Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Visão geral
Para uma federação bem-sucedida entre o Microsoft Entra ID e os Serviços de Federação do Ative Directory (AD FS), os certificados usados pelo AD FS para assinar tokens de segurança para o Microsoft Entra ID devem corresponder ao que está configurado no Microsoft Entra ID. Qualquer descompasso pode levar à quebra de confiança. O Microsoft Entra ID garante que essas informações sejam mantidas em sincronia quando você implanta o AD FS e o Proxy de Aplicativo Web (para acesso à extranet).
Observação
Este artigo fornece informações sobre como gerenciar seus certificados de federação. Para obter informações sobre a rotação de emergência, consulte Rotação de emergência dos certificados AD FS
Este artigo fornece informações adicionais para gerenciar seus certificados de assinatura de token e mantê-los sincronizados com o Microsoft Entra ID, nos seguintes casos:
- Você não está implantando o Proxy de Aplicativo Web e, portanto, os metadados de federação não estão disponíveis na extranet.
- Você não está usando a configuração padrão do AD FS para certificados de assinatura de token.
- Você está usando um provedor de identidade de terceiros.
Importante
A Microsoft recomenda vivamente a utilização de um Hardware Security Module (HSM) para proteger e proteger certificados. Para obter mais informações, consulte Hardware Security Module em Práticas recomendadas para proteger o AD FS.
Configuração padrão do AD FS para certificados de assinatura de token
A assinatura de token e os certificados de descriptografia de token geralmente são certificados autoassinados e são válidos por um ano. Por padrão, o AD FS inclui um processo de renovação automática chamado AutoCertificateRollover. Se estiver a utilizar o AD FS 2.0 ou posterior, o Microsoft 365 e o Microsoft Entra ID atualizam automaticamente o certificado antes de este expirar.
Notificação de renovação do centro de administração do Microsoft 365 ou de um e-mail
Observação
Se você recebeu um email solicitando a renovação do certificado do Office, consulte Gerenciando alterações em certificados de assinatura de token para verificar se você precisa tomar alguma ação. A Microsoft está ciente de um possível problema que pode levar ao envio de notificações para renovação de certificados, mesmo quando nenhuma ação é necessária.
O Microsoft Entra ID tenta monitorar os metadados de federação e atualizar os certificados de assinatura de token conforme indicado por esses metadados. Trinta e cinco (35) dias antes da expiração dos certificados de assinatura de token, o Microsoft Entra ID verifica se novos certificados estão disponíveis pesquisando os metadados de federação.
- Se ele puder sondar com êxito os metadados da federação e recuperar os novos certificados, nenhuma notificação por e-mail será emitida para o usuário.
- Se não for possível recuperar os novos certificados de assinatura de token, seja porque os metadados de federação não estão acessíveis ou porque a substituição automática de certificados não está habilitada, o Microsoft Entra ID emitirá um e-mail.
Importante
Se você estiver usando o AD FS, para garantir a continuidade dos negócios, verifique se seus servidores têm as seguintes atualizações para que não ocorram falhas de autenticação por problemas conhecidos. Isso atenua problemas conhecidos do servidor proxy do AD FS para esta renovação e períodos de renovação futuros:
Server 2012 R2 - pacote cumulativo de atualizações do Windows Server de maio de 2014
Server 2008 R2 e 2012 - Falha de autenticação por proxy no Windows Server 2012 ou Windows 2008 R2 SP1
Verifique se os certificados precisam ser atualizados
Etapa 1: Verificar o estado do AutoCertificateRollover
No seu servidor AD FS, abra o PowerShell. Verifique se o valor AutoCertificateRollover está definido como True.
Get-Adfsproperties
Observação
Se estiver a utilizar o AD FS 2.0, execute primeiro Add-Pssnapin Microsoft.Adfs.Powershell.
Etapa 2: Confirmar se o AD FS e a ID do Microsoft Entra estão sincronizados
No servidor AD FS, abra o prompt do PowerShell e conecte-se ao ID do Microsoft Entra.
Observação
O Microsoft Entra faz parte do Microsoft Entra PowerShell. Você pode baixar o módulo Microsoft Entra PowerShell diretamente da Galeria do PowerShell.
Install-Module -Name Microsoft.Entra
Conecte-se ao Microsoft Entra ID.
Connect-Entra -Scopes 'Domain.Read.All'
Verifique os certificados configurados nas propriedades de confiança do AD FS e do Microsoft Entra ID para o domínio especificado.
Get-EntraFederationProperty -DomainName <domain.name> | FL Source, TokenSigningCertificate
Se as impressões digitais em ambas as saídas corresponderem, seus certificados estarão sincronizados com o ID do Microsoft Entra.
Passo 3: Verifique se o seu certificado está prestes a expirar
Na saída de Get-EntraFederationProperty ou Get-AdfsCertificate, verifique a data sob "Não Após". Se restarem menos de 35 dias, deve tomar medidas.
| Renovação Automática de Certificado | Certificados sincronizados com o Microsoft Entra ID | Os metadados de federação estão acessíveis publicamente | Validade | Ação |
|---|---|---|---|---|
| Sim | Sim | Sim | - | Nenhuma ação necessária. Consulte Renovar automaticamente o certificado de assinatura de token. |
| Sim | Não | - | Menos de 15 dias | Renove imediatamente. Consulte Renovar certificado de assinatura de token manualmente. |
| Não | - | - | Menos de 35 dias | Renove imediatamente. Consulte Renovar certificado de assinatura de token manualmente. |
[-] Não importa
Renovar o certificado de assinatura de token automaticamente (recomendado)
Não é necessário executar nenhuma etapa manual se ambas as opções a seguir forem verdadeiras:
- Você implementou o Proxy de Aplicação Web, que pode permitir o acesso aos metadados de federação da extranet.
- Você está usando a configuração padrão do AD FS (AutoCertificateRollover está habilitado).
Verifique o seguinte para confirmar que o certificado pode ser atualizado automaticamente.
1. A propriedade AutoCertificateRollover do AD FS deve ser definida como True. Isso indica que o AD FS gera automaticamente novos certificados de assinatura e descriptografia de token, antes que os antigos expirem.
2. Os metadados de federação do AD FS são acessíveis publicamente. Verifique se os metadados da federação estão acessíveis publicamente navegando para o seguinte URL a partir de um computador na Internet pública (fora da rede corporativa):
https://(your_FS_name)/federationmetadata/2007-06/federationmetadata.xml
onde (your_FS_name) é substituído pelo nome de host do serviço de federação que sua organização usa, como fs.contoso.com. Se conseguir verificar ambas as configurações, não precisa de fazer mais nada.
Exemplo: https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml
Renove o certificado de assinatura de token manualmente
Você pode optar por renovar os certificados de assinatura de token manualmente. Por exemplo, os seguintes cenários podem funcionar melhor para a renovação manual:
- Os certificados de assinatura de token não são certificados autoassinados. O motivo mais comum para isto é que a sua organização gerencia certificados de AD FS emitidos por uma autoridade de certificação organizacional.
- A segurança da rede não permite que os metadados de federação estejam disponíveis publicamente.
- Você está migrando o domínio federado de um serviço de federação existente para um novo serviço de federação.
Importante
Se você estiver migrando um domínio federado existente para um novo serviço de federação, é recomendável seguir Rotação de Emergência dos certificados do AD FS
Nesses cenários, sempre que atualizar os certificados de assinatura de token, você também deve atualizar seu domínio do Microsoft 365 usando o comando PowerShell, Update-MgDomainFederationConfiguration.
Etapa 1: Verifique se o AD FS tem novos certificados de assinatura de token
Configuração não padrão
Se estiver a utilizar uma configuração não predefinida do AD FS (em que AutoCertificateRollover está definido como False), provavelmente está a utilizar certificados personalizados (não autoassinados). Para obter mais informações sobre como renovar os certificados de assinatura de token do AD FS, consulte Requisitos de certificado para servidores federados.
metadados da Federação não estão disponíveis publicamente
Por outro lado, se AutoCertificateRollover estiver definido como True, mas os metadados de federação não estiverem acessíveis publicamente, primeiro certifique-se de que os novos certificados de assinatura de token são gerados pelo AD FS. Confirme se você tem novos certificados de assinatura de token seguindo as seguintes etapas:
Verifique se você está conectado ao servidor AD FS primário.
Verifique os certificados de assinatura atuais no AD FS abrindo uma janela de comando do PowerShell e executando o seguinte comando:
Get-ADFSCertificate -CertificateType Token-SigningObservação
Se estiver a utilizar o AD FS 2.0, deve executar primeiro o
Add-Pssnapin Microsoft.Adfs.Powershell.Observe a saída do comando em todos os certificados listados. Se o AD FS tiver gerado um novo certificado, você verá dois certificados na saída: um para o qual o valor IsPrimary é True e a data de NotAfter está dentro de 5 dias, e um para o qual IsPrimary é False e a data de NotAfter é aproximadamente um ano no futuro.
Se vires apenas um certificado e a data de NotAfter estiver dentro de 5 dias, precisarás criar um novo certificado.
Para gerar um novo certificado, execute o seguinte comando em um prompt de comando do PowerShell:
Update-ADFSCertificate -CertificateType Token-Signing.Verifique a atualização executando o seguinte comando novamente:
Get-ADFSCertificate -CertificateType Token-Signing
Dois certificados devem ser listados agora, um dos quais tem uma data de validade NotAfter de aproximadamente um ano a partir de agora, e cujo valor IsPrimary é False.
Etapa 2: Atualizar os novos certificados de assinatura de token para a confiança do Microsoft 365
Atualize o Microsoft 365 com os novos certificados de assinatura de token que serão usados para a confiança, da seguinte maneira.
- Abra o Azure PowerShell.
- Execute
Connect-Entra -Scopes 'Domain.Read.All'. Este cmdlet conecta você ao serviço de nuvem. É necessário criar um contexto que o conecte ao serviço de nuvem antes de executar qualquer um dos cmdlets adicionais instalados pela ferramenta. - Execute
Update-MgDomainFederationConfiguration -DomainId <domain> -InternalDomainFederationId <AD FS primary server>. Este cmdlet atualiza as configurações do AD FS no serviço de nuvem e configura a relação de confiança entre os dois.
Observação
Se precisar dar suporte a vários domínios de nível superior, como contoso.com e fabrikam.com, deve usar o switch SupportMultipleDomain com todos os cmdlets. Para obter mais informações, consulte Suporte para vários domínios de nível superior.
Se o cliente estiver federado com mais de um domínio, o Update-MgDomainFederationConfiguration precisará ser executado para todos os domínios, listados na saída do Get-EntraDomain | Select-Object -Property AuthenticationType:Federated. Isso garante que todos os domínios federados sejam atualizados para o certificado Token-Signing.
Você pode conseguir isso executando: Get-EntraDomain | Select-Object -Property AuthenticationType:Federated | % { Update-MgDomainFederationConfiguration -DomainName $_.Name -SupportMultipleDomain }
Restaurar a confiança no Microsoft Entra ID usando o Microsoft Entra Connect
Se configuraste o teu farm do AD FS e a confiança de ID do Microsoft Entra usando o Microsoft Entra Connect, podes usar o Microsoft Entra Connect para detetar se precisas tomar alguma ação relativamente aos teus certificados de assinatura de token. Se precisar renovar os certificados, você pode usar o Microsoft Entra Connect para fazer isso.
Para obter mais informações, consulte Reparação da confiança.
Etapas de atualização do certificado AD FS e Microsoft Entra
Os certificados de assinatura de token são certificados X509 padrão que são usados para assinar com segurança todos os tokens emitidos pelo servidor de federação. Os certificados de desencriptação de tokens são certificados X509 padrão que são usados para desencriptar quaisquer tokens recebidos.
Por padrão, o AD FS é configurado para gerar assinatura de token e certificados de descriptografia de token automaticamente, tanto no momento da configuração inicial quanto quando os certificados estão se aproximando da data de validade.
O Microsoft Entra ID tenta recuperar um novo certificado dos metadados do serviço de federação 35 dias antes da expiração do certificado atual. Caso um novo certificado não esteja disponível nesse momento, o Microsoft Entra ID continua a monitorar os metadados em intervalos diários regulares. Assim que o novo certificado estiver disponível nos metadados, as configurações de federação do domínio serão atualizadas com as novas informações do certificado. Você pode usar Get-MgDomainFederationConfiguration para verificar se você vê o novo certificado no NextSigningCertificate / SigningCertificate.
Para obter mais informações sobre certificados de assinatura de token no AD FS, consulte Obter e configurar certificados de assinatura de token e descriptografia de token para AD FS