Renouveler les certificats de fédération pour Microsoft 365 et Microsoft Entra ID
Vue d’ensemble
Afin d’assurer la réussite de la fédération entre Microsoft Entra ID et les services de fédération Active Directory (AD FS), les certificats utilisés par AD FS pour signer les jetons de sécurité destinés à Microsoft Entra ID doivent correspondre à la configuration de Microsoft Entra ID. Toute incompatibilité peut entraîner une rupture de l’approbation. Microsoft Entra ID garantit la synchronisation de ces informations lorsque vous déployez les services de fédération Active Directory (AD FS) et le Proxy d’application web (pour l’accès extranet).
Remarque
Cet article fournit des informations sur la gestion de vos certificats de fédération. Pour obtenir des informations sur la rotation d’urgence, consultez Rotation d’urgence des certificats AD FS
Cet article fournit des informations supplémentaires pour gérer vos certificats de signature de jetons et les maintenir synchronisés avec Microsoft Entra ID dans les scénarios suivants :
- Vous ne déployez pas le proxy d’application web ; les métadonnées de fédération ne sont donc pas disponibles dans l’extranet.
- Vous n’utilisez pas la configuration par défaut d’AD FS pour les certificats de signature de jetons.
- Vous utilisez un fournisseur d’identité tiers.
Important
Microsoft recommande vivement d’utiliser un module de sécurité matériel (HSM) pour protéger et sécuriser les certificats. Pour plus d’informations, consultez Module de sécurité matériel dans les meilleures pratiques pour la sécurisation des AD FS.
Configuration par défaut d’AD FS pour les certificats de signature de jetons
Les certificats de signature et de déchiffrement de jetons sont généralement des certificats auto-signés, valables pendant un an. Par défaut, AD FS inclut un processus de renouvellement automatique appelé AutoCertificateRollover. Si vous utilisez AD FS 2.0 ou version ultérieure, Microsoft 365 et Microsoft Entra ID mettent automatiquement à jour votre certificat avant qu’il n’arrive à expiration.
Notification de renouvellement à partir du centre d’administration Microsoft 365 ou d’un courrier électronique
Notes
Si vous avez reçu un e-mail vous invitant à renouveler votre certificat pour Office, consultez Gestion des modifications apportées aux certificats de signature de jeton pour savoir si une action est requise de votre part. Microsoft est conscient d’un problème pouvant générer l’envoi de notifications invitant l’utilisateur à renouveler le certificat, même si aucune action n’est requise.
Microsoft Entra ID tente d’analyser les métadonnées de fédération et de mettre à jour les certificats de signature de jetons, comme indiqué par ces métadonnées. Pour vérifier la disponibilité de nouveaux certificats, Microsoft Entra ID interroge les métadonnées de fédération 35 jours avant l’expiration des certificats de signature de jetons.
- Aucune notification n’est envoyée par e-mail si Azure AD réussit à récupérer les nouveaux certificats après interrogation des métadonnées de fédération.
- Si les nouveaux certificats de signature de jetons ne peuvent pas être récupérés (soit parce que les métadonnées de fédération sont inaccessibles, soit parce que la substitution automatique des certificats est inactivée), Microsoft Entra ID envoie une notification par e-mail.
Important
Si vous utilisez AD FS, vérifiez que vos serveurs possèdent les mises à jour suivantes afin d’éviter les échecs d’authentification pour les problèmes connus ; la continuité des activités est ainsi assurée. Cela limite les problèmes connus du serveur proxy AD FS pour ce renouvellement ainsi que pour les périodes de renouvellement suivantes :
Server 2012 R2 - Windows Server : correctif cumulatif de mai 2014
Server 2008 R2 et 2012 Échec de l’authentification par proxy dans Windows Server 2008 R2 SP1 ou dans Windows Server 2012
Vérifiez si les certificats doivent être mis à jour
Étape 1 : Vérifier l’état de AutoCertificateRollover
Sur votre serveur AD FS, ouvrez Powershell. Vérifiez que la valeur de AutoCertificateRollover est définie sur True.
Get-Adfsproperties
Notes
Si vous utilisez AD FS 2.0, commencez par exécuter Add-Pssnapin Microsoft.Adfs.Powershell.
Étape 2 : Vérifier qu’AD FS et Microsoft Entra ID sont synchronisés
Sur votre serveur AD FS, ouvrez l’invite MSOnline PowerShell et connectez-vous à Microsoft Entra ID.
Remarque
Les cmdlets MSOL font partie du module MSOnline PowerShell. Vous pouvez télécharger le module MSOnline PowerShell directement à partir de PowerShell Gallery.
Install-Module MSOnline
Remarque
Les modules Azure AD et MSOnline PowerShell sont dépréciés depuis le 30 mars 2024. Pour en savoir plus, lisez les informations de dépréciation. Passé cette date, la prise en charge de ces modules est limitée à une assistance de migration vers le SDK et les correctifs de sécurité Microsoft Graph PowerShell. Les modules déconseillés continueront de fonctionner jusqu’au 30 mars 2025.
Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Pour explorer les questions courantes sur la migration, reportez-vous au FAQ sur la migration. Remarque : Les versions 1.0.x de MSOnline peuvent connaître une interruption après le 30 juin 2024.
Connectez-vous à Microsoft Entra ID à l’aide du module MSOnline PowerShell.
Import-Module MSOnline
Connect-MsolService
Vérifiez les certificats configurés dans les propriétés d’approbation des services de fédération Active Directory (AD FS) et de Microsoft Entra ID pour le domaine spécifié.
Get-MsolFederationProperty -DomainName <domain.name> | FL Source, TokenSigningCertificate
Si les empreintes des deux sorties correspondent, vos certificats sont synchronisés avec Microsoft Entra ID.
Étape 3 : Vérifier si votre certificat est sur le point d’expirer
Dans la sortie de la commande Get-MsolFederationProperty ou Get-AdfsCertificate, vérifiez la date dans « Pas après ». Si la date est antérieure à 35 jours, vous devez prendre des mesures.
AutoCertificateRollover | Certificats synchronisés avec Microsoft Entra ID | Les métadonnées de fédération sont accessibles publiquement | Validité | Action |
---|---|---|---|---|
Oui | Oui | Oui | - | Aucune action n'est nécessaire. Voir Renouveler le certificat de signature de jetons automatiquement. |
Oui | Non | - | Moins de 15 jours | Renouvelez immédiatement. Voir Renouveler le certificat de signature de jetons manuellement. |
Non | - | - | Moins de 35 jours | Renouvelez immédiatement. Voir Renouveler le certificat de signature de jetons manuellement. |
[-] N’a pas d’importance
Renouveler le certificat de signature de jetons automatiquement (recommandé)
Vous n’avez pas besoin de suivre de procédure manuelle si les deux affirmations suivantes sont vraies :
- Vous avez déployé le proxy d’application Web, qui permet d’accéder aux métadonnées de fédération à partir de l’extranet.
- Vous utilisez la configuration AD FS par défaut (AutoCertificateRollover est activé).
Vérifiez les points suivants pour confirmer que le certificat peut être mis à jour automatiquement.
1. La propriété AutoCertificateRollover d’AD FS doit être définie sur True. Cela indique qu’AD FS génère automatiquement de nouveaux certificats de signature de jetons et de déchiffrement de jeton avant que les anciens certificats n’arrivent à expiration.
2. Les métadonnées de fédération AD FS sont accessibles publiquement. Vérifiez que vos métadonnées de fédération sont publiquement accessibles en accédant à l’URL ci-dessous à partir d’un ordinateur relié au réseau Internet public (en dehors du réseau de l’entreprise) :
https://(your_FS_name)/federationmetadata/2007-06/federationmetadata.xml
où (your_FS_name)
est remplacé par le nom d’hôte du service de fédération utilisé par votre organisation, tel que fs.contoso.com. Si vous êtes parvenu à vérifier la présence de ces deux paramètres, vous n’avez rien d’autre à faire.
Exemple : https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml
Renouveler le certificat de signature de jetons manuellement
Vous pouvez choisir le renouvellement manuel des certificats de signature de jeton. Par exemple, il se peut que les scénarios fonctionnent mieux pour le renouvellement manuel :
- Les certificats de signature de jeton ne sont pas auto-signés. Le plus souvent, ceci s’explique par le fait que votre organisation gère les certificats AD FS inscrits auprès d’une autorité de certification d’organisation.
- La sécurité réseau ne permet pas de rendre publiques les métadonnées de fédération.
- Vous migrez le domaine fédéré d’un service de fédération existant vers un nouveau service de fédération.
Important
Si vous migrez un domaine fédéré existant vers un nouveau service de fédération, nous vous recommandons de suivre les instructions fournies dans Rotation d’urgence des certificats AD FS.
Dans ces scénarios, vous devez mettre à jour votre domaine Microsoft 365 à l’aide de la commande PowerShell Update-MsolFederatedDomain à chaque fois que vous mettez à jour les certificats de signature de jeton.
Étape 1 : Vérifier qu’AD FS dispose de nouveaux certificats de signature de jetons
Configuration différente de la configuration par défaut
Si vous êtes dans une configuration différente de la configuration par défaut d’AD FS, dans laquelle AutoCertificateRollover est défini sur False, vous utilisez probablement des certificats personnalisés (pas auto-signés). Pour plus d’informations sur le renouvellement des certificats de signature de jetons AD FS, consultez Exigences en matière de certificats pour les serveurs fédérés.
Les métadonnées de fédération ne sont pas disponibles publiquement
En revanche, si AutoCertificateRollover est défini sur True sans que vos métadonnées de fédération ne soient disponibles publiquement, assurez-vous que les nouveaux certificats de signature de jetons ont été générés par AD FS. Confirmez que vous disposez des nouveaux certificats de signature de jeton en suivant les étapes suivantes :
Vérifiez que vous êtes connecté au serveur AD FS principal.
Vérifiez les certificats de signature actuels dans AD FS en ouvrant une fenêtre de commande PowerShell et en exécutant la commande suivante :
Get-ADFSCertificate -CertificateType Token-Signing
Remarque
Si vous utilisez AD FS 2.0, vous devez d’abord exécuter
Add-Pssnapin Microsoft.Adfs.Powershell
.Examinez les certificats répertoriés dans la sortie de la commande. Si AD FS a généré un nouveau certificat, vous devez voir deux certificats dans la sortie : l’un dont la valeur IsPrimary est définie sur True et dont la date NotAfter correspond à 5 jours, et l’autre avec une valeur IsPrimary définie sur False et une valeur NotAfter correspondant à environ un an après la date du jour.
Si vous ne voyez qu’un seul certificat et que la date NotAfter est définie sur 5 jours, vous devez générer un nouveau certificat.
Pour générer un nouveau certificat, exécutez la commande ci-dessous au niveau d’une invite de commande PowerShell :
Update-ADFSCertificate -CertificateType Token-Signing
.Vérifiez la mise à jour en réexécutant la commande suivante :
Get-ADFSCertificate -CertificateType Token-Signing
Vous devez alors voir apparaître deux certificats, dont l’un présente une date NotAfter correspondant à environ un an après la date du jour et dont la valeur IsPrimary est définie sur False.
Étape 2 : Mettre à jour les nouveaux certificats de signature de jetons pour l’approbation de Microsoft 365
Mettez Microsoft 365 à jour avec les nouveaux certificats de signature de jeton devant être utilisés pour l’approbation en suivant la procédure ci-dessous.
- Ouvrir le module Azure AD PowerShell.
- Exécutez
$cred=Get-Credential
. Lorsque cette applet de commande vous demande des informations d’identification, tapez vos informations d’identification de compte administrateur de services cloud. - Exécutez
Connect-MsolService -Credential $cred
. Cette applet de commande vous connecte au service cloud. Avant d’exécuter l’une des applets de commande supplémentaires installées par l’outil, vous devez créer un contexte qui vous connecte au service cloud. - Si vous exécutez ces commandes sur un ordinateur autre que le serveur de fédération principal AD FS, exécutez
Set-MSOLAdfscontext -Computer <AD FS primary server>
, où <AD FS primary server> est le nom de domaine complet interne du serveur AD FS principal. Cette applet de commande crée un contexte qui vous connecte à AD FS. - Exécutez
Update-MSOLFederatedDomain -DomainName <domain>
. Cette applet de commande met à jour les paramètres d’AD FS dans le service cloud et configure la relation d’approbation entre les deux.
Notes
Si vous avez besoin de prendre en charge plusieurs domaines de premier niveau, par exemple contoso.com et fabrikam.com, vous devez utiliser le commutateur SupportMultipleDomain avec les applets de commande. Pour plus d’informations, consultez Prise en charge de plusieurs domaines de premier niveau.
Si votre locataire est fédéré avec plusieurs domaines, vous devez exécuter Update-MsolFederatedDomain
pour tous les domaines répertoriés dans la sortie de Get-MsolDomain -Authentication Federated
. Cela garantit que tous les domaines fédérés sont mis à jour vers le certificat Token-Signing.
Pour ce faire, exécutez : Get-MsolDomain -Authentication Federated | % { Update-MsolFederatedDomain -DomainName $_.Name -SupportMultipleDomain }
Réparer l’approbation Microsoft Entra ID à l’aide de Microsoft Entra Connect
Si vous avez configuré votre batterie de serveurs AD FS et l’approbation Microsoft Entra ID à l’aide de Microsoft Entra Connect, vous pouvez utiliser Microsoft Entra Connect pour détecter si vous devez effectuer une action pour vos certificats de signature de jetons. Si vous devez renouveler les certificats, vous pouvez le faire à l’aide de Microsoft Entra Connect.
Pour plus d’informations, consultez Réparation de l’approbation.
Étapes de mise à jour des certificats AD FS et Microsoft Entra
Les certificats de signature de jetons sont des certificats X509 standard qui sont utilisés pour signer de manière sécurisée tous les jetons émis par le serveur de fédération. Les certificats de déchiffrement de jetons sont des certificats X509 standard qui sont utilisés pour déchiffrer les jetons entrants.
Par défaut, AD FS est configuré pour générer automatiquement des certificats de signature et de déchiffrement de jetons, lors de la configuration initiale et lorsque les certificats approchent de leur date d’expiration.
Microsoft Entra ID tente de récupérer un nouveau certificat à partir de vos métadonnées des services de fédération 35 jours avant l’expiration du certificat actuel. Si aucun nouveau certificat n’est disponible à ce moment-là, Microsoft Entra ID continuera à analyser les métadonnées de manière quotidienne. Dès que le nouveau certificat est disponible dans les métadonnées, les paramètres de fédération du domaine sont mis à jour avec les informations du nouveau certificat. Vous pouvez utiliser Get-MsolDomainFederationSettings
pour voir si le nouveau certificat est présent dans NextSigningCertificate ou SigningCertificate.
Pour plus d’informations sur les certificats de signature de jetons dans AD FS, consultez Obtenir et configurer des certificats de signature et de déchiffrement de jetons pour AD FS.