Portas e Protocolos Necessários para a Identidade Híbrida
O documento a seguir é uma referência técnica sobre as portas e protocolos necessários para implementar uma solução de identidade híbrida. Use a ilustração a seguir e consulte a tabela correspondente.
Tabela 1 - Microsoft Entra Connect e AD local
Esta tabela descreve as portas e protocolos necessários para a comunicação entre o servidor Microsoft Entra Connect e o AD local.
| Protocolo | Portas | Description |
|---|---|---|
| DNS | 53 (TCP/UDP) | Pesquisas de DNS na floresta de destino. |
| Kerberos | 88 (TCP/UDP) | Autenticação Kerberos para a floresta do AD. |
| MS-RPC | 135 (TCP) | Usado durante a configuração inicial do assistente do Microsoft Entra Connect quando ele se liga à floresta do AD e também durante a sincronização de senha. |
| LDAP | 389 (TCP/UDP) | Usado para importação de dados do AD. Os dados são criptografados com Kerberos Sign & Seal. |
| SMB | 445 (TCP) | Usado pelo Seamless SSO para criar uma conta de computador na floresta do AD e durante o write-back de senha. Para obter mais informações, consulte Alterar a senha de uma conta de usuário. |
| LDAP/SSL | 636 (TCP/UDP) | Usado para importação de dados do AD. A transferência de dados é assinada e encriptada. Usado somente se você estiver usando TLS. |
| RPC | 49152- 65535 (Porta RPC alta aleatória) (TCP) | Usado durante a configuração inicial do Microsoft Entra Connect quando ele se liga às florestas do AD e durante a sincronização de senha. Se a porta dinâmica tiver sido alterada, você precisará abri-la. Consulte KB929851, KB832017 e KB224196 para obter mais informações. |
| WinRM | 5985 (TCP) | Usado somente se você estiver instalando o AD FS com o gMSA pelo Assistente do Microsoft Entra Connect |
| Serviços Web do AD DS | 9389 (TCP) | Usado somente se você estiver instalando o AD FS com o gMSA pelo Assistente do Microsoft Entra Connect |
| Catálogo Global | 3268 (TCP) | Usado pelo Seamless SSO para consultar o catálogo global na floresta antes de criar uma conta de computador no domínio. |
Tabela 2 - Microsoft Entra Connect e Microsoft Entra ID
Esta tabela descreve as portas e protocolos necessários para a comunicação entre o servidor Microsoft Entra Connect e o Microsoft Entra ID.
| Protocolo | Portas | Description |
|---|---|---|
| HTTP | 80 (TCP) | Usado para baixar CRLs (Listas de Revogação de Certificados) para verificar certificados TLS/SSL. |
| HTTPS | 443 (TCP) | Usado para sincronizar com o Microsoft Entra ID. |
Para obter uma lista de URLs e endereços IP que você precisa abrir em seu firewall, consulte URLs e intervalos de endereços IP do Office 365 e Solução de problemas de conectividade do Microsoft Entra Connect.
Tabela 3 - Servidores de Federação do Microsoft Entra Connect e AD FS/WAP
Esta tabela descreve as portas e os protocolos necessários para a comunicação entre o servidor Microsoft Entra Connect e os servidores de Federação/WAP do AD FS.
| Protocolo | Portas | Description |
|---|---|---|
| HTTP | 80 (TCP) | Usado para baixar CRLs (Listas de Revogação de Certificados) para verificar certificados TLS/SSL. |
| HTTPS | 443 (TCP) | Usado para sincronizar com o Microsoft Entra ID. |
| WinRM | 5985 | Ouvinte do WinRM |
Tabela 4 - WAP e servidores de federação
Esta tabela descreve as portas e os protocolos necessários para a comunicação entre os servidores de Federação e os servidores WAP.
| Protocolo | Portas | Description |
|---|---|---|
| HTTPS | 443 (TCP) | Usado para autenticação. |
Tabela 5 - WAP e Usuários
Esta tabela descreve as portas e protocolos necessários para a comunicação entre os usuários e os servidores WAP.
| Protocolo | Portas | Description |
|---|---|---|
| HTTPS | 443 (TCP) | Usado para autenticação de dispositivo. |
| TCP | 49443 (TCP) | Usado para autenticação de certificado. |
Tabela 6a & 6b - Autenticação de passagem com logon único (SSO) e sincronização de hash de senha com logon único (SSO)
As tabelas a seguir descrevem as portas e protocolos necessários para a comunicação entre o Microsoft Entra Connect e o Microsoft Entra ID.
Tabela 6a - Autenticação de passagem com SSO
| Protocolo | Portas | Description |
|---|---|---|
| HTTP | 80 (TCP) | Usado para baixar CRLs (Listas de Revogação de Certificados) para verificar certificados TLS/SSL. Também é necessário para que a capacidade de atualização automática do conector funcione corretamente. |
| HTTPS | 443 (TCP) | Usado para habilitar e desabilitar o recurso, registrar conectores, baixar atualizações de conector e lidar com todas as solicitações de entrada do usuário. |
Além disso, o Microsoft Entra Connect precisa ser capaz de fazer conexões IP diretas com os intervalos de IP do data center do Azure.
Tabela 6b - Sincronização de hash de senha com SSO
| Protocolo | Portas | Description |
|---|---|---|
| HTTPS | 443 (TCP) | Usado para habilitar o registro SSO (necessário apenas para o processo de registro SSO). |
Além disso, o Microsoft Entra Connect precisa ser capaz de fazer conexões IP diretas com os intervalos de IP do data center do Azure. Novamente, isso só é necessário para o processo de registro SSO.
Tabela 7a & 7b - Agente do Microsoft Entra Connect Health para (AD FS/Sync) e ID do Microsoft Entra
As tabelas a seguir descrevem os pontos de extremidade, portas e protocolos necessários para a comunicação entre os agentes do Microsoft Entra Connect Health e a ID do Microsoft Entra
Tabela 7a - Portas e protocolos para o agente Microsoft Entra Connect Health para (AD FS/Sync) e ID do Microsoft Entra
Esta tabela descreve as seguintes portas de saída e protocolos necessários para a comunicação entre os agentes do Microsoft Entra Connect Health e o Microsoft Entra ID.
| Protocolo | Portas | Description |
|---|---|---|
| Azure Service Bus | 5671 (TCP) | Usado para enviar informações de integridade para o Microsoft Entra ID. (recomendado, mas não obrigatório nas versões mais recentes) |
| HTTPS | 443 (TCP) | Usado para enviar informações de integridade para o Microsoft Entra ID. (failback) |
Se 5671 estiver bloqueado, o agente volta para 443, mas o uso de 5671 é recomendado. Esse ponto de extremidade não é necessário na versão mais recente do agente. As versões mais recentes do agente Microsoft Entra Connect Health requerem apenas a porta 443.
7b - Pontos de extremidade para o agente Microsoft Entra Connect Health para (AD FS/Sync) e ID do Microsoft Entra
Para obter uma lista de pontos de extremidade, consulte a seção Requisitos do agente Microsoft Entra Connect Health.