混合式身分識別所需的連接埠和通訊協定
下列文件是關於實作混合式身分識別解決方案之連接埠和通訊協定的技術參考。 請使用下圖並參閱對應的資料表。
表 1 - Microsoft Entra Connect 和內部部署 AD
此表說明 Microsoft Entra Connect 伺服器與內部部署 AD 之間通訊所需的連接埠和通訊協定。
| 通訊協定 | 連接埠 | 描述 |
|---|---|---|
| DNS | 53 (TCP/UDP) | 在目的地樹系的 DNS 查閱。 |
| Kerberos | 88 (TCP/UDP) | AD 樹系的 Kerberos 驗證。 |
| MS-RPC | 135 (TCP) | 繫結至 AD 樹系時也在密碼同步處理期間,用於 Microsoft Entra Connect 精靈的初始設定期間。 |
| LDAP | 389 (TCP/UDP) | 用於從 AD 匯入資料。 資料會使用「Kerberos 簽章及密封」加密。 |
| SMB | 445 (TCP) | 由無縫 SSO 用來在 AD 樹系中和密碼回寫期間建立電腦帳戶。 如需詳細資訊,請參閱變更使用者帳戶的密碼。 |
| LDAP/SSL | 636 (TCP/UDP) | 用於從 AD 匯入資料。 資料的傳輸經過簽署和加密。 只有在使用 TLS 時才會使用。 |
| RPC | 49152- 65535 (隨機高 RPC 連接埠) (TCP) | 繫結至 AD 樹系時以及密碼同步處理期間,在 Microsoft Entra Connect 的初始設定期間使用。 如果動態連接埠已變更,您必須開啟該連接埠。 如需詳細資訊,請參閱 KB929851、KB832017 和 KB224196。 |
| WinRM | 5985 (TCP) | 只有在透過 Microsoft Entra Connect 精靈使用 gMSA 安裝 AD FS 時,才會使用 |
| AD DS Web 服務 | 9389 (TCP) | 只有在透過 Microsoft Entra Connect 精靈使用 gMSA 安裝 AD FS 時,才會使用 |
| 通用目錄 | 3268 (TCP) | 在網域中建立電腦帳戶之前,由無縫 SSO 用來查詢樹系中的通用類別目錄。 |
表 2 - Microsoft Entra Connect 和 Microsoft Entra ID
此表說明 Microsoft Entra Connect 伺服器與 Microsoft Entra ID 之間通訊所需的連接埠和通訊協定。
| 通訊協定 | 連接埠 | 描述 |
|---|---|---|
| HTTP | 80 (TCP) | 用來下載 CRL (憑證撤銷清單) 以驗證 TLS/SSL 憑證。 |
| HTTPS | 443 (TCP) | 用來與 Microsoft Entra ID 同步處理。 |
如需您必須在防火牆中開啟的 URL 和 IP 位址清單,請參閱 Office 365 URL 和 IP 位址範圍和疑難解答 Microsoft Entra Connect 連線。
表 3 - Microsoft Entra Connect 和 AD FS 同盟伺服器/WAP
此表說明 Microsoft Entra Connect 伺服器與 AD FS 同盟/WAP 伺服器之間通訊所需的連接埠和通訊協定。
| 通訊協定 | 連接埠 | 描述 |
|---|---|---|
| HTTP | 80 (TCP) | 用來下載 CRL (憑證撤銷清單) 以驗證 TLS/SSL 憑證。 |
| HTTPS | 443 (TCP) | 用來與 Microsoft Entra ID 同步處理。 |
| WinRM | 5985 | WinRM 接聽程式 |
表 4 - WAP 和同盟伺服器
下表描述同盟伺服器與 WAP 伺服器之間通訊所需的連接埠和通訊協定。
| 通訊協定 | 連接埠 | 描述 |
|---|---|---|
| HTTPS | 443 (TCP) | 用於驗證。 |
表 5 - WAP 和使用者
下表描述使用者與 WAP 伺服器之間通訊所需的連接埠和通訊協定。
| 通訊協定 | 連接埠 | 描述 |
|---|---|---|
| HTTPS | 443 (TCP) | 用於裝置驗證。 |
| TCP | 49443 (TCP) | 用於憑證驗證。 |
表 6a 和 6b - 傳遞驗證搭配單一登入 (SSO) 與密碼雜湊同步處理搭配單一登入 (SSO)
下列表格說明 Microsoft Entra Connect 與 Microsoft Entra ID 之間通訊所需的連接埠和通訊協定。
表 6a - 傳遞驗證搭配 SSO
| 通訊協定 | 連接埠 | 描述 |
|---|---|---|
| HTTP | 80 (TCP) | 用來下載 CRL (憑證撤銷清單) 以驗證 TLS/SSL 憑證。 為了讓連接器自動更新功能正確運作,也需要如此。 |
| HTTPS | 443 (TCP) | 用來啟用和停用功能、註冊連接器、下載連接器更新,以及處理所有使用者登入要求。 |
此外,Microsoft Entra Connect 也必須能夠對 Azure 資料中心 IP 範圍直接建立 IP 連線。
表 6b - 密碼雜湊同步處理搭配 SSO
| 通訊協定 | 連接埠 | 描述 |
|---|---|---|
| HTTPS | 443 (TCP) | 用來啟用 SSO 註冊 (只有 SSO 註冊程序才需要)。 |
此外,Microsoft Entra Connect 也必須能夠對 Azure 資料中心 IP 範圍直接建立 IP 連線。 同樣地,這只在 SSO 註冊程序中才需要。
表 7a 和 7b - 適用於 (AD FS/Sync) 和 Microsoft Entra ID 的 Microsoft Entra Connect Health 代理程式
下表說明在 Microsoft Entra Connect Health 代理程式與 Microsoft Entra ID 之間通訊所需的端點、連接埠和通訊協定
表 7a - 適用於 (AD FS/Sync) 和 Microsoft Entra ID 的 Microsoft Entra Connect Health 代理程式的連接埠和通訊協定
此表說明 Microsoft Entra Connect Health 代理程式與 Microsoft Entra ID 之間通訊所需的下列輸出連接埠和通訊協定。
| 通訊協定 | 連接埠 | 描述 |
|---|---|---|
| Azure 服務匯流排 | 5671 (TCP) | 用於將健康情況資訊傳送至 Microsoft Entra ID。 (在最新版本中建議使用但非必要) |
| HTTPS | 443 (TCP) | 用於將健康情況資訊傳送至 Microsoft Entra ID。 (容錯回復) |
如果封鎖 5671,則代理程式會容錯回復至 443,但建議使用 5671。 在最新版本的代理程式中,不需要此端點。 最新的 Microsoft Entra Connect Health 代理程式版本只需要連接埠 443。
7b - 適用於 (AD FS/Sync) 和 Microsoft Entra ID 的 Microsoft Entra Connect Health 代理程式端點
如需端點的清單,請參閱 Microsoft Entra 連線 Health 代理程式的需求一節 (部分機器翻譯)。