Federatiecertificaten vernieuwen voor Microsoft 365 en Microsoft Entra-id
Overzicht
Voor een succesvolle federatie tussen Microsoft Entra ID en Active Directory Federation Services (AD FS), moeten de certificaten die door AD FS worden gebruikt om beveiligingstokens te ondertekenen bij Microsoft Entra ID overeenkomen met wat is geconfigureerd in Microsoft Entra ID. Niet-overeenkomende gegevens kunnen leiden tot verbroken vertrouwen. Microsoft Entra ID zorgt ervoor dat deze informatie gesynchroniseerd blijft wanneer u AD FS en een webtoepassingsproxy (voor extranettoegang) implementeert.
Notitie
Dit artikel bevat informatie over het beheren van uw federatiecertificaten. Zie Noodrotatie van de AD FS-certificaten voor informatie over rotatie van noodgevallen
In dit artikel vindt u aanvullende informatie voor het beheren van uw certificaten voor tokenondertekening en het synchroniseren met Microsoft Entra ID, in de volgende gevallen:
- U implementeert de web-toepassingsproxy niet en daarom zijn de federatiemetagegevens niet beschikbaar in het extranet.
- U gebruikt niet de standaardconfiguratie van AD FS voor certificaten voor tokenondertekening.
- U gebruikt een id-provider van derden.
Belangrijk
Microsoft raadt ten zeerste aan om een HSM (Hardware Security Module) te gebruiken om certificaten te beveiligen en te beveiligen. Zie hardwarebeveiligingsmodule onder aanbevolen procedures voor het beveiligen van AD FS voor meer informatie.
Standaardconfiguratie van AD FS voor certificaten voor tokenondertekening
De certificaten voor tokenondertekening en tokenontsleuteling zijn meestal zelfondertekende certificaten en zijn goed voor één jaar. AD FS bevat standaard een proces voor automatisch verlengen met de naam AutoCertificateRollover. Als u AD FS 2.0 of hoger gebruikt, worden uw certificaat automatisch bijgewerkt door Microsoft 365 en Microsoft Entra ID voordat het verloopt.
Verlengingsmelding van het Microsoft 365-beheercentrum of een e-mail
Notitie
Als u een e-mailbericht hebt ontvangen waarin u wordt gevraagd uw certificaat voor Office te vernieuwen, raadpleegt u Het beheren van certificaten voor tokenondertekening om te controleren of u actie moet ondernemen. Microsoft is op de hoogte van een mogelijk probleem dat kan leiden tot meldingen voor certificaatvernieuwing die wordt verzonden, zelfs wanneer er geen actie is vereist.
Microsoft Entra ID probeert de federatiemetagegevens te bewaken en de certificaten voor tokenondertekening bij te werken, zoals aangegeven door deze metagegevens. 35 dagen vóór de vervaldatum van de certificaten voor tokenondertekening controleert Microsoft Entra ID of er nieuwe certificaten beschikbaar zijn door de federatiemetagegevens te peilen.
- Als deze de federatiemetagegevens kan peilen en de nieuwe certificaten kan ophalen, wordt er geen e-mailmelding aan de gebruiker uitgegeven.
- Als de nieuwe certificaten voor tokenondertekening niet kunnen worden opgehaald, omdat de federatiemetagegevens niet bereikbaar zijn of automatische certificaatrollover niet is ingeschakeld, geeft Microsoft Entra ID een e-mail uit.
Belangrijk
Als u AD FS gebruikt om bedrijfscontinuïteit te garanderen, controleert u of uw servers de volgende updates hebben, zodat verificatiefouten voor bekende problemen niet optreden. Dit beperkt bekende problemen met de AD FS-proxyserver voor deze verlenging en toekomstige verlengingsperioden:
Server 2012 R2 - Windows Server 2014 rollup
Server 2008 R2 en 2012 - Verificatie via proxy mislukt in Windows Server 2012 of Windows 2008 R2 SP1
Controleren of de certificaten moeten worden bijgewerkt
Stap 1: de status van AutoCertificateRollover controleren
Open PowerShell op uw AD FS-server. Controleer of de waarde AutoCertificateRollover is ingesteld op True.
Get-Adfsproperties
Notitie
Als u AD FS 2.0 gebruikt, voert u eerst Add-Pssnapin Microsoft.Adfs.Powershell uit.
Stap 2: controleren of AD FS en Microsoft Entra ID zijn gesynchroniseerd
Open op uw AD FS-server de MSOnline PowerShell-prompt en maak verbinding met Microsoft Entra-id.
Notitie
MSOL-Cmdlets maken deel uit van de MSOnline PowerShell-module. U kunt de MSOnline PowerShell-module rechtstreeks downloaden vanuit de PowerShell Gallery.
Install-Module MSOnline
Notitie
Azure AD- en MSOnline PowerShell-modules zijn vanaf 30 maart 2024 afgeschaft. Lees de afschaffingsupdate voor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot migratieondersteuning voor Microsoft Graph PowerShell SDK en beveiligingsoplossingen. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.
Het is raadzaam om te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratie voor veelgestelde vragen over migratie. Opmerking: versies 1.0.x van MSOnline kunnen na 30 juni 2024 onderbrekingen ondervinden.
Maak verbinding met Microsoft Entra ID met behulp van de MSOnline PowerShell-module.
Import-Module MSOnline
Connect-MsolService
Controleer de certificaten die zijn geconfigureerd in vertrouwenseigenschappen van AD FS en Microsoft Entra ID voor het opgegeven domein.
Get-MsolFederationProperty -DomainName <domain.name> | FL Source, TokenSigningCertificate
Als de vingerafdrukken in de uitvoer van beide overeenkomen, zijn uw certificaten gesynchroniseerd met Microsoft Entra ID.
Stap 3: controleren of uw certificaat bijna verloopt
Controleer in de uitvoer van Get-MsolFederationProperty of Get-AdfsCertificate op de datum onder Not After. Als de datum minder dan 35 dagen weg is, moet u actie ondernemen.
| AutoCertificateRollover | Certificaten gesynchroniseerd met Microsoft Entra ID | Federatiemetagegevens zijn openbaar toegankelijk | Geldigheid | Actie |
|---|---|---|---|---|
| Ja | Ja | Ja | - | Geen actie nodig. Zie Certificaat voor token-ondertekening automatisch verlengen. |
| Ja | Nee | - | Minder dan 15 dagen | Verleng onmiddellijk. Zie Certificaat voor token-ondertekening handmatig verlengen. |
| Nee | - | - | Minder dan 35 dagen | Verleng onmiddellijk. Zie Certificaat voor token-ondertekening handmatig verlengen. |
[-] Maakt niet uit
Het certificaat voor tokenondertekening automatisch vernieuwen (aanbevolen)
U hoeft geen handmatige stappen uit te voeren als beide van de volgende waar zijn:
- U hebt Web toepassingsproxy geïmplementeerd, waarmee u toegang tot de federatiemetagegevens vanuit het extranet kunt inschakelen.
- U gebruikt de standaardconfiguratie van AD FS (AutoCertificateRollover is ingeschakeld).
Controleer het volgende om te controleren of het certificaat automatisch kan worden bijgewerkt.
1. De AD FS-eigenschap AutoCertificateRollover moet worden ingesteld op Waar. Dit geeft aan dat AD FS automatisch nieuwe certificaten voor tokenondertekening en tokenontsleuteling genereert, voordat de oude verlopen.
2. De AD FS-federatiemetagegevens zijn openbaar toegankelijk. Controleer of uw federatiemetagegevens openbaar toegankelijk zijn door te navigeren naar de volgende URL vanaf een computer op het openbare internet (buiten het bedrijfsnetwerk):
https://(your_FS_name)/federationmetadata/2007-06/federationmetadata.xml
waarbij (your_FS_name) deze wordt vervangen door de hostnaam van de federation-service die uw organisatie gebruikt, zoals fs.contoso.com. Als u beide instellingen met succes kunt controleren, hoeft u niets anders te doen.
Voorbeeld: https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml
Het certificaat voor tokenondertekening handmatig vernieuwen
U kunt ervoor kiezen om de certificaten voor tokenondertekening handmatig te vernieuwen. De volgende scenario's kunnen bijvoorbeeld beter werken voor handmatige verlenging:
- Certificaten voor tokenondertekening zijn geen zelfondertekende certificaten. De meest voorkomende reden hiervoor is dat uw organisatie AD FS-certificaten beheert die zijn ingeschreven bij een organisatorische certificeringsinstantie.
- Netwerkbeveiliging staat niet toe dat de federatiemetagegevens openbaar beschikbaar zijn.
- U migreert het federatieve domein van een bestaande federatieservice naar een nieuwe federatieservice.
Belangrijk
Als u een bestaand federatief domein migreert naar een nieuwe federatieservice, is het raadzaam om de AD FS-certificaten te volgen
In deze scenario's moet u, telkens wanneer u de certificaten voor tokenondertekening bijwerkt, ook uw Microsoft 365-domein bijwerken met behulp van de PowerShell-opdracht Update-MsolFederatedDomain.
Stap 1: controleren of AD FS nieuwe certificaten voor token-ondertekening bevat
Niet-standaardconfiguratie
Als u een niet-standaardconfiguratie van AD FS gebruikt (waarbij AutoCertificateRollover is ingesteld op False), gebruikt u waarschijnlijk aangepaste certificaten (niet zelfondertekend). Zie Certificaatvereisten voor federatieve servers voor meer informatie over het vernieuwen van de CERTIFICATEN voor ad FS-tokenondertekening.
Federatiemetagegevens zijn niet openbaar beschikbaar
Als AutoCertificateRollover echter is ingesteld op True, maar uw federatiemetagegevens niet openbaar toegankelijk zijn, moet u eerst controleren of er nieuwe certificaten voor tokenondertekening zijn gegenereerd door AD FS. Controleer of u nieuwe certificaten voor tokenondertekening hebt door de volgende stappen uit te voeren:
Controleer of u bent aangemeld bij de primaire AD FS-server.
Controleer de huidige handtekeningcertificaten in AD FS door een PowerShell-opdrachtvenster te openen en de volgende opdracht uit te voeren:
Get-ADFSCertificate -CertificateType Token-SigningNotitie
Als u AD FS 2.0 gebruikt, moet u eerst worden uitgevoerd
Add-Pssnapin Microsoft.Adfs.Powershell.Bekijk de uitvoer van de opdracht op alle certificaten die worden vermeld. Als AD FS een nieuw certificaat heeft gegenereerd, ziet u twee certificaten in de uitvoer: een waarvan de IsPrimary-waarde Waar is en de NotAfter-datum binnen 5 dagen is, en een waarvoor IsPrimary Onwaar is en NotAfter ongeveer een jaar in de toekomst is.
Als u slechts één certificaat ziet en de NotAfter-datum binnen 5 dagen valt, moet u een nieuw certificaat genereren.
Als u een nieuw certificaat wilt genereren, voert u de volgende opdracht uit bij een PowerShell-opdrachtprompt:
Update-ADFSCertificate -CertificateType Token-Signing.Controleer de update door de volgende opdracht opnieuw uit te voeren:
Get-ADFSCertificate -CertificateType Token-Signing
Er moeten nu twee certificaten worden vermeld, waarvan een notafter-datum van ongeveer één jaar in de toekomst is en waarvoor de waarde IsPrimary Onwaar is.
Stap 2: de nieuwe certificaten voor token-ondertekening bijwerken voor het Microsoft 365-vertrouwen
Werk Microsoft 365 als volgt bij met de nieuwe certificaten voor tokenondertekening die moeten worden gebruikt voor de vertrouwensrelatie.
- Open de Azure AD PowerShell-module.
- Voer
$cred=Get-Credentialuit. Wanneer deze cmdlet u om referenties vraagt, typt u de referenties van uw cloudservicebeheerdersaccount. - Voer
Connect-MsolService -Credential $creduit. Met deze cmdlet maakt u verbinding met de cloudservice. Het maken van een context waarmee u verbinding maakt met de cloudservice is vereist voordat u een van de extra cmdlets uitvoert die door het hulpprogramma zijn geïnstalleerd. - Als u deze opdrachten uitvoert op een computer die niet de primaire FEDERATIEserver van AD FS is, voert
Set-MSOLAdfscontext -Computer <AD FS primary server>u uit, waarbij <de primaire AD FS-server> de interne FQDN-naam van de primaire AD FS-server is. Met deze cmdlet maakt u een context waarmee u wordt verbonden met AD FS. - Voer
Update-MSOLFederatedDomain -DomainName <domain>uit. Deze cmdlet werkt de instellingen van AD FS bij in de cloudservice en configureert de vertrouwensrelatie tussen de twee.
Notitie
Als u meerdere domeinen op het hoogste niveau wilt ondersteunen, zoals contoso.com en fabrikam.com, moet u de switch SupportMultipleDomain gebruiken met cmdlets. Zie Ondersteuning voor meerdere domeinen op het hoogste niveau voor meer informatie.
Als uw tenant is gefedereerd met meer dan één domein, moet de Update-MsolFederatedDomain tenant worden uitgevoerd voor alle domeinen, vermeld in de uitvoer van Get-MsolDomain -Authentication Federated. Dit zorgt ervoor dat alle federatieve domeinen worden bijgewerkt naar het tokenondertekeningscertificaat.
U kunt dit doen door het volgende uit te voeren: Get-MsolDomain -Authentication Federated | % { Update-MsolFederatedDomain -DomainName $_.Name -SupportMultipleDomain }
Microsoft Entra ID vertrouwen herstellen met behulp van Microsoft Entra Verbinding maken
Als u uw AD FS-farm en Microsoft Entra ID-vertrouwensrelatie hebt geconfigureerd met behulp van Microsoft Entra Verbinding maken, kunt u Microsoft Entra Verbinding maken gebruiken om te detecteren of u actie moet ondernemen voor uw certificaten voor tokenondertekening. Als u de certificaten wilt vernieuwen, kunt u Microsoft Entra Verbinding maken gebruiken om dit te doen.
Zie Het vertrouwen herstellen voor meer informatie.
Stappen voor het bijwerken van AD FS- en Microsoft Entra-certificaten
Certificaten voor tokenondertekening zijn standaard X509-certificaten die worden gebruikt om veilig alle tokens te ondertekenen die door de federatieserver worden uitgegeven. Tokenontsleutelingscertificaten zijn standaard X509-certificaten die worden gebruikt om binnenkomende tokens te ontsleutelen.
AD FS is standaard geconfigureerd om certificaten voor tokenondertekening en tokenontsleuteling automatisch te genereren, zowel op het tijdstip van de initiële configuratie als wanneer de certificaten hun vervaldatum naderen.
Microsoft Entra ID probeert 35 dagen voor het verstrijken van het huidige certificaat een nieuw certificaat op te halen uit de metagegevens van uw federation-service. Als er op dat moment geen nieuw certificaat beschikbaar is, blijft microsoft Entra-id de metagegevens met regelmatige dagelijkse intervallen bewaken. Zodra het nieuwe certificaat beschikbaar is in de metagegevens, worden de federatie-instellingen voor het domein bijgewerkt met de nieuwe certificaatgegevens. U kunt dit gebruiken Get-MsolDomainFederationSettings om te controleren of u het nieuwe certificaat ziet in NextSigningCertificate/SigningCertificate.
Zie Certificaten voor tokenondertekening en tokenontsleuteling verkrijgen en configureren voor AD FS voor meer informatie over certificaten voor tokenondertekening in AD FS