Összevonási tanúsítványok megújítása a Microsoft 365-höz és a Microsoft Entra-azonosítóhoz
Áttekintés
A Microsoft Entra ID és Active Directory összevonási szolgáltatások (AD FS) (AD FS) közötti sikeres összevonáshoz az AD FS által a biztonsági jogkivonatok Microsoft Entra-azonosítóba való aláírásához használt tanúsítványoknak meg kell egyeznie a Microsoft Entra ID-ban konfigurált tanúsítvánnyal. Bármilyen eltérés a bizalmi kapcsolat megszakadásához vezethet. A Microsoft Entra ID biztosítja, hogy az AD FS és a Web Application Proxy (az extranet-hozzáféréshez) telepítésekor ezek az információk szinkronban maradjanak.
Feljegyzés
Ez a cikk az összevonási tanúsítványok kezelésével kapcsolatos információkat tartalmaz. A vészhelyzeti rotációval kapcsolatos információkért lásd az AD FS-tanúsítványok vészhelyzeti forgatását
Ez a cikk további információkat nyújt a jogkivonat-aláíró tanúsítványok kezeléséhez és a Microsoft Entra-azonosítóval való szinkronizálásukhoz a következő esetekben:
- Nem telepíti a webes alkalmazásproxy, ezért az összevonási metaadatok nem érhetők el az extraneten.
- Nem használja az AD FS alapértelmezett konfigurációját a jogkivonat-aláíró tanúsítványokhoz.
- Külső identitásszolgáltatót használ.
Fontos
A Microsoft erősen javasolja a hardveres biztonsági modul (HSM) használatát a tanúsítványok védelméhez és védelméhez. További információ: Hardveres biztonsági modul az AD FS biztonságossá tételével kapcsolatos ajánlott eljárásokban.
Az AD FS alapértelmezett konfigurációja jogkivonat-aláíró tanúsítványokhoz
A jogkivonat-aláírási és jogkivonat-visszafejtési tanúsítványok általában önaláírt tanúsítványok, és egy évig jók. Az AD FS alapértelmezés szerint tartalmaz egy AutoCertificateRollover nevű automatikus megújítási folyamatot. Ha az AD FS 2.0-s vagy újabb verzióját használja, a Microsoft 365 és a Microsoft Entra ID automatikusan frissíti a tanúsítványt, mielőtt lejár.
Megújítási értesítés a Microsoft 365 Felügyeleti központból vagy egy e-mailből
Feljegyzés
Ha e-mailt kapott, amely arra kéri, hogy újítsa meg a tanúsítványát az Office-hoz, olvassa el a jogkivonat-aláíró tanúsítványok módosításainak kezelése című témakört, amelyből megtudhatja , hogy szükséges-e bármilyen műveletet végrehajtania. A Microsoft tud egy lehetséges problémáról, amely a tanúsítványmegújításról szóló értesítések küldéséhez vezethet, még akkor is, ha nincs szükség műveletre.
A Microsoft Entra ID megpróbálja figyelni az összevonási metaadatokat, és frissíti a jogkivonat-aláíró tanúsítványokat a metaadatok által jelzett módon. A jogkivonat-aláíró tanúsítványok lejárata előtt 35 nappal a Microsoft Entra-azonosító ellenőrzi, hogy elérhetők-e új tanúsítványok az összevonási metaadatok lekérdezésével.
- Ha sikeresen le tudja kérni az összevonási metaadatokat, és lekérheti az új tanúsítványokat, a rendszer nem küld e-mail-értesítést a felhasználónak.
- Ha nem tudja lekérni az új jogkivonat-aláíró tanúsítványokat, vagy mert az összevonási metaadatok nem érhetőek el, vagy az automatikus tanúsítványátállítás nincs engedélyezve, a Microsoft Entra-azonosító e-mailt küld.
Fontos
Ha AD FS-t használ, az üzletmenet folytonosságának biztosítása érdekében ellenőrizze, hogy a kiszolgálók rendelkeznek-e a következő frissítésekkel, hogy az ismert problémák hitelesítési hibái ne forduljanak elő. Ez enyhíti az AD FS proxykiszolgálóval kapcsolatos ismert problémákat a megújítással és a jövőbeli megújítási időszakokkal kapcsolatban:
Server 2012 R2 – Windows Server 2014. májusi összegző frissítés
Server 2008 R2 és 2012 – A proxyn keresztüli hitelesítés sikertelen a Windows Server 2012 vagy a Windows 2008 R2 SP1 rendszerben
Ellenőrizze, hogy frissíteni kell-e a tanúsítványokat
1. lépés: Az AutoCertificateRollover állapotának ellenőrzése
Nyissa meg az AD FS-kiszolgálón a PowerShellt. Ellenőrizze, hogy az AutoCertificateRollover értéke True (Igaz) értékre van-e állítva.
Get-Adfsproperties
Feljegyzés
Ha az AD FS 2.0-t használja, először futtassa az Add-Pssnapin Microsoft.Adfs.Powershell parancsot.
2. lépés: Az AD FS és a Microsoft Entra ID szinkronizálásának megerősítése
Nyissa meg az MSOnline PowerShell-parancssort az AD FS-kiszolgálón, és csatlakozzon a Microsoft Entra-azonosítóhoz.
Feljegyzés
Az MSOL-parancsmagok az MSOnline PowerShell modul részét képezik. Az MSOnline PowerShell modult közvetlenül a PowerShell-galéria töltheti le.
Install-Module MSOnline
Feljegyzés
Az Azure AD- és MSOnline PowerShell-modulok 2024. március 30-ától elavultak. További információkért olvassa el az elavulás frissítését. Ezen dátum után ezeknek a moduloknak a támogatása a Microsoft Graph PowerShell SDK-ra való migrálásra és a biztonsági javításokra korlátozódik. Az elavult modulok 2025. március 30-ától működnek tovább.
Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábbi nevén Azure AD) használatához. Gyakori migrálási kérdésekért tekintse meg a migrálással kapcsolatos gyakori kérdéseket. Megjegyzés: Az MSOnline 1.0.x verziói 2024. június 30. után fennakadást tapasztalhatnak.
Csatlakozzon a Microsoft Entra ID-hez az MSOnline PowerShell-modul segítségével.
Import-Module MSOnline
Connect-MsolService
Ellenőrizze az AD FS és a Microsoft Entra ID bizalmi tulajdonságaiban konfigurált tanúsítványokat a megadott tartományhoz.
Get-MsolFederationProperty -DomainName <domain.name> | FL Source, TokenSigningCertificate
Ha mindkét kimenet ujjlenyomata megegyezik, akkor a tanúsítványok szinkronban vannak a Microsoft Entra ID-vel.
3\. lépés: Ellenőrizze, hogy a tanúsítvány nem jár-e le hamarosan
A Get-MsolFederationProperty vagy a Get-AdfsCertificate kimenetében ellenőrizze a dátumot a "Nem utána" területen. Ha a dátum kevesebb, mint 35 nap van hátra, tegye meg a szükséges lépéseket.
AutoCertificateRollover | Tanúsítványok szinkronban a Microsoft Entra ID-vel | Az összevonási metaadatok nyilvánosan elérhetők | Érvényességét | Művelet |
---|---|---|---|---|
Igen | Igen | Igen | - | Nincs szükség művelet végrehajtására. Lásd: Jogkivonat-aláíró tanúsítvány automatikus megújítása. |
Igen | Nem | - | Kevesebb, mint 15 nap | Azonnali megújítás. Lásd: Jogkivonat-aláíró tanúsítvány manuális megújítása. |
Nem | - | - | Kevesebb, mint 35 nap | Azonnali megújítás. Lásd: Jogkivonat-aláíró tanúsítvány manuális megújítása. |
[-] Nem számít
A jogkivonat-aláíró tanúsítvány automatikus megújítása (ajánlott)
Nem kell manuális lépéseket végrehajtania, ha az alábbiak mindegyike igaz:
- Üzembe helyezte a webes alkalmazásproxy, amely lehetővé teszi az összevonási metaadatok elérését az extranetről.
- Az AD FS alapértelmezett konfigurációját használja (az AutoCertificateRollover engedélyezve van).
Ellenőrizze az alábbiakat, hogy a tanúsítvány automatikusan frissíthető-e.
1. Az AD FS AutoCertificateRollover tulajdonságának True (Igaz) értékre kell állítania. Ez azt jelzi, hogy az AD FS automatikusan új jogkivonat-aláírási és jogkivonat-visszafejtési tanúsítványokat hoz létre, mielőtt a régiek lejárnak.
2. Az AD FS összevonási metaadatai nyilvánosan elérhetők. Ellenőrizze, hogy az összevonási metaadatok nyilvánosan elérhetők-e a következő URL-címre navigálva a nyilvános interneten (a vállalati hálózaton kívülről):
https://(your_FS_name)/federationmetadata/2007-06/federationmetadata.xml
(your_FS_name)
helyére a szervezet által használt összevonási szolgáltatás állomásneve kerül, például fs.contoso.com. Ha mindkét beállítást sikeresen ellenőrizni tudja, nem kell mást tennie.
Példa: https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml
A jogkivonat-aláíró tanúsítvány manuális megújítása
Dönthet úgy, hogy manuálisan megújítja a jogkivonat-aláíró tanúsítványokat. A következő forgatókönyvek például jobban működnek a manuális megújításhoz:
- A jogkivonat-aláíró tanúsítványok nem önaláírt tanúsítványok. Ennek leggyakoribb oka az, hogy a szervezet a szervezeti hitelesítésszolgáltatótól regisztrált AD FS-tanúsítványokat kezeli.
- A hálózati biztonság nem teszi lehetővé, hogy az összevonási metaadatok nyilvánosan elérhetők legyenek.
- Az összevont tartományt egy meglévő összevonási szolgáltatásból egy új összevonási szolgáltatásba migrálja.
Fontos
Ha meglévő összevont tartományt migrál egy új összevonási szolgáltatásba, javasoljuk, hogy kövesse az AD FS-tanúsítványok vészhelyzeti rotálását
Ezekben az esetekben minden alkalommal, amikor frissíti a jogkivonat-aláíró tanúsítványokat, a Microsoft 365-tartományt is frissítenie kell az Update-MsolFederatedDomain PowerShell-paranccsal.
1. lépés: Győződjön meg arról, hogy az AD FS új jogkivonat-aláíró tanúsítványokkal rendelkezik
Nem alapértelmezett konfiguráció
Ha az AD FS nem alapértelmezett konfigurációját használja (ahol az AutoCertificateRollover értéke False), akkor valószínűleg egyéni tanúsítványokat használ (nem önaláírt). Az AD FS-jogkivonat-aláíró tanúsítványok megújításáról további információt az összevont kiszolgálók tanúsítványkövetelményei című témakörben talál.
Az összevonási metaadatok nem érhetők el nyilvánosan
Ha viszont az AutoCertificateRolloverértéke Igaz, de az összevonási metaadatok nem érhetők el nyilvánosan, először győződjön meg arról, hogy az AD FS új jogkivonat-aláíró tanúsítványokat hozott létre. Az alábbi lépések végrehajtásával győződjön meg arról, hogy új jogkivonat-aláíró tanúsítványokkal rendelkezik:
Ellenőrizze, hogy be van-e jelentkezve az elsődleges AD FS-kiszolgálóra.
Ellenőrizze az aktuális aláíró tanúsítványokat az AD FS-ben egy PowerShell-parancsablak megnyitásával, és futtassa a következő parancsot:
Get-ADFSCertificate -CertificateType Token-Signing
Feljegyzés
Ha az AD FS 2.0-t használja, először futtassa
Add-Pssnapin Microsoft.Adfs.Powershell
.Tekintse meg a parancs kimenetét a felsorolt tanúsítványoknál. Ha az AD FS létrehozott egy új tanúsítványt, akkor a kimenetben két tanúsítványnak kell megjelennie: az egyiknél az IsPrimary értéke Igaz, a Másik dátum pedig 5 napon belül van, az egyiknél az IsPrimaryhamis, a Másik pedig egy év múlva.
Ha csak egy tanúsítványt lát, és a NotAfter dátum 5 napon belül van, létre kell hoznia egy új tanúsítványt.
Új tanúsítvány létrehozásához hajtsa végre a következő parancsot egy PowerShell-parancssorban:
Update-ADFSCertificate -CertificateType Token-Signing
Ellenőrizze a frissítést a következő parancs ismételt futtatásával:
Get-ADFSCertificate -CertificateType Token-Signing
Most két tanúsítványt kell felsorolni, amelyek közül az egyik a jövőben körülbelül egy év, és amelynek ÉrtékeHamis.
2. lépés: A Microsoft 365 megbízhatósági kapcsolat új jogkivonat-aláíró tanúsítványainak frissítése
Frissítse a Microsoft 365-öt a megbízhatósághoz használandó új jogkivonat-aláíró tanúsítványokkal az alábbiak szerint.
- Nyissa meg az Azure AD PowerShell-modult.
- Futtassa az
$cred=Get-Credential
parancsot. Amikor ez a parancsmag hitelesítő adatokat kér, írja be a felhőszolgáltatás-rendszergazdai fiók hitelesítő adatait. - Futtassa az
Connect-MsolService -Credential $cred
parancsot. Ez a parancsmag csatlakoztatja a felhőszolgáltatáshoz. Az eszköz által telepített további parancsmagok futtatása előtt létre kell hoznia egy környezetet, amely összeköti Önt a felhőszolgáltatással. - Ha olyan számítógépen futtatja ezeket a parancsokat, amely nem az AD FS elsődleges összevonási kiszolgálója, futtassa
Set-MSOLAdfscontext -Computer <AD FS primary server>
azt, ahol <az AD FS elsődleges kiszolgálója> az elsődleges AD FS-kiszolgáló belső teljes tartományneve. Ez a parancsmag létrehoz egy környezetet, amely az AD FS-hez csatlakozik. - Futtassa az
Update-MSOLFederatedDomain -DomainName <domain>
parancsot. Ez a parancsmag frissíti az AD FS beállításait a felhőszolgáltatásba, és konfigurálja a kettő közötti megbízhatósági kapcsolatot.
Feljegyzés
Ha több legfelső szintű tartományt , például contoso.com és fabrikam.com kell támogatnia, a SupportMultipleDomain kapcsolót minden parancsmaggal kell használnia. További információ: Több legfelső szintű tartomány támogatása.
Ha a bérlő több tartománnyal van összevonva, az Update-MsolFederatedDomain
összes tartományhoz futtatnia kell a következő kimenetben felsorolt tartományokat Get-MsolDomain -Authentication Federated
: . Ez biztosítja, hogy az összes összevont tartomány frissüljön a jogkivonat-aláíró tanúsítványra.
Ezt a következő futtatásával érheti el: Get-MsolDomain -Authentication Federated | % { Update-MsolFederatedDomain -DomainName $_.Name -SupportMultipleDomain }
A Microsoft Entra-azonosító megbízhatóságának javítása a Microsoft Entra Csatlakozás
Ha a Microsoft Entra Csatlakozás használatával konfigurálta az AD FS-farmot és a Microsoft Entra ID-megbízhatóságot, a Microsoft Entra Csatlakozás segítségével észlelheti, hogy szükséges-e bármilyen műveletet elvégeznie a jogkivonat-aláíró tanúsítványokkal kapcsolatban. Ha meg kell újítania a tanúsítványokat, ehhez használhatja a Microsoft Entra Csatlakozás.
További információ: A bizalmi kapcsolat javítása.
Az AD FS és a Microsoft Entra tanúsítványfrissítési lépései
A jogkivonat-aláíró tanúsítványok szabványos X509-tanúsítványok, amelyek az összevonási kiszolgáló által problémákat okozó összes jogkivonat biztonságos aláírására szolgálnak. A jogkivonat-visszafejtési tanúsítványok szabványos X509-tanúsítványok, amelyek a bejövő jogkivonatok visszafejtésére szolgálnak.
Az AD FS alapértelmezés szerint úgy van konfigurálva, hogy automatikusan hozzon létre jogkivonat-aláírási és jogkivonat-visszafejtési tanúsítványokat mind a kezdeti konfigurációs időpontban, mind pedig a tanúsítványok lejárati dátumának közeledésekor.
A Microsoft Entra ID 35 nappal az aktuális tanúsítvány lejárta előtt megpróbál lekérni egy új tanúsítványt az összevonási szolgáltatás metaadataiból. Ha egy új tanúsítvány jelenleg nem érhető el, a Microsoft Entra-azonosító továbbra is rendszeres napi időközönként figyeli a metaadatokat. Amint az új tanúsítvány elérhető a metaadatokban, a tartomány összevonási beállításai frissülnek az új tanúsítványadatokkal. Get-MsolDomainFederationSettings
Segítségével ellenőrizheti, hogy megjelenik-e az új tanúsítvány a NextSigningCertificate/SigningCertificate fájlban.
Az AD FS jogkivonat-aláíró tanúsítványainak beszerzéséről és konfigurálásához lásd: Jogkivonat-aláírási és jogkivonat-visszafejtési tanúsítványok beszerzése és konfigurálása az AD FS-ben