ハイブリッド ID で必要なポートとプロトコルHybrid Identity Required Ports and Protocols

次のドキュメントは、ハイブリッド ID ソリューションを実装するために必要なポートとプロトコルに関するテクニカル リファレンスです。The following document is a technical reference on the required ports and protocols for implementing a hybrid identity solution. 次の図を使用して、対応する表を参照してください。Use the following illustration and refer to the corresponding table.

What is Azure AD Connect

表 1 - Azure AD Connect とオンプレミスの ADTable 1 - Azure AD Connect and On-premises AD

この表は、Azure AD Connect サーバーとオンプレミスの AD 間の通信に必要なポートとプロトコルについて説明しています。This table describes the ports and protocols that are required for communication between the Azure AD Connect server and on-premises AD.

ProtocolProtocol PortPorts 説明Description
DNSDNS 53 (TCP/UDP)53 (TCP/UDP) 送信先フォレストでの DNS 参照です。DNS lookups on the destination forest.
KerberosKerberos 88 (TCP/UDP)88 (TCP/UDP) AD フォレストに対する Kerberos 認証です。Kerberos authentication to the AD forest.
MS-RPCMS-RPC 135 (TCP/UDP)135 (TCP/UDP) Azure AD Connect ウィザードを AD フォレストにバインドするときの初期構成中に使用され、パスワードの同期中にも使用されます。Used during the initial configuration of the Azure AD Connect wizard when it binds to the AD forest, and also during Password synchronization.
LDAPLDAP 389 (TCP/UDP)389 (TCP/UDP) AD からのデータのインポートに使用されます。Used for data import from AD. データは Kerberos の署名およびシールによって暗号化されます。Data is encrypted with Kerberos Sign & Seal.
SMBSMB 445 (TCP/UDP)445 (TCP/UDP) AD フォレストにコンピューター アカウントを作成するためにシームレス SSO によって使用されます。Used by Seamless SSO to create a computer account in the AD forest.
LDAP/SSLLDAP/SSL 636 (TCP/UDP)636 (TCP/UDP) AD からのデータのインポートに使用されます。Used for data import from AD. データ転送は署名されて暗号化されます。The data transfer is signed and encrypted. SSL を使用する場合にのみ使用されます。Only used if you are using SSL.
RPCRPC 49152- 65535 (ランダム ハイ RPC ポート)(TCP/UDP)49152- 65535 (Random high RPC Port)(TCP/UDP) Azure AD Connect を AD フォレストにバインドするときの初期構成中と、パスワードの同期中に使用されます。Used during the initial configuration of Azure AD Connect when it binds to the AD forests, and during Password synchronization. 詳細については、KB929851KB832017KB224196 を参照してください。See KB929851, KB832017, and KB224196 for more information.
WinRMWinRM 5985 (TCP/UDP)5985 (TCP/UDP) Azure AD Connect ウィザードで gMSA を使用して AD FS をインストールする場合にのみ使用しますOnly used if you are installing AD FS with gMSA by Azure AD Connect Wizard
AD DS Web サービスAD DS Web Services 9389 (TCP/UDP)9389 (TCP/UDP) Azure AD Connect ウィザードで gMSA を使用して AD FS をインストールする場合にのみ使用しますOnly used if you are installing AD FS with gMSA by Azure AD Connect Wizard

表 2 - Azure AD Connect と Azure ADTable 2 - Azure AD Connect and Azure AD

この表は、Azure AD Connect サーバーと Azure AD 間の通信に必要なポートとプロトコルについて説明しています。This table describes the ports and protocols that are required for communication between the Azure AD Connect server and Azure AD.

ProtocolProtocol PortPorts 説明Description
HTTPHTTP 80 (TCP/UDP)80 (TCP/UDP) SSL 証明書を検証するための CRL (証明書失効リスト) をダウンロードするために使用されます。Used to download CRLs (Certificate Revocation Lists) to verify SSL certificates.
HTTPSHTTPS 443 (TCP/UDP)443(TCP/UDP) Azure AD と同期するために使用されます。Used to synchronize with Azure AD.

ファイアウォールで開く必要のある URL と IP アドレスの一覧については、「 Office 365 URL および IP アドレス範囲」を参照してください。For a list of URLs and IP addresses you need to open in your firewall, see Office 365 URLs and IP address ranges.

表 3 - Azure AD Connect と AD FS フェデレーション サーバー/WAPTable 3 - Azure AD Connect and AD FS Federation Servers/WAP

この表は、Azure AD Connect サーバーと AD FS フェデレーション/WAP サーバー間の通信に必要なポートとプロトコルについて説明しています。This table describes the ports and protocols that are required for communication between the Azure AD Connect server and AD FS Federation/WAP servers.

ProtocolProtocol PortPorts 説明Description
HTTPHTTP 80 (TCP/UDP)80 (TCP/UDP) SSL 証明書を検証するための CRL (証明書失効リスト) をダウンロードするために使用されます。Used to download CRLs (Certificate Revocation Lists) to verify SSL certificates.
HTTPSHTTPS 443 (TCP/UDP)443(TCP/UDP) Azure AD と同期するために使用されます。Used to synchronize with Azure AD.
WinRMWinRM 59855985 WinRM リスナーWinRM Listener

表 4 - WAP とフェデレーション サーバーTable 4 - WAP and Federation Servers

この表は、フェデレーション サーバーと WAP サーバー間の通信に必要なポートとプロトコルについて説明しています。This table describes the ports and protocols that are required for communication between the Federation servers and WAP servers.

ProtocolProtocol PortPorts 説明Description
HTTPSHTTPS 443 (TCP/UDP)443(TCP/UDP) 認証で使用されます。Used for authentication.

表 5 - WAP とユーザーTable 5 - WAP and Users

この表は、ユーザーと WAP サーバー間の通信に必要なポートとプロトコルについて説明しています。This table describes the ports and protocols that are required for communication between users and the WAP servers.

ProtocolProtocol PortPorts 説明Description
HTTPSHTTPS 443 (TCP/UDP)443(TCP/UDP) デバイスの認証で使用されます。Used for device authentication.
TCPTCP 49443 (TCP)49443 (TCP) 証明書の認証で使用されます。Used for certificate authentication.

表 6a および 6b - シングル サインオン (SSO) でのパススルー認証およびシングル サインオン (SSO) でのパスワード ハッシュ同期Table 6a & 6b - Pass-through Authentication with Single Sign On (SSO) and Password Hash Sync with Single Sign On (SSO)

次の表は、Azure AD Connect と Azure AD 間の通信に必要なポートとプロトコルについて説明しています。The following tables describes the ports and protocols that are required for communication between the Azure AD Connect and Azure AD.

表 6a - SSO でのパススルー認証のトラブルシューティングTable 6a - Pass-through Authentication with SSO

ProtocolProtocol ポート番号Port Number 説明Description
HTTPHTTP 8080 SSL などのセキュリティ検証用の送信 HTTP トラフィックに使用されます。Enable outbound HTTP traffic for security validation such as SSL. コネクタの自動更新機能が正常に機能するためにも必要です。Also needed for the connector auto-update capability to function properly.
HTTPSHTTPS 443443 機能の有効化と無効化、コネクタの登録、コネクタ更新プログラムのダウンロード、およびすべてのユーザー サインイン要求の処理などの操作のために、送信 HTTPS トラフィックを有効にします。Enable outbound HTTPS traffic for operations such as enabling and disabling of the feature, registering connectors, downloading connector updates, and handling all user sign-in requests.

さらに、Azure AD コネクタが Azure データ センターの IP 範囲に対して直接 IP 接続できる必要があります。In addition, Azure AD Connect needs to be able to make direct IP connections to the Azure data center IP ranges.

表 6b - SSO でのパスワード ハッシュ同期Table 6b - Password Hash Sync with SSO

ProtocolProtocol ポート番号Port Number 説明Description
HTTPSHTTPS 443443 SSO 登録を有効にします (SSO 登録プロセスでのみ必要です)。Enable SSO registration (required only for the SSO registration process).

さらに、Azure AD コネクタが Azure データ センターの IP 範囲に対して直接 IP 接続できる必要があります。In addition, Azure AD Connect needs to be able to make direct IP connections to the Azure data center IP ranges. ここでも、これは SSO 登録プロセスでのみ必要です。Again, this is only required for the SSO registration process.

表 7a & 7b - Azure AD Connect Health エージェント (AD FS/Sync) と Azure ADTable 7a & 7b - Azure AD Connect Health agent for (AD FS/Sync) and Azure AD

次の表は、Azure AD Connect Health エージェントと Azure AD 間の通信に必要なエンドポイント、ポート、プロトコルについて説明しています。The following tables describe the endpoints, ports, and protocols that are required for communication between Azure AD Connect Health agents and Azure AD

表 7a - Azure AD Connect Health エージェント (AD FS/Sync) と Azure AD 用のポートとプロトコルTable 7a - Ports and Protocols for Azure AD Connect Health agent for (AD FS/Sync) and Azure AD

この表は、Azure AD Connect Health エージェントと Azure AD 間の通信に必要な以下の送信ポートとプロトコルについて説明しています。This table describes the following outbound ports and protocols that are required for communication between the Azure AD Connect Health agents and Azure AD.

ProtocolProtocol PortPorts 説明Description
HTTPSHTTPS 443(TCP)443(TCP) 送信Outbound
Azure Service BusAzure Service Bus 5671 (TCP)5671 (TCP) 送信Outbound

Azure Service Bus ポート 5671 は最新バージョンのエージェントでは必要なくなりました。Azure Service Bus port 5671 is no longer required for the latest version of agent. Azure AD Connect Health エージェントの最新バージョンで必要なのは、ポート 443 のみです。The latest Azure AD Connect Health agent version only required port 443.

7b - Azure AD Connect Health エージェント (AD FS/Sync) と Azure AD 用のエンドポイント7b - Endpoints for Azure AD Connect Health agent for (AD FS/Sync) and Azure AD

エンドポイントの一覧については、 Azure AD Connect Health エージェントの「必要条件」セクションを参照してください。For a list of endpoints, see the Requirements section for the Azure AD Connect Health agent.