次の方法で共有


Microsoft 365 証明書利用者信頼の署名ハッシュ アルゴリズムを変更する

概要

Active Directory フェデレーション サービス (AD FS) から Microsoft Entra ID に対して発行されるトークンには、改ざんを防ぐために署名が施されます。 この署名には、SHA1 または SHA256 を使用できます。 Microsoft Entra ID で SHA256 アルゴリズムで署名されたトークンがサポートされるようになりました。最上位レベルのセキュリティ確保のため、トークン署名アルゴリズムを SHA256 に設定することをお勧めします。 この記事では、トークン署名アルゴリズムをより安全性の高い SHA 256 レベルに設定するために必要なステップについて説明します。

SHA1 よりセキュリティ保護されているという理由から、トークンに署名するためのアルゴリズムとしては SHA256 の使用をお勧めしますが、SHA1 は引き続きサポートされるオプションのままです。

トークン署名アルゴリズムの変更

以下に示したいずれかの手順で署名アルゴリズムが設定されると、Microsoft 365 の証明書利用者信頼用のトークンに対し、AD FS が SHA256 で署名するようになります。 特別な構成変更は必要ありません。変更したとしても、Microsoft 365 をはじめとする Microsoft Entra アプリケーションへのアクセス権には一切影響しません。

AD FS 管理コンソール

  1. プライマリ AD FS サーバーで AD FS 管理コンソールを開きます。
  2. AD FS ノードを展開し、 [証明書利用者信頼] をクリックします。
  3. Microsoft 365/Azure 証明書利用者信頼を右クリックし、[プロパティ] を選択します。
  4. [詳細設定] タブを選択し、セキュア ハッシュ アルゴリズムとして SHA 256 を選択します。
  5. OK をクリックします。

SHA256 署名アルゴリズム - MMC

AD FS PowerShell コマンドレット

  1. 任意の AD FS サーバーから管理者特権で PowerShell を開きます。

  2. Set-AdfsRelyingPartyTrust コマンドレットを使用してセキュア ハッシュ アルゴリズムを設定します。

    Set-AdfsRelyingPartyTrust -TargetName 'Microsoft Office 365 Identity Platform' -SignatureAlgorithm 'https://www.w3.org/2001/04/xmldsig-more#rsa-sha256'

追加情報