La identidad híbrida requería puertos y protocolos

El documento siguiente es una referencia técnica sobre los puertos y protocolos para implementar una solución de identidad híbrida. Use la siguiente ilustración y consulte la tabla correspondiente.

Qué es Azure AD Connect

Tabla 1: Azure AD Connect y AD local

En esta tabla se describen los puertos y protocolos que son necesarios para la comunicación entre el servidor de Azure AD Connect y AD local.

Protocol Puertos Description
DNS 53 (TCP/UDP) Búsquedas DNS en el bosque de destino.
Kerberos 88 (TCP/UDP) Autenticación Kerberos para el bosque de AD.
MS-RPC 135 (TCP/UDP) Se usa durante la configuración inicial del Asistente para Azure AD Connect, cuando se enlaza con el bosque de AD, además de durante la sincronización de contraseñas.
LDAP 389 (TCP/UDP) Se usa para la importación de datos de AD. Los datos se cifran con Kerberos Sign & Seal.
RPC 445 (TCP/UDP) Lo usa el SSO de conexión directa para crear una cuenta de equipo en el bosque de AD.
LDAP/SSL 636 (TCP/UDP) Se usa para la importación de datos de AD. La transferencia de datos se firma y se cifra. Solo se utiliza si está usando SSL.
RPC 49152- 65535 (Puerto RCP alto aleatorio)(TCP/UDP) Se usa durante la configuración inicial de Azure AD Connect, cuando se enlaza con los bosques de AD, además de durante la sincronización de contraseñas. Consulte KB929851, KB832017 y KB224196 para más información.

Tabla 2: Azure AD Connect y Azure AD

En esta tabla se describen los puertos y protocolos que son necesarios para la comunicación entre el servidor de Azure AD Connect y Azure AD.

Protocol Puertos Description
HTTP 80 (TCP/UDP) Se usa para descargar CRL (listas de revocación de certificados) para comprobar certificados SSL.
HTTPS 443 (TCP/UDP) Se usa para sincronizar con Azure AD.

Para una lista de direcciones URL y de direcciones IP que necesita para abrir en el firewall, consulte URL de Office 365 e intervalos de direcciones IP.

Tabla 3: Azure AD Connect y servidores de federación AD FS/WAP

En esta tabla se describen los puertos y protocolos que son necesarios para la comunicación entre el servidor de Azure AD Connect y servidores de federación AD FS/WAP.

Protocolo Puertos Description
HTTP 80 (TCP/UDP) Se usa para descargar CRL (listas de revocación de certificados) para comprobar certificados SSL.
HTTPS 443 (TCP/UDP) Se usa para sincronizar con Azure AD.
WinRM 5985 Agente de escucha de WinRM

Tabla 4: Servidores de federación y WAP

En esta tabla se describen los puertos y protocolos que son necesarios para la comunicación entre los servidores de federación y los servidores WAP.

Protocol Puertos Description
HTTPS 443 (TCP/UDP) Se usa para autenticación.

Tabla 5 - WAP y usuarios

En esta tabla se describen los puertos y protocolos que son necesarios para la comunicación entre los usuarios y los servidores WAP.

Protocol Puertos Description
HTTPS 443 (TCP/UDP) Se usa para la autenticación de dispositivos.
TCP 49443 (TCP) Se usa para la autenticación de certificados.

Tabla 6a y 6b: autenticación de paso a través con inicio de sesión único (SSO) y sincronización de Hash de contraseña con inicio de sesión único (SSO)

Las siguientes tablas describen los puertos y protocolos que son necesarios para la comunicación entre Azure AD Connect y Azure AD.

Tabla 6a: autenticación de paso a través con SSO

Protocol Número de puerto Descripción
HTTP 80 Habilita el tráfico HTTP saliente para la validación de seguridad, como SSL. También se necesita para que la funcionalidad de actualización automática del conector se lleve a cabo correctamente.
HTTPS 443 Habilite el tráfico HTTPS saliente para operaciones como habilitar y deshabilitar la característica, registrar conectores, descargar actualizaciones de conector y controlar todas las solicitudes de inicio de sesión de usuario.

Además, Azure AD Connect debe ser capaz de establecer conexiones directas de IP con intervalos de direcciones IP del centro de datos de Azure.

Tabla 6b: sincronización de Hash de contraseña con SSO

Protocol Número de puerto Descripción
HTTPS 443 Habilita el registro de SSO (solo es necesario para el proceso de registro de SSO).

Además, Azure AD Connect debe ser capaz de establecer conexiones directas de IP con intervalos de direcciones IP del centro de datos de Azure. Una vez más, esto solo es necesario para el proceso de registro SSO.

Tabla 7a y 7b: Agente de Azure AD Connect Health para (AD FS/sincronización) y Azure AD

En las tablas siguientes se describen los puntos de conexión, puertos y protocolos que son necesarios para la comunicación entre los agentes de Azure AD Connect Health y Azure AD.

Tabla 7a: Puertos y protocolos para el agente de Azure AD Connect Health para (AD FS/sincronización) y Azure AD

En esta tabla se describen los siguientes puertos y protocolos de salida que son necesarios para la comunicación entre los agentes de Azure AD Connect Health y Azure AD.

Protocol Puertos Description
HTTPS 443 (TCP/UDP) Salida
Azure Service Bus 5671 (TCP/UDP) Salida

7b: Puntos de conexión para el agente de Azure AD Connect Health para (AD FS/sincronización) y Azure AD

Para ver una lista de puntos de conexión, consulte la sección de requisitos para el agente de Azure AD Connect Health.