更改 Microsoft 365 信赖方信任的签名哈希算法
概述
Active Directory 联合身份验证服务 (AD FS) 会在 Microsoft Entra ID 中签名其令牌,确保这些令牌不会遭到篡改。 这种签名可以基于 SHA1 或 SHA256。 Microsoft Entra ID 现在支持使用 SHA256 算法签名的令牌,我们建议将令牌签名算法设置为 SHA256 以获得最高安全级别。 本指南介绍将令牌签名算法设置为更安全的 SHA256 级别所要执行的步骤。
注意
Microsoft 建议使用 SHA256 作为令牌签名算法,因为它比 SHA1 更安全,但 SHA1 仍受支持。
更改令牌签名算法
使用下面两个过程之一设置签名算法后,AD FS 将使用 SHA256 为 Microsoft 365 信赖方信任令牌签名。 无需进行任何额外的配置更改,并且这种更改不影响你访问 Microsoft 365 或其他 Microsoft Entra 应用程序的能力。
AD FS 管理控制台
- 在 AD FS 主服务器上打开 AD FS 管理控制台。
- 展开 AD FS 节点,并单击“信赖方信任” 。
- 右键单击 Microsoft 365/Azure 信赖方信任并选择“属性”。
- 选择“高级” 选项卡,并选择安全哈希算法 SHA256。
- 单击“确定”。
AD FS PowerShell cmdlet
在任何 AD FS 服务器上,以管理员权限打开 PowerShell。
使用 Set-AdfsRelyingPartyTrust cmdlet 设置安全哈希算法。
Set-AdfsRelyingPartyTrust -TargetName 'Microsoft Office 365 Identity Platform' -SignatureAlgorithm 'https://www.w3.org/2001/04/xmldsig-more#rsa-sha256'