混合式身分識別必要埠和通訊協定
下列檔是實作混合式身分識別解決方案所需埠和通訊協議的技術參考。 使用下圖並參考對應的數據表。
表 1 - Microsoft Entra 連線 和內部部署 AD
下表描述 Microsoft Entra 連線 伺服器與內部部署 AD 之間通訊所需的埠和通訊協定。
通訊協定 | 連接埠 | 描述 |
---|---|---|
DNS | 53 (TCP/UDP) | 目的地樹系上的 DNS 查閱。 |
Kerberos | 88 (TCP/UDP) | 對 AD 樹系的 Kerberos 驗證。 |
MS-RPC | 135 (TCP) | 當 Microsoft Entra 連線 精靈系結至 AD 樹系時,以及在密碼同步處理期間使用。 |
LDAP | 389 (TCP/UDP) | 用於從 AD 匯入數據。 數據會使用 Kerberos Sign 和 Seal 加密。 |
SMB | 445 (TCP) | 無縫 SSO 用來在 AD 樹系和密碼回寫期間建立電腦帳戶。 如需詳細資訊,請參閱 變更用戶帳戶的密碼。 |
LDAP/SSL | 636 (TCP/UDP) | 用於從 AD 匯入數據。 數據傳輸已簽署並加密。 只有在您使用 TLS 時才使用。 |
RPC | 49152- 65535 (隨機高 RPC 連接埠) (TCP) | 當 Microsoft Entr 連線 a 系結至 AD 樹系,以及在密碼同步處理期間,於初始設定期間使用。 如果動態埠已變更,您必須開啟該埠。 如需詳細資訊,請參閱 KB929851、 KB832017和 KB224196 。 |
WinRM | 5985 (TCP) | 只有在您使用 gMSA by Microsoft Entra 連線 Wizard 安裝 AD FS 時才使用 |
AD DS Web 服務 | 9389 (TCP) | 只有在您使用 gMSA by Microsoft Entra 連線 Wizard 安裝 AD FS 時才使用 |
全域編錄 | 3268 (TCP) | 無縫 SSO 用來查詢樹系中的全域編錄,再於網域中建立計算機帳戶。 |
表 2 - Microsoft Entra 連線 和 Microsoft Entra ID
下表描述 Microsoft Entra 連線 伺服器與 Microsoft Entra 識別符之間通訊所需的埠和通訊協定。
通訊協定 | 連接埠 | 描述 |
---|---|---|
HTTP | 80 (TCP) | 用來下載 CRL(證書吊銷清單)來驗證 TLS/SSL 憑證。 |
HTTPS | 443 (TCP) | 用來與 Microsoft Entra 識別碼同步處理。 |
如需您需要在防火牆中開啟的 URL 和 IP 位址清單,請參閱 Office 365 URL 和 IP 位址範圍和疑難解答 Microsoft Entra 連線 連線能力。
表 3 - Microsoft Entra 連線 和 AD FS 同盟伺服器/WAP
下表描述 Microsoft Entra 連線 伺服器與 AD FS 同盟/WAP 伺服器之間通訊所需的埠和通訊協定。
通訊協定 | 連接埠 | 描述 |
---|---|---|
HTTP | 80 (TCP) | 用來下載 CRL(證書吊銷清單)來驗證 TLS/SSL 憑證。 |
HTTPS | 443 (TCP) | 用來與 Microsoft Entra 識別碼同步處理。 |
WinRM | 5985 | WinRM 接聽程式 |
表 4 - WAP 和同盟伺服器
下表描述同盟伺服器與 WAP 伺服器之間通訊所需的連接埠和通訊協定。
通訊協定 | 連接埠 | 描述 |
---|---|---|
HTTPS | 443 (TCP) | 用於驗證。 |
表 5 - WAP 和使用者
下表描述使用者與 WAP 伺服器之間通訊所需的連接埠和通訊協定。
通訊協定 | 連接埠 | 描述 |
---|---|---|
HTTPS | 443 (TCP) | 用於裝置驗證。 |
TCP | 49443 (TCP) | 用於憑證驗證。 |
表 6a 和 6b - 傳遞驗證與 單一登入 (SSO) 和密碼哈希同步與 單一登入 (SSO)
下表說明 Microsoft Entra 連線 與 Microsoft Entra 識別符之間通訊所需的埠和通訊協定。
表 6a - 使用 SSO 傳遞驗證
通訊協定 | 連接埠 | 描述 |
---|---|---|
HTTP | 80 (TCP) | 用來下載 CRL(證書吊銷清單)來驗證 TLS/SSL 憑證。 連接器自動更新功能也需要正常運作。 |
HTTPS | 443 (TCP) | 用來啟用和停用功能、註冊連接器、下載連接器更新,以及處理所有使用者登入要求。 |
此外,Microsoft Entra 連線 必須能夠直接連線到 Azure 數據中心 IP 範圍。
表 6b - 密碼哈希同步與 SSO
通訊協定 | 連接埠 | 描述 |
---|---|---|
HTTPS | 443 (TCP) | 用來啟用 SSO 註冊(僅適用於 SSO 註冊程式)。 |
此外,Microsoft Entra 連線 必須能夠直接連線到 Azure 數據中心 IP 範圍。 同樣地,只有 SSO 註冊程式才需要此專案。
表 7a 和 7b - 適用於 (AD FS/Sync) 和 Microsoft Entra 標識符的 Microsoft Entra 連線 Health 代理程式
下表說明 Microsoft Entra 連線 Health 代理程式和 Microsoft Entra 識別符之間通訊所需的端點、埠和通訊協定
表 7a - Microsoft Entra 的埠和通訊協定 連線 適用於 (AD FS/Sync) 和 Microsoft Entra ID 的健全狀況代理程式
下表說明 Microsoft Entra 連線 Health 代理程式和 Microsoft Entra 識別符之間通訊所需的輸出埠和通訊協定。
通訊協定 | 連接埠 | 描述 |
---|---|---|
Azure 服務匯流排 | 5671 (TCP) | 用來將健康情況資訊傳送至 Microsoft Entra ID。 (建議但最新版本不需要) |
HTTPS | 443 (TCP) | 用來將健康情況資訊傳送至 Microsoft Entra ID。 (容錯回復) |
如果封鎖 5671,代理程式會回復為 443,但建議使用 5671。 最新版本的代理程式不需要此端點。 最新的 Microsoft Entra 連線 Health 代理程式版本只需要埠 443。
7b - 適用於 (AD FS/Sync) 和 Microsoft Entra 識別碼的 Microsoft Entra 連線 Health 代理程式的端點
如需端點清單,請參閱 Microsoft Entra 連線 Health 代理程式的需求一節。