Mises à jour obligatoire pour Services ADFS (AD FS) et Proxy d'application web (WAP)
Depuis octobre 2016, toutes les mises à jour de tous les composants de Windows Server sont publiées uniquement via Windows Update (WU). Il n’y a plus de correctifs logiciels ou de téléchargements individuels. Cela s'applique à Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 et Windows Server 2008 R2 SP1.
Cette page répertorie les packages cumulatifs d’un intérêt particulier pour AD FS et WAP, ainsi que la liste historique des mises à jour de correctifs logiciels recommandées pour AD FS et WAP.
Mises à jour pour AD FS et WAP dans Windows Server 2016
Les Mises à jour pour Windows Server 2016 sont fournies mensuellement via Windows Update et sont cumulatives. Le package de mise à jour répertorié ci-dessous est recommandé pour tous les serveurs AD FS et WAP 2016 et inclut toutes les mises à jour précédemment requises ainsi que les derniers correctifs.
| Ko # | Description | Date de publication |
|---|---|---|
| 4534271 | Corrige un échec potentiel de chrome AD FS en raison de la prise en charge des nouvelles stratégies de cookies SameSite par défaut pour la version 80 de Google Chrome. Pour plus d’informations, reportez-vous ici. | Janvier 2020 |
| CVE-2019-1126 | Cette mise à jour de sécurité résout une vulnérabilité dans Services ADFS (AD FS) qui pourrait permettre à un attaquant de contourner la stratégie de verrouillage extranet. | Juillet 2019 |
| 4489889 (build du système d’exploitation 14393.2879) | Résolution d’un problème dans Services ADFS (AD FS) qui provoque l’affichage d’une approbation de partie de confiance en double dans la console de gestion AD FS. Cela se produit lorsque vous créez ou affichez des approbations de partie de confiance à l’aide de la console de gestion AD FS. Résout un problème de latence de Services ADFS (AD FS) élevé (AD FS) Proxy d'application (WAP) (plus de 10 000 ms) qui se produit alors que le verrouillage intelligent extranet (ESL) est activé sur AD FS 2016. Cette mise à jour de sécurité corrige la vulnérabilité décrite dans CVE-2018-16794. | Mars 2019 |
| 4487006 (build du système d’exploitation 14393.2828) | Résolution d’un problème qui provoque l’échec des mises à jour d’une approbation de partie de confiance lors de l’utilisation de PowerShell ou de la console de gestion Services ADFS (AD FS). Ce problème se produit si vous configurez une approbation de partie de confiance pour utiliser une URL de métadonnées en ligne qui publie plusieurs PassiveRequestorEndpoint. L’erreur est « MSIS7615 : Les points de terminaison approuvés spécifiés dans une approbation de partie de confiance doivent être uniques pour cette approbation de partie de confiance ». Résolution d’un problème qui affiche un message d’erreur spécifique pour les modifications de mot de passe de complexité externe en raison des stratégies de protection par mot de passe Azure. | Février 2019 |
| 4462928 (build du système d’exploitation 14393.2580) | Résout les problèmes d’interopérabilité entre Services ADFS (AD FS) Extranet Smart Lockout (ESL) et l’ID de connexion secondaire. Lorsque l’ID de connexion secondaire est activé, les appels aux applets de commande PowerShell AD FS, Get-AdfsAccountActivity et Reset-AdfsAccountLockout, retournent les erreurs « Compte introuvable ». Lorsque Set-AdfsAccountActivity est appelé, une nouvelle entrée est ajoutée au lieu d’en modifier une existante. | Octobre 2018 |
| 4343884 (build du système d’exploitation 14393.2457) | Résout un problème de Services ADFS (AD FS) où l’authentification multifacteur ne fonctionne pas correctement avec les appareils mobiles qui utilisent des définitions de culture personnalisée. Résout un problème dans Windows Hello Entreprise qui provoque un retard significatif (15 secondes) dans la nouvelle inscription utilisateur. Ce problème se produit lorsqu’un module de sécurité matériel est utilisé pour stocker un certificat d’autorité d’inscription AD FS. | Août 2018 |
| 4338822 (build du système d’exploitation 14393.2395) | Résolution d’un problème dans AD FS qui montre une approbation de partie de confiance en double dans la console de gestion AD FS lors de la création ou de l’affichage des approbations de partie de confiance à partir de la console. Résolution d’un problème dans AD FS qui provoque l’échec de Windows Hello Entreprise. Le problème se produit lorsqu’il existe deux fournisseurs de revendications. L’inscription du code confidentiel échoue avec : « Erreur du serveur interne 400 : Impossible d’obtenir l’identificateur de l’appareil ». Résout un problème WAP lié aux connexions inactives qui ne se terminent jamais. Cela entraîne des fuites de ressources système (par exemple, une fuite de mémoire) et un service WAP qui ne répond plus. Résolution d’un problème AD FS qui empêche les utilisateurs de sélectionner une autre option de connexion. Cela se produit lorsque les utilisateurs choisissent de se connecter à l’aide de l’authentification basée sur les certificats, mais qu’elle n’a pas été configurée. Cela se produit également si les utilisateurs sélectionnent Authentification basée sur les certificats, puis essaient de sélectionner une autre option de connexion. Si cela se produit, les utilisateurs sont redirigés vers la page Authentification basée sur les certificats jusqu’à ce qu’ils ferment le navigateur. | Juillet 2018 |
| 4103720 (build du système d’exploitation 14393.2273) | Résolution d’un problème avec AD FS qui provoque l’échec d’une connexion initiée par le fournisseur d’identité à une partie de confiance SAML lorsque PreventTokenReplays est activé. Résout un problème AD FS qui se produit quand OAUTH s’authentifie à partir d’un appareil ou d’une application de navigateur. Une modification de mot de passe utilisateur génère un échec et oblige l’utilisateur à quitter l’application ou le navigateur pour se connecter. Résolution d’un problème où l’activation du verrouillage intelligent Extranet au format UTC +1 et ultérieur (Europe et Asie) ne fonctionnait pas. En outre, cela entraîne l’échec du verrouillage extranet normal avec l’erreur suivante : Get-AdfsAccountActivity : Les valeurs DateTime supérieures à DateTime.MaxValue ou inférieures à DateTime.MinValue lorsqu’elles sont converties en UTC ne peuvent pas être sérialisées au format JSON. Résolution d’un problème d’Windows Hello AD FS pour les entreprises dans lequel les nouveaux utilisateurs ne sont pas en mesure de provisionner leur code confidentiel. Cela se produit lorsqu’aucun fournisseur MFA n’est configuré. | Mai 2018 |
| 4093120 (build du système d’exploitation 14393.2214) | Résout un problème de validation de jeton d’actualisation non géré. Il génère l’erreur suivante : « Microsoft.IdentityServer.Web.Protocols.OAuth.Exceptions.OAuthInvalidRefreshTokenException : MSIS9312 : Reçu un jeton d’actualisation OAuth non valide. Le jeton d’actualisation a été reçu avant la durée autorisée dans le jeton. » | Avril 2018 |
| 4077525 (build du système d’exploitation 14393.2097) | Résolution d’un problème où une erreur HTTP 500 se produit lorsqu’une batterie de serveurs AD FS a au moins deux serveurs utilisant Base de données interne Windows (WID). Dans ce scénario, la pré-authentification HTTP de base sur le serveur Web Proxy d'application (WAP) ne parvient pas à authentifier certains utilisateurs. Lorsque l’erreur se produit, vous pouvez également voir l’ID d’événement d’avertissement Microsoft Windows Web Proxy d'application 13039 dans le journal des événements WAP. La description indique : « Web Proxy d'application n’a pas réussi à authentifier l’utilisateur. La pré-authentification est « AD FS for Rich Clients ». L’utilisateur donné n’est pas autorisé à accéder à la partie de confiance donnée. Les règles d’autorisation de la partie de confiance cible ou de la partie de confiance WAP doivent être modifiées. » Résolution d’un problème dans lequel AD FS ne peut plus ignorer prompt=login pendant l’authentification. Une option Désactivé a été ajoutée pour prendre en charge les scénarios dans lesquels l’authentification par mot de passe n’est pas utilisée. Pour plus d’informations, consultez AD FS ignore le paramètre « prompt=login » lors d’une authentification dans Windows Server 2016 RTM. Résolution d’un problème dans AD FS où les clients autorisés (et les parties de confiance) qui sélectionnent Certificat comme option d’authentification ne peuvent pas se connecter. L’échec se produit lors de l’utilisation de prompt=login si l’authentification intégrée Windows (WIA) est activée et que la demande peut effectuer WIA. Résolution du problème où AD FS affiche incorrectement la page De découverte du domaine d’accueil (HRD) lorsqu’un fournisseur d’identité (IDP) est associé à une partie de confiance dans un groupe OAuth. Sauf si plusieurs fournisseurs d’identité sont associés au RP dans le groupe OAuth, la page HRD ne s’affiche pas à l’utilisateur. Au lieu de cela, l’utilisateur accède directement au fournisseur d’identité associé pour l’authentification. | Février 2018 |
| 4041688 (build du système d’exploitation 14393.1794) | Ce correctif résout un problème qui par intermittence mal dirigé les demandes d’autorité AD vers le mauvais fournisseur d’identité en raison d’un comportement de mise en cache incorrect. Cela peut affecter des fonctionnalités d’authentification telles que l’authentification multifacteur. Ajout de la possibilité pour Microsoft Entra Connect Health de reporter l'intégrité du serveur AD FS avec une fidélité correcte (à l'aide de l'audit détaillé) sur les batteries de serveurs AD FS mixtes WS2012R2 et WS2016.Correction d'un problème d'échec avec un délai d'expiration lors de la mise à niveau de la batterie de serveurs AD FS 2012 R2 vers AD FS 2016, la cmdlet PowerShell pour augmenter le niveau de comportement de la batterie de serveurs lorsqu'il existe de nombreuses parties de confiance.Nous avons résolu un problème où AD FS provoque des échecs d'authentification en modifiant la valeur du paramètre wct lors de la fédération des demandes à d'autres serveurs de jetons de sécurité (STS). | Octobre 2017 |
| 4038801 (build du système d’exploitation 14393.1737) | Ajout de la prise en charge de la déconnexion OIDC à l’aide de LDPs fédérés. Cela autorise les « scénarios kiosque » dans lesquels plusieurs utilisateurs peuvent être connectés en série à un seul appareil où il existe une fédération avec un fournisseur de services cloud. Correction d’un problème WinHello où les certificats CEP/CES ne fonctionnent pas avec les comptes gMSA. Résout un problème où le Base de données interne Windows (WID) sur les serveurs Windows Server 2016 AD FS ne parvient pas à synchroniser certains paramètres, tels que les colonnes ApplicationGroupId des tables IdentityServerPolicy.Scopes et IdentityServerPolicy.Clients) en raison d’une contrainte de clé étrangère. De tels échecs de synchronisation peuvent entraîner des expériences de revendication, de fournisseur de revendications et d’application différentes entre les serveurs AD FS principaux et secondaires. En outre, si le rôle principal WID est déplacé vers un nœud secondaire, les groupes d’applications ne sont plus gérables dans l’expérience utilisateur de gestion AD FS. Cette mise à jour corrige un problème où l’authentification multifacteur ne fonctionne pas correctement avec les appareils mobiles qui utilisent des définitions de culture personnalisées | Septembre 2017 |
| 4034661 (build du système d’exploitation 14393.1613) | Résout un problème où l’adresse IP de l’appelant est journalisée par les événements 411 dans le journal des événements de sécurité des serveurs AD FS 4.0 \ Windows Server 2016 RS1 AD FS, même après avoir activé les « audits de réussite » et les « audits d’échec ». Ce correctif résout un problème avec Azure Multi Factor Authentication (MFA) lorsqu’un serveur ADFX est configuré pour utiliser un proxy HTTP. » Résolution d’un problème où la présentation d’un certificat expiré ou révoqué au serveur proxy AD FS ne renvoie pas d’erreur à l’utilisateur. » | Août 2017 |
| 4034658 (build du système d’exploitation 14393.1593) | Correctif pour le serveur AD FS 2016 afin de prendre en charge l’inscription de certificat MFA pour Windows Hello Entreprise pour les déploiements locaux | Août 2017 |
| 4025334 (build du système d’exploitation 14393.1532) | Résolution d’un problème où le gestionnaire de jeton PkeyAuth pouvait échouer une authentification si la requête pkeyauth contient des données incorrectes. L’authentification doit continuer sans effectuer l’authentification de l’appareil | Juillet 2017 |
| 4022723 (build du système d’exploitation 14393.1378) | [Web Proxy d'application] La valeur de la propriété de configuration DisableHttpOnlyCookieProtection n’est pas récupérée par WAP 2016 dans le déploiement mixte 2012R2/2016 [Web Proxy d'application] Impossible d’obtenir un jeton d’accès utilisateur à partir d’AD FS dans les scénarios de pré-authentification EAS. AD FS 2016 : la déconnexion WSFED entraîne une exception | Juin 2017 |
| 3213986 | Mise à jour cumulative 2016 de Windows Server 2016 pour systèmes x64 (KB3213986) | Janvier 2017 |
Mises à jour pour AD FS et WAP dans Windows Server 2012 R2
Vous trouverez ci-dessous la liste des correctifs logiciels et des correctifs cumulatifs qui ont été publiés pour Services ADFS (AD FS) dans Windows Server 2012 R2.
| Ko # | Description | Date de publication |
|---|---|---|
| 4534309 | Corrige un échec potentiel de chrome AD FS en raison de la prise en charge des nouvelles stratégies de cookies SameSite par défaut pour la version 80 de Google Chrome. Pour plus d’informations, reportez-vous ici. | Janvier 2020 |
| 4507448 | Cette mise à jour de sécurité résout une vulnérabilité dans Services ADFS (AD FS) qui pourrait permettre à un attaquant de contourner la stratégie de verrouillage extranet. | Juillet 2019 |
| 4041685 | Résolution d’un problème AD FS dans lequel les cookies MSISConext dans les en-têtes de requête peuvent éventuellement dépasser la limite de taille des en-têtes et entraîner l’échec de l’authentification avec le code d’état HTTP 400 « Demande incorrecte - En-tête trop long ». Correction d’un problème où AD FS ne peut plus ignorer « prompt=login » pendant l’authentification. Une option « Désactivé » a été ajoutée pour restaurer les scénarios où l’authentification sans mot de passe est utilisée. | Aperçu de la mise à jour cumulative d'octobre 2017 |
| 4019217 | Les clients dossiers de travail utilisant le répartiteur de jetons ne fonctionnent pas lors de l’utilisation d’un serveur AD FS Server 2012 R2 | Mise à jour cumulative de la préversion de mai 2017 |
| 4015550 | Correction d’un problème lié à l’échec de l’authentification des utilisateurs externes AD FS et à l’échec aléatoire du transfert de la demande par AD FS | Mise à jour cumulative d’avril 2017 |
| 4015547 | Correction d’un problème lié à l’échec de l’authentification des utilisateurs externes AD FS et à l’échec aléatoire du transfert de la demande par AD FS | Mise à jour de sécurité avril 2017 |
| 4012216 | MS17-019 Cette mise à jour de sécurité résout une vulnérabilité dans Services ADFS (AD FS). La vulnérabilité peut autoriser la divulgation d’informations si un attaquant envoie une requête spécialement conçue à un serveur AD FS, ce qui lui permet de lire des informations sensibles sur le système cible. | Mise à jour cumulative de mars 2017 |
| 3179574 | Résolution d’un problème lié à la mise à jour de mot de passe extranet AD FS. | Mise à jour cumulative d’août 2016 |
| 3172614 | Introduction de la prise en charge de prompt=login, résolution d’un problème avec la console de gestion AD FS et le paramètre AlwaysRequireAuthentication. | Mise à jour cumulative de juillet 2016 |
| Services ADFS (AD FS) 3.0 ne peut pas se connecter aux magasins d’attributs LDAP (Lightweight Directory Access Protocol) configurés pour utiliser le port SSL (Secure Sockets Layer) 636 ou 3269 dans la chaîne de connexion. | Mise à jour cumulative de juin 2016 | |
| 3148533 | L’authentification de secours MFA échoue via le proxy AD FS dans Windows Server 2012 R2 | Mai 2016 |
| 3134787 | Les journaux AD FS ne contiennent pas d’adresse IP du client pour les scénarios de verrouillage de compte dans Windows Server 2012 R2 | Février 2016 |
| 3134222 | MS16-020 : Mise à jour de sécurité pour Services ADFS pour résoudre le déni de service : 9 février 2016 | Février 2016 |
| 3105881 | Impossible d’accéder aux applications lorsque l’authentification des appareils est activée dans Windows Server 2012 serveur AD FS basé sur R2 | Octobre 2015 |
| 3092003 | Les pages se chargent à plusieurs reprises et l’authentification échoue lorsque les utilisateurs utilisent l’authentification multifacteur dans Windows Server 2012 R2 AD FS | Août 2015 |
| 3080778 | AD FS n’appelle pas OnError lorsque l’adaptateur MFA lève une exception dans Windows Server 2012 R2 | Juillet 2015 |
| 3075610 | Les relations d’approbation sont perdues sur le serveur AD FS secondaire après l’ajout ou la suppression d’un fournisseur de revendications dans Windows Server 2012 R2 | Juillet 2015 |
| 3070080 | Accueil La découverte du domaine ne fonctionne pas correctement pour l’approbation de partie de confiance qui ne prend pas en charge les revendications | Juin 2015 |
| 3052122 | La mise à jour ajoute la prise en charge des revendications d’ID composés dans les jetons AD FS dans Windows Server 2012 R2 | Mai 2015 |
| 3045711 | MS15-040 : Une vulnérabilité dans Services ADFS pourrait permettre la divulgation d’informations | Avril 2015 |
| 3042127 | Erreur « HTTP 400 - Requête incorrecte » lorsque vous ouvrez une boîte aux lettres partagée via WAP dans Windows Server 2012 R2 | Mars 2015 |
| 3042121 | Protection contre la relecture de jeton AD FS pour les jetons d’authentification web Proxy d'application dans Windows Server 2012 R2 | Mars 2015 |
| 3035025 | Correctif logiciel pour la fonctionnalité de mise à jour du mot de passe afin que les utilisateurs ne soient pas tenus d’utiliser l’appareil inscrit dans Windows Server 2012 R2 | Janvier 2015 |
| 3033917 | AD FS ne peut pas traiter la réponse SAML dans Windows Server 2012 R2 | Janvier 2015 |
| 3025080 | L’opération échoue lorsque vous essayez d’enregistrer un fichier Office via web Proxy d'application dans Windows Server 2012 R2 | Janvier 2015 |
| 3025078 | Vous n’êtes pas invité à entrer à nouveau le nom d’utilisateur lorsque vous utilisez un nom d’utilisateur incorrect pour vous connecter à Windows Server 2012 R2 | Janvier 2015 |
| 3020813 | Vous êtes invité à effectuer l’authentification lorsque vous exécutez une application web dans Windows Server 2012 R2 AD FS | Janvier 2015 |
| 3020773 | Échecs de délai d’attente après le déploiement initial du service d’inscription des appareils dans Windows Server 2012 R2 | Janvier 2015 |
| 3018886 | Vous êtes invité à entrer un nom d’utilisateur et un mot de passe deux fois lorsque vous accédez Windows Server 2012 serveur AD FS R2 à partir de l’intranet | Janvier 2015 |
| 3013769 | Mise à jour cumulative Windows Server 2012 R2 | Décembre 2014 |
| 3000850 | Mise à jour cumulative Windows Server 2012 R2 | novembre 2014 |
| 2975719 | Mise à jour cumulative Windows Server 2012 R2 | Août 2014 |
| 2967917 | Mise à jour cumulative Windows Server 2012 R2 | Juillet 2014 |
| 2962409 | Mise à jour cumulative Windows Server 2012 R2 | Juin 2014 |
| 2955164 | Mise à jour cumulative Windows Server 2012 R2 | May 2014 |
| 2919355 | Mise à jour cumulative Windows Server 2012 R2 | Avril 2014 |
Mises à jour pour AD FS dans Windows Server 2012 (AD FS 2.1) et AD FS 2.0
Vous trouverez ci-dessous la liste des correctifs logiciels et des correctifs cumulatifs qui ont été publiés pour AD FS 2.0 et 2.1.
| Ko # | Description | Date de publication | S’applique à : |
|---|---|---|---|
| 3197878 | L’authentification via le proxy échoue dans Windows Server 2012 (il s’agit de la version générale du correctif logiciel 3094446) | Correctif cumulatif de qualité de novembre 2016 | AD FS 2.1 |
| 3197869 | L’authentification via le proxy échoue dans Windows Server 2008 R2 SP1 (il s’agit de la version générale du correctif logiciel 3094446) | Correctif cumulatif de qualité de novembre 2016 | AD FS 2.0 |
| 3094446 | Échec de l’authentification par proxy dans Windows Server 2008 R2 SP1 ou dans Windows Server 2012 | Septembre 2015 | AD FS 2.0 et 2.1 |
| 3070078 | AD FS 2.1 lève une exception lorsque vous vous authentifiez auprès d’un certificat de chiffrement dans Windows Server 2012 | Juillet 2015 | AD FS 2.1 |
| 3062577 | MS15-062 : une vulnérabilité dans les services de fédération Active Directory (AD FS) pourrait permettre une élévation de privilèges | Juin 2015 | AD FS 2.0 / 2.1 |
| 3003381 | MS14-077 : Une vulnérabilité dans Services ADFS pourrait autoriser la divulgation d’informations : 14 avril 2015 | novembre 2014 | AD FS 2.0 / 2.1 |
| 2987843 | L’utilisation de la mémoire du serveur de fédération AD FS continue d’augmenter lorsque de nombreux utilisateurs se connectent à une application web dans Windows Server 2012 | Juillet 2014 | AD FS 2.1 |
| 2957619 | L’approbation de la partie de confiance dans AD FS est arrêtée lorsqu’une demande est adressée à AD FS pour un jeton délégué | May 2014 | AD FS 2.1 |
| 2926658 | Le déploiement de la batterie de serveurs SQL AD FS échoue si vous ne disposez pas d’autorisations SQL | Octobre 2014 | AD FS 2.1 |
| 2896713 ou 2989956 | La mise à jour est disponible pour résoudre plusieurs problèmes après l’installation des 2843638 de mise à jour de sécurité sur un serveur AD FS | Novembre 2013Septembre 2014 | AD FS 2.0 / 2.1 |
| 2877424 | La mise à jour vous permet d’utiliser un certificat pour plusieurs approbations de partie de confiance dans une batterie de serveurs AD FS 2.1 | Octobre 2013 | AD FS 2.1 |
| 2873168 | CORRECTIF : une erreur se produit lorsque vous utilisez un fournisseur de solutions cloud et un HSM tiers, puis que vous configurez une approbation de fournisseur de revendications dans le correctif cumulatif 3 pour AD FS 2.0 sur Windows Server 2008 R2 Service Pack 1 | Septembre 2013 | AD FS 2.0 |
| Une virgule dans le nom d’objet d’un certificat de chiffrement provoque une exception dans Windows Server 2008 R2 SP1 | août 2013 | AD FS 2.0 | |
| 2843639 | [Sécurité] Une vulnérabilité dans Services ADFS pourrait permettre la divulgation d’informations | novembre 2013 | AD FS 2.1 |
| 2843638 | MS13-066 : Description de la mise à jour de sécurité pour Services ADFS 2.0 : 13 août 2013 | août 2013 | AD FS 2.0 |
| 2827748 | Federationmetadata.xml fichier ne contient pas les informations de point de terminaison MEX pour les points de terminaison WS-Trust et WS-Federation dans Windows Server 2012 | Mai 2013 | AD FS 2.1 |
| 2790338 | Description du correctif cumulatif 3 pour les services ADFS (Active Directory Federation Services) 2.0 | Mars 2013 | AD FS 2.0 |