Renovar certificados de federação para Microsoft 365 e Microsoft Entra ID
Descrição geral
Para uma federação bem-sucedida entre o Microsoft Entra ID e os Serviços de Federação do Ative Directory (AD FS), os certificados usados pelo AD FS para assinar tokens de segurança para o Microsoft Entra ID devem corresponder ao que está configurado no Microsoft Entra ID. Qualquer erro de correspondência pode levar a quebra de fidedignidade. O Microsoft Entra ID garante que estas informações são mantidas sincronizadas quando implementa o AD FS e o Proxy de Aplicações Web (para acesso à extranet).
Nota
Este artigo fornece informações sobre como gerenciar seus certificados de federação. Para obter informações sobre a rotação de emergência, consulte Rotação de emergência dos certificados AD FS
Este artigo fornece informações adicionais para gerenciar seus certificados de assinatura de token e mantê-los sincronizados com o Microsoft Entra ID, nos seguintes casos:
- Você não está implantando o Proxy de Aplicativo Web e, portanto, os metadados de federação não estão disponíveis na extranet.
- Você não está usando a configuração padrão do AD FS para certificados de assinatura de token.
- Você está usando um provedor de identidade de terceiros.
Importante
A Microsoft recomenda vivamente a utilização de um Hardware Security Module (HSM) para proteger e proteger certificados. Para obter mais informações, consulte Módulo de Segurança de Hardware em Práticas recomendadas para proteger o AD FS.
Configuração padrão do AD FS para certificados de assinatura de token
A assinatura de token e os certificados de descriptografia de token geralmente são certificados autoassinados e são válidos por um ano. Por padrão, o AD FS inclui um processo de renovação automática chamado AutoCertificateRollover. Se estiver a utilizar o AD FS 2.0 ou posterior, o Microsoft 365 e o Microsoft Entra ID atualizam automaticamente o certificado antes de este expirar.
Notificação de renovação do centro de administração do Microsoft 365 ou um e-mail
Nota
Se recebeu uma mensagem de correio eletrónico a pedir-lhe para renovar o seu certificado para o Office, consulte Gerir alterações a certificados de assinatura de token para verificar se precisa de tomar alguma medida. A Microsoft está ciente de um possível problema que pode levar ao envio de notificações para renovação de certificados, mesmo quando nenhuma ação é necessária.
O Microsoft Entra ID tenta monitorar os metadados de federação e atualizar os certificados de assinatura de token conforme indicado por esses metadados. 35 dias antes da expiração dos certificados de assinatura de token, o Microsoft Entra ID verifica se novos certificados estão disponíveis pesquisando os metadados de federação.
- Se ele puder sondar com êxito os metadados da federação e recuperar os novos certificados, nenhuma notificação por e-mail será emitida para o usuário.
- Se não for possível recuperar os novos certificados de assinatura de token, seja porque os metadados de federação não estão acessíveis ou porque a substituição automática de certificados não está habilitada, o Microsoft Entra ID emitirá um email.
Importante
Se você estiver usando o AD FS, para garantir a continuidade dos negócios, verifique se seus servidores têm as seguintes atualizações para que não ocorram falhas de autenticação por problemas conhecidos. Isso atenua problemas conhecidos do servidor proxy do AD FS para esta renovação e períodos de renovação futuros:
Server 2012 R2 - Pacote cumulativo de atualizações do Windows Server de maio de 2014
Server 2008 R2 e 2012 - A autenticação através de proxy falha no Windows Server 2012 ou Windows 2008 R2 SP1
Verifique se os certificados precisam ser atualizados
Passo 1: Verificar o estado de AutoCertificateRollover
No servidor do AD FS, abra o PowerShell. Verifique se o valor AutoCertificateRollover está definido como True.
Get-Adfsproperties
Nota
Se você estiver usando o AD FS 2.0, primeiro execute Add-Pssnapin Microsoft.Adfs.Powershell.
Passo 2: Confirmar se o AD FS e o Microsoft Entra ID estão sincronizados
No servidor AD FS, abra o prompt do PowerShell MSOnline e conecte-se à ID do Microsoft Entra.
Nota
MSOL-Cmdlets fazem parte do módulo MSOnline PowerShell. Você pode baixar o módulo MSOnline PowerShell diretamente da Galeria do PowerShell.
Install-Module MSOnline
Nota
Os módulos Azure AD e MSOnline PowerShell foram preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de descontinuação. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão a funcionar até 30 de março de 2025.
Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas frequentes sobre migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.
Ligue-se ao Microsoft Entra ID através do módulo MSOnline do PowerShell.
Import-Module MSOnline
Connect-MsolService
Verifique os certificados configurados nas propriedades de fidedignidade do AD FS e do Microsoft Entra ID para o domínio especificado.
Get-MsolFederationProperty -DomainName <domain.name> | FL Source, TokenSigningCertificate
Se os thumbprints em ambas as saídas corresponderem, os certificados estão sincronizados com o Microsoft Entra ID.
Passo 3: Verificar se o certificado está prestes a expirar
Na saída de Get-MsolFederationProperty ou Get-AdfsCertificate, verifique a data em "Not After". Se faltarem menos de 35 dias para a data, deve tomar medidas.
| AutoCertificateRollover | Certificados sincronizados com o Microsoft Entra ID | Os metadados de federação estão acessíveis publicamente | Validade | Ação |
|---|---|---|---|---|
| Yes | Sim | Yes | - | Não é necessária uma ação. Veja Renovar o certificado de assinatura de tokens automaticamente. |
| Yes | No | - | Inferior a 15 dias | Renove imediatamente. Veja Renovar o certificado de assinatura de tokens manualmente. |
| No | - | - | Inferior a 35 dias | Renove imediatamente. Veja Renovar o certificado de assinatura de tokens manualmente. |
[-] Não importa
Renovar o certificado de assinatura de token automaticamente (recomendado)
Não é necessário executar nenhuma etapa manual se ambas as opções a seguir forem verdadeiras:
- Você implantou o Proxy de Aplicativo Web, que pode habilitar o acesso aos metadados de federação da extranet.
- Você está usando a configuração padrão do AD FS (AutoCertificateRollover está habilitado).
Verifique o seguinte para confirmar que o certificado pode ser atualizado automaticamente.
1. A propriedade AutoCertificateRollover do AD FS deve ser definida como True. Isso indica que o AD FS gerará automaticamente novos certificados de assinatura e descriptografia de token antes que os antigos expirem.
2. Os metadados de federação do AD FS são acessíveis publicamente. Verifique se os metadados da federação estão acessíveis publicamente navegando para o seguinte URL a partir de um computador na Internet pública (fora da rede corporativa):
https://(your_FS_name)/federationmetadata/2007-06/federationmetadata.xml
onde (your_FS_name) é substituído pelo nome de host do Serviço de Federação usado pela sua organização, como fs.contoso.com. Se conseguir verificar ambas as definições com êxito, não tem de fazer mais nada.
Exemplo: https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml
Renovar o certificado de assinatura de token manualmente
Você pode optar por renovar os certificados de assinatura de token manualmente. Por exemplo, os seguintes cenários podem funcionar melhor para a renovação manual:
- Os certificados de assinatura de token não são certificados autoassinados. O motivo mais comum para isso é que sua organização gerencia certificados do AD FS registrados de uma autoridade de certificação organizacional.
- A segurança da rede não permite que os metadados de federação estejam disponíveis publicamente.
- Você está migrando o domínio federado de um serviço de federação existente para um novo serviço de federação.
Importante
Se você estiver migrando um domínio federado existente para um novo serviço de federação, é recomendável seguir a Rotação de Emergência dos certificados do AD FS
Nesses cenários, sempre que atualizar os certificados de assinatura de token, você também deve atualizar seu domínio do Microsoft 365 usando o comando do PowerShell, Update-MsolFederatedDomain.
Passo 1: Garantir que o AD FS tem novos certificados de assinatura de tokens
Configuração não padrão
Se você estiver usando uma configuração não padrão do AD FS (onde AutoCertificateRollover está definido como False), provavelmente está usando certificados personalizados (não autoassinados). Para obter mais informações sobre como renovar os certificados de assinatura de token do AD FS, consulte Requisitos de certificado para servidores federados.
Os metadados de federação não estão disponíveis publicamente
Por outro lado, se AutoCertificateRollover estiver definido como True, mas seus metadados de federação não estiverem acessíveis publicamente, primeiro verifique se novos certificados de assinatura de token foram gerados pelo AD FS. Confirme se você tem novos certificados de assinatura de token seguindo as seguintes etapas:
Verifique se você está conectado ao servidor AD FS primário.
Verifique os certificados de assinatura atuais no AD FS abrindo uma janela de comando do PowerShell e executando o seguinte comando:
Get-ADFSCertificate -CertificateType Token-SigningNota
Se estiver a utilizar o AD FS 2.0, deve executar
Add-Pssnapin Microsoft.Adfs.Powershellprimeiro.Observe a saída do comando em todos os certificados listados. Se o AD FS tiver gerado um novo certificado, você verá dois certificados na saída: um para o qual o valor IsPrimary é True e a data NotAfter está dentro de 5 dias, e um para o qual IsPrimary é False e NotAfter é cerca de um ano no futuro.
Se você vir apenas um certificado e a data NotAfter estiver dentro de 5 dias, você precisará gerar um novo certificado.
Para gerar um novo certificado, execute o seguinte comando em um prompt de comando do PowerShell:
Update-ADFSCertificate -CertificateType Token-Signing.Verifique a atualização executando o seguinte comando novamente:
Get-ADFSCertificate -CertificateType Token-Signing
Dois certificados devem ser listados agora, um dos quais tem uma data NotAfter de aproximadamente um ano no futuro, e para o qual o valor IsPrimary é False.
Passo 2: Atualizar os novos certificados de assinatura de tokens para a fidedignidade do Microsoft 365
Atualize o Microsoft 365 com os novos certificados de assinatura de token a serem usados para a relação de confiança, da seguinte maneira.
- Abra o módulo Azure AD PowerShell.
- Execute o
$cred=Get-Credential. Quando esse cmdlet solicitar credenciais, digite as credenciais da conta de administrador do serviço de nuvem. - Execute o
Connect-MsolService -Credential $cred. Este cmdlet conecta você ao serviço de nuvem. É necessário criar um contexto que o conecte ao serviço de nuvem antes de executar qualquer um dos cmdlets adicionais instalados pela ferramenta. - Se você estiver executando esses comandos em um computador que não seja o servidor de federação primário do AD FS, execute
Set-MSOLAdfscontext -Computer <AD FS primary server>, onde <o servidor> primário do AD FS é o nome FQDN interno do servidor AD FS primário. Este cmdlet cria um contexto que o liga ao AD FS. - Execute o
Update-MSOLFederatedDomain -DomainName <domain>. Este cmdlet atualiza as configurações do AD FS no serviço de nuvem e configura a relação de confiança entre os dois.
Nota
Se você precisar oferecer suporte a vários domínios de nível superior, como contoso.com e fabrikam.com, deverá usar a opção SupportMultipleDomain com quaisquer cmdlets. Para obter mais informações, consulte Suporte para vários domínios de nível superior.
Se o seu locatário estiver federado com mais de um domínio, o Update-MsolFederatedDomain precisará ser executado para todos os domínios, listados na saída de Get-MsolDomain -Authentication Federated. Isso garantirá que todos os domínios federados sejam atualizados para o certificado de assinatura de token.
Você pode conseguir isso executando: Get-MsolDomain -Authentication Federated | % { Update-MsolFederatedDomain -DomainName $_.Name -SupportMultipleDomain }
Reparar a confiança do Microsoft Entra ID usando o Microsoft Entra Connect
Se você configurou seu farm do AD FS e a confiança de ID do Microsoft Entra usando o Microsoft Entra Connect, poderá usar o Microsoft Entra Connect para detetar se precisa executar alguma ação para seus certificados de assinatura de token. Se precisar renovar os certificados, você pode usar o Microsoft Entra Connect para fazer isso.
Para obter mais informações, veja Reparar a fidedignidade.
Etapas de atualização do certificado AD FS e Microsoft Entra
Os certificados de assinatura de token são certificados X509 padrão que são usados para assinar com segurança todos os tokens emitidos pelo servidor de federação. Os certificados de desencriptação de tokens são certificados X509 padrão que são usados para desencriptar quaisquer tokens recebidos.
Por padrão, o AD FS é configurado para gerar assinatura de token e certificados de descriptografia de token automaticamente, tanto no momento da configuração inicial quanto quando os certificados estão se aproximando da data de validade.
O Microsoft Entra ID tenta recuperar um novo certificado dos metadados do serviço de federação 35 dias antes da expiração do certificado atual. Caso um novo certificado não esteja disponível nesse momento, o Microsoft Entra ID continuará a monitorar os metadados em intervalos diários regulares. Assim que o novo certificado estiver disponível nos metadados, as configurações de federação do domínio serão atualizadas com as novas informações do certificado. Você pode usar Get-MsolDomainFederationSettings para verificar se você vê o novo certificado no NextSigningCertificate / SigningCertificate.
Para obter mais informações sobre certificados de assinatura de token no AD FS, consulte Obter e configurar certificados de assinatura de token e descriptografia de token para AD FS