Renovar certificados de federação para Microsoft 365 e ID do Microsoft Entra
Visão geral
Para uma federação bem-sucedida entre o ID do Microsoft Entra e os Serviços de Federação do Active Directory (AD FS), os certificados usados pelo AD FS para assinar tokens de segurança no ID do Microsoft Entra devem corresponder ao que está configurado no ID do Microsoft Entra. Qualquer incompatibilidade pode interromper a relação de confiança. O Microsoft Entra ID garante que essas informações sejam mantidas em sincronia ao implantar o AD FS e o Proxy de Aplicativo Web (para acesso à extranet).
Observação
Este artigo fornece informações sobre como gerenciar seus certificados de federação. Para obter informações sobre a rotação de emergência, confira Rotação de emergência dos certificados do AD FS
Esse artigo fornece informações adicionais para gerenciar seus certificados de assinatura de token e mantê-los em sincronia com o ID do Microsoft Entra, nos seguintes casos:
- Você não está implantando o Proxy de Aplicativo Web e, assim, os metadados de federação não estão disponíveis na extranet.
- Você não está usando a configuração padrão do AD FS para certificados de assinatura de token.
- Você está usando um provedor de identidade de terceiros.
Importante
A Microsoft recomenda usar um HSM (Módulo de Segurança de Hardware) para proteger os certificados. Para obter mais informações, confira Módulo de Segurança de Hardware nas práticas recomendadas para proteger o AD FS.
Configuração padrão do AD FS para certificados de assinatura de token
Os certificados de assinatura de token e de descriptografia de token geralmente são autoassinados e têm validade de um ano. Por padrão, o AD FS inclui um processo de renovação automática chamado AutoCertificateRollover. Se você estiver usando o AD FS 2.0 ou posterior, o Microsoft 365 e o ID do Microsoft Entra atualizarão automaticamente seu certificado antes que ele expire.
Notificação de renovação enviada por email ou pelo centro de administração do Microsoft 365
Observação
Se você recebeu um email solicitando a renovação do certificado do Office, confira Gerenciamento de alterações para certificados de assinatura de token para saber se precisa tomar alguma providência. A Microsoft está ciente de um possível problema que pode levar ao envio de notificações para renovação de certificados, mesmo quando nenhuma ação é necessária.
O ID do Microsoft Entra tenta monitorar os metadados de federação e atualizar os certificados de assinatura de token conforme indicado por esses metadados. 35 dias antes da expiração dos certificados de assinatura de token, o ID do Microsoft Entra verifica se novos certificados estão disponíveis pesquisando os metadados de federação.
- Se ele puder sondar os metadados de federação e recuperar os novos certificados com êxito, nenhuma notificação por email será emitida para o usuário.
- Se não for possível recuperar os novos certificados de assinatura de token, seja porque os metadados de federação não estão acessíveis ou porque a substituição automática de certificados não está habilitada, o ID do Microsoft Entra emitirá um email.
Importante
Se você estiver usando o AD FS para garantir a continuidade de negócios, verifique se seus servidores têm as atualizações a seguir para que não ocorram falhas de autenticação causadas por problemas conhecidos. Isso reduz os problemas conhecidos de servidor de proxy do AD FS para essa renovação e períodos futuros de renovação:
Server 2012 R2 - Pacote cumulativo de atualizações do Windows Server de maio de 2014
Server 2008 R2 e 2012 - falha de autenticação por meio do proxy no Windows Server 2008 ou no Windows 2012 R2 SP1
Verifique se os certificados precisam ser atualizados
Etapa 1: verificar o estado de AutoCertificateRollover
No servidor do AD FS, abra o PowerShell. Verifique se o valor AutoCertificateRollover está definido como True.
Get-Adfsproperties
Observação
Se você estiver usando o AD FS 2.0, primeiro execute Add-Pssnapin Microsoft.Adfs.Powershell.
Etapa 2: confirmar se o AD FS e o ID do Microsoft Entra estão sincronizados
No servidor do AD FS, abra o prompt do PowerShell do MSOnline e conecte-se ao ID do Microsoft Entra.
Observação
Os Cmdlets MSOL fazem parte do módulo do MSOnline PowerShell. Baixe o módulo MSOnline do PowerShell diretamente na Galeria do PowerShell.
Install-Module MSOnline
Observação
Os módulos Azure AD e MSOnline PowerShell estão preteridos desde 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após essa data, o suporte a esses módulos se limitará à assistência à migração para o SDK do Microsoft Graph PowerShell e às correções de segurança. Os módulos preteridos continuarão funcionando até 30 de março de 2025.
Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (antigo Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas Frequentes sobre Migração. Observação: as versões 1.0.x do MSOnline poderão sofrer interrupções após 30 de junho de 2024.
Conecte-se ao ID do Microsoft Entra usando o MSOnline PowerShell-Module.
Import-Module MSOnline
Connect-MsolService
Verifique os certificados configurados nas propriedades de confiança do AD FS e do ID do Microsoft Entra para o domínio especificado.
Get-MsolFederationProperty -DomainName <domain.name> | FL Source, TokenSigningCertificate
Se as impressões digitais em ambas as saídas corresponderem, seus certificados estarão sincronizados com o ID do Microsoft Entra.
Etapa 3: verificar se o certificado está prestes a expirar
Na saída de Get-MsolFederationProperty ou Get-AdfsCertificate, verifique a data em "Not After". Se a data estiver a menos de 35 dias, você deverá executar uma ação.
| AutoCertificateRollover | Certificados sincronizados com o ID do Microsoft Entra | Os metadados de federação do AD FS estão acessíveis publicamente | Validade | Ação |
|---|---|---|---|---|
| Sim | Sim | Sim | - | Nenhuma ação necessária. Confira Renovar o certificado de assinatura de token automaticamente. |
| Sim | Não | - | Menos de 15 dias | Renovar imediatamente. Confira Renovar manualmente o certificado de assinatura de token . |
| Não | - | - | Menos de 35 dias | Renovar imediatamente. Confira Renovar manualmente o certificado de assinatura de token . |
[-] Não importa
Renovar o certificado de assinatura de token automaticamente (recomendado)
Você não precisará executar nenhuma etapa manual se os seguintes itens forem verdadeiros:
- Você já implantou o Proxy de Aplicativo Web, que pode habilitar o acesso a metadados de federação da extranet.
- Você está usando a configuração padrão do AD FS (AutoCertificateRollover está habilitado).
Verifique o seguinte para confirmar se o certificado pode ser atualizado automaticamente.
1. A propriedade AutoCertificateRollover do AD FS deve ser definida como True. Isso indica que o AD FS gerará automaticamente novos certificados de assinatura de token e de descriptografia de token antes da expiração dos antigos.
2. Os metadados de federação do AD FS estão acessíveis publicamente. Verifique se os metadados de federação são acessíveis publicamente, navegando até a seguinte URL em um computador na Internet pública (fora da rede corporativa):
https://(your_FS_name)/federationmetadata/2007-06/federationmetadata.xml
em que (your_FS_name) é substituído pelo nome de host de serviço de federação que sua organização usa, por exemplo, fs.contoso.com. Se você puder verificar ambas as configurações com êxito, não terá de fazer mais nada.
Exemplo: https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml
Renovar manualmente o certificado de assinatura de token
Você pode optar por renovar os certificados de assinatura de token manualmente. Por exemplo, os seguintes cenários podem funcionar melhor para a renovação manual:
- Os certificados de assinatura de token não são certificados autoassinados. O motivo mais comum para isso é que sua organização gerencia certificados do AD FS inscritos de uma autoridade de certificação organizacional.
- A segurança de rede não permite que os metadados de federação fiquem publicamente disponíveis.
- Você está migrando o domínio federado de um serviço de federação existente para um novo serviço de federação.
Importante
Se você estiver migrando um domínio federado existente para um novo serviço de federação, é recomendável seguir a Rotação de Emergência dos certificados do AD FS
Nesses cenários, sempre que atualizar os certificados de assinatura de token, você também deverá atualizar seu domínio do Microsoft 365 usando o comando Update-MsolFederatedDomain do PowerShell.
Etapa 1: verifique se o AD FS tem novos certificados de assinatura de token
Configuração não padrão
Se estiver usando uma configuração não padrão do AD FS (em que AutoCertificateRollover está definido como False), você provavelmente está usando certificados personalizados (não autoassinados). Para obter mais informações sobre como renovar os certificados de assinatura de token do AD FS, confira Requisitos de certificado para servidores federados.
Os metadados de federação não estão disponíveis publicamente
Por outro lado, se AutoCertificateRollover estiver definido como True, mas se os metadados de federação não estiverem acessíveis publicamente, primeiro verifique se novos certificados de assinatura de token foram gerados pelo AD FS. Confirme se você tem os novos certificados de assinatura de token por meio das seguintes etapas:
Verifique se você fez logon no servidor do AD FS primário.
Verifique os certificados de autenticação atuais no AD FS abrindo uma janela Comando do PowerShell e executando o seguinte comando:
Get-ADFSCertificate -CertificateType Token-SigningObservação
Se você estiver usando o AD FS 2.0, deverá executar
Add-Pssnapin Microsoft.Adfs.Powershellprimeiro.Examine a saída do comando em todos os certificados listados. Se o AD FS tiver gerado um novo certificado, você verá dois certificados na saída: um para o qual o valor IsPrimary é True e a data NotAfter está dentro de cinco dias e um para o qual IsPrimary é False e NotAfter está cerca de um ano no futuro.
Se você vir apenas um certificado e a data NotAfter for dentro de cinco dias, precisará gerar um novo certificado.
Para gerar um novo certificado, execute o seguinte comando em um prompt de comando do PowerShell:
Update-ADFSCertificate -CertificateType Token-Signing.Verifique a atualização executando o seguinte comando de novo:
Get-ADFSCertificate -CertificateType Token-Signing
Dois certificados deverão ser listados agora, um dos quais tem uma data NotAfter de aproximadamente um ano no futuro e para o qual o valor IsPrimary é False.
Etapa 2: atualizar os novos certificados de assinatura de token para a relação de confiança do Microsoft 365
Atualize o Microsoft 365 com os novos certificados de assinatura de token a serem usados para a relação de confiança, da maneira a seguir.
- Abra o módulo do PowerShell do Azure AD.
- Execute
$cred=Get-Credential. Quando este cmdlet solicitar credenciais, digite as credenciais da conta de administrador de serviços de nuvem. - Execute
Connect-MsolService -Credential $cred. Esse cmdlet conecta você ao serviço de nuvem. A criação de um contexto que conecta você ao serviço de nuvem é necessária antes de executar qualquer um dos cmdlets adicionais instalados pela ferramenta. - Se você estiver executando esses comandos em um computador que não seja o servidor de federação primário do AD FS, execute
Set-MSOLAdfscontext -Computer <AD FS primary server>, onde o <servidor primário AD FS> é o nome FQDN interno do servidor primário do AD FS. Esse cmdlet cria um contexto que conecta você ao AD FS. - Execute
Update-MSOLFederatedDomain -DomainName <domain>. Esse cmdlet atualiza as configurações do AD FS no serviço de nuvem e configura a relação de confiança entre os dois.
Observação
Se você precisar oferecer suporte a vários domínios de nível superior, como o contoso.com e fabrikam.com, você deve usar a mudança SupportMultipleDomain com quaisquer cmdlets. Para obter mais informações, veja Suporte para vários domínios de nível superior.
Se o locatário for federado com mais de um domínio, o Update-MsolFederatedDomainprecisará ser executado para todos os domínios listados na saída de Get-MsolDomain -Authentication Federated. Isso garantirá que todos os domínios federados sejam atualizados com o certificado de autenticação de tokens.
Para fazer isso, execute: Get-MsolDomain -Authentication Federated | % { Update-MsolFederatedDomain -DomainName $_.Name -SupportMultipleDomain }
Reparar a confiança do ID do Microsoft Entra usando o Microsoft Entra Connect
Se você configurou seu farm do AD FS e a confiança de ID do Microsoft Entra usando o Microsoft Entra Connect, poderá usar o Microsoft Entra Connect para detectar se precisa executar alguma ação para seus certificados de assinatura de token. Se você precisar renovar os certificados, poderá usar o Microsoft Entra Connect para fazer isso.
Para obter mais informações, confira Reparar a relação de confiança.
Etapas de atualização do certificado AD FS e Microsoft Entra
Certificados de autenticação de tokens são certificados X509 padrão que são usados para assinar com segurança todos os tokens que o servidor de federação emite. Certificados de descriptografia de token são certificados X509 padrão usados para descriptografar todos os tokens de entrada.
Por padrão, o AD FS está configurado para gerar os certificados de autenticação e descriptografia de tokens automaticamente durante a configuração inicial e quando os certificados estiverem próximos do vencimento.
O ID do Microsoft Entra tenta recuperar um novo certificado dos metadados do serviço de federação 35 dias antes da expiração do certificado atual. Caso um novo certificado não esteja disponível naquele momento, o ID do Microsoft Entra continuará a monitorar os metadados em intervalos diários regulares. Assim que o novo certificado estiver disponível nos metadados, as configurações de federação para o domínio serão atualizadas com as informações do novo certificado. Você pode usar Get-MsolDomainFederationSettings para verificar se o novo certificado aparece em NextSigningCertificate / SigningCertificate.
Para obter mais informações sobre Certificados de autenticação de tokens no AD FS, consulte Obter e configurar os certificados de autenticação e de descriptografia de tokens para o AD FS