Office 365 および Azure Active Directory 用のフェデレーション証明書の更新Renew federation certificates for Office 365 and Azure Active Directory

OverviewOverview

Azure Active Directory (Azure AD) と Active Directory Federation Services (AD FS) とのフェデレーションが正常に機能するためには、AD FS が Azure AD に提示するセキュリティ トークンに署名するときに使う証明書が、Azure AD 側の構成内容と一致している必要があります。For successful federation between Azure Active Directory (Azure AD) and Active Directory Federation Services (AD FS), the certificates used by AD FS to sign security tokens to Azure AD should match what is configured in Azure AD. 完全に一致していないと、信頼関係が失われる可能性があります。Any mismatch can lead to broken trust. 証明書の情報は、AD FS と (エクストラネット アクセスに使用される) Web アプリケーション プロキシをデプロイするときに Azure AD によって同期されます。Azure AD ensures that this information is kept in sync when you deploy AD FS and Web Application Proxy (for extranet access).

この記事では、トークン署名証明書を管理し、Azure AD との同期状態を維持する方法について詳しく説明します。以下のケースを想定しています。This article provides you additional information to manage your token signing certificates and keep them in sync with Azure AD, in the following cases:

  • Web アプリケーション プロキシをデプロイしていないため、エクストラネットではフェデレーション メタデータを利用できない。You are not deploying the Web Application Proxy, and therefore the federation metadata is not available in the extranet.
  • トークン署名証明書に AD FS の既定の構成を使用していない。You are not using the default configuration of AD FS for token signing certificates.
  • サード パーティの ID プロバイダーを使用している。You are using a third-party identity provider.

トークン署名証明書に使用する AD FS の既定の構成Default configuration of AD FS for token signing certificates

通常、トークン署名証明書とトークン暗号化解除証明書は自己署名証明書であり、有効期間は 1 年です。The token signing and token decrypting certificates are usually self-signed certificates, and are good for one year. AD FS には AutoCertificateRolloverと呼ばれる自動更新プロセスが既定で含まれています。By default, AD FS includes an auto-renewal process called AutoCertificateRollover. AD FS 2.0 以降を使用している場合、Office 365 と Azure AD では、証明書は期限切れになる前に自動的に更新されます。If you are using AD FS 2.0 or later, Office 365 and Azure AD automatically update your certificate before it expires.

Office 365 ポータルまたは電子メールからの更新通知Renewal notification from the Office 365 portal or an email

注意

Office の証明書を更新するよう求める電子メールまたはポータル通知が届いた場合は、 トークン署名証明書に対する変更の管理 についての記載を参照して、何らかの対処が必要かどうかを確認してください。If you received an email or a portal notification asking you to renew your certificate for Office, see Managing changes to token signing certificates to check if you need to take any action. 実際には対処が不要であるにもかかわらず証明書の更新を求める通知が送信される問題が確認されています。Microsoft is aware of a possible issue that can lead to notifications for certificate renewal being sent, even when no action is required.

Azure AD は、フェデレーション メタデータを監視し、その結果に応じてトークン署名証明書の更新を試みます。Azure AD attempts to monitor the federation metadata, and update the token signing certificates as indicated by this metadata. トークン署名証明書の有効期限が切れる 30 日前に、Azure AD がフェデレーション メタデータをポーリングして新しい証明書が利用可能かどうかをチェックします。30 days before the expiration of the token signing certificates, Azure AD checks if new certificates are available by polling the federation metadata.

  • フェデレーション メタデータをポーリングして新しい証明書を取得できた場合は、電子メール通知も Office 365 ポータルの警告もユーザーには送信されません。If it can successfully poll the federation metadata and retrieve the new certificates, no email notification or warning in the Office 365 portal is issued to the user.
  • フェデレーション メタデータにアクセスできないか、証明書の自動ロールオーバーが有効になっていないことが原因で、新しいトークン署名証明書を取得できない場合は、Azure AD によって、Office 365 ポータルで電子メール通知と警告が発行されます。If it cannot retrieve the new token signing certificates, either because the federation metadata is not reachable or automatic certificate rollover is not enabled, Azure AD issues an email notification and a warning in the Office 365 portal.

Office 365 portal notification

重要

AD FS を使用している場合、ビジネス継続性を確保するために、既知の問題による認証エラーを防止する更新プログラムがサーバーに適用されていることを確認してください。該当する更新プログラムは次のとおりです。If you are using AD FS, to ensure business continuity, please verify that your servers have the following updates so that authentication failures for known issues do not occur. 以後、更新期間における AD FS プロキシ サーバーの既知の問題が軽減されます。This mitigates known AD FS proxy server issues for this renewal and future renewal periods:

Server 2012 R2 - Windows Server 2014 年 5 月の更新プログラム ロールアップServer 2012 R2 - Windows Server May 2014 rollup

Server 2008 R2 および 2012 - Windows Server 2012 または Windows 2008 R2 SP1 で、プロキシ経由の認証に失敗するServer 2008 R2 and 2012 - Authentication through proxy fails in Windows Server 2012 or Windows 2008 R2 SP1

証明書の更新が必要かどうかを確認する Check if the certificates need to be updated

手順 1: AutoCertificateRollover の状態を確認するStep 1: Check the AutoCertificateRollover state

AD FS サーバーで PowerShell を開きます。On your AD FS server, open PowerShell. AutoCertificateRollover の値が True に設定されていることを確認します。Check that the AutoCertificateRollover value is set to True.

Get-Adfsproperties

AutoCertificateRollover

注意

AD FS 2.0 を使用している場合は、最初に Add-Pssnapin Microsoft.Adfs.Powershell を実行してください。If you are using AD FS 2.0, first run Add-Pssnapin Microsoft.Adfs.Powershell.

手順 2: AD FS と Azure AD が同期されていることを確認するStep 2: Confirm that AD FS and Azure AD are in sync

AD FS Server で Azure AD PowerShell プロンプトを開き、Azure AD に接続します。On your AD FS server, open the Azure AD PowerShell prompt, and connect to Azure AD.

注意

Azure AD PowerShell は、 こちらからダウンロードできます。You can download Azure AD PowerShell here.

Connect-MsolService

AD FS と Azure AD との間の信頼関係のプロパティで証明書が構成されていることを特定のドメインを指定して確認します。Check the certificates configured in AD FS and Azure AD trust properties for the specified domain.

Get-MsolFederationProperty -DomainName <domain.name> | FL Source, TokenSigningCertificate

Get-MsolFederationProperty

両方の出力結果において拇印が一致した場合、Azure AD 側と証明書が同期されています。If the thumbprints in both the outputs match, your certificates are in sync with Azure AD.

手順 3: 証明書の有効期限が迫っているかどうかを確認するStep 3: Check if your certificate is about to expire

Get-MsolFederationProperty または Get-AdfsCertificate の出力結果で、"有効期間の終了時刻" の日付を確認します。In the output of either Get-MsolFederationProperty or Get-AdfsCertificate, check for the date under "Not After." 今日の日付から 30 日未満である場合、期限切れに対処する必要があります。If the date is less than 30 days away, you should take action.

AutoCertificateRolloverAutoCertificateRollover Azure AD 側と証明書が同期されているCertificates in sync with Azure AD フェデレーション メタデータにパブリックにアクセス可能Federation metadata is publicly accessible 有効期限までの日数Validity [操作]Action
はいYes ありYes はいYes - 対処は必要ありません。No action needed. トークン署名証明書を自動的に更新する」を参照してください。See Renew token signing certificate automatically.
はいYes なしNo - 15 日未満Less than 15 days すぐに更新してください。Renew immediately. トークン署名証明書を手動で更新する」を参照してください。See Renew token signing certificate manually.
いいえNo - - 30 日未満Less than 30 days すぐに更新してください。Renew immediately. トークン署名証明書を手動で更新する」を参照してください。See Renew token signing certificate manually.

[-] 該当せず[-] Does not matter

次の 2 点両方に該当する場合は、手動の手順を実行する必要はありません。You don't need to perform any manual steps if both of the following are true:

  • Web アプリケーション プロキシをデプロイ済みで、エクストラネットからフェデレーション メタデータへのアクセスを有効にできる。You have deployed Web Application Proxy, which can enable access to the federation metadata from the extranet.
  • AD FS の既定の構成を使用している (AutoCertificateRollover が有効である)。You are using the AD FS default configuration (AutoCertificateRollover is enabled).

証明書を自動的に更新できるかどうかを確認するには、次の点をチェックしてください。Check the following to confirm that the certificate can be automatically updated.

1.AD FS の AutoCertificateRollover プロパティが True に設定されている。1. The AD FS property AutoCertificateRollover must be set to True. これは、有効期限が切れる前に、AD FS が新しいトークン署名証明書とトークン暗号化解除証明書を自動的に生成することを示します。This indicates that AD FS will automatically generate new token signing and token decryption certificates, before the old ones expire.

2.AD FS のフェデレーション メタデータへのパブリック アクセスが確保されている。2. The AD FS federation metadata is publicly accessible. (社内ネットワークの外部の) パブリック インターネット上のコンピューターで次の URL に移動して、フェデレーション メタデータにパブリックにアクセスできることを確認します。Check that your federation metadata is publicly accessible by navigating to the following URL from a computer on the public internet (off of the corporate network):

https://(your_FS_name)/federationmetadata/2007-06/federationmetadata.xmlhttps://(your_FS_name)/federationmetadata/2007-06/federationmetadata.xml

この (your_FS_name)は、fs.contoso.com など、組織で使用しているフェデレーション サービスのホスト名に置き換えます。どちらの設定も適切であることを確認できた場合、他の作業は不要です。where (your_FS_name)is replaced with the federation service host name your organization uses, such as fs.contoso.com. If you are able to verify both of these settings successfully, you do not have to do anything else.

例: https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xmlExample: https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml

トークン署名証明書を手動で更新する Renew the token signing certificate manually

トークン署名証明書を手動で更新することもできます。You may choose to renew the token signing certificates manually. たとえば、次のシナリオは手動更新の方が適している場合があります。For example, the following scenarios might work better for manual renewal:

  • トークン署名証明書が自己署名証明書ではない。Token signing certificates are not self-signed certificates. よくある理由に、企業が、組織的な証明機関によって登録された AD FS 証明書を管理していることが挙げられます。The most common reason for this is that your organization manages AD FS certificates enrolled from an organizational certificate authority.
  • フェデレーション メタデータのパブリック アクセスがネットワーク セキュリティで禁止されている。Network security does not allow the federation metadata to be publicly available.

このようなシナリオでは、トークン署名証明書を更新するたびに、PowerShell コマンド Update-MsolFederatedDomain を使って Office 365 ドメインも更新する必要があります。In these scenarios, every time you update the token signing certificates, you must also update your Office 365 domain by using the PowerShell command, Update-MsolFederatedDomain.

手順 1: AD FS のトークン署名証明書を更新するStep 1: Ensure that AD FS has new token signing certificates

既定の構成が変更されている場合Non-default configuration

AD FS の既定の構成が変更されている (AutoCertificateRolloverFalse に設定されている) 場合、(自己署名ではない) カスタムの証明書が使用されていると考えられます。If you are using a non-default configuration of AD FS (where AutoCertificateRollover is set to False), you are probably using custom certificates (not self-signed). AD FS トークン署名証明書の更新方法の詳細については、「 AD FS 自己署名証明書を使用しないお客様へのガイダンス」を参照してください。For more information about how to renew the AD FS token signing certificates, see Guidance for customers not using AD FS self-signed certificates.

フェデレーション メタデータへのパブリック アクセスができない場合Federation metadata is not publicly available

AutoCertificateRolloverTrue に設定されているにもかかわらず、フェデレーション メタデータに対してパブリックにアクセスできない場合は、まず新しいトークン署名証明書が AD FS によって生成されていることを確認します。On the other hand, if AutoCertificateRollover is set to True, but your federation metadata is not publicly accessible, first make sure that new token signing certificates have been generated by AD FS. 以下の手順に従って、新しいトークン署名証明書があることを確認してください。Confirm you have new token signing certificates by taking the following steps:

  1. プライマリ AD FS サーバーにログオンしていることを確認します。Verify that you are logged on to the primary AD FS server.
  2. PowerShell コマンド ウィンドウを開き、次のコマンドを実行して、AD FS の現在の署名証明書を確認します。Check the current signing certificates in AD FS by opening a PowerShell command window, and running the following command:

    PS C:>Get-ADFSCertificate –CertificateType token-signingPS C:>Get-ADFSCertificate –CertificateType token-signing

    注意

    AD FS 2.0 を使用している場合は、Add-Pssnapin Microsoft.Adfs.Powershell を最初に実行する必要があります。If you are using AD FS 2.0, you should run Add-Pssnapin Microsoft.Adfs.Powershell first.

  3. コマンドの出力に表示されたすべての証明書を確認します。Look at the command output at any certificates listed. 新しい証明書が AD FS によって生成されている場合は、出力に 2 つの証明書が表示されます。1 つは IsPrimary 値が TrueNotAfter の日付が 5 日以内、もう 1 つは IsPrimary 値が FalseNotAfter の日付が約 1 年後です。If AD FS has generated a new certificate, you should see two certificates in the output: one for which the IsPrimary value is True and the NotAfter date is within 5 days, and one for which IsPrimary is False and NotAfter is about a year in the future.
  4. 証明書が 1 つしか表示されず、その NotAfter の日付が 5 日以内の場合は、新しい証明書を生成する必要があります。If you only see one certificate, and the NotAfter date is within 5 days, you need to generate a new certificate.
  5. 新しい証明書を生成するには、PowerShell コマンド プロンプトで次のコマンドを実行します: PS C:\>Update-ADFSCertificate –CertificateType token-signingTo generate a new certificate, execute the following command at a PowerShell command prompt: PS C:\>Update-ADFSCertificate –CertificateType token-signing.
  6. 次のコマンドを再度実行して、更新内容を確認します。PS C:>Get-ADFSCertificate –CertificateType token-signingVerify the update by running the following command again: PS C:>Get-ADFSCertificate –CertificateType token-signing

これで、2 つの証明書が表示されます。1 つは NotAfter の日付が約 1 年後で、IsPrimary の値が False です。Two certificates should be listed now, one of which has a NotAfter date of approximately one year in the future, and for which the IsPrimary value is False.

手順 2: Office 365 の信頼を得るために新しいトークン署名証明書を更新するStep 2: Update the new token signing certificates for the Office 365 trust

次のように、信頼に使用できるように、新しいトークン署名証明書で Office 365 を更新します。Update Office 365 with the new token signing certificates to be used for the trust, as follows.

  1. Windows PowerShell 用 Microsoft Azure Active Directory モジュールを開きます。Open the Microsoft Azure Active Directory Module for Windows PowerShell.
  2. $cred=Get-Credential を実行します。Run $cred=Get-Credential. このコマンドレットで資格情報の入力を求められたら、クラウド サービス管理者アカウントの資格情報を入力します。When this cmdlet prompts you for credentials, type your cloud service administrator account credentials.
  3. Connect-MsolService –Credential $cred を実行します。このコマンドレットでクラウド サービスに接続します。Run Connect-MsolService –Credential $cred. This cmdlet connects you to the cloud service. クラウド サービスに接続している状況を作った後で、ツールによってインストールされた追加のコマンドレットを実行する必要があります。Creating a context that connects you to the cloud service is required before running any of the additional cmdlets installed by the tool.
  4. AD FS のプライマリ フェデレーション サーバー以外のコンピューターでこれらのコマンドを実行している場合は、Set-MSOLAdfscontext -Computer を実行します。この は、プライマリ AD FS サーバーの内部 FQDN 名です。If you are running these commands on a computer that is not the AD FS primary federation server, run Set-MSOLAdfscontext -Computer , where is the internal FQDN name of the primary AD FS server. このコマンドレットで AD FS に接続している状況を作ります。This cmdlet creates a context that connects you to AD FS.
  5. Update-MSOLFederatedDomain –DomainName を実行します。Run Update-MSOLFederatedDomain –DomainName . このコマンドレットは、AD FS の設定でクラウド サービスを更新し、両者の信頼関係を構成します。This cmdlet updates the settings from AD FS into the cloud service, and configures the trust relationship between the two.

注意

contoso.com や fabrikam.com などの複数のトップ レベル ドメインをサポートする必要がある場合は、すべてのコマンドレットで SupportMultipleDomain スイッチを使用する必要があります。If you need to support multiple top-level domains, such as contoso.com and fabrikam.com, you must use the SupportMultipleDomain switch with any cmdlets. 詳細については、 複数のトップ レベル ドメインのサポートに関するページを参照してください。For more information, see Support for Multiple Top Level Domains.

Azure AD Connect を使用して Azure AD 信頼を修復する Repair Azure AD trust by using Azure AD Connect

Azure AD Connect を使用して AD FS ファームと Azure AD 信頼を構成した場合は、トークン署名証明書に関して何らかの対処が必要かどうかを Azure AD Connect を使用して検出できます。If you configured your AD FS farm and Azure AD trust by using Azure AD Connect, you can use Azure AD Connect to detect if you need to take any action for your token signing certificates. 証明書を更新する必要がある場合は、Azure AD Connect を使用して更新できます。If you need to renew the certificates, you can use Azure AD Connect to do so.

詳細については、「 信頼の修復」を参照してください。For more information, see Repairing the trust.

AD FS と Azure AD の証明書の更新手順AD FS and Azure AD certificate update steps

トークン署名証明書は標準の X509 証明書であり、フェデレーション サーバーが発行するすべてのトークンに安全に署名するために使用されます。Token signing certificates are standard X509 certificates that are used to securely sign all tokens that the federation server issues. トークン暗号化解除証明書は、標準の X509 証明書であり、受信トークンの暗号化解除に使用されます。Token decryption certificates are standard X509 certificates that are used to decrypt any incoming tokens.

既定では、AD FS は、初期構成時にも、証明書の有効期限が近づいたときにも、トークン署名証明書とトークン暗号化解除証明書を自動的に生成するように構成されます。By default, AD FS is configured to generate token signing and token decryption certificates automatically, both at the initial configuration time and when the certificates are approaching their expiration date.

Azure AD は、現在の証明書の有効期限が切れる 30 日前に、フェデレーション サービスのメタデータから新しい証明書を取得しようとします。Azure AD tries to retrieve a new certificate from your federation service metadata 30 days before the expiry of the current certificate. その時点で新しい証明書が利用できない場合、Azure AD は 1 日間隔でメタデータの監視を続けます。In case a new certificate is not available at that time, Azure AD will continue to monitor the metadata on regular daily intervals. 新しい証明書がメタデータで利用可能になるとすぐに、ドメインのフェデレーション設定が新しい証明書情報で更新されます。As soon as the new certificate is available in the metadata, the federation settings for the domain are updated with the new certificate information. Get-MsolDomainFederationSettings を使用すると、NextSigningCertificate / SigningCertificate に新しい証明書があるかどうかを確認できます。You can use Get-MsolDomainFederationSettings to verify if you see the new certificate in the NextSigningCertificate / SigningCertificate.

AD FS のトークン署名証明書の詳細については「Obtain and Configure Token Signing and Token Decryption Certificates for AD FS (AD FS でのトークン署名証明書およびトークン暗号化解除証明書の取得と構成)」 をご覧ください。For more information on Token Signing certificates in AD FS see Obtain and Configure Token Signing and Token Decryption Certificates for AD FS