Memperbarui sertifikat federasi untuk Microsoft 365 dan ID Microsoft Entra

  • Artikel

Gambaran Umum

Untuk federasi yang berhasil antara ID Microsoft Entra dan Layanan Federasi Direktori Aktif (AD FS), sertifikat yang digunakan oleh Layanan Federasi Direktori Aktif untuk menandatangani token keamanan ke ID Microsoft Entra harus cocok dengan apa yang dikonfigurasi di ID Microsoft Entra. Ketidakcocokan dapat menyebabkan rusaknya kepercayaan. Microsoft Entra ID memastikan bahwa informasi ini tetap tersinkronisasi saat Anda menyebarkan AD FS dan Proxy Aplikasi Web (untuk akses extranet).

Catatan

Artikel ini menyediakan informasi tentang mengelola sertifikat federasi Anda. Untuk informasi tentang rotasi darurat, lihat Rotasi Darurat sertifikat Layanan Federasi Direktori Aktif

Artikel ini memberi Anda informasi tambahan untuk mengelola sertifikat penandatanganan token Anda dan membuatnya tetap sinkron dengan ID Microsoft Entra, dalam kasus berikut:

  • Anda tidak menyebarkan Proksi Aplikasi Web, dan oleh karena itu metadata federasi tidak tersedia di ekstranet.
  • Anda tidak menggunakan konfigurasi default AD FS untuk sertifikat penandatanganan token.
  • Anda menggunakan penyedia identitas pihak ketiga.

Penting

Microsoft sangat menyarankan penggunaan Hardware Security Module (HSM) untuk melindungi dan mengamankan sertifikat. Untuk informasi selengkapnya, lihat Modul Keamanan Perangkat Keras, di bawah praktik terbaik untuk mengamankan AD FS.

Konfigurasi default AD FS untuk sertifikat penandatanganan token

Sertifikat penandatanganan token dan dekripsi token biasanya sertifikat yang ditandatangani, dan baik selama satu tahun. Secara default, AD FS menyertakan proses perpanjangan otomatis yang disebut AutoCertificateRollover. Jika Anda menggunakan LAYANAN Federasi Direktori Aktif 2.0 atau yang lebih baru, Microsoft 365 dan ID Microsoft Entra secara otomatis memperbarui sertifikat Anda sebelum kedaluwarsa.

Pemberitahuan perpanjangan dari pusat admin Microsoft 365 atau email

Catatan

Jika Anda menerima email yang meminta Anda memperbarui sertifikat untuk Office, lihat Mengelola perubahan pada sertifikat penandatanganan token untuk memeriksa apakah Anda perlu mengambil tindakan apa pun. Microsoft mengetahui kemungkinan masalah yang dapat menyebabkan pemberitahuan untuk perpanjangan sertifikat yang dikirim, bahkan ketika tidak ada tindakan yang diperlukan.

MICROSOFT Entra ID mencoba memantau metadata federasi, dan memperbarui sertifikat penandatanganan token seperti yang ditunjukkan oleh metadata ini. 35 hari sebelum kedaluwarsa sertifikat penandatanganan token, ID Microsoft Entra memeriksa apakah sertifikat baru tersedia dengan melakukan polling metadata federasi.

  • Jika berhasil melakukan polling metadata federasi dan mengambil sertifikat baru, tidak ada pemberitahuan email yang dikeluarkan untuk pengguna.
  • Jika tidak dapat mengambil sertifikat penandatanganan token baru, baik karena metadata federasi tidak dapat dijangkau atau rollover sertifikat otomatis tidak diaktifkan, ID Microsoft Entra mengeluarkan email.

Penting

Jika Anda menggunakan AD FS, untuk memastikan kelangsungan bisnis, pastikan bahwa server Anda memiliki pembaruan berikut sehingga kegagalan autentikasi untuk masalah yang diketahui tidak terjadi. Ini mengurangi masalah server proksi AD FS yang diketahui untuk periode perpanjangan dan perpanjangan mendatang ini:

Server 2012 R2 - Rollup Windows Server Mei 2014

Server 2008 R2 dan 2012 - Autentikasi melalui proksi gagal di Windows Server 2012 atau Windows 2008 R2 SP1

Pastikan apakah sertifikat perlu diperbarui

Langkah 1: Periksa status AutoCertificateRollover

Pada server AD FS, buka PowerShell. Periksa apakah nilai AutoCertificateRollover diatur ke True.

Get-Adfsproperties

AutoCertificateRollover

Catatan

Jika Anda menggunakan AD FS 2.0, pertama-tama jalankan Add-Pssnapin Microsoft.Adfs.Powershell.

Langkah 2: Konfirmasikan bahwa AD FS dan Microsoft Entra ID sudah sinkron

Di server Layanan Federasi Direktori Aktif Anda, buka perintah MSOnline PowerShell, dan sambungkan ke ID Microsoft Entra.

Catatan

MSOL-Cmdlets adalah bagian dari modul MSOnline PowerShell. Anda dapat mengunduh modul MSOnline PowerShell langsung dari Galeri PowerShell.

Install-Module MSOnline

Catatan

Modul Azure ACTIVE Directory dan MSOnline PowerShell tidak digunakan lagi per 30 Maret 2024. Untuk mempelajari lebih lanjut, baca pembaruan penghentian. Setelah tanggal ini, dukungan untuk modul ini terbatas pada bantuan migrasi ke Microsoft Graph PowerShell SDK dan perbaikan keamanan. Modul yang tidak digunakan lagi akan terus berfungsi hingga Maret, 30 2025.

Sebaiknya migrasi ke Microsoft Graph PowerShell untuk berinteraksi dengan ID Microsoft Entra (sebelumnya Microsoft Azure AD). Untuk pertanyaan umum tentang migrasi, lihat Tanya Jawab Umum Migrasi. Catatan: MSOnline versi 1.0.x mungkin mengalami gangguan setelah 30 Juni 2024.

Hubungkan ke Microsoft Entra ID menggunakan MSOnline PowerShell-Module.

Import-Module MSOnline
Connect-MsolService

Periksa sertifikat yang dikonfigurasi di properti kepercayaan AD FS dan Microsoft Entra ID untuk domain yang ditentukan.

Get-MsolFederationProperty -DomainName <domain.name> | FL Source, TokenSigningCertificate

Get-MsolFederationProperty

Jika sidik jari di kedua output cocok, sertifikat Anda disinkronkan dengan Microsoft Entra ID.

Langkah 3: Periksa apakah sertifikat Anda akan kedaluwarsa

Dalam output Get-MsolFederationProperty atau Get-AdfsCertificate, periksa tanggal di bawah "Tidak Setelah." Jika tanggal kurang dari 35 hari lagi, Anda harus mengambil tindakan.

AutoCertificateRollover Sertifikat disinkronkan dengan Microsoft Entra ID Metadata federasi dapat diakses secara publik Validitas Tindakan
Ya Ya Ya - Tidak ada tindakan yang diperlukan. Lihat Memperpanjang sertifikat penandatanganan token secara otomatis.
Ya Tidak - Kurang dari 15 hari Segera perpanjang. Lihat Memperpanjang sertifikat penandatanganan token secara manual.
Tidak - - Kurang dari 35 hari Segera perpanjang. Lihat Memperpanjang sertifikat penandatanganan token secara manual.

[-] Tidak masalah

Memperpanjang sertifikat penandatanganan token secara otomatis (disarankan)

Anda tidak perlu melakukan langkah manual jika kedua hal berikut ini benar:

  • Anda telah menyebarkan Proksi Aplikasi Web, yang dapat mengaktifkan akses ke metadata federasi dari ekstranet.
  • Anda menggunakan konfigurasi default AD FS (AutoCertificateRollover diaktifkan).

Periksa hal berikut untuk mengonfirmasi bahwa sertifikat dapat diperbarui secara otomatis.

1. Properti AD FS AutoCertificateRollover harus diatur ke True. Ini menunjukkan bahwa AD FS akan secara otomatis menghasilkan sertifikat penandatanganan token baru dan dekripsi token, sebelum yang lama kedaluwarsa.

2. Metadata federasi AD FS dapat diakses secara publik. Periksa apakah metadata federasi Anda dapat diakses secara publik dengan menavigasi ke URL berikut dari komputer di internet publik (di luar jaringan perusahaan):

https://(your_FS_name)/federationmetadata/2007-06/federationmetadata.xml

dengan (your_FS_name) diganti dengan nama host layanan federasi yang digunakan organisasi Anda, seperti fs.contoso.com. Jika Anda berhasil memverifikasi kedua pengaturan ini, Anda tidak perlu melakukan hal lain.

Contoh: https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml

Memperpanjang sertifikat penandatanganan token secara manual

Anda dapat memilih untuk memperpanjang sertifikat penandatanganan token secara manual. Misalnya, skenario berikut mungkin berfungsi lebih baik untuk perpanjangan manual:

  • Sertifikat penandatanganan token bukan sertifikat yang ditandatangani sendiri. Alasan paling umum untuk ini adalah organisasi Anda mengelola sertifikat AD FS yang terdaftar dari otoritas sertifikat organisasi.
  • Keamanan jaringan tidak memperbolehkan metadata federasi tersedia untuk umum.
  • Anda memigrasikan domain federasi dari layanan federasi yang ada ke layanan federasi baru.

Penting

Jika Anda memigrasikan domain federasi yang ada ke layanan federasi baru, disarankan untuk mengikuti Rotasi Darurat sertifikat Layanan Federasi Direktori Aktif

Dalam skenario ini, setiap kali memperbarui sertifikat penandatanganan token, Anda juga harus memperbarui domain Microsoft 365 dengan menggunakan perintah PowerShell, Update-MsolFederatedDomain.

Langkah 1: Pastikan AD FS memiliki sertifikat penandatanganan token baru

Konfigurasi non-default

Jika Anda menggunakan konfigurasi AD FS non-default (dengan AutoCertificateRollover diatur ke False), Anda mungkin menggunakan sertifikat kustom (bukan ditandatangani sendiri). Untuk informasi selengkapnya tentang cara memperpanjang sertifikat penandatanganan token AD FS, lihat Persyaratan sertifikat untuk server federasi.

Metadata federasi tidak tersedia untuk umum

Di sisi lain, jika AutoCertificateRollover diatur ke True, tetapi metadata federasi Anda tidak dapat diakses secara publik, pertama-tama pastikan bahwa sertifikat penandatanganan token baru telah dibuat oleh AD FS. Konfirmasikan bahwa Anda memiliki sertifikat penandatanganan token baru dengan melakukan langkah-langkah berikut:

  1. Pastikan Anda masuk ke server AD FS utama.

  2. Periksa sertifikat penandatanganan saat ini di AD FS dengan membuka jendela perintah PowerShell, dan jalankan perintah berikut ini:

    Get-ADFSCertificate -CertificateType Token-Signing

    Catatan

    Jika Anda menggunakan Layanan Federasi Direktori Aktif 2.0, Anda harus menjalankannya Add-Pssnapin Microsoft.Adfs.Powershell terlebih dahulu.

  3. Lihat output perintah pada setiap sertifikat yang tercantum. Jika AD FS telah menghasilkan sertifikat baru, Anda akan melihat dua sertifikat dalam output: satu untuk yang nilai IsPrimary adalah True dan tanggal NotAfter dalam 5 hari, dan satu yang nilai IsPrimary adalah False dan NotAfter sekitar satu tahun di masa depan.

  4. Jika Anda hanya melihat satu sertifikat, dan tanggal NotAfter dalam 5 hari, Anda perlu membuat sertifikat baru.

  5. Untuk menghasilkan sertifikat baru, jalankan perintah berikut ini di prompt perintah PowerShell: Update-ADFSCertificate -CertificateType Token-Signing.

  6. Verifikasi pembaruan dengan menjalankan perintah berikut lagi: Get-ADFSCertificate -CertificateType Token-Signing

Dua sertifikat harus dicantumkan sekarang, salah satunya memiliki tanggal NotAfter sekitar satu tahun di masa depan, dan yang nilai IsPrimary adalah False.

Langkah 2: Perbarui sertifikat penandatanganan token baru untuk kepercayaan Microsoft 365

Perbarui Microsoft 365 dengan sertifikat penandatanganan token baru yang akan digunakan untuk kepercayaan, sebagai berikut.

  1. Buka modul Azure AD PowerShell.
  2. Jalankan $cred=Get-Credential. Saat cmdlet ini meminta kredensial kepada Anda, ketikkan kredensial akun administrator layanan cloud Anda.
  3. Jalankan Connect-MsolService -Credential $cred. Cmdlet ini menghubungkan Anda ke layanan awan. Membuat konteks yang menghubungkan Anda ke layanan cloud diperlukan sebelum menjalankan cmdlet tambahan yang diinstal oleh alat.
  4. Jika Anda menjalankan perintah ini di komputer yang bukan server federasi utama Layanan Federasi Direktori Aktif, jalankan Set-MSOLAdfscontext -Computer <AD FS primary server>, di mana <server> utama Layanan Federasi Direktori Aktif adalah nama FQDN internal server AD FS utama. Cmdlet ini menciptakan konteks yang menghubungkan Anda dengan AD FS.
  5. Jalankan Update-MSOLFederatedDomain -DomainName <domain>. Cmdlet ini memperbarui pengaturan dari AD FS ke dalam layanan cloud dan mengonfigurasi hubungan kepercayaan antara keduanya.

Catatan

Jika Anda perlu mendukung beberapa domain tingkat atas, seperti contoso.com dan fabrikam.com, Anda harus menggunakan tombol SupportMultipleDomain dengan cmdlet apa pun. Untuk informasi selengkapnya, lihat Dukungan untuk Beberapa Domain Tingkat Atas.

Jika penyewa Anda digabungkan dengan lebih dari satu domain, Update-MsolFederatedDomain perlu dijalankan untuk semua domain, yang tercantum dalam output dari Get-MsolDomain -Authentication Federated. Ini akan memastikan bahwa semua domain federasi diperbarui ke sertifikat Penandatanganan Token. Anda dapat mencapainya dengan menjalankan: Get-MsolDomain -Authentication Federated | % { Update-MsolFederatedDomain -DomainName $_.Name -SupportMultipleDomain }

Perbaiki kepercayaan MICROSOFT Entra ID dengan menggunakan Microsoft Entra Koneksi

Jika Anda mengonfigurasi farm Layanan Federasi Direktori Aktif dan kepercayaan ID Microsoft Entra dengan menggunakan Microsoft Entra Koneksi, Anda dapat menggunakan Microsoft Entra Koneksi untuk mendeteksi apakah Anda perlu mengambil tindakan apa pun untuk sertifikat penandatanganan token Anda. Jika Perlu memperbarui sertifikat, Anda dapat menggunakan Microsoft Entra Koneksi untuk melakukannya.

Untuk informasi selengkapnya, lihat Memperbaiki kepercayaan.

Langkah-langkah pembaruan sertifikat Ad FS dan Microsoft Entra

Sertifikat penandatanganan token adalah sertifikat X509 standar yang digunakan untuk menandatangani semua token yang diterbitkan server federasi dengan aman. Sertifikat dekripsi token adalah sertifikat X509 standar yang digunakan untuk mendekripsi token yang masuk.

Secara default, AD FS dikonfigurasi untuk menghasilkan sertifikat penandatanganan token dan dekripsi token secara otomatis, baik pada waktu konfigurasi awal maupun ketika sertifikat mendekati tanggal kedaluwarsanya.

MICROSOFT Entra ID mencoba mengambil sertifikat baru dari metadata layanan federasi Anda 35 hari sebelum kedaluwarsa sertifikat saat ini. Jika sertifikat baru tidak tersedia pada saat itu, ID Microsoft Entra akan terus memantau metadata pada interval harian reguler. Segera setelah sertifikat baru tersedia dalam metadata, pengaturan federasi untuk domain diperbarui dengan informasi sertifikat baru. Anda dapat menggunakan Get-MsolDomainFederationSettings untuk memverifikasi apakah Anda melihat sertifikat baru di NextSigningCertificate/SigningCertificate.

Untuk informasi selengkapnya tentang sertifikat Penandatanganan Token di AD FS lihat Mendapatkan dan Mengonfigurasi Penandatanganan Token dan Sertifikat Dekripsi Token untuk AD FS