Rinnovare i certificati di federazione per Microsoft 365 e Microsoft Entra ID

  • Articolo

Panoramica

Per una corretta federazione tra Microsoft Entra ID e Active Directory Federation Services (AD FS), i certificati usati da AD FS per firmare i token di sicurezza a Microsoft Entra ID devono corrispondere a quanto configurato in Microsoft Entra ID. Eventuali informazioni non corrispondenti possono comportare l'interruzione del trust. Microsoft Entra ID assicura che queste informazioni rimangano sincronizzate durante la distribuzione di AD FS e Proxy applicazione Web (per l'accesso Extranet).

Nota

Questo articolo fornisce informazioni sulla gestione dei certificati di federazione. Per informazioni sulla rotazione di emergenza, vedere Rotazione di emergenza dei certificati AD FS

Questo articolo fornisce informazioni aggiuntive per gestire i certificati di firma del token e mantenerli sincronizzati con Microsoft Entra ID, nei casi seguenti:

  • Non si distribuisce Proxy applicazione Web e quindi i metadati della federazione non sono disponibili nella Extranet.
  • Non si usa la configurazione predefinita di AD FS per i certificati per la firma di token.
  • Si usa un provider di identità di terze parti.

Importante

Microsoft consiglia vivamente di usare un modulo di protezione hardware (HSM) per proteggere e proteggere i certificati. Per altre informazioni, vedere Modulo di sicurezza hardware nelle procedure consigliate per la protezione di AD FS.

Configurazione predefinita di AD FS per i certificati per la firma di token

I certificati di decrittografia token e per la firma di token sono in genere certificati autofirmati e sono validi per un anno. Per impostazione predefinita, AD FS include un processo di rinnovo automatico denominato AutoCertificateRollover. Se si usa AD FS 2.0 o versione successiva, Microsoft 365 e Microsoft Entra ID aggiornano automaticamente il certificato prima della scadenza.

Notifica di rinnovo dal centro amministrazione di Microsoft 365 o e-mail

Nota

Se è stato ricevuto un messaggio di posta elettronica che richiede di rinnovare il certificato per Office, vedere Gestione delle modifiche ai certificati di firma dei token per verificare se è necessario eseguire qualsiasi azione. Microsoft è a conoscenza di un possibile problema che può comportare l'invio di notifiche per il rinnovo dei certificati, anche quando non è richiesta alcuna azione.

Microsoft Entra ID tenta di monitorare i metadati della federazione e di aggiornare i certificati di firma del token, come indicato da questi metadati. 35 giorni prima della scadenza dei certificati di firma del token, Microsoft Entra ID verifica se sono disponibili nuovi certificati eseguendo il polling dei metadati della federazione.

  • Se è possibile eseguire correttamente il polling dei metadati della federazione e recuperare i nuovi certificati, all'utente non viene inviata alcuna notifica tramite posta elettronica.
  • Se non riesce a recuperare i nuovi certificati di firma del token, perché i metadati della federazione non sono raggiungibili o il rollover automatico del certificato non è abilitato, Microsoft Entra ID emette un messaggio di posta elettronica.

Importante

Se si usa AD FS, per garantire la continuità aziendale, verificare che nei server siano stati applicati gli aggiornamenti seguenti, in modo da evitare che si verifichino errori di autenticazione per problemi noti. Si riducono in tal modo i problemi noti relativi al server proxy di AD FS per questo periodo di rinnovo e per quelli futuri:

Server 2012 R2 - Aggiornamento cumulativo per Windows Server: maggio 2014

Server 2008 R2 and 2012 - L'autenticazione tramite proxy ha esito negativo in Windows Server 2012 o Windows Server 2008 R2 SP1

Verificare se è necessario aggiornare i certificati

Passaggio 1: Verificare lo stato di AutoCertificateRollover

Nel server AD FS aprire Powershell. Verificare che il valore AutoCertificateRollover sia impostato su True.

Get-Adfsproperties

AutoCertificateRollover

Nota

Se si usa AD FS 2.0, eseguire prima Add-Pssnapin Microsoft.Adfs.Powershell.

Passaggio 2: Verificare che AD FS e Microsoft Entra ID siano sincronizzati

Nel server AD FS aprire il prompt di MSOnline PowerShell e connettersi all'ID Microsoft Entra.

Nota

I cmdlet di MSOL fanno parte del modulo MSOnline PowerShell. È possibile scaricare il modulo MSOnline PowerShell direttamente da PowerShell Gallery.

Install-Module MSOnline

Nota

I moduli di Azure AD e MSOnline PowerShell sono deprecati a partire dal 30 marzo 2024. Per altre informazioni, leggere l'aggiornamento deprecato. Dopo questa data, il supporto per questi moduli è limitato all'assistenza per la migrazione a Microsoft Graph PowerShell SDK e alle correzioni di sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande comuni sulla migrazione, vedere Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero verificarsi interruzioni dopo il 30 giugno 2024.

Connettersi a Microsoft Entra ID usando il modulo PowerShell MSOnline.

Import-Module MSOnline
Connect-MsolService

Verificare i certificati configurati in AD FS e le proprietà del trust di Microsoft Entra ID per il dominio specificato.

Get-MsolFederationProperty -DomainName <domain.name> | FL Source, TokenSigningCertificate

Get-MsolFederationProperty

Se le identificazioni personali in entrambi gli output corrispondono, i certificati sono sincronizzati con Microsoft Entra ID.

Passaggio 3: Verificare se il certificato sta per scadere

Nell'output di Get-MsolFederationProperty o Get-AdfsCertificate verificare la data in "Not After". Se la data è inferiore a 35 giorni, è consigliabile intervenire.

AutoCertificateRollover Certificati sincronizzati con Microsoft Entra ID I metadati della federazione sono accessibili pubblicamente Validità Azione
- Non è richiesta alcuna azione. Vedere Rinnovare automaticamente il certificato per la firma di token.
No - Meno di 15 giorni Rinnovare immediatamente. Vedere Rinnovare manualmente il certificato per la firma di token.
No - - Meno di 35 giorni Rinnovare immediatamente. Vedere Rinnovare manualmente il certificato per la firma di token.

[-] Non è rilevante

Rinnovare automaticamente il certificato per la firma di token (scelta consigliata)

Non è necessario eseguire passaggi manuali se vengono soddisfatte entrambe le condizioni seguenti:

  • È stato distribuito Proxy applicazione Web che può abilitare l'accesso ai metadati della federazione dalla Extranet.
  • Si usa la configurazione predefinita di AD FS (AutoCertificateRollover è abilitata).

Verificare quanto segue per assicurarsi che il certificato possa essere aggiornato.

1. La proprietà AutoCertificateRollover di AD FS deve essere impostata su True. Ciò indica che AD FS genererà automaticamente nuovi certificati per la firma di token e certificati di decrittografia token prima della scadenza di quelli precedenti.

2. I metadati della federazione di AD FS sono accessibili pubblicamente. Verificare che i metadati di federazione siano accessibili pubblicamente, passare all'URL seguente da un computer sulla rete Internet pubblica (all'esterno della rete aziendale):

https://(your_FS_name)/federationmetadata/2007-06/federationmetadata.xml

dove (your_FS_name) viene sostituito con il nome host del servizio federativo usato dall'organizzazione, ad esempio fs.contoso.com. Se si è in grado di verificare entrambe le impostazioni correttamente, non occorre eseguire altre operazioni.

Esempio: https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml

Rinnovare manualmente il certificato per la firma di token

Si può scegliere di rinnovare manualmente i certificati per la firma di token. Ad esempio, per gli scenari seguenti potrebbe funzionare meglio il rinnovo manuale:

  • I certificati per la firma di token non sono certificati autofirmati. Il motivo più comune è che l'organizzazione gestisce i certificati AD FS registrati da un'autorità di certificazione aziendale.
  • La sicurezza di rete non consente la disponibilità pubblica dei metadati della federazione.
  • Si sta eseguendo la migrazione del dominio federato da un servizio federativo esistente a un nuovo servizio federativo.

Importante

Se si esegue la migrazione di un dominio federato esistente a un nuovo servizio federativo, è consigliabile seguire la rotazione di emergenza dei certificati AD FS

In questi scenari, ogni volta che si aggiornano i certificati di firma del token, è necessario aggiornare anche il dominio di Microsoft 365 usando il comando di PowerShell Update-MsolFederatedDomain.

Passaggio 1: Verificare che in ADFS siamo disponibili nuovi certificati per la firma di token

Configurazione non predefinita

Se si usa una configurazione non predefinita di AD FS in cui AutoCertificateRollover è impostata su False, è probabile che siano in uso certificati personalizzati, ovvero non autofirmati. Per altre informazioni su come rinnovare i certificati di firma del token AD FS, vedere Requisiti dei certificati per i server federati.

I metadati della federazione non sono disponibili pubblicamente

D'altra parte, se AutoCertificateRollover è impostata su True, ma i metadati della federazione non sono accessibili pubblicamente, assicurarsi prima di tutto che i nuovi certificati per la firma di token siano stati generati da AD FS. Per verificare la disponibilità di nuovi certificati per la firma di token, seguire questa procedura:

  1. Verificare di essere connessi al server AD FS primario.

  2. Verificare i certificati di firma correnti in AD FS aprendo una finestra di comando di PowerShell ed eseguendo questo comando:

    Get-ADFSCertificate -CertificateType Token-Signing

    Nota

    Se si usa AD FS 2.0, è necessario eseguire Add-Pssnapin Microsoft.Adfs.Powershell prima di tutto.

  3. Esaminare l'output del comando in tutti i certificati elencati. Se AD FS ha generato un nuovo certificato, saranno presenti due certificati nell'output: uno per cui il valore IsPrimary è True e la data NotAfter è entro 5 giorni e uno per cui IsPrimary è False e NotAfter è una data successiva di circa un anno.

  4. Se è presente un solo certificato e la data NotAfter è entro 5 giorni, è necessario generare un nuovo certificato.

  5. Per generare un nuovo certificato, eseguire il comando seguente al prompt dei comandi di PowerShell: Update-ADFSCertificate -CertificateType Token-Signing.

  6. Verificare l'aggiornamento eseguendo di nuovo il comando seguente: Get-ADFSCertificate -CertificateType Token-Signing

A questo punto verranno elencati due certificati, uno dei quali ha una data NotAfter successiva di circa un anno e il valore IsPrimary è False.

Passaggio 2: Aggiornare i nuovi certificati per la firma di token per il trust di Microsoft 365

Aggiornare Microsoft 365 con i nuovi certificati di firma del token da usare per l'attendibilità, come indicato di seguito.

  1. Aprire il modulo Azure AD PowerShell.
  2. Eseguire $cred=Get-Credential. Quando questo cmdlet richiede le credenziali, digitare le credenziali dell'account amministratore servizio cloud.
  3. Eseguire Connect-MsolService -Credential $cred. Questo cmdlet consente di connettersi al servizio cloud. La creazione di un contesto che consente di connettersi al servizio cloud è necessaria prima di eseguire i cmdlet aggiuntivi installati dallo strumento.
  4. Se si eseguono questi comandi in un computer che non è il server federativo primario di AD FS, eseguire Set-MSOLAdfscontext -Computer <AD FS primary server>, dove <il server> primario AD FS è il nome FQDN interno del server AD FS primario. Questo cmdlet crea un contesto che consente la connessione ad AD FS.
  5. Eseguire Update-MSOLFederatedDomain -DomainName <domain>. Questo cmdlet aggiorna le impostazioni di AD FS nel servizio cloud e configura la relazione di trust tra i due.

Nota

Se occorre supportare più domini di primo livello, ad esempio contoso.com e fabrikam.com, è necessario usare l'opzione SupportMultipleDomain con tutti i cmdlet. Per altre informazioni, vedere Supporto di più domini per la federazione con Azure AD.

Se il tenant è federato con più domini, deve Update-MsolFederatedDomain essere eseguito per tutti i domini, elencati nell'output di Get-MsolDomain -Authentication Federated. In questo modo si garantisce che tutti i domini federati vengano aggiornati al certificato di firma del token. Per ottenere questo risultato, eseguire: Get-MsolDomain -Authentication Federated | % { Update-MsolFederatedDomain -DomainName $_.Name -SupportMultipleDomain }

Ripristinare l'attendibilità di Microsoft Entra ID usando Microsoft Entra Connessione

Se è stata configurata la farm AD FS e l'attendibilità di Microsoft Entra ID utilizzando Microsoft Entra Connessione, è possibile utilizzare Microsoft Entra Connessione per rilevare se è necessario eseguire qualsiasi azione per i certificati di firma del token. Se è necessario rinnovare i certificati, è possibile usare Microsoft Entra Connessione a tale scopo.

Per altre informazioni, vedere Ripristino del trust.

Passaggi di aggiornamento dei certificati AD FS e Microsoft Entra

I certificati per la firma di token sono certificati X509 standard usati per firmare in modo sicuro tutti i token rilasciati dal server federativo. I certificati di decrittografia token sono certificati X509 standard usati per decrittografare i token in ingresso.

Per impostazione predefinita, AD FS è configurato per generare automaticamente i certificati per la firma di token e i certificati di decrittografia token, sia in fase di configurazione iniziale, sia quando i certificati hanno quasi raggiunto la data di scadenza.

Microsoft Entra ID tenta di recuperare un nuovo certificato dai metadati del servizio federativo 35 giorni prima della scadenza del certificato corrente. Nel caso in cui un nuovo certificato non sia disponibile in quel momento, Microsoft Entra ID continuerà a monitorare i metadati a intervalli giornalieri regolari. Non appena il nuovo certificato è disponibile nei metadati, le impostazioni di federazione del dominio vengono aggiornate con le nuove informazioni del certificato. È possibile usare Get-MsolDomainFederationSettings per verificare se il nuovo certificato è presente nel NextSigningCertificate / SigningCertificate.

Per altre informazioni sui certificati per la firma di token in AD FS, vedere Obtain and Configure Token Signing and Token Decryption Certificates for AD FS (Ottenere e configurare i certificati per la firma di token e i certificati di decrittografia token per AD FS)