Partager via

Renouveler les certificats de fédération pour Microsoft 365 et l’ID Microsoft Entra

  • Article

Aperçu

Pour une fédération réussie entre l’ID Microsoft Entra et les services de fédération Active Directory (AD FS), les certificats utilisés par AD FS pour signer des jetons de sécurité à Microsoft Entra ID doivent correspondre à ce qui est configuré dans l’ID Microsoft Entra. Toute incompatibilité peut entraîner une confiance rompue. Microsoft Entra ID garantit que ces informations sont synchronisées lorsque vous déployez AD FS et le proxy d’application web (pour l’accès extranet).

Remarque

Cet article fournit des informations sur la gestion de vos certificats de fédération. Pour obtenir des informations sur la rotation d’urgence, consultez Rotation d’urgence des certificats AD FS

Cet article fournit des informations supplémentaires pour gérer vos certificats de signature de jetons et les synchroniser avec l’ID Microsoft Entra, dans les cas suivants :

  • Vous ne déployez pas le proxy d’application web, et par conséquent, les métadonnées de fédération ne sont pas disponibles dans l’extranet.
  • Vous n’utilisez pas la configuration par défaut d’AD FS pour les certificats de signature de jetons.
  • Vous utilisez un fournisseur d’identité tiers.

Important

Microsoft recommande vivement d’utiliser un module de sécurité matériel (HSM) pour protéger et sécuriser les certificats. Pour plus d’informations, consultez module de sécurité matérielle dans la section des meilleures pratiques pour sécuriser AD FS.

Configuration par défaut d’AD FS pour les certificats de signature de jetons

Les certificats de signature de jeton et de déchiffrement de jeton sont généralement des certificats auto-signés et sont bons pendant un an. Par défaut, AD FS inclut un processus de renouvellement automatique appelé AutoCertificateRollover. Si vous utilisez AD FS 2.0 ou version ultérieure, Microsoft 365 et Microsoft Entra ID mettent automatiquement à jour votre certificat avant son expiration.

Notification de renouvellement du Centre d’administration Microsoft 365 ou d’un e-mail

Remarque

Si vous avez reçu un e-mail vous demandant de renouveler votre certificat pour Office, consultez Gestion des modifications apportées aux certificats de signature de jetons pour vérifier si vous devez effectuer des actions. Microsoft est conscient d’un problème possible qui peut entraîner l’envoi de notifications pour le renouvellement de certificat, même lorsqu’aucune action n’est requise.

Microsoft Entra ID tente de surveiller les métadonnées de fédération et de mettre à jour les certificats de signature de jetons comme indiqué par ces métadonnées. Trente-cinq (35) jours avant l’expiration des certificats de signature de jeton, Microsoft Entra ID vérifie si de nouveaux certificats sont disponibles en interrogeant les métadonnées de fédération.

  • S’il peut interroger correctement les métadonnées de fédération et récupérer les nouveaux certificats, aucune notification par e-mail n’est envoyée à l’utilisateur.
  • S’il ne peut pas récupérer les nouveaux certificats de signature de jetons, soit parce que les métadonnées de fédération ne sont pas accessibles ou que la substitution automatique de certificats n’est pas activée, l’ID Microsoft Entra émet un e-mail.

Important

Si vous utilisez AD FS pour garantir la continuité de l’activité, vérifiez que vos serveurs disposent des mises à jour suivantes afin que les échecs d’authentification pour les problèmes connus ne se produisent pas. Cela atténue les problèmes connus du serveur proxy AD FS pour ce renouvellement et les futures périodes de renouvellement :

Server 2012 R2 - Windows Server : correctif cumulatif de mai 2014

Server 2008 R2 et 2012 - l’authentification via le proxy échoue dans Windows Server 2012 ou Windows 2008 R2 SP1

Vérifiez si les certificats doivent être mis à jour

Étape 1 : Vérifier l’état AutoCertificateRollover

Sur votre serveur AD FS, ouvrez PowerShell. Vérifiez que la valeur AutoCertificateRollover est définie sur True.

Get-Adfsproperties

AutoCertificateRollover

Remarque

Si vous utilisez AD FS 2.0, exécutez d’abord Add-Pssnapin Microsoft.Adfs.PowerShell.

Étape 2 : Vérifier que AD FS et Microsoft Entra ID sont synchronisés

Sur votre serveur AD FS, ouvrez l’invite MSOnline PowerShell et connectez-vous à l’ID Microsoft Entra.

Remarque

MSOL-Cmdlets font partie du module MSOnline PowerShell. Vous pouvez télécharger le module MSOnline PowerShell directement à partir de PowerShell Gallery.

Install-Module MSOnline

Remarque

Les modules Azure AD et MSOnline PowerShell sont déconseillés depuis le 30 mars 2024. Pour en savoir plus, lisez les informations de dépréciation. Après cette date, la prise en charge de ces modules est limitée à l’assistance de migration vers le Kit de développement logiciel (SDK) Microsoft Graph PowerShell et les correctifs de sécurité. Les modules déconseillés continueront de fonctionner jusqu’au 30 mars 2025.

Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec l’ID Microsoft Entra (anciennement Azure AD). Pour connaître les questions courantes sur la migration, reportez-vous au forum aux questions sur la migration . Remarque : versions 1.0.x de MSOnline peut rencontrer une interruption après le 30 juin 2024.

Connectez-vous à Microsoft Entra ID à l’aide de MSOnline PowerShell-Module.

Import-Module MSOnline
Connect-MsolService

Vérifiez les certificats configurés dans les propriétés d’approbation AD FS et Microsoft Entra ID pour le domaine spécifié.

Get-MsolFederationProperty -DomainName <domain.name> | FL Source, TokenSigningCertificate

Get-MsolFederationProperty

Si les empreintes des deux sorties correspondent, vos certificats sont synchronisés avec l’ID Microsoft Entra.

Étape 3 : Vérifier si votre certificat est sur le point d’expirer

Dans la sortie de la commande Get-MsolFederationProperty ou Get-AdfsCertificate, vérifiez la date dans « Pas après ». Si la date est antérieure à 35 jours, vous devez prendre des mesures.

AutoCertificateRollover Certificats synchronisés avec l’ID Microsoft Entra Les métadonnées de fédération sont accessibles publiquement Validité Action
Oui Oui Oui - Aucune action n’est nécessaire. Voir Renouveler le certificat de signature de jetons automatiquement.
Oui Non - Moins de 15 jours Renouveler immédiatement. Voir Renouveler le certificat de signature de jetons manuellement.
Non - - Moins de 35 jours Renouveler immédiatement. Voir Renouveler le certificat de signature de jetons manuellement.

[-] Peu importe

Renouveler automatiquement le certificat de signature de jeton (recommandé)

Vous n’avez pas besoin d’effectuer des étapes manuelles si les deux éléments suivants sont vrais :

  • Vous avez déployé le proxy d’application web, qui peut activer l’accès aux métadonnées de fédération à partir du extranet.
  • Vous utilisez la configuration par défaut AD FS (AutoCertificateRollover est activée).

Vérifiez ce qui suit pour vérifier que le certificat peut être mis à jour automatiquement.

1. La propriété AD FS AutoCertificateRollover doit être définie sur True. Cela indique que AD FS génère automatiquement de nouveaux certificats de signature de jeton et de déchiffrement de jeton avant l’expiration des anciens certificats.

2. Les métadonnées de fédération AD FS sont accessibles publiquement. Vérifiez que vos métadonnées de fédération sont accessibles publiquement en accédant à l’URL suivante à partir d’un ordinateur sur l’Internet public (hors du réseau d’entreprise) :

https://(your_FS_name)/federationmetadata/2007-06/federationmetadata.xml

(your_FS_name) est remplacé par le nom d’hôte du service de fédération que votre organisation utilise, par exemple fs.contoso.com. Si vous êtes en mesure de vérifier ces deux paramètres avec succès, vous n’avez rien d’autre à faire.

Exemple : https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml

Renouveler le certificat de signature de jeton manuellement

Vous pouvez choisir de renouveler manuellement les certificats de signature de jeton. Par exemple, les scénarios suivants peuvent fonctionner mieux pour le renouvellement manuel :

  • Les certificats de signature de jeton ne sont pas des certificats auto-signés. La raison la plus courante est que votre organisation gère les certificats AD FS inscrits auprès d’une autorité de certification organisationnelle.
  • La sécurité réseau n’autorise pas la disponibilité publique des métadonnées de fédération.
  • Vous migrez le domaine fédéré d’un service de fédération existant vers un nouveau service de fédération.

Important

Si vous migrez un domaine fédéré existant vers un nouveau service de fédération, il est recommandé de suivre rotation d’urgence des certificats AD FS

Dans ces scénarios, chaque fois que vous mettez à jour les certificats de signature de jetons, vous devez également mettre à jour votre domaine Microsoft 365 à l’aide de la commande PowerShell, Update-MsolFederatedDomain.

Étape 1 : Vérifier que AD FS a de nouveaux certificats de signature de jetons

configuration non par défaut

Si vous utilisez une configuration non par défaut d’AD FS (où AutoCertificateRollover est défini sur False), vous utilisez probablement des certificats personnalisés (non auto-signés). Pour plus d’informations sur la façon de renouveler les certificats de signature de jeton AD FS, consultez exigences de certificat pour les serveurs fédérés.

les métadonnées de fédération ne sont pas disponibles publiquement

En revanche, si AutoCertificateRollover a la valeur True, mais que vos métadonnées de fédération ne sont pas accessibles publiquement, vérifiez d’abord que les nouveaux certificats de signature de jetons sont générés par AD FS. Vérifiez que vous disposez de nouveaux certificats de signature de jetons en procédant comme suit :

  1. Vérifiez que vous êtes connecté au serveur AD FS principal.

  2. Vérifiez les certificats de signature actuels dans AD FS en ouvrant une fenêtre de commande PowerShell et en exécutant la commande suivante :

    Get-ADFSCertificate -CertificateType Token-Signing

    Remarque

    Si vous utilisez AD FS 2.0, vous devez d’abord exécuter Add-Pssnapin Microsoft.Adfs.Powershell.

  3. Examinez la sortie de commande sur tous les certificats répertoriés. Si AD FS a généré un nouveau certificat, vous devez voir deux certificats dans la sortie : l’un pour lequel la valeur IsPrimary est True et la date de NotAfter est comprise dans les 5 jours, et l’autre pour laquelle isPrimary est False et NotAfter est d’environ un an à l’avenir.

  4. Si vous ne voyez qu’un seul certificat et que la date NotAfter est définie sur 5 jours, vous devez générer un nouveau certificat.

  5. Pour générer un nouveau certificat, exécutez la commande suivante à l’invite de commandes PowerShell : Update-ADFSCertificate -CertificateType Token-Signing.

  6. Vérifiez la mise à jour en exécutant à nouveau la commande suivante : Get-ADFSCertificate -CertificateType Token-Signing

Vous devez alors voir apparaître deux certificats, dont l’un présente une date NotAfter correspondant à environ un an après la date du jour et dont la valeur IsPrimary est définie sur False.

Étape 2 : Mettre à jour les nouveaux certificats de signature des jetons pour la confiance Microsoft 365

Mettez Microsoft 365 à jour avec les nouveaux certificats de signature de jeton devant être utilisés pour l’approbation en suivant la procédure ci-dessous.

  1. Ouvrez le module Azure AD PowerShell.
  2. Exécutez $cred=Get-Credential. Lorsque cette applet de commande vous invite à entrer des informations d’identification, tapez les informations d’identification de votre compte d’administrateur de service cloud.
  3. Exécutez Connect-MsolService -Credential $cred. Cette applet de commande vous connecte au service cloud. La création d’un contexte qui vous connecte au service cloud est nécessaire avant d’exécuter l’une des applets de commande supplémentaires installées par l’outil.
  4. Si vous exécutez ces commandes sur un ordinateur qui n’est pas le serveur de fédération principal AD FS, exécutez Set-MSOLAdfscontext -Computer <AD FS primary server>, où <serveur principal AD FS> est le nom de nom de domaine complet interne du serveur AD FS principal. Cette applet de commande crée un contexte qui vous connecte à AD FS.
  5. Exécutez Update-MSOLFederatedDomain -DomainName <domain>. Cette applet de commande met à jour les paramètres d’AD FS dans le service cloud et configure la relation d’approbation entre les deux.

Remarque

Si vous devez prendre en charge plusieurs domaines de niveau supérieur, tels que contoso.com et fabrikam.com, vous devez utiliser le commutateur SupportMultipleDomain avec les applets de commande. Pour plus d’informations, consultez Prise en charge de plusieurs domaines de premier niveau.

Si votre locataire est fédéré avec plusieurs domaines, vous devez exécuter Update-MsolFederatedDomain pour tous les domaines répertoriés dans la sortie de Get-MsolDomain -Authentication Federated. Cela garantit que tous les domaines fédérés sont mis à jour vers le certificat Token-Signing. Pour ce faire, exécutez : Get-MsolDomain -Authentication Federated | % { Update-MsolFederatedDomain -DomainName $_.Name -SupportMultipleDomain }

Réparer l’approbation Microsoft Entra ID à l’aide de Microsoft Entra Connect

Si vous avez configuré votre ferme de serveurs AD FS et l’approbation de Microsoft Entra ID avec Microsoft Entra Connect, vous pouvez utiliser Microsoft Entra Connect pour détecter si vous devez entreprendre des actions concernant vos certificats de signature de jetons. Si vous devez renouveler les certificats, vous pouvez utiliser Microsoft Entra Connect pour le faire.

Pour plus d’informations, consultez Réparer la confiance.

Étapes de mise à jour des certificats AD FS et Microsoft Entra

Les certificats de signature de jeton sont des certificats X509 standard utilisés pour signer en toute sécurité tous les jetons que le serveur de fédération émet. Les certificats de déchiffrement de jeton sont des certificats X509 standard utilisés pour déchiffrer les jetons entrants.

Par défaut, AD FS est configuré pour générer automatiquement des certificats de signature de jeton et de déchiffrement de jeton, à la fois au moment de la configuration initiale et lorsque les certificats approchent de leur date d’expiration.

Microsoft Entra ID tente de récupérer un nouveau certificat à partir de vos métadonnées de service de fédération 35 jours avant l’expiration du certificat actuel. Si un nouveau certificat n’est pas disponible à ce stade, l’ID Microsoft Entra continue de surveiller les métadonnées à intervalles quotidiens réguliers. Dès que le nouveau certificat est disponible dans les métadonnées, les paramètres de fédération du domaine sont mis à jour avec les nouvelles informations de certificat. Vous pouvez utiliser Get-MsolDomainFederationSettings pour vérifier si vous voyez le nouveau certificat dans NextSigningCertificate / SigningCertificate.

Pour plus d’informations sur les certificats de signature de jetons dans AD FS, consultez Obtenir et configurer des certificats de signature de jeton et de déchiffrement de jeton pour AD FS