Partager via

Vous recevez un avertissement de certificat d’AD FS lorsque vous vous connectez à Microsoft 365, Azure ou Intune

  • S’applique à: Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problème

Lorsque vous essayez de vous connecter à un service cloud Microsoft tel que Microsoft 365, Microsoft Azure ou Microsoft Intune à l’aide d’un compte fédéré, vous recevez un avertissement de certificat du service web AD FS dans votre navigateur.

La cause

Ce problème se produit lorsqu’une erreur de validation est rencontrée lors d’un test de certificat.

Avant qu’un certificat puisse être utilisé pour sécuriser une session SSL (Secure Sockets Layer) ou TLS (Transport Layer Security), le certificat doit réussir les tests standard suivants :

  • Le certificat n'est pas valide pour la période indiquée. Si la date sur le serveur ou le client est antérieure à la date Valide ou à la date d’émission du certificat, ou si la date du serveur ou du client est postérieure à la date valide ou à la date d’expiration du certificat, la demande de connexion émet un avertissement basé sur cet état. Pour vous assurer que le certificat réussit ce test, vérifiez si le certificat a expiré ou a été appliqué avant qu’il ne soit devenu actif. Ensuite, effectuez l’une des actions suivantes :

    • Si le certificat a expiré ou a été appliqué avant de devenir actif, un nouveau certificat doit être généré avec les dates de remise appropriées pour sécuriser la communication pour le trafic AD FS.
    • Si le certificat n’a pas expiré ou n’a pas été appliqué avant qu’il ne soit actif, vérifiez l’heure sur les ordinateurs clients et serveurs, puis mettez-les à jour en fonction des besoins.

  • Incompatibilité de nom de service. Si l’URL utilisée pour établir la connexion ne correspond pas aux noms valides pour lesquels le certificat peut être utilisé, la demande de connexion émet un avertissement basé sur cet état. Pour vous assurer que le certificat réussit ce test, procédez comme suit :

    1. Examinez l’URL dans la barre d’adresses du navigateur utilisé pour établir la connexion.

      Remarque

      Concentrez-vous sur l’adresse du serveur (par exemple, sts.contoso.com) et non sur la syntaxe HTTP de fin (par exemple, / ?request=...).

    2. Après avoir reproduit l’erreur, procédez comme suit :

      1. Cliquez sur Afficher les certificats, puis sur l’onglet Détails . Comparez l’URL de l’étape A au champ Objet et aux champs Autre nom de l’objet dans la boîte de dialogue Propriétés du certificat.

        Capture d’écran montrant l’erreur dans la page Adresse incompatible.

      2. Vérifiez que l’adresse utilisée à l’étape A n’est pas répertoriée ou ne correspond à aucune entrée dans ces champs, ou les deux. S’il s’agit du cas, le certificat doit être réédité pour inclure l’adresse du serveur utilisée à l’étape A.

  • Le certificat n’a pas été émis par une autorité de certification racine approuvée. Si l’ordinateur client qui demande la connexion n’approuve pas la chaîne d’autorité de certification qui a généré le certificat, la demande de connexion émet un avertissement basé sur cet état. Pour vous assurer que le certificat réussit ce test, procédez comme suit :

    1. Régénérez l’avertissement du certificat, puis cliquez sur Afficher le certificat pour examiner le certificat. Sous l’onglet Chemin de certification , notez l’entrée de note racine affichée en haut.
    2. Cliquez sur Démarrer, sur Exécuter, tapez MMC, puis cliquez sur OK.
    3. Cliquez sur Fichier, cliquez sur Ajouter/supprimer le composant logiciel enfichable, cliquez sur Certificats, cliquez sur Ajouter, sélectionnez Compte d’ordinateur, cliquez sur Suivant, cliquez sur Terminer, puis cliquez sur OK.
    4. Dans le composant logiciel enfichable MMC, recherchez Racine de la Console, développez Certificats, développez Autorités de certification racines de confiance, cliquez sur Certificats, puis vérifiez qu’un certificat pour l’entrée de note racine que vous avez notée à l’étape A n’existe pas.

Solution

Pour résoudre ce problème, utilisez l’une des méthodes suivantes, en fonction du message d’avertissement.

Méthode 1 : Problèmes valides pendant une période définie

Pour résoudre les problèmes liés au temps, procédez comme suit.

  1. Rééditez le certificat avec une date de validité appropriée. Pour plus d’informations sur l’installation et la configuration d’un nouveau certificat SSL pour AD FS, consultez Comment modifier le certificat de communication de service AD FS 2.0 après son expiration.

  2. Si un proxy AD FS a été déployé, vous devez également installer le certificat sur le site web par défaut du proxy AD FS à l’aide des fonctions d’exportation et d’importation du certificat. Pour plus d’informations, consultez Comment supprimer, importer et exporter des certificats numériques.

    Important

    Vérifiez que la clé privée est incluse dans le processus d’exportation ou d’importation. Le serveur proxy AD FS ou les serveurs doivent également avoir une copie de la clé privée installée.

  3. Vérifiez que les paramètres de date et d’heure sur l’ordinateur client ou sur tous les serveurs AD FS sont corrects. L'avertissement s'affichera par erreur si les paramètres de date du système d'exploitation sont incorrects, et il indiquera de manière erronée une valeur qui se trouve en dehors de la plage de dates Valide de et Valide à.

Méthode 2 : Problèmes d’incompatibilité de nom de service

Le nom du service AD FS est défini lorsque vous exécutez l’Assistant Configuration AD FS et est basé sur le certificat lié au site web par défaut. Pour résoudre les problèmes d’incompatibilité de nom de service, procédez comme suit :

  1. Si le nom de certificat incorrect a été utilisé pour générer un certificat de remplacement, procédez comme suit :

    1. Vérifiez que le nom du certificat est incorrect.
    2. Rééditez le certificat approprié. Pour plus d’informations sur l’installation et la configuration d’un nouveau certificat SSL pour AD FS, consultez Comment modifier le certificat de communication de service AD FS 2.0 après son expiration.

  2. Si le point de terminaison idP AD FS ou les liens intelligents sont utilisés pour une expérience de connexion personnalisée, vérifiez que le nom du serveur utilisé correspond au certificat affecté au service AD FS.

  3. Dans de rares cas, cette condition peut également être due à une tentative incorrecte de modification du nom du service AD FS après l’implémentation.

    Important

    Ces types de modifications entraînent une panne de service AD FS. Après la mise à jour, vous devez suivre ces étapes pour restaurer la fonctionnalité d’authentification unique (SSO) :

    1. Exécutez l’applet de commande Update-MSOLFederatedDomain sur tous les espaces de noms fédérés.
    2. Réexécutez l'assistant de configuration du paramétrage pour tous les serveurs proxy AD FS dans l'environnement.

Remarque

Les modules Azure AD et MSOnline PowerShell sont déconseillés depuis le 30 mars 2024. Pour en savoir plus, consultez la mise à jour sur l'obsolescence. Après cette date, la prise en charge de ces modules se limite à une aide à la migration vers le Kit de développement logiciel (SDK) Microsoft Graph PowerShell et à des correctifs de sécurité. Les modules déconseillés continueront de fonctionner jusqu’au 30 mars 2025.

Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Pour connaître les questions courantes sur la migration, reportez-vous au FAQ sur la migration. Remarque : Les versions 1.0.x de MSOnline peuvent connaître une interruption après le 30 juin 2024.

Méthode 3 : Résolution des problèmes de confiance liés à la chaîne de certification

Vous pouvez résoudre les problèmes de confiance liés à l'autorité de certification (CA) émettrice en effectuant l'une des tâches suivantes :

  • Obtenez et utilisez un certificat à partir d’une source qui participe au programme de certificat racine Microsoft.
  • Demandez à l’émetteur du certificat de s’inscrire au programme de certificat racine Microsoft. Pour plus d’informations sur le programme de certificat racine et sur l’opération des certificats racines dans Windows, consultez Le programme de certificat racine Microsoft.

Avertissement

Nous ne recommandons pas que AD FS utilise une autorité de certification interne lorsqu'il est utilisé pour l’authentification unique avec Microsoft 365. L’utilisation d’une chaîne de certificats non approuvée par le centre de données Microsoft 365 entraîne l’échec de la connectivité Microsoft Outlook à Microsoft Exchange Online quand Outlook est utilisé avec des fonctionnalités d’authentification unique.

Plus d’informations

Vous avez toujours besoin d’aide ? Accédez à Communauté Microsoft ou au site web Microsoft Entra Forums.