Összevonási tanúsítványok megújítása a Microsoft 365-höz és a Microsoft Entra-azonosítóhoz

Áttekintés

A Microsoft Entra ID és Active Directory összevonási szolgáltatások (AD FS) (AD FS) közötti sikeres összevonáshoz az AD FS által a biztonsági jogkivonatok Microsoft Entra-azonosítóba való aláírásához használt tanúsítványoknak meg kell egyeznie a Microsoft Entra ID-ban konfigurált tanúsítvánnyal. Bármilyen eltérés a bizalmi kapcsolat megszakadásához vezethet. A Microsoft Entra ID biztosítja, hogy az AD FS és a Web Application Proxy (az extranet-hozzáféréshez) telepítésekor ezek az információk szinkronban maradjanak.

Feljegyzés

Ez a cikk az összevonási tanúsítványok kezelésével kapcsolatos információkat tartalmaz. A vészhelyzeti rotációval kapcsolatos információkért lásd az AD FS-tanúsítványok vészhelyzeti forgatását

Ez a cikk további információkat nyújt a jogkivonat-aláíró tanúsítványok kezeléséhez és a Microsoft Entra-azonosítóval való szinkronizálásukhoz a következő esetekben:

• Nem telepíti a webes alkalmazásproxy, ezért az összevonási metaadatok nem érhetők el az extraneten.
• Nem használja az AD FS alapértelmezett konfigurációját a jogkivonat-aláíró tanúsítványokhoz.
• Külső identitásszolgáltatót használ.

Fontos

A Microsoft erősen javasolja a hardveres biztonsági modul (HSM) használatát a tanúsítványok védelméhez és védelméhez. További információ: Hardveres biztonsági modul az AD FS biztonságossá tételével kapcsolatos ajánlott eljárásokban.

Az AD FS alapértelmezett konfigurációja jogkivonat-aláíró tanúsítványokhoz

A jogkivonat-aláírási és jogkivonat-visszafejtési tanúsítványok általában önaláírt tanúsítványok, és egy évig jók. Az AD FS alapértelmezés szerint tartalmaz egy AutoCertificateRollover nevű automatikus megújítási folyamatot. Ha az AD FS 2.0-s vagy újabb verzióját használja, a Microsoft 365 és a Microsoft Entra ID automatikusan frissíti a tanúsítványt, mielőtt lejár.

Megújítási értesítés a Microsoft 365 Felügyeleti központból vagy egy e-mailből

Feljegyzés

Ha e-mailt kapott, amely arra kéri, hogy újítsa meg a tanúsítványát az Office-hoz, olvassa el a jogkivonat-aláíró tanúsítványok módosításainak kezelése című témakört, amelyből megtudhatja , hogy szükséges-e bármilyen műveletet végrehajtania. A Microsoft tud egy lehetséges problémáról, amely a tanúsítványmegújításról szóló értesítések küldéséhez vezethet, még akkor is, ha nincs szükség műveletre.

A Microsoft Entra ID megpróbálja figyelni az összevonási metaadatokat, és frissíti a jogkivonat-aláíró tanúsítványokat a metaadatok által jelzett módon. A jogkivonat-aláíró tanúsítványok lejárata előtt 35 nappal a Microsoft Entra-azonosító ellenőrzi, hogy elérhetők-e új tanúsítványok az összevonási metaadatok lekérdezésével.

• Ha sikeresen le tudja kérni az összevonási metaadatokat, és lekérheti az új tanúsítványokat, a rendszer nem küld e-mail-értesítést a felhasználónak.
• Ha nem tudja lekérni az új jogkivonat-aláíró tanúsítványokat, vagy mert az összevonási metaadatok nem érhetőek el, vagy az automatikus tanúsítványátállítás nincs engedélyezve, a Microsoft Entra-azonosító e-mailt küld.

Fontos

Ha AD FS-t használ, az üzletmenet folytonosságának biztosítása érdekében ellenőrizze, hogy a kiszolgálók rendelkeznek-e a következő frissítésekkel, hogy az ismert problémák hitelesítési hibái ne forduljanak elő. Ez enyhíti az AD FS proxykiszolgálóval kapcsolatos ismert problémákat a megújítással és a jövőbeli megújítási időszakokkal kapcsolatban:

Server 2012 R2 – Windows Server 2014. májusi összegző frissítés

Server 2008 R2 és 2012 – A proxyn keresztüli hitelesítés sikertelen a Windows Server 2012 vagy a Windows 2008 R2 SP1 rendszerben

Ellenőrizze, hogy frissíteni kell-e a tanúsítványokat

1. lépés: Az AutoCertificateRollover állapotának ellenőrzése

Nyissa meg az AD FS-kiszolgálón a PowerShellt. Ellenőrizze, hogy az AutoCertificateRollover értéke True (Igaz) értékre van-e állítva.

Get-Adfsproperties

Feljegyzés

Ha az AD FS 2.0-t használja, először futtassa az Add-Pssnapin Microsoft.Adfs.Powershell parancsot.

2. lépés: Az AD FS és a Microsoft Entra ID szinkronizálásának megerősítése

Nyissa meg az MSOnline PowerShell-parancssort az AD FS-kiszolgálón, és csatlakozzon a Microsoft Entra-azonosítóhoz.

Feljegyzés

Az MSOL-parancsmagok az MSOnline PowerShell modul részét képezik. Az MSOnline PowerShell modult közvetlenül a PowerShell-galéria töltheti le.

Install-Module MSOnline

Feljegyzés

Az Azure AD- és MSOnline PowerShell-modulok 2024. március 30-ától elavultak. További információkért olvassa el az elavulás frissítését. Ezen dátum után ezeknek a moduloknak a támogatása a Microsoft Graph PowerShell SDK-ra való migrálásra és a biztonsági javításokra korlátozódik. Az elavult modulok 2025. március 30-ától működnek tovább.

Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábbi nevén Azure AD) használatához. Gyakori migrálási kérdésekért tekintse meg a migrálással kapcsolatos gyakori kérdéseket. Megjegyzés: Az MSOnline 1.0.x verziói 2024. június 30. után fennakadást tapasztalhatnak.

Csatlakozzon a Microsoft Entra ID-hez az MSOnline PowerShell-modul segítségével.

Import-Module MSOnline
Connect-MsolService

Ellenőrizze az AD FS és a Microsoft Entra ID bizalmi tulajdonságaiban konfigurált tanúsítványokat a megadott tartományhoz.

Get-MsolFederationProperty -DomainName <domain.name> | FL Source, TokenSigningCertificate

Ha mindkét kimenet ujjlenyomata megegyezik, akkor a tanúsítványok szinkronban vannak a Microsoft Entra ID-vel.

3\. lépés: Ellenőrizze, hogy a tanúsítvány nem jár-e le hamarosan

A Get-MsolFederationProperty vagy a Get-AdfsCertificate kimenetében ellenőrizze a dátumot a "Nem utána" területen. Ha a dátum kevesebb, mint 35 nap van hátra, tegye meg a szükséges lépéseket.

AutoCertificateRollover	Tanúsítványok szinkronban a Microsoft Entra ID-vel	Az összevonási metaadatok nyilvánosan elérhetők	Érvényességét	Művelet
Igen	Igen	Igen	-	Nincs szükség művelet végrehajtására. Lásd: Jogkivonat-aláíró tanúsítvány automatikus megújítása.
Igen	Nem	-	Kevesebb, mint 15 nap	Azonnali megújítás. Lásd: Jogkivonat-aláíró tanúsítvány manuális megújítása.
Nem	-	-	Kevesebb, mint 35 nap	Azonnali megújítás. Lásd: Jogkivonat-aláíró tanúsítvány manuális megújítása.

[-] Nem számít

A jogkivonat-aláíró tanúsítvány automatikus megújítása (ajánlott)

Nem kell manuális lépéseket végrehajtania, ha az alábbiak mindegyike igaz:

• Üzembe helyezte a webes alkalmazásproxy, amely lehetővé teszi az összevonási metaadatok elérését az extranetről.
• Az AD FS alapértelmezett konfigurációját használja (az AutoCertificateRollover engedélyezve van).

Ellenőrizze az alábbiakat, hogy a tanúsítvány automatikusan frissíthető-e.

1. Az AD FS AutoCertificateRollover tulajdonságának True (Igaz) értékre kell állítania. Ez azt jelzi, hogy az AD FS automatikusan új jogkivonat-aláírási és jogkivonat-visszafejtési tanúsítványokat hoz létre, mielőtt a régiek lejárnak.

2. Az AD FS összevonási metaadatai nyilvánosan elérhetők. Ellenőrizze, hogy az összevonási metaadatok nyilvánosan elérhetők-e a következő URL-címre navigálva a nyilvános interneten (a vállalati hálózaton kívülről):

https://(your_FS_name)/federationmetadata/2007-06/federationmetadata.xml

(your_FS_name) helyére a szervezet által használt összevonási szolgáltatás állomásneve kerül, például fs.contoso.com. Ha mindkét beállítást sikeresen ellenőrizni tudja, nem kell mást tennie.

Példa: https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml

A jogkivonat-aláíró tanúsítvány manuális megújítása

Dönthet úgy, hogy manuálisan megújítja a jogkivonat-aláíró tanúsítványokat. A következő forgatókönyvek például jobban működnek a manuális megújításhoz:

• A jogkivonat-aláíró tanúsítványok nem önaláírt tanúsítványok. Ennek leggyakoribb oka az, hogy a szervezet a szervezeti hitelesítésszolgáltatótól regisztrált AD FS-tanúsítványokat kezeli.
• A hálózati biztonság nem teszi lehetővé, hogy az összevonási metaadatok nyilvánosan elérhetők legyenek.
• Az összevont tartományt egy meglévő összevonási szolgáltatásból egy új összevonási szolgáltatásba migrálja.

Fontos

Ha meglévő összevont tartományt migrál egy új összevonási szolgáltatásba, javasoljuk, hogy kövesse az AD FS-tanúsítványok vészhelyzeti rotálását

Ezekben az esetekben minden alkalommal, amikor frissíti a jogkivonat-aláíró tanúsítványokat, a Microsoft 365-tartományt is frissítenie kell az Update-MsolFederatedDomain PowerShell-paranccsal.

1. lépés: Győződjön meg arról, hogy az AD FS új jogkivonat-aláíró tanúsítványokkal rendelkezik

Nem alapértelmezett konfiguráció

Ha az AD FS nem alapértelmezett konfigurációját használja (ahol az AutoCertificateRollover értéke False), akkor valószínűleg egyéni tanúsítványokat használ (nem önaláírt). Az AD FS-jogkivonat-aláíró tanúsítványok megújításáról további információt az összevont kiszolgálók tanúsítványkövetelményei című témakörben talál.

Az összevonási metaadatok nem érhetők el nyilvánosan

Ha viszont az AutoCertificateRolloverértéke Igaz, de az összevonási metaadatok nem érhetők el nyilvánosan, először győződjön meg arról, hogy az AD FS új jogkivonat-aláíró tanúsítványokat hozott létre. Az alábbi lépések végrehajtásával győződjön meg arról, hogy új jogkivonat-aláíró tanúsítványokkal rendelkezik:

1. Ellenőrizze, hogy be van-e jelentkezve az elsődleges AD FS-kiszolgálóra.

2. Ellenőrizze az aktuális aláíró tanúsítványokat az AD FS-ben egy PowerShell-parancsablak megnyitásával, és futtassa a következő parancsot:

   Get-ADFSCertificate -CertificateType Token-Signing

   Feljegyzés

   Ha az AD FS 2.0-t használja, először futtassa Add-Pssnapin Microsoft.Adfs.Powershell .

3. Tekintse meg a parancs kimenetét a felsorolt tanúsítványoknál. Ha az AD FS létrehozott egy új tanúsítványt, akkor a kimenetben két tanúsítványnak kell megjelennie: az egyiknél az IsPrimary értéke Igaz, a Másik dátum pedig 5 napon belül van, az egyiknél az IsPrimaryhamis, a Másik pedig egy év múlva.

4. Ha csak egy tanúsítványt lát, és a NotAfter dátum 5 napon belül van, létre kell hoznia egy új tanúsítványt.

5. Új tanúsítvány létrehozásához hajtsa végre a következő parancsot egy PowerShell-parancssorban: Update-ADFSCertificate -CertificateType Token-Signing

6. Ellenőrizze a frissítést a következő parancs ismételt futtatásával: Get-ADFSCertificate -CertificateType Token-Signing

Most két tanúsítványt kell felsorolni, amelyek közül az egyik a jövőben körülbelül egy év, és amelynek ÉrtékeHamis.

2. lépés: A Microsoft 365 megbízhatósági kapcsolat új jogkivonat-aláíró tanúsítványainak frissítése

Frissítse a Microsoft 365-öt a megbízhatósághoz használandó új jogkivonat-aláíró tanúsítványokkal az alábbiak szerint.

1. Nyissa meg az Azure AD PowerShell-modult.
2. Futtassa az $cred=Get-Credential parancsot. Amikor ez a parancsmag hitelesítő adatokat kér, írja be a felhőszolgáltatás-rendszergazdai fiók hitelesítő adatait.
3. Futtassa az Connect-MsolService -Credential $cred parancsot. Ez a parancsmag csatlakoztatja a felhőszolgáltatáshoz. Az eszköz által telepített további parancsmagok futtatása előtt létre kell hoznia egy környezetet, amely összeköti Önt a felhőszolgáltatással.
4. Ha olyan számítógépen futtatja ezeket a parancsokat, amely nem az AD FS elsődleges összevonási kiszolgálója, futtassa Set-MSOLAdfscontext -Computer <AD FS primary server>azt, ahol <az AD FS elsődleges kiszolgálója> az elsődleges AD FS-kiszolgáló belső teljes tartományneve. Ez a parancsmag létrehoz egy környezetet, amely az AD FS-hez csatlakozik.
5. Futtassa az Update-MSOLFederatedDomain -DomainName <domain> parancsot. Ez a parancsmag frissíti az AD FS beállításait a felhőszolgáltatásba, és konfigurálja a kettő közötti megbízhatósági kapcsolatot.

Feljegyzés

Ha több legfelső szintű tartományt , például contoso.com és fabrikam.com kell támogatnia, a SupportMultipleDomain kapcsolót minden parancsmaggal kell használnia. További információ: Több legfelső szintű tartomány támogatása.

Ha a bérlő több tartománnyal van összevonva, az Update-MsolFederatedDomain összes tartományhoz futtatnia kell a következő kimenetben felsorolt tartományokat Get-MsolDomain -Authentication Federated: . Ez biztosítja, hogy az összes összevont tartomány frissüljön a jogkivonat-aláíró tanúsítványra. Ezt a következő futtatásával érheti el: Get-MsolDomain -Authentication Federated | % { Update-MsolFederatedDomain -DomainName $_.Name -SupportMultipleDomain }

A Microsoft Entra-azonosító megbízhatóságának javítása a Microsoft Entra Csatlakozás

Ha a Microsoft Entra Csatlakozás használatával konfigurálta az AD FS-farmot és a Microsoft Entra ID-megbízhatóságot, a Microsoft Entra Csatlakozás segítségével észlelheti, hogy szükséges-e bármilyen műveletet elvégeznie a jogkivonat-aláíró tanúsítványokkal kapcsolatban. Ha meg kell újítania a tanúsítványokat, ehhez használhatja a Microsoft Entra Csatlakozás.

További információ: A bizalmi kapcsolat javítása.

Az AD FS és a Microsoft Entra tanúsítványfrissítési lépései

A jogkivonat-aláíró tanúsítványok szabványos X509-tanúsítványok, amelyek az összevonási kiszolgáló által problémákat okozó összes jogkivonat biztonságos aláírására szolgálnak. A jogkivonat-visszafejtési tanúsítványok szabványos X509-tanúsítványok, amelyek a bejövő jogkivonatok visszafejtésére szolgálnak.

Az AD FS alapértelmezés szerint úgy van konfigurálva, hogy automatikusan hozzon létre jogkivonat-aláírási és jogkivonat-visszafejtési tanúsítványokat mind a kezdeti konfigurációs időpontban, mind pedig a tanúsítványok lejárati dátumának közeledésekor.

A Microsoft Entra ID 35 nappal az aktuális tanúsítvány lejárta előtt megpróbál lekérni egy új tanúsítványt az összevonási szolgáltatás metaadataiból. Ha egy új tanúsítvány jelenleg nem érhető el, a Microsoft Entra-azonosító továbbra is rendszeres napi időközönként figyeli a metaadatokat. Amint az új tanúsítvány elérhető a metaadatokban, a tartomány összevonási beállításai frissülnek az új tanúsítványadatokkal. Get-MsolDomainFederationSettings Segítségével ellenőrizheti, hogy megjelenik-e az új tanúsítvány a NextSigningCertificate/SigningCertificate fájlban.

Az AD FS jogkivonat-aláíró tanúsítványainak beszerzéséről és konfigurálásához lásd: Jogkivonat-aláírási és jogkivonat-visszafejtési tanúsítványok beszerzése és konfigurálása az AD FS-ben