Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Überblick
Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) signieren die eigenen Token in Microsoft Entra ID, um sicherzustellen, dass sie nicht manipuliert werden können. Diese Signatur kann auf SHA-1 oder SHA-256 basieren. Microsoft Entra ID unterstützt jetzt Token, die mit einem SHA-256-Algorithmus signiert wurden, und es wird empfohlen, den Signaturalgorithmus für Token auf SHA-256 festzulegen, um ein Höchstmaß an Sicherheit zu erzielen. Dieser Artikel erläutert, wie Sie den Tokensignaturalgorithmus auf das sicherere Level SHA-256 festlegen.
Hinweis
Microsoft empfiehlt die Verwendung von SHA256 als Algorithmus für die Signatur von Tokens, da es sicherer als SHA1 ist. SHA1 ist jedoch nach wie vor eine unterstützte Option.
Ändern des Tokensignaturalgorithmus
Nachdem Sie den Signaturalgorithmus mit einer der beiden unten aufgeführten Vorgehensweisen festgelegt haben, signiert AD FS die Token für die Vertrauensstellung der vertrauenden Seite von Microsoft 365 mit SHA256. Sie müssen keine weiteren Konfigurationsänderungen vornehmen, und diese Änderung hat keinerlei Auswirkung auf Ihre Fähigkeit, auf Microsoft 365 oder andere Microsoft Entra-Anwendungen zuzugreifen.
AD FS-Verwaltungskonsole
- Öffnen Sie die AD FS-Verwaltungskonsole auf dem primären AD FS-Server.
- Erweitern Sie den AD FS-Knoten, und klicken Sie auf Vertrauensstellungen der vertrauenden Seite.
- Klicken Sie mit der rechten Maustaste auf die Relying Party-Vertrauensstellung von Microsoft 365/Azure und wählen Sie Eigenschaften aus.
- Wählen Sie die Registerkarte Erweitert , und wählen Sie den sicheren Hashalgorithmus SHA-256 aus.
- Klicke auf OK.
AD FS PowerShell-Cmdlets
Öffnen Sie PowerShell mit Administratorrechten auf einem beliebigen AD FS-Server.
Legen Sie den sicheren Hashalgorithmus mithilfe des Cmdlets Set-AdfsRelyingPartyTrust fest.
Set-AdfsRelyingPartyTrust -TargetName 'Microsoft Office 365 Identity Platform' -SignatureAlgorithm 'https://www.w3.org/2001/04/xmldsig-more#rsa-sha256'