Ports et protocoles nécessaires à l’identité hybride

Le document suivant est une référence technique sur les ports et les protocoles nécessaires à l’implémentation d’une solution d’identité hybride. Consultez la figure ci-dessous et reportez-vous au tableau correspondant.

What is Azure AD Connect

Tableau 1 : Azure AD Connect et AD local

Ce tableau décrit les ports et les protocoles nécessaires à la communication entre le serveur Azure AD Connect et l’AD local.

Protocol Ports Description
DNS 53 (TCP/UDP) Recherches DNS dans la forêt de destination.
Kerberos 88 (TCP/UDP) Authentification Kerberos auprès de la forêt AD.
MS-RPC 135 (TCP) Utilisé pendant la configuration initiale de l’Assistant Azure AD au moment d’établir une liaison avec la forêt AD, ainsi que pendant la synchronisation du mot de passe.
LDAP 389 (TCP/UDP) Utilisé pour l’importation de données à partir d’AD. Les données sont chiffrées à l’aide de Kerberos Sign & Seal.
SMB 445 (TCP) Utilisé par l’authentification unique fluide pour créer un compte d’ordinateur dans la forêt AD et pendant la réécriture du mot de passe. Pour plus d’informations, consultez Modifier le mot de passe d’un compte d’utilisateur.
LDAP/SSL 636 (TCP/UDP) Utilisé pour l’importation de données à partir d’AD. Le transfert de données est signé et chiffré. Utilisé uniquement si vous utilisez TLS.
RPC 49152-65535 (port RPC aléatoire élevé) (TCP) Utilisé pendant la configuration initiale d’Azure AD Connect au moment d’établir une liaison avec les forêts AD, ainsi que pendant la synchronisation du mot de passe. Si le port dynamique a été modifié, vous devez ouvrir ce port. Pour plus d’informations, consultez les sections KB929851, KB832017 et KB224196.
WinRM 5985 (TCP) Utilisé uniquement si vous installez AD FS avec l’assistant de connexion gMSA par Azure AD Connect
Services web AD DS 9389 (TCP) Utilisé uniquement si vous installez AD FS avec l’assistant de connexion gMSA par Azure AD Connect
Catalogue global 3268 (TCP) Utilisé par l’authentification unique fluide pour interroger le catalogue global dans la forêt avant de créer un compte d’ordinateur dans le domaine.

Tableau 2 : Azure AD Connect et Azure AD

Ce tableau décrit les ports et les protocoles nécessaires à la communication entre le serveur Azure AD Connect et Azure AD.

Protocol Ports Description
HTTP 80 (TCP) Utilisé pour télécharger des listes de révocation de certificats en vue de vérifier les certificats TLS/SSL.
HTTPS 443 (TCP) Utilisé pour établir une synchronisation avec Azure AD.

Pour obtenir la liste des URL et adresses IP que vous devez ouvrir dans votre pare-feu, consultez URL et plages d’adresses IP Office 365 et Résolution des problèmes de connectivité Azure AD Connect.

Tableau 3 - Azure AD Connect et serveurs de fédération AD FS/WAP

Ce tableau décrit les ports et les protocoles nécessaires à la communication entre le serveur Azure AD Connect et les serveurs de fédération AD FS/WAP.

Protocol Ports Description
HTTP 80 (TCP) Utilisé pour télécharger des listes de révocation de certificats en vue de vérifier les certificats TLS/SSL.
HTTPS 443 (TCP) Utilisé pour établir une synchronisation avec Azure AD.
WinRM 5985 Écouteur WinRM

Tableau 4 - Serveurs de fédération et WAP

Ce tableau décrit les ports et les protocoles nécessaires à la communication entre les serveurs de fédération et les serveurs WAP.

Protocol Ports Description
HTTPS 443 (TCP) Utilisé pour l’authentification.

Tableau 5 - WAP et utilisateurs

Ce tableau décrit les ports et les protocoles nécessaires à la communication entre les utilisateurs et les serveurs WAP.

Protocol Ports Description
HTTPS 443 (TCP) Utilisé pour l’authentification des appareils.
TCP 49443 (TCP) Utilisé pour l’authentification par certificat.

Tableau 6a et 6b - Authentification directe avec authentification unique (SSO) et synchronisation de hachage de mot de passe avec authentification unique (SSO)

Les tableaux suivants décrivent les ports et les protocoles nécessaires à la communication entre Azure AD Connect et Azure AD.

Tableau 6a - Authentification directe avec authentification unique (SSO)

Protocol Ports Description
HTTP 80 (TCP) Utilisé pour télécharger des listes de révocation de certificats en vue de vérifier les certificats TLS/SSL. Également nécessaire pour que la fonctionnalité de mise à jour automatique du connecteur fonctionne correctement.
HTTPS 443 (TCP) Utilisé pour activer et désactiver la fonctionnalité, inscrire des connecteurs, télécharger des mises à jour de connecteur et gérer toutes les demandes de connexion utilisateur.

En outre, Azure AD Connect doit être en mesure d’établir des connexions IP directes aux plages d’adresses IP du centre de données Azure.

Tableau 6b - synchronisation du hachage de mot de passe avec authentification unique

Protocol Ports Description
HTTPS 443 (TCP) Utilisé pour activer l’inscription à l’authentification unique (obligatoire uniquement pour le processus d’inscription SSO).

En outre, Azure AD Connect doit être en mesure d’établir des connexions IP directes aux plages d’adresses IP du centre de données Azure. Là encore, cette option est uniquement requise pour le processus d’inscription SSO.

Tableau 7a et 7b - Agent Azure AD Connect Health pour (AD FS/Sync) et Azure AD

Les tableaux suivants décrivent les points de terminaison, les ports et les protocoles nécessaires à la communication entre les agents Azure AD Connect Health et Azure AD.

Tableau 7a - Ports et protocoles pour l’agent Azure AD Connect Health pour (AD FS/Sync) et Azure AD

Ce tableau décrit les ports et les protocoles sortants nécessaires à la communication entre les agents Azure AD Connect Health et Azure AD.

Protocol Ports Description
Azure Service Bus 5671 (TCP) Utilisé pour envoyer des informations d’intégrité à Azure AD. (recommandé, mais non requis dans les versions les plus récentes)
HTTPS 443 (TCP) Utilisé pour envoyer des informations d’intégrité à Azure AD. (restauration automatique)

Si 5671 est bloqué, l’agent revient à 443, mais l’utilisation de 5671 est recommandée. Ce point de terminaison n’est pas requis dans la version la plus récente de l’agent. La dernière version de l’agent Azure AD Connect Health ne nécessite que le port 443.

7b - Points de terminaison pour l’agent Azure AD Connect Health pour (AD FS/Sync) et Azure AD

Pour obtenir la liste des points de terminaison, consultez la section Configuration requise pour l’agent Azure AD Connect Health.