Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Auf dieser Seite erhalten Sie Antworten auf häufig gestellte Fragen zum Verwalten von Zertifikaten für Apps, die Microsoft Entra ID als Identitätsanbieter (IdP) verwenden.
Gibt es eine Möglichkeit, eine Liste von ablaufenden SAML-Signaturzertifikaten zu generieren?
Sie können mit PowerShell-Skripts alle App-Registrierungen mit ablaufenden Geheimnissen und Zertifikaten und ihren Besitzern für die angegebenen Apps aus Ihrem Verzeichnis in eine CSV-Datei exportieren.
Wo finde ich die Informationen zu den Erneuerungsschritten für Zertifikate, die in Kürze ablaufen?
Die Schritte finden Sie hier.
Wie kann ich das Ablaufdatum für die von Microsoft Entra ID ausgestellten Zertifikate anpassen?
Standardmäßig konfiguriert die Microsoft Entra-ID ein Zertifikat, das nach drei Jahren nach der automatischen Erstellung der SAML-Single Sign-On-Konfiguration abläuft. Da Sie das Datum eines Zertifikats nach dem Speichern des Zertifikats nicht ändern können, müssen Sie ein neues Zertifikat erstellen. Die Schritte dafür finden Sie unter Anpassen des Ablaufdatums für das Verbundzertifikat und Rollover zu einem neuen Zertifikat.
Hinweis
Die empfohlene Methode zum Erstellen von SAML-Anwendungen ist der Microsoft Entra-Anwendungskatalog, der automatisch ein dreijähriges gültiges X509-Zertifikat für Sie erstellt.
Wie kann ich die Ablaufbenachrichtigungen für Zertifikate automatisieren?
Microsoft Entra ID sendet 60, 30 und 7 Tage vor Ablauf des SAML-Zertifikats eine Benachrichtigung per E-Mail. Sie können mehrere E-Mail-Adressen für den Empfang von Benachrichtigungen hinzufügen.
Hinweis
Sie können der Benachrichtigungsliste bis zu fünf E-Mail-Adressen hinzufügen (einschließlich der E-Mail-Adresse des Administrators, der die Anwendung hinzugefügt hat). Wenn Sie mehr Personen Benachrichtigen möchten, verwenden Sie die E-Mail-Verteilerliste.
Unter Hinzufügen von E-Mail-Adressen für Benachrichtigungen für den Zertifikatablauf können Sie die E-Mail-Adressen angeben, an die die Benachrichtigungen gesendet werden sollen.
Die Option zum Bearbeiten oder Anpassen dieser von aadnotification@microsoft.com
empfangenen E-Mail-Benachrichtigungen gibt es nicht. Sie können jedoch App-Registrierungen mit ablaufenden Geheimnissen und Zertifikaten über PowerShell-Skripts exportieren.
Wer kann die Zertifikate aktualisieren?
Benutzer mit den Rollen „Anwendungsbesitzer“ und „Anwendungsadministrator“ können die Zertifikate über die Benutzeroberfläche des Microsoft Entra Admin Centers oder in PowerShell oder Microsoft Graph aktualisieren.
Ich benötige weitere Details zu den Optionen für die Zertifikatsignatur
In Microsoft Entra ID können Sie die Zertifikatsignaturoptionen und den Zertifikatsignaturalgorithmus einrichten. Weitere Informationen finden Sie unter Erweiterte Zertifikatsignaturoptionen im SAML-Token für Microsoft Entra-Apps.
Welchen Zertifikattyp kann ich zum Konfigurieren des SAML-Zertifikats für einmaliges Anmelden verwenden?
Die Empfehlung für das SAML-Zertifikat für einmaliges Anmelden hängt von den Sicherheitsanforderungen und Richtlinien Ihrer Organisation ab. Wenn Ihre Organisation über eine interne Zertifizierungsstelle (PKI) verfügt, kann die Verwendung eines Zertifikats aus der internen PKI ein höheres Maß an Sicherheit und Vertrauen bieten. Wenn Sie über eine interne PKI verfügen, bieten ihre Zertifikate eine bessere Sicherheit und Vertrauen, da Sie sie kontrollieren und überwachen.
Wenn Ihre Organisation keine eigene Zertifizierungsstelle betreibt, sollten Sie ein Zertifikat von einer öffentlichen Zertifizierungsstelle wie DigiCert erhalten. Organisationen vertrauen diesen Zertifizierungsstellen, und sie befolgen strenge Sicherheits- und Validierungsregeln, um Ihre Apps sicher zu halten.
Ich muss das Zertifikat für Anwendungen mit Microsoft Entra-Anwendungsproxy ersetzen und benötige weitere Anweisungen
Informationen zum Ersetzen von Zertifikaten für Anwendungen mit Microsoft Entra-Anwendungsproxys finden Sie unter PowerShell-Beispiel: Ersetzen des Zertifikats in Anwendungsproxy-Apps.
Wie verwalte ich Zertifikate für benutzerdefinierte Domänen im Microsoft Entra-Anwendungsproxy?
Zum Konfigurieren einer lokalen App für die Verwendung einer benutzerdefinierten Domäne benötigen Sie eine verifizierte benutzerdefinierte Microsoft Entra-Domäne, ein PFX-Zertifikat für die benutzerdefinierte Domäne und eine lokale App für die Konfiguration. Weitere Informationen finden Sie unter Benutzerdefinierte Domänen im Microsoft Entra-Anwendungsproxy.
Ich muss das Tokensignaturzertifikat auf Anwendungsseite aktualisieren. Wo erhalte ich sie auf Microsoft Entra ID-Seite?
Sie können ein SAML X.509-Zertifikat erneuern SAML-Signaturzertifikat.
Was ist ein Rollover von Signaturschlüsseln in Microsoft Entra ID?
Weitere Informationen finden Sie hier.
Wie erneuere ich das Tokenverschlüsselungszertifikat einer Anwendung?
Weitere Informationen zum Erneuern eines Tokenverschlüsselungszertifikats finden Sie unter Erneuern eines Tokenverschlüsselungszertifikats für eine Unternehmensanwendung.
Wie erneuere ich das Tokensignaturzertifikat einer Anwendung?
Weitere Informationen zum Erneuern eines Tokensignaturzertifikats finden Sie unter Erneuern eines Tokensignaturzertifikats für eine Unternehmensanwendung.
Wie aktualisiere ich Microsoft Entra ID nach dem Ändern meines Verbundzertifikats?
Informationen zum Aktualisieren von Microsoft Entra ID nach dem Ändern Ihres Verbundzertifikats finden Sie unter Erneuern von Verbundzertifikaten für Microsoft 365 und Microsoft Entra ID.
Kann ich dasselbe SAML-Zertifikat für verschiedene Apps verwenden?
Wenn SSO zum ersten Mal in einer Unternehmens-App konfiguriert wird, stellen wir ein SAML-Standardzertifikat bereit, das in ganz Microsoft Entra ID verwendet wird. Wenn Sie jedoch dasselbe Zertifikat für mehrere Apps verwenden müssen, die nicht die Microsoft Entra-Standardapps sind, verwenden Sie eine externe Zertifizierungsstelle und laden Sie die PFX-Datei hoch. Der Grund dafür ist, dass Microsoft Entra ID keinen Zugriff auf private Schlüssel von intern ausgestellten Zertifikaten bereitstellt.