Portas e Protocolos Necessários para a Identidade Híbrida

O documento a seguir é uma referência técnica sobre as portas e protocolos necessários para implementar uma solução de identidade híbrida. Use a ilustração a seguir e consulte a tabela correspondente.

What is Microsoft Entra Connect

Tabela 1 - Microsoft Entra Connect e AD local

Esta tabela descreve as portas e protocolos necessários para a comunicação entre o servidor Microsoft Entra Connect e o AD local.

Protocolo Portas Description
DNS 53 (TCP/UDP) Pesquisas de DNS na floresta de destino.
Kerberos 88 (TCP/UDP) Autenticação Kerberos para a floresta do AD.
MS-RPC 135 (TCP) Usado durante a configuração inicial do assistente do Microsoft Entra Connect quando ele se liga à floresta do AD e também durante a sincronização de senha.
LDAP 389 (TCP/UDP) Usado para importação de dados do AD. Os dados são criptografados com Kerberos Sign & Seal.
SMB 445 (TCP) Usado pelo Seamless SSO para criar uma conta de computador na floresta do AD e durante o write-back de senha. Para obter mais informações, consulte Alterar a senha de uma conta de usuário.
LDAP/SSL 636 (TCP/UDP) Usado para importação de dados do AD. A transferência de dados é assinada e encriptada. Usado somente se você estiver usando TLS.
RPC 49152- 65535 (Porta RPC alta aleatória) (TCP) Usado durante a configuração inicial do Microsoft Entra Connect quando ele se liga às florestas do AD e durante a sincronização de senha. Se a porta dinâmica tiver sido alterada, você precisará abri-la. Consulte KB929851, KB832017 e KB224196 para obter mais informações.
WinRM 5985 (TCP) Usado somente se você estiver instalando o AD FS com o gMSA pelo Assistente do Microsoft Entra Connect
Serviços Web do AD DS 9389 (TCP) Usado somente se você estiver instalando o AD FS com o gMSA pelo Assistente do Microsoft Entra Connect
Catálogo Global 3268 (TCP) Usado pelo Seamless SSO para consultar o catálogo global na floresta antes de criar uma conta de computador no domínio.

Tabela 2 - Microsoft Entra Connect e Microsoft Entra ID

Esta tabela descreve as portas e protocolos necessários para a comunicação entre o servidor Microsoft Entra Connect e o Microsoft Entra ID.

Protocolo Portas Description
HTTP 80 (TCP) Usado para baixar CRLs (Listas de Revogação de Certificados) para verificar certificados TLS/SSL.
HTTPS 443 (TCP) Usado para sincronizar com o Microsoft Entra ID.

Para obter uma lista de URLs e endereços IP que você precisa abrir em seu firewall, consulte URLs e intervalos de endereços IP do Office 365 e Solução de problemas de conectividade do Microsoft Entra Connect.

Tabela 3 - Servidores de Federação do Microsoft Entra Connect e AD FS/WAP

Esta tabela descreve as portas e os protocolos necessários para a comunicação entre o servidor Microsoft Entra Connect e os servidores de Federação/WAP do AD FS.

Protocolo Portas Description
HTTP 80 (TCP) Usado para baixar CRLs (Listas de Revogação de Certificados) para verificar certificados TLS/SSL.
HTTPS 443 (TCP) Usado para sincronizar com o Microsoft Entra ID.
WinRM 5985 Ouvinte do WinRM

Tabela 4 - WAP e servidores de federação

Esta tabela descreve as portas e os protocolos necessários para a comunicação entre os servidores de Federação e os servidores WAP.

Protocolo Portas Description
HTTPS 443 (TCP) Usado para autenticação.

Tabela 5 - WAP e Usuários

Esta tabela descreve as portas e protocolos necessários para a comunicação entre os usuários e os servidores WAP.

Protocolo Portas Description
HTTPS 443 (TCP) Usado para autenticação de dispositivo.
TCP 49443 (TCP) Usado para autenticação de certificado.

Tabela 6a & 6b - Autenticação de passagem com logon único (SSO) e sincronização de hash de senha com logon único (SSO)

As tabelas a seguir descrevem as portas e protocolos necessários para a comunicação entre o Microsoft Entra Connect e o Microsoft Entra ID.

Tabela 6a - Autenticação de passagem com SSO

Protocolo Portas Description
HTTP 80 (TCP) Usado para baixar CRLs (Listas de Revogação de Certificados) para verificar certificados TLS/SSL. Também é necessário para que a capacidade de atualização automática do conector funcione corretamente.
HTTPS 443 (TCP) Usado para habilitar e desabilitar o recurso, registrar conectores, baixar atualizações de conector e lidar com todas as solicitações de entrada do usuário.

Além disso, o Microsoft Entra Connect precisa ser capaz de fazer conexões IP diretas com os intervalos de IP do data center do Azure.

Tabela 6b - Sincronização de hash de senha com SSO

Protocolo Portas Description
HTTPS 443 (TCP) Usado para habilitar o registro SSO (necessário apenas para o processo de registro SSO).

Além disso, o Microsoft Entra Connect precisa ser capaz de fazer conexões IP diretas com os intervalos de IP do data center do Azure. Novamente, isso só é necessário para o processo de registro SSO.

Tabela 7a & 7b - Agente do Microsoft Entra Connect Health para (AD FS/Sync) e ID do Microsoft Entra

As tabelas a seguir descrevem os pontos de extremidade, portas e protocolos necessários para a comunicação entre os agentes do Microsoft Entra Connect Health e a ID do Microsoft Entra

Tabela 7a - Portas e protocolos para o agente Microsoft Entra Connect Health para (AD FS/Sync) e ID do Microsoft Entra

Esta tabela descreve as seguintes portas de saída e protocolos necessários para a comunicação entre os agentes do Microsoft Entra Connect Health e o Microsoft Entra ID.

Protocolo Portas Description
Azure Service Bus 5671 (TCP) Usado para enviar informações de integridade para o Microsoft Entra ID. (recomendado, mas não obrigatório nas versões mais recentes)
HTTPS 443 (TCP) Usado para enviar informações de integridade para o Microsoft Entra ID. (failback)

Se 5671 estiver bloqueado, o agente volta para 443, mas o uso de 5671 é recomendado. Esse ponto de extremidade não é necessário na versão mais recente do agente. As versões mais recentes do agente Microsoft Entra Connect Health requerem apenas a porta 443.

7b - Pontos de extremidade para o agente Microsoft Entra Connect Health para (AD FS/Sync) e ID do Microsoft Entra

Para obter uma lista de pontos de extremidade, consulte a seção Requisitos do agente Microsoft Entra Connect Health.