Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Visão geral
O Active Directory Federation Services (AD FS) assina seus tokens com o Microsoft Entra ID para garantir que eles não possam ser adulterados. Essa assinatura pode ser baseada em SHA1 ou em SHA256. A ID do Microsoft Entra já dá suporte aos tokens assinados com um algoritmo SHA256, e recomendamos configurar o algoritmo de assinatura do token para SHA256 no nível mais alto de segurança. Este artigo descreve as etapas necessárias para definir o algoritmo de assinatura de token para o nível SHA256 mais seguro.
Observação
A Microsoft recomenda o uso do SHA256 como o algoritmo de assinatura de tokens, pois ele é mais seguro do que o SHA1; no entanto, o SHA1 ainda é uma opção com suporte.
Alterar o algoritmo de assinatura de token
Depois de definir o algoritmo de assinatura com um dos dois processos abaixo, o AD FS assina os tokens para a parte confiável do Microsoft 365 com SHA256. Você não precisa fazer alterações de configuração adicionais, e essa alteração não tem impactos na capacidade de acessar o Microsoft 365 ou outros aplicativos do Microsoft Entra.
Console de gerenciamento do AD FS
- Abra o console de gerenciamento do AD FS no servidor primário do AD FS.
- Expanda o nó AD FS e clique em Confianças de Parte Confiável.
- Clique com o botão direito do mouse na parte confiável do Microsoft 365/Azure e selecione Propriedades.
- Selecione a guia Avançado e selecione o Secure Hash Algorithm SHA256.
- Clique em OK.
Cmdlets do PowerShell do AD FS
Em qualquer servidor do AD FS, abra o PowerShell com privilégios de administrador.
Defina o algoritmo de hash seguro usando o cmdlet Set-AdfsRelyingPartyTrust.
Set-AdfsRelyingPartyTrust -TargetName 'Microsoft Office 365 Identity Platform' -SignatureAlgorithm 'https://www.w3.org/2001/04/xmldsig-more#rsa-sha256'