Odnawianie certyfikatów federacyjnych dla platformy Microsoft 365 i identyfikatora Entra firmy Microsoft

  • Artykuł

Omówienie

W przypadku pomyślnej federacji między identyfikatorem Entra firmy Microsoft i usługami Active Directory Federation Services (AD FS) certyfikaty używane przez usługi AD FS do podpisywania tokenów zabezpieczających do identyfikatora Entra firmy Microsoft powinny być zgodne z tym, co jest skonfigurowane w usłudze Microsoft Entra ID. Wszelkie niezgodności mogą prowadzić do przerwania relacji zaufania. Microsoft Entra ID zapewnia synchronizację tych informacji podczas wdrażania usług AD FS i serwera proxy aplikacji sieci Web (w celu uzyskania dostępu do extranetu).

Uwaga

Ten artykuł zawiera informacje dotyczące zarządzania certyfikatami federacyjnymi. Aby uzyskać informacje na temat rotacji awaryjnej, zobacz Rotacja awaryjne certyfikatów usług AD FS

Ten artykuł zawiera dodatkowe informacje umożliwiające zarządzanie certyfikatami podpisywania tokenów i synchronizowanie ich z identyfikatorem Entra firmy Microsoft w następujących przypadkach:

  • Nie wdrażasz serwer proxy aplikacji sieci Web, dlatego metadane federacji nie są dostępne w ekstranetzie.
  • Nie używasz domyślnej konfiguracji usług AD FS dla certyfikatów podpisywania tokenu.
  • Używasz dostawcy tożsamości innej firmy.

Ważne

Firma Microsoft zdecydowanie zaleca używanie sprzętowego modułu zabezpieczeń (HSM) do ochrony i zabezpieczania certyfikatów. Aby uzyskać więcej informacji, zobacz Sprzętowy moduł zabezpieczeń w ramach najlepszych rozwiązań dotyczących zabezpieczania usług AD FS.

Domyślna konfiguracja usług AD FS dla certyfikatów podpisywania tokenów

Certyfikaty podpisywania tokenu i odszyfrowywania tokenów są zwykle certyfikatami z podpisem własnym i są dobre przez jeden rok. Domyślnie usługi AD FS obejmują proces automatycznego odnawiania o nazwie AutoCertificateRollover. Jeśli używasz usług AD FS 2.0 lub nowszych, microsoft 365 i Microsoft Entra ID automatycznie zaktualizuj certyfikat przed jego wygaśnięciem.

Powiadomienie o odnowieniu z Centrum administracyjnego platformy Microsoft 365 lub w wiadomości e-mail

Uwaga

Jeśli otrzymano wiadomość e-mail z prośbą o odnowienie certyfikatu dla pakietu Office, zobacz Zarządzanie zmianami w certyfikatach podpisywania tokenów , aby sprawdzić, czy musisz podjąć jakiekolwiek działania. Firma Microsoft zdaje sobie sprawę z możliwego problemu, który może prowadzić do wysyłania powiadomień o odnowieniu certyfikatu, nawet jeśli nie jest wymagana żadna akcja.

Identyfikator Entra firmy Microsoft próbuje monitorować metadane federacji i aktualizować certyfikaty podpisywania tokenu wskazane przez te metadane. 35 dni przed wygaśnięciem certyfikatów podpisywania tokenu identyfikator Entra firmy Microsoft sprawdza, czy nowe certyfikaty są dostępne, sondując metadane federacji.

  • Jeśli można pomyślnie sondować metadane federacji i pobrać nowe certyfikaty, żadne powiadomienie e-mail nie zostanie wystawione użytkownikowi.
  • Jeśli nie można pobrać nowych certyfikatów podpisywania tokenu, ponieważ metadane federacji nie są osiągalne lub automatyczne przerzucanie certyfikatów nie jest włączone, identyfikator Entra firmy Microsoft wystawia wiadomość e-mail.

Ważne

Jeśli używasz usług AD FS, aby zapewnić ciągłość działania, sprawdź, czy serwery mają następujące aktualizacje, aby nie wystąpiły błędy uwierzytelniania dla znanych problemów. Ogranicza to znane problemy z serwerem proxy usług AD FS dla tego odnowienia i przyszłych okresów odnawiania:

Server 2012 R2 — pakiet zbiorczy systemu Windows Server z maja 2014 r.

Server 2008 R2 i 2012 — Uwierzytelnianie za pośrednictwem serwera proxy kończy się niepowodzeniem w systemie Windows Server 2012 lub Windows 2008 R2 z dodatkiem SP1

Sprawdzanie, czy certyfikaty muszą zostać zaktualizowane

Krok 1. Sprawdzanie stanu funkcji AutoCertificateRollover

Na serwerze usług AD FS otwórz program PowerShell. Sprawdź, czy wartość AutoCertificateRollover ma wartość True.

Get-Adfsproperties

AutoCertificateRollover

Uwaga

Jeśli używasz usług AD FS 2.0, najpierw uruchom polecenie Add-Pssnapin Microsoft.Adfs.Powershell.

Krok 2: Potwierdź, że usługi AD FS i Microsoft Entra ID są zsynchronizowane

Na serwerze usług AD FS otwórz wiersz polecenia PROGRAMU PowerShell MSOnline i połącz się z identyfikatorem Entra firmy Microsoft.

Uwaga

Polecenia cmdlet MSOL są częścią modułu MSOnline programu PowerShell. Moduł MSOnline programu PowerShell można pobrać bezpośrednio z Galeria programu PowerShell.

Install-Module MSOnline

Uwaga

Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.

Połącz się z usługą Microsoft Entra ID za pomocą modułu MSOnline PowerShell.

Import-Module MSOnline
Connect-MsolService

Sprawdź certyfikaty skonfigurowane we właściwościach zaufania usług AD FS i Microsoft Entra ID dla określonej domeny.

Get-MsolFederationProperty -DomainName <domain.name> | FL Source, TokenSigningCertificate

Get-MsolFederationProperty

Jeśli odciski palców w obu wynikach są zgodne, certyfikaty są zsynchronizowane z usługą Microsoft Entra ID.

Krok 3. Sprawdzanie, czy certyfikat wkrótce wygaśnie

W danych wyjściowych polecenia Get-MsolFederationProperty lub Get-AdfsCertificate sprawdź datę w obszarze "Nie po". Jeśli data jest mniejsza niż 35 dni, należy podjąć działania.

AutoCertificateRollover Certyfikaty zsynchronizowane z Microsoft Entra ID Metadane federacji są publicznie dostępne Poprawność Akcja
Tak Tak Tak - Nie jest wymagane żadne działanie. Zobacz Automatyczne odnawianie certyfikatu podpisywania tokenu.
Tak Nie - Mniej niż 15 dni Odnów natychmiast. Zobacz Ręczne odnawianie certyfikatu podpisywania tokenu.
Nie - - Mniej niż 35 dni Odnów natychmiast. Zobacz Ręczne odnawianie certyfikatu podpisywania tokenu.

[-] Nie ma znaczenia

Odnawianie certyfikatu podpisywania tokenu automatycznie (zalecane)

Nie musisz wykonywać żadnych ręcznych kroków, jeśli oba z następujących warunków są spełnione:

  • Wdrożono serwer proxy aplikacji sieci Web, co umożliwia dostęp do metadanych federacji z ekstranetu.
  • Używasz domyślnej konfiguracji usług AD FS (funkcja AutoCertificateRollover jest włączona).

Sprawdź następujące elementy, aby potwierdzić, że certyfikat może zostać automatycznie zaktualizowany.

1. Właściwość Ad FS AutoCertificateRollover musi być ustawiona na True. Oznacza to, że usługi AD FS automatycznie wygenerują nowe certyfikaty podpisywania tokenu i odszyfrowywania tokenów przed wygaśnięciem starych.

2. Metadane federacji usług AD FS są publicznie dostępne. Sprawdź, czy metadane federacji są publicznie dostępne, przechodząc do następującego adresu URL z komputera w publicznym Internecie (poza siecią firmową):

https://(your_FS_name)/federationmetadata/2007-06/federationmetadata.xml

gdzie (your_FS_name) jest zastępowany nazwą hosta usługi federacyjnej używanej przez organizację, na przykład fs.contoso.com. Jeśli możesz zweryfikować oba te ustawienia pomyślnie, nie musisz wykonywać żadnych innych czynności.

Przykład: https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml

Ręczne odnawianie certyfikatu podpisywania tokenu

Możesz ręcznie odnowić certyfikaty podpisywania tokenu. Na przykład następujące scenariusze mogą działać lepiej w przypadku ręcznego odnawiania:

  • Certyfikaty podpisywania tokenów nie są certyfikatami z podpisem własnym. Najczęstszą przyczyną jest to, że organizacja zarządza certyfikatami usług AD FS zarejestrowanymi z organizacyjnego urzędu certyfikacji.
  • Zabezpieczenia sieciowe nie zezwalają na publiczne udostępnianie metadanych federacji.
  • Migrujesz domenę federacyjną z istniejącej usługi federacyjnej do nowej usługi federacyjnej.

Ważne

W przypadku migrowania istniejącej domeny federacyjnej do nowej usługi federacyjnej zaleca się stosowanie rotacji awaryjnej certyfikatów usług AD FS

W tych scenariuszach za każdym razem, gdy aktualizujesz certyfikaty podpisywania tokenów, musisz również zaktualizować domenę platformy Microsoft 365 przy użyciu polecenia programu PowerShell Update-MsolFederatedDomain.

Krok 1. Upewnianie się, że usługi AD FS mają nowe certyfikaty podpisywania tokenów

Konfiguracja innej niż domyślna

Jeśli używasz konfiguracji innej niż domyślna usług AD FS (gdzie ustawienie AutoCertificateRollover ma wartość False), prawdopodobnie używasz certyfikatów niestandardowych (nie z podpisem własnym). Aby uzyskać więcej informacji na temat odnawiania certyfikatów podpisywania tokenów usług AD FS, zobacz Wymagania dotyczące certyfikatów dla serwerów federacyjnych.

Metadane federacji nie są publicznie dostępne

Z drugiej strony, jeśli ustawienie AutoCertificateRollover ma wartość True, ale metadane federacji nie są publicznie dostępne, najpierw upewnij się, że nowe certyfikaty podpisywania tokenu zostały wygenerowane przez usługi AD FS. Upewnij się, że masz nowe certyfikaty podpisywania tokenu, wykonując następujące kroki:

  1. Sprawdź, czy zalogowano się do podstawowego serwera usług AD FS.

  2. Sprawdź bieżące certyfikaty podpisywania w usługach AD FS, otwierając okno polecenia programu PowerShell i uruchamiając następujące polecenie:

    Get-ADFSCertificate -CertificateType Token-Signing

    Uwaga

    Jeśli używasz usług AD FS 2.0, należy uruchomić Add-Pssnapin Microsoft.Adfs.Powershell najpierw.

  3. Przyjrzyj się danych wyjściowych polecenia na liście certyfikatów. Jeśli usługi AD FS wygenerowały nowy certyfikat, powinny zostać wyświetlone dwa certyfikaty w danych wyjściowych: jeden, dla którego wartość IsPrimary ma wartość True, a data NotAfter mieści się w ciągu 5 dni, a jedna, dla której IsPrimary ma wartość False, a NotAfter wynosi około roku w przyszłości.

  4. Jeśli widzisz tylko jeden certyfikat, a data NotAfter mieści się w ciągu 5 dni, musisz wygenerować nowy certyfikat.

  5. Aby wygenerować nowy certyfikat, wykonaj następujące polecenie w wierszu polecenia programu PowerShell: Update-ADFSCertificate -CertificateType Token-Signing.

  6. Sprawdź aktualizację, uruchamiając ponownie następujące polecenie: Get-ADFSCertificate -CertificateType Token-Signing

Powinny być teraz wymienione dwa certyfikaty, z których jedna ma datę NotAfter w przybliżeniu rok w przyszłości, a dla których wartość IsPrimary ma wartość False.

Krok 2. Aktualizowanie nowych certyfikatów podpisywania tokenów dla relacji zaufania platformy Microsoft 365

Zaktualizuj platformę Microsoft 365 przy użyciu nowych certyfikatów podpisywania tokenów, które mają być używane dla zaufania, w następujący sposób.

  1. Otwórz moduł Azure AD PowerShell.
  2. Uruchom program $cred=Get-Credential. Gdy to polecenie cmdlet wyświetli monit o podanie poświadczeń, wpisz poświadczenia konta administratora usługi w chmurze.
  3. Uruchom program Connect-MsolService -Credential $cred. To polecenie cmdlet łączy Cię z usługą w chmurze. Utworzenie kontekstu łączącego cię z usługą w chmurze jest wymagane przed uruchomieniem dowolnego z dodatkowych poleceń cmdlet zainstalowanych przez narzędzie.
  4. Jeśli uruchamiasz te polecenia na komputerze, który nie jest podstawowym serwerem federacyjnym usług AD FS, uruchom polecenie Set-MSOLAdfscontext -Computer <AD FS primary server>, gdzie <serwer> podstawowy usług AD FS jest wewnętrzną nazwą FQDN podstawowego serwera usług AD FS. To polecenie cmdlet tworzy kontekst, który ustanawia połączenie z usługami AD FS.
  5. Uruchom program Update-MSOLFederatedDomain -DomainName <domain>. To polecenie cmdlet aktualizuje ustawienia z usług AD FS do usługi w chmurze i konfiguruje relację zaufania między nimi.

Uwaga

Jeśli musisz obsługiwać wiele domen najwyższego poziomu, takich jak contoso.com i fabrikam.com, musisz użyć przełącznika SupportMultipleDomain z dowolnymi poleceniami cmdlet. Aby uzyskać więcej informacji, zobacz Obsługa wielu domen najwyższego poziomu.

Jeśli dzierżawa jest sfederowana z więcej niż jedną domeną, Update-MsolFederatedDomain należy uruchomić dla wszystkich domen wymienionych w danych wyjściowych z .Get-MsolDomain -Authentication Federated Dzięki temu wszystkie domeny federacyjne zostaną zaktualizowane do certyfikatu podpisywania tokenów. Można to osiągnąć, uruchamiając następujące polecenie: Get-MsolDomain -Authentication Federated | % { Update-MsolFederatedDomain -DomainName $_.Name -SupportMultipleDomain }

Naprawianie zaufania identyfikatora Entra firmy Microsoft przy użyciu usługi Microsoft Entra Połączenie

Jeśli skonfigurowano farmę usług AD FS i zaufanie microsoft Entra ID przy użyciu usługi Microsoft Entra Połączenie, możesz użyć usługi Microsoft Entra Połączenie, aby wykryć, czy chcesz podjąć jakiekolwiek działania dla certyfikatów podpisywania tokenu. Jeśli musisz odnowić certyfikaty, możesz użyć usługi Microsoft Entra Połączenie, aby to zrobić.

Aby uzyskać więcej informacji, zobacz Naprawianie relacji zaufania.

Kroki aktualizacji certyfikatów usług AD FS i Firmy Microsoft Entra

Certyfikaty podpisywania tokenu to standardowe certyfikaty X509, które są używane do bezpiecznego podpisywania wszystkich tokenów wystawianych przez serwer federacyjny. Certyfikaty odszyfrowywania tokenów to standardowe certyfikaty X509 używane do odszyfrowywania wszystkich tokenów przychodzących.

Domyślnie usługi AD FS są skonfigurowane do automatycznego generowania certyfikatów podpisywania tokenu i odszyfrowywania tokenów, zarówno w początkowym czasie konfiguracji, jak i gdy certyfikaty zbliżają się do daty wygaśnięcia.

Microsoft Entra ID próbuje pobrać nowy certyfikat z metadanych usługi federacyjnej 35 dni przed wygaśnięciem bieżącego certyfikatu. W przypadku niedostępności nowego certyfikatu w tym czasie identyfikator Entra firmy Microsoft będzie nadal monitorować metadane w regularnych interwałach dziennych. Po udostępnieniu nowego certyfikatu w metadanych ustawienia federacji dla domeny są aktualizowane przy użyciu nowych informacji o certyfikacie. Możesz użyć Get-MsolDomainFederationSettings polecenia , aby sprawdzić, czy nowy certyfikat jest widoczny w pliku NextSigningCertificate /SigningCertificate.

Aby uzyskać więcej informacji na temat certyfikatów podpisywania tokenów w usługach AD FS, zobacz Uzyskiwanie i konfigurowanie podpisywania tokenu i odszyfrowywania certyfikatów dla usług AD FS