Vous recevez un avertissement de certificat d’AD FS lorsque vous vous connectez à Microsoft 365, Azure ou Intune

  • Article
  • S’applique à:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problème

Lorsque vous essayez de vous connecter à un service cloud Microsoft tel que Microsoft 365, Microsoft Azure ou Microsoft Intune à l’aide d’un compte fédéré, vous recevez un avertissement de certificat du service web AD FS dans votre navigateur.

Cause

Ce problème se produit lorsqu’une erreur de validation est rencontrée lors d’un test de certificat.

Avant qu’un certificat puisse être utilisé pour sécuriser une session SSL (Secure Sockets Layer) ou TLS (Transport Layer Security), le certificat doit réussir les tests standard suivants :

  • Le certificat n’est pas valide pour l’heure. Si la date sur le serveur ou le client est antérieure à la date valide à partir de ou à la date d’émission du certificat, ou si la date sur le serveur ou le client est postérieure à la date valide ou à la date d’expiration du certificat, la demande de connexion émet un avertissement basé sur cet état. Pour vous assurer que le certificat réussit ce test, case activée si le certificat a réellement expiré ou a été appliqué avant de devenir actif. Ensuite, effectuez l’une des actions suivantes :

    • Si le certificat a effectivement expiré ou a été appliqué avant qu’il ne soit actif, un nouveau certificat doit être généré avec les dates de remise appropriées pour sécuriser la communication pour le trafic AD FS.
    • Si le certificat n’a pas expiré ou n’a pas été appliqué avant de devenir actif, vérifiez l’heure sur les ordinateurs client et serveur, puis mettez-les à jour en fonction des besoins.

  • Incompatibilité de nom de service. Si l’URL utilisée pour établir la connexion ne correspond pas aux noms valides pour lesquels le certificat peut être utilisé, la demande de connexion émet un avertissement basé sur cet état. Pour vous assurer que le certificat réussit ce test, procédez comme suit :

    1. Examinez l’URL dans la barre d’adresse du navigateur utilisé pour établir la connexion.

      Remarque

      Concentrez-vous sur l’adresse du serveur (par exemple, sts.contoso.com) et non sur la syntaxe HTTP de fin (par exemple, / ?request=...).

    2. Après avoir reproduit l’erreur, procédez comme suit :

      1. Cliquez sur Afficher les certificats, puis sur l’onglet Détails . Comparez l’URL de l’étape A au champ Objet et aux champs Autre nom de l’objet dans la boîte de dialogue Propriétés du certificat.

        Capture d’écran montrant l’erreur sur la page Adresse incompatible.

      2. Vérifiez que l’adresse utilisée à l’étape A n’est pas répertoriée ou ne correspond pas aux entrées de ces champs, ou aux deux. Si c’est le cas, le certificat doit être réédité pour inclure l’adresse du serveur utilisée à l’étape A.

  • Le certificat n’a pas été émis par une autorité de certification racine approuvée. Si l’ordinateur client qui demande la connexion n’approuve pas la chaîne d’autorité de certification qui a généré le certificat, la demande de connexion émet un avertissement basé sur cet état. Pour vous assurer que le certificat réussit ce test, procédez comme suit :

    1. Régénérez l’avertissement de certificat, puis cliquez sur Afficher le certificat pour examiner le certificat. Sous l’onglet Chemin de certification , notez l’entrée de note racine sur qui s’affiche en haut.
    2. Cliquez sur Démarrer, sur Exécuter, tapez MMC, puis cliquez sur OK.
    3. Cliquez sur Fichier, sur Ajouter/supprimer un composant logiciel enfichable, sur Certificats, sur Ajouter, sur Compte d’ordinateur, sur Suivant, sur Terminer, puis sur OK.
    4. Dans le composant logiciel enfichable MMC, recherchez Racine de la console, développez Certificats, développez Autorités de certification racines approuvées, cliquez sur Certificats, puis vérifiez qu’un certificat pour l’entrée de note racine que vous avez notée à l’étape A n’existe pas.

Solution

Pour résoudre ce problème, utilisez l’une des méthodes suivantes, en fonction du message d’avertissement.

Méthode 1 : Problèmes de durée de validité

Pour résoudre les problèmes de durée de validité, procédez comme suit.

  1. Réexécutez le certificat avec une date de validité appropriée. Pour plus d’informations sur l’installation et la configuration d’un nouveau certificat SSL pour AD FS, consultez Comment modifier le certificat de communication de service AD FS 2.0 après son expiration.

  2. Si un proxy AD FS a été déployé, vous devez également installer le certificat sur le site web par défaut du proxy AD FS à l’aide des fonctions d’exportation et d’importation de certificat. Pour plus d’informations, consultez Comment supprimer, importer et exporter des certificats numériques.

    Importante

    Assurez-vous que la clé privée est incluse dans le processus d’exportation ou d’importation. Le ou les serveurs proxy AD FS doivent également disposer d’une copie de la clé privée installée.

  3. Assurez-vous que les paramètres de date et d’heure sur l’ordinateur client ou sur tous les serveurs AD FS sont corrects. L’avertissement s’affiche par erreur si les paramètres de date du système d’exploitation sont incorrects et qu’il indique incorrectement une valeur en dehors de la plage valide de et valide.

Méthode 2 : Problèmes d’incompatibilité de nom de service

Le nom du service AD FS est défini lorsque vous exécutez l’Assistant Configuration AD FS et est basé sur le certificat lié au site web par défaut. Pour résoudre les problèmes d’incompatibilité de nom de service, procédez comme suit :

  1. Si le nom de certificat incorrect a été utilisé pour générer un certificat de remplacement, procédez comme suit :

    1. Vérifiez que le nom du certificat est incorrect.
    2. Réexécutez le certificat correct. Pour plus d’informations sur l’installation et la configuration d’un nouveau certificat SSL pour AD FS, consultez Comment modifier le certificat de communication de service AD FS 2.0 après son expiration.

  2. Si le point de terminaison du fournisseur d’identité AD FS ou les liens intelligents sont utilisés pour une expérience de connexion personnalisée, assurez-vous que le nom du serveur utilisé correspond au certificat affecté au service AD FS.

  3. Dans de rares cas, cette condition peut également être due à une tentative incorrecte de modification du nom du service AD FS après l’implémentation.

    Importante

    Ces types de modifications entraînent une panne du service AD FS. Après la mise à jour, vous devez suivre ces étapes pour restaurer la fonctionnalité d’authentification unique (SSO) :

    1. Exécutez l’applet de commande Update-MSOLFederatedDomain sur tous les espaces de noms fédérés.
    2. Réexécutez l’Assistant Configuration pour tous les serveurs proxy AD FS dans l’environnement.

Remarque

Les modules PowerShell Azure AD et MSOnline sont déconseillés à compter du 30 mars 2024. Pour en savoir plus, lisez la mise à jour déconseillée. Après cette date, la prise en charge de ces modules est limitée à l’assistance à la migration vers le Kit de développement logiciel (SDK) Microsoft Graph PowerShell et aux correctifs de sécurité. Les modules déconseillés continueront de fonctionner jusqu’au 30 mars 2025.

Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Pour les questions courantes sur la migration, reportez-vous au FAQ sur la migration. Note: Les versions 1.0.x de MSOnline peuvent être interrompues après le 30 juin 2024.

Méthode 3 : Émission de problèmes d’approbation de chaîne de certification

Vous pouvez résoudre les problèmes d’approbation d’autorité de certification en effectuant l’une des tâches suivantes :

  • Obtenez et utilisez un certificat à partir d’une source qui participe au programme de certificat racine Microsoft.
  • Demandez à l’émetteur du certificat de s’inscrire au programme de certificat racine Microsoft. Pour plus d’informations sur le programme de certificat racine et le fonctionnement des certificats racines dans Windows, consultez Programme de certificats racines Microsoft.

Avertissement

Nous déconseillons qu’AD FS utilise une autorité de certification interne lorsqu’elle est utilisée pour l’authentification unique avec Microsoft 365. L’utilisation d’une chaîne de certificats non approuvée par le centre de données Microsoft 365 entraîne l’échec de la connectivité de Microsoft Outlook à Microsoft Exchange Online lorsque Outlook est utilisé avec des fonctionnalités d’authentification unique.

Informations supplémentaires

Encore besoin d’aide ? Rejoignez la Communauté Microsoft ou accédez au site web Forums Microsoft Entra.