunicação entre o servidor do Microsoft Entra Connect e os servidores de Federação AD FS/WAP.
| Protocolo | Portas | Descrição |
|---|---|---|
| HTTP | 80 (TCP) | Usada para baixar as CRLs (Listas de Certificados Revogados) para verificar os certificados TLS/SSL. |
| HTTPS | 443 (TCP) | Usado para sincronizar com o Microsoft Entra ID. |
| WinRM | 5985 | Ouvinte do WinRM |
Tabela 4 - Servidores de Federação e WAP
Esta tabela descreve as portas e protocolos que são necessários para a comunicação entre os servidores de Federação e servidores WAP.
| Protocolo | Portas | Descrição |
|---|---|---|
| HTTPS | 443 (TCP) | Usado para autenticação. |
Tabela 5 - WAP e Usuários
Esta tabela descreve as portas e protocolos que são necessários para a comunicação entre os usuários e os servidores WAP.
| Protocolo | Portas | Descrição |
|---|---|---|
| HTTPS | 443 (TCP) | Usado para autenticação de dispositivo. |
| TCP | 49443 (TCP) | Usado para autenticação de certificado. |
Tabela 6a e 6b - Autenticação de passagem com SSO (logon único) e Sincronização de hash de senha com SSO (logon único)
Esta tabela descreve as portas e protocolos necessários para a comunicação entre o Microsoft Entra Connect e o Microsoft Entra ID.
Tabela 6a - Autenticação de passagem com SSO
| Protocolo | Portas | Descrição |
|---|---|---|
| HTTP | 80 (TCP) | Usada para baixar as CRLs (Listas de Certificados Revogados) para verificar os certificados TLS/SSL. Também é necessário para o recurso de atualização automática funcionar corretamente. |
| HTTPS | 443 (TCP) | Usado para habilitar e desabilitar o recurso, registrar conectores, baixar atualizações do conector e lidar com todas as solicitações de entrada do usuário. |
Além disso, o Microsoft Entra Connect precisa ser capaz de estabelecer conexões IP diretas com os Intervalos de IP do data center do Azure.
Tabela 6b - Sincronização de hash de senha com SSO
| Protocolo | Portas | Descrição |
|---|---|---|
| HTTPS | 443 (TCP) | Usado para habilitar o registro por SSO (necessário somente para o processo de registro com SSO). |
Além disso, o Microsoft Entra Connect precisa ser capaz de estabelecer conexões IP diretas com os Intervalos de IP do data center do Azure. Novamente, isso só é necessário para o processo de registro do SSO.
Tabela 7a e 7b: agente do Microsoft Entra Connect Health para o (AD FS/Sync) e Microsoft Entra ID
As tabelas a seguir descrevem os pontos de extremidade, portas e protocolos que são necessários para a comunicação entre agentes do Microsoft Entra Connect Health e Microsoft Entra ID
Tabela 7a – Portas e protocolos para o agente do Microsoft Entra Connect Health para o (AD FS/Sync) e Microsoft Entra ID
Esta tabela descreve as portas e protocolos de saída a seguir que são necessários para a comunicação entre os agentes do Microsoft Entra Connect Health e o Microsoft Entra ID.
| Protocolo | Portas | Descrição |
|---|---|---|
| Barramento de Serviço do Azure | 5671 (TCP) | Usado para enviar informações de integridade ao Microsoft Entra ID. (recomendado, mas não obrigatório nas versões mais recentes) |
| HTTPS | 443 (TCP) | Usado para enviar informações de integridade ao Microsoft Entra ID. (failback) |
Se a porta 5671 estiver bloqueada, o agente retornará para a porta 443, mas o uso da 5671 é recomendado. Esse ponto de extremidade não é necessário na versão mais recente do agente. As versões mais recentes do agente do Microsoft Entra Connect Health exigem somente a porta 443.
7b – Pontos de extremidade para o Microsoft Entra Connect Health para o (AD FS/Sync) e Microsoft Entra ID
Para obter uma lista de pontos de extremidade, veja a seção Requisitos para o agente do Microsoft Entra Connect Health.