概要
Active Directory フェデレーション サービス (AD FS) から Microsoft Entra ID に対して発行されるトークンには、改ざんを防ぐために署名が施されます。 この署名には、SHA1 または SHA256 を使用できます。 Microsoft Entra ID で SHA256 アルゴリズムで署名されたトークンがサポートされるようになりました。最上位レベルのセキュリティ確保のため、トークン署名アルゴリズムを SHA256 に設定することをお勧めします。 この記事では、トークン署名アルゴリズムをより安全性の高い SHA 256 レベルに設定するために必要なステップについて説明します。
注
SHA1 よりセキュリティ保護されているという理由から、トークンに署名するためのアルゴリズムとしては SHA256 の使用をお勧めしますが、SHA1 は引き続きサポートされるオプションのままです。
トークン署名アルゴリズムの変更
以下に示したいずれかの手順で署名アルゴリズムが設定されると、Microsoft 365 の証明書利用者信頼用のトークンに対し、AD FS が SHA256 で署名するようになります。 特別な構成変更は必要ありません。変更したとしても、Microsoft 365 をはじめとする Microsoft Entra アプリケーションへのアクセス権には一切影響しません。
AD FS 管理コンソール
- プライマリ AD FS サーバーで AD FS 管理コンソールを開きます。
- AD FS ノードを展開し、 [証明書利用者信頼] をクリックします。
- Microsoft 365/Azure 証明書利用者信頼を右クリックし、[プロパティ] を選択します。
- [詳細設定] タブを選択し、セキュア ハッシュ アルゴリズムとして SHA 256 を選択します。
- OK をクリックします。
AD FS PowerShell コマンドレット
任意の AD FS サーバーから管理者特権で PowerShell を開きます。
Set-AdfsRelyingPartyTrust コマンドレットを使用してセキュア ハッシュ アルゴリズムを設定します。
Set-AdfsRelyingPartyTrust -TargetName 'Microsoft Office 365 Identity Platform' -SignatureAlgorithm 'https://www.w3.org/2001/04/xmldsig-more#rsa-sha256'