Aktivieren der Unterstützung für TLS 1.2 in Ihrer Umgebung als Vorbereitung auf die Abschaffung von Azure AD TLS 1.1 und 1.0

Um den Sicherheitsstatus Ihres Mandanten zu verbessern und die Einhaltung von Branchenstandards zu gewährleisten, wird Microsoft Azure Active Directory (Azure AD) bald nicht mehr die folgenden TLS-Protokolle (Transport Layer Security) unterstützen:

• TLS 1.1
• TLS 1.0
• 3DES-Verschlüsselungssuite (TLS_RSA_WITH_3DES_EDE_CBC_SHA)

Wie sich diese Änderung auf Ihre Organisation auswirken kann

Kommunizieren Ihre Anwendungen mit Azure Active Directory oder authentifizieren sie sich dort? Dann funktionieren diese Anwendungen möglicherweise nicht wie erwartet, wenn sie TLS 1.2 nicht für die Kommunikation verwenden können. Diese Situation umfasst Folgendes:

• Azure AD Connect
• Azure AD-PowerShell
• Azure AD-Anwendungsproxyconnectors
• PTA-Agents
• Ältere Browser
• Anwendungen, die in Azure AD integriert sind

Warum diese Änderung vorgenommen wird

Diese Protokolle und Verschlüsselungen sind aus den folgenden Gründen veraltet:

• Um die neuesten Compliancestandards für das Federal Risk and Authorization Management Program (FedRAMP) zu befolgen.
• Zur Verbesserung der Sicherheit, wenn Benutzer mit unseren Clouddiensten interagieren.

Die Dienste werden zu den folgenden Terminen abgeschafft:

• TLS 1.0, 1.1 und 3DES Cipher suite in US-Behördeninstanzen ab dem 31. März 2021.
• TLS 1.0, 1.1 und 3DES Cipher suite in öffentlichen Instanzen ab dem 31. Januar 2022. (Dieses Datum wurde vom 30. Juni 2021 auf den 31. Januar 2022 verschoben, um Administratoren mehr Zeit zum Entfernen der Abhängigkeit von älteren TLS-Protokollen und -Verschlüsselungen (TLS 1.0,1.1 und 3DES) zu geben.)

Aktivieren der Unterstützung für TLS 1.2 in Ihrer Umgebung

Wie pflegen Sie eine sichere Verbindung zu Diensten von Azure Active Directory (Azure AD) und Microsoft 365? Sie aktivieren Ihre Client-Apps sowie das Client- und Serverbetriebssystem (OS) für TLS 1.2 und moderne Verschlüsselungssammlungen.

Richtlinien zum Aktivieren von TLS 1.2 auf Clients

• Aktualisieren Sie Windows und das standardmäßige TLS, das Sie für "WinHTTP" verwenden.
• Identifizieren und verringern Sie ihre Abhängigkeit von den Client-Apps und Betriebssystemen, die TLS 1.2 nicht unterstützen.
• Aktivieren Sie TLS 1.2 für Anwendungen und Dienste, die mit Azure AD kommunizieren.
• Aktualisieren und konfigurieren Sie Ihre .NET Framework-Installation so, dass sie TLS 1.2 unterstützt.
• Stellen Sie sicher, dass Anwendungen und PowerShell (die Microsoft Graph verwenden) und Azure AD PowerShell-Skripts auf einer Plattform gehostet und ausgeführt werden, die TLS 1.2 unterstützt.
• Stellen Sie sicher, dass Ihr Webbrowser über die neuesten Updates verfügt. Es wird empfohlen, den neuen Browser Microsoft Edge (basierend auf Chromium) zu verwenden. Weitere Informationen finden Sie in den Microsoft Edge-Versionshinweisen für Stable Channel.
• Stellen Sie sicher, dass Ihr Webproxy TLS 1.2 unterstützt. Weitere Informationen zum Aktualisieren eines Webproxys finden Sie beim Anbieter Ihrer Webproxylösung.

Weitere Informationen finden Sie in den folgenden Artikeln:

• Aktivieren von TLS 1.2 auf Clients
• Vorbereiten auf TLS 1.2 in Office 365 und Office 365 GCC – Microsoft 365-Compliance

Aktualisieren des Windows-Betriebssystems und des standardmäßigen TLS, das Sie für WinHTTP verwenden

Die folgenden Betriebssysteme unterstützen nativ TLS 1.2 für die Client-Server-Kommunikation über WinHTTP:

• Windows 10
• Windows 8.1
• Windows Server 2016
• Windows Server 2012 R2
• Neuere Versionen von Windows und Windows Server

Stellen Sie sicher, dass Sie TLS 1.2 auf diesen Plattformen nicht explizit deaktiviert haben.

Standardmäßig aktivieren frühere Versionen von Windows (z. B. Windows 8 und Windows Server 2012) TLS 1.2 oder TLS 1.1 nicht für die sichere Kommunikation mit WinHTTP. Für diese früheren Versionen von Windows:

1. Installieren Sie das Update 3140245.
2. Aktivieren Sie die Registrierungswerte aus dem Abschnitt TLS 1.2 auf Client- oder Serverbetriebssystemen aktivieren.

Sie können diese Werte so konfigurieren, dass TLS 1.2 und TLS 1.1 zu der standardmäßigen Liste der sicheren Protokolle für WinHTTP hinzugefügt werden.

Weitere Informationen finden Sie unter Aktivieren von TLS 1.2 auf Clients.

Hinweis

Ein Betriebssystem, das TLS 1.2 unterstützt (z. B. Windows 10), unterstützt standardmäßig auch ältere Versionen des TLS-Protokolls. Wenn eine Verbindung über TLS 1.2 hergestellt wird und keine zeitnahe Antwort erfolgt oder wenn die Verbindung zurückgesetzt wird, versucht das Betriebssystem möglicherweise, eine Verbindung zum Ziel-Webdienst über ein älteres TLS-Protokoll (wie TLS 1.0 oder 1.1) herzustellen. Dies geschieht in der Regel, wenn das Netz ausgelastet ist oder wenn ein Paket im Netz verloren geht. Nach dem vorübergehenden Rückgriff auf das alte TLS wird das Betriebssystem erneut versuchen, eine TLS 1.2-Verbindung herzustellen.

Welchen Status wird dieser Fallback-Verkehr haben, wenn Microsoft die Unterstützung für das alte TLS einstellt? Das Betriebssystem kann immer noch versuchen, eine TLS-Verbindung mit dem alten TLS-Protokoll herzustellen. Wenn der Microsoft-Dienst jedoch das ältere TLS-Protokoll nicht mehr unterstützt, wird die alte TLS-basierte Verbindung nicht erfolgreich sein. Dadurch wird das Betriebssystem gezwungen, die Verbindung erneut zu versuchen und stattdessen TLS 1.2 zu verwenden.

Identifizieren und Verringern der Abhängigkeit von Clients, die TLS 1.2 nicht unterstützen

Aktualisieren Sie die folgenden Clients, um einen unterbrechungsfreien Zugriff zu ermöglichen:

• Android Version 4.3 und frühere Versionen
• Firefox Version 5.0 und frühere Versionen
• Internet Explorer Versionen 8-10 unter Windows 7 und früheren Versionen
• Internet Explorer 10 unter Windows Phone 8,0
• Safari 6.0.4 unter OS X 10.8.4 und früheren Versionen

Weitere Informationen finden Sie unter Handshake-Simulation für verschiedene Clients, die sich mit www.microsoft.com verbinden, mit freundlicher Genehmigung von SSLLabs.com.

Aktivieren Sie TLS 1.2 bei herkömmlichen Serverrollen, die mit Azure AD kommunizieren

• Azure AD Connect (installieren Sie die neueste Version)

  • Möchten Sie TLS 1.2 auch zwischen dem Synchronisierungsmodulserver und einem Remote-SQL-Server aktivieren? Stellen Sie in dem Fall sicher, dass die erforderlichen Versionen für die TLS 1.2-Unterstützung für Microsoft SQL Server installiert sind.

• Authentifizierungs-Agent von Azure AD Connect (Pass-Through-Authentifizierung) (Version 1.5.643.0 und höher)

• Azure-Anwendungsproxy (Version 1.5.1526.0 und höhere Versionen erzwingen TLS 1.2)

• Active Directory-Verbunddienste (AD FS) für Server, die für die Verwendung von Azure Multi-Factor Authentication (Azure MFA) konfiguriert sind

• NPS-Server, die für die Verwendung der NPS-Erweiterung für Azure AD MFA konfiguriert sind

• MFA Server Version 8.0.x oder höhere Versionen

• Azure AD-Kennwortschutz – Proxy-Dienst

  Aktion erforderlich

  1. Es wird dringend empfohlen, die neueste Version des Agents, Dienstes oder Connectors auszuführen.

  2. Standardmäßig ist TLS 1.2 auf Windows Server 2012 R2 und höheren Versionen aktiviert. In seltenen Fällen wurde die Standardbetriebssystemkonfiguration möglicherweise geändert, um TLS 1 zu deaktivieren.

     Um sicherzustellen, dass TLS 1.2 aktiviert ist, empfehlen wir, die Registrierungswerte aus dem Abschnitt TLS 1.2 auf Client- oder Serverbetriebssystemen aktivieren explizit auf Servern hinzuzufügen, die Windows Server ausführen und mit Azure AD kommunizieren.

  3. Die meisten der zuvor aufgeführten Dienste sind von .NET Framework abhängig. Stellen Sie sicher, dass es aktualisiert ist, wie im Abschnitt Aktualisieren und Konfigurieren von .NET Framework zur Unterstützung von TLS 1.2 beschrieben.

  Weitere Informationen finden Sie in den folgenden Artikeln:

  • TLS 1.2-Erzwingung – Erzwingen von TLS 1.2 für den Azure AD-Registrierungsdienst
  • Azure AD Connect: TLS 1.2-Erzwingung für Azure Active Directory Connect
  • Grundlegendes zu Azure AD Anwendungsproxyconnectors

Aktivieren von TLS 1.2 auf Client- oder Serverbetriebssystemen

Registrierungszeichenfolgen

Um TLS 1.2 auf Betriebssystemebene manuell zu konfigurieren und zu aktivieren, können Sie die folgenden DWORD-Werte hinzufügen.

Für Windows 2012 R2, Windows 8.1 und höher ist TLS 1.2 standardmäßig aktiviert. Daher sind die folgenden Registrierungswerte nur erforderlich, wenn sie mit unterschiedlichen Werten festgelegt wurden.

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
  • "DisabledByDefault": 00000000
  • "Enabled": 00000001
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
  • "DisabledByDefault": 00000000
  • "Enabled": 00000001
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
  • "SchUseStrongCrypto": 00000001

Um TLS 1.2 mit einem PowerShell-Skript zu aktivieren, siehe TLS 1.2-Erzwingung für Azure AD Connect.

Aktualisieren und Konfigurieren von .NET Framework zur Unterstützung von TLS 1.2

Verwaltete Azure AD-integrierte Anwendungen und Windows PowerShell-Skripts (mit Azure AD PowerShell V1 (Microsoft MSOnline), V2 (AzureAD) und Microsoft Graph) verwenden möglicherweise .NET Framework.

Installieren von .NET-Updates, um starke Kryptografie zu aktivieren

Ermitteln der .NET-Version

Ermitteln Sie zunächst die installierten .NET-Versionen.

• Weitere Informationen finden Sie unter So stellen Sie fest, welche Versionen und Service Packs von .NET Framework installiert sind.

.NET-Updates installieren

Installieren Sie die .NET-Updates, damit Sie starke Kryptografie aktivieren können. Einige Versionen von .NET Framework müssen möglicherweise aktualisiert werden, um starke Kryptografie zu ermöglichen.

Nutzen Sie diese Richtlinien:

• .NET Framework 4.6.2 und spätere Versionen unterstützen TLS 1.2 und TLS 1.1. Überprüfen Sie die Registrierungseinstellungen. Es sind keine weiteren Änderungen erforderlich.

• .NET Framework 4.6 und frühere Versionen müssen aktualisiert werden, um TLS 1.2 und TLS 1.1 zu unterstützen.

  Weitere Informationen finden Sie unter .NET Framework – Versionen und Abhängigkeiten.

• Verwenden Sie .NET Framework 4.5.2 oder 4.5.1 unter Windows 8.1 oder Windows Server 2012? In diesem Fall sind die entsprechenden Updates und Details auch im Microsoft Update Catalog verfügbar.

  • Weitere Informationen finden Sie in der Microsoft-Sicherheitsempfehlung 2960358.

Legen Sie für jeden Computer, der über das Netzwerk kommuniziert und ein TLS 1.2-fähiges System ausführt, die folgenden DWORD-Registrierungswerte fest.

• Aktualisieren Sie für 32-Bit-Anwendungen auf 32-Bit-Systemen oder für 64-Bit-Anwendungen auf 64-Bit-Systemen die folgenden Unterschlüsselwerte:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727

    • "SystemDefaultTlsVersions": 00000001
    • "SchUseStrongCrypto": 00000001

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

    • "SystemDefaultTlsVersions": 00000001
    • "SchUseStrongCrypto": 00000001

• Aktualisieren Sie für 32-Bit-Anwendungen, die auf 64-Bit-Systemen ausgeführt werden, die folgenden Unterschlüsselwerte:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727
    • "SystemDefaultTlsVersions": dword:00000001
    • "SchUseStrongCrypto": dword:00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
    • "SystemDefaultTlsVersions": dword:00000001
    • "SchUseStrongCrypto": dword:00000001

Legen Sie z. B. folgende Werte fest:

• Configuration Manager-Clients
• Systemrollen von Remotewebsites, die nicht auf dem Standortserver installiert sind
• Der Standortserver selbst

Weitere Informationen finden Sie in den folgenden Artikeln:

• Von Azure AD unterstützte TLS-Verschlüsselungssammlungen
• Aktivieren von TLS 1.2 auf Clients
• Bewährte Methoden zu TLS (Transport Layer Security) mit .NET Framework
• Lösen des TLS 1.0-Problems – Sicherheitsdokumentation.

Übersicht über neue Telemetriedaten in den Anmeldeprotokollen

Zeigen Sie die Azure AD Anmeldeprotokolle an, um Clients oder Apps zu identifizieren, die weiterhin veraltete TLS in Ihrer Umgebung verwenden. Für Clients oder Apps, die sich über veraltete TLS anmelden, markiert Azure AD das Feld Legacy TLS unter Zusätzliche Details mit True. Das Feld „Legacy TLS“ wird nur angezeigt, wenn die Anmeldung über veraltete TLS erfolgt ist. Wenn in Ihren Protokollen keine veraltete TLS angezeigt wird, können Sie zu TLS 1.2 wechseln.

Um die Anmeldeversuche zu finden, die ältere TLS-Protokolle verwendet haben, kann ein Administrator die Protokolle wie folgt überprüfen:

• Exportieren und Abfragen der Protokolle in Azure Monitor.
• Herunterladen der Protokolle der letzten sieben Tage im Json-Format (JavaScript Object Notation).
• Filtern und Exportieren von Anmeldeprotokollen mithilfe von PowerShell.

Diese Methoden werden im Folgenden beschrieben.

Azure Monitor

Sie können die Anmeldeprotokolle mithilfe von Azure Monitor abfragen. Azure Monitor ist ein leistungsfähiges Protokollanalyse-, Überwachungs- und Benachrichtigungstool. Verwenden Sie Azure Monitor für:

• Azure-AD-Protokolle
• Azure-Ressourcenprotokolle
• Protokolle von unabhängigen Softwaretools

Hinweis

Sie benötigen eine Azure AD Premium-Lizenz, um Berichtsdaten nach Azure Monitor zu exportieren.

So fragen Sie veraltete TLS-Einträge mithilfe von Azure Monitor ab:

1. Befolgen Sie die Anweisungen unter Integration von Azure AD-Protokollen mit Azure Monitor-Protokollen, damit Sie auf die Azure AD-Anmeldeprotokolle in Azure Monitor zugreifen können.

2. Fügen Sie im Abfragedefinitionsbereich die folgende Kusto Query Language-Abfrage ein:

   // Interactive sign-ins only
   SigninLogs
   | where AuthenticationProcessingDetails has "Legacy TLS"
       and AuthenticationProcessingDetails has "True"
   | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
   | mv-apply JsonAuthProcDetails on (
       where JsonAuthProcDetails.key startswith "Legacy TLS"
       | project HasLegacyTls=JsonAuthProcDetails.value
   )
   | where HasLegacyTls == true
   
   // Non-interactive sign-ins
   AADNonInteractiveUserSignInLogs
   | where AuthenticationProcessingDetails has "Legacy TLS"
       and AuthenticationProcessingDetails has "True"
   | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
   | mv-apply JsonAuthProcDetails on (
       where JsonAuthProcDetails.key startswith "Legacy TLS"
       | project HasLegacyTls=JsonAuthProcDetails.value
   )
   | where HasLegacyTls == true
   
   // Workload Identity (service principal) sign-ins
   AADServicePrincipalSignInLogs
   | where AuthenticationProcessingDetails has "Legacy TLS"
       and AuthenticationProcessingDetails has "True"
   | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
   | mv-apply JsonAuthProcDetails on (
       where JsonAuthProcDetails.key startswith "Legacy TLS"
       | project HasLegacyTls=JsonAuthProcDetails.value
   )
   | where HasLegacyTls == true
   

3. Wählen Sie Ausführen aus, um die Abfrage auszuführen. Die Protokolleinträge, die der Abfrage entsprechen, werden auf der Registerkarte Ergebnisse unterhalb der Abfragedefinition angezeigt.

4. Weitere Informationen zur Quelle der veralteten TLS-Anforderung finden Sie in den folgenden Feldern:

   • User.DisplayName
   • AppDisplayName
   • ResourceDisplayName
   • UserAgent

JSON

Um das Flag für veraltete TLS anzuzeigen, können Sie die Anmeldeprotokolle der letzten sieben Tage im JSON-Format herunterladen.

Hinweis

1. Das Flag für veraltete TLS wird nur angezeigt, wenn veraltete TLS für die Anforderung zur Anmeldung verwendet wird.

2. Wenn Sie die Anmeldeprotokolle stattdessen im CSV-Format (Comma-separated value) herunterladen, wird das Flag für veraltete TLS nicht angezeigt.

JSON-Protokolle herunterladen

So laden Sie Anmeldeprotokolle als JSON herunter:

1. Suchen Sie im Azure-Portal nach Azure Active Directory, und wählen Sie es aus.

2. Wählen Sie im Seitenmenü Übersicht die Option Anmeldeprotokolle aus.

3. Löschen Sie alle Filter mit Ausnahme des Datumsfilters.

4. Legen Sie den Datumsfilter auf Letzte 7 Tage fest.

5. Klicken Sie auf Herunterladen.

6. Wählen Sie jede Kategorie von Protokollen aus:

   • Benutzer interaktiv
   • Benutzer nicht interaktiv
   • Verwaltete Identität

Anzeigen der JSON-Dateien

Jetzt können Sie die JSON-Protokolle mithilfe eines JSON-Viewers Ihrer Wahl überprüfen.

Hinweis

Wenn Sie einen JSON-Viewer benötigen, können Sie Visual Studio Code herunterladen.

Zum Überprüfen der JSON-Protokolle:

1. Öffnen Sie die JSON-Protokolldateien in Ihrem JSON-Viewer.

2. Suchen Sie nach dem Begriff legacy TLS.

3. Wenn Sie eine Protokolldatei mit legacy TLS finden, überprüfen Sie diesen Anmeldeprotokolleintrag, um mehr über die Quelle der veralteten TLS-Anforderung zu erfahren. Suchen Sie nach den folgenden Feldern:

   • User.DisplayName
   • AppDisplayName
   • ResourceDisplayName
   • UserAgent

PowerShell

Verwenden Sie PowerShell zum Filtern und Exportieren von Anmeldeprotokolleinträgen, bei denen veraltete TLS verwendet wird.

Hinweis

Sie benötigen eine Azure AD Premium-Lizenz, um die Microsoft Graph-API über PowerShell aufzurufen.

So filtern und exportieren Sie die Anmeldeprotokolleinträge:

1. Öffnen Sie Windows PowerShell mit der Option Als Administrator ausführen aus dem Startmenü.

2. Führen Sie die folgenden Befehle aus, um die Microsoft Graph SDKs zu installieren und die Ausführungsrichtlinie festzulegen:

   Install-Module Microsoft.Graph -Scope AllUsers
   Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Scope CurrentUser
   

3. Speichern Sie das folgende Skript in einer PowerShell-Skriptdatei (.ps1).

   $tId = "your-tenant-id"  # Add tenant ID from Azure Active Directory page on portal.
   $agoDays = 4  # Will filter the log for $agoDays from the current date and time.
   $startDate = (Get-Date).AddDays(-($agoDays)).ToString('yyyy-MM-dd')  # Get filter start date.
   $pathForExport = "./"  # The path to the local filesystem for export of the CSV file.
   
   Connect-MgGraph -Scopes "AuditLog.Read.All" -TenantId $tId  # Or use Directory.Read.All.
   Select-MgProfile "beta"  # Low TLS is available in Microsoft Graph preview endpoint.
   
   # Define the filtering strings for interactive and non-interactive sign-ins.
   $procDetailFunction = "x: x/key eq 'legacy tls (tls 1.0, 1.1, 3des)' and x/value eq '1'"
   $clauses = (
       "createdDateTime ge $startDate",
       "signInEventTypes/any(t: t eq 'nonInteractiveUser')",
       "signInEventTypes/any(t: t eq 'servicePrincipal')",
       "(authenticationProcessingDetails/any($procDetailFunction))"
   )
   
   # Get the interactive and non-interactive sign-ins based on filtering clauses.
   $signInsInteractive = Get-MgAuditLogSignIn -Filter ($clauses[0,3] -Join " and ") -All
   $signInsNonInteractive = Get-MgAuditLogSignIn -Filter ($clauses[0,1,3] -Join " and ") -All
   $signInsWorkloadIdentities = Get-MgAuditLogSignIn -Filter ($clauses[0,2,3] -Join " and ") -All
   
   $columnList = @{  # Enumerate the list of properties to be exported to the CSV files.
       Property = "CorrelationId", "createdDateTime", "userPrincipalName", "userId",
                 "UserDisplayName", "AppDisplayName", "AppId", "IPAddress", "isInteractive",
                 "ResourceDisplayName", "ResourceId", "UserAgent"
   }
   
   $columnListWorkloadId = @{ #Enumerate the list of properties for workload identities to be exported to the CSV files.
       Property = "CorrelationId", "createdDateTime", "AppDisplayName", "AppId", "IPAddress",
                 "ResourceDisplayName", "ResourceId", "ServicePrincipalId", "ServicePrincipalName"
   }
   
   $signInsInteractive | ForEach-Object {
       foreach ($authDetail in $_.AuthenticationProcessingDetails)
       {
           if (($authDetail.Key -match "Legacy TLS") -and ($authDetail.Value -eq "True"))
           {
               $_ | Select-Object @columnList
           }
       }
   } | Export-Csv -Path ($pathForExport + "Interactive_lowTls_$tId.csv") -NoTypeInformation
   
   $signInsNonInteractive | ForEach-Object {
       foreach ($authDetail in $_.AuthenticationProcessingDetails)
       {
           if (($authDetail.Key -match "Legacy TLS") -and ($authDetail.Value -eq "True"))
           {
               $_ | Select-Object @columnList
           }
       }
   } | Export-Csv -Path ($pathForExport + "NonInteractive_lowTls_$tId.csv") -NoTypeInformation
   
   $signInsWorkloadIdentities | ForEach-Object {
       foreach ($authDetail in $_.AuthenticationProcessingDetails)
       {
           if (($authDetail.Key -match "Legacy TLS") -and ($authDetail.Value -eq "True"))
           {
               $_ | Select-Object @columnListWorkloadId
           }
       }
   } | Export-Csv -Path ($pathForExport + "WorkloadIdentities_lowTls_$tId.csv") -NoTypeInformation
   

4. Suchen Sie im Azure-Portal nach Azure Active Directory, und wählen Sie es aus.

5. Kopieren Sie den Wert der Mandanten-ID von der Azure Active Directory-Seite in die erste Anweisung des PowerShell-Skripts, und weisen Sie ihn der Variablen $tId zu.

6. Speichern Sie das Skript, und führen Sie es aus. Falls Sie dazu aufgefordert werden, wenn das Skript ausgeführt wird, melden Sie sich als globaler Administrator an. Geben Sie dann Ihre Zustimmung, Microsoft Graph die Überwachungsprotokollinformationen lesen zu lassen.

7. Um mehr über die Quelle der veralteten TLS-Anforderung zu erfahren, durchsuchen Sie die Skriptausgabedateien (Interactive_lowTls_ <Mandanten-ID>.csv und NonInteractive_lowTls_ <Mandanten-ID>.csv) nach den folgenden Feldern:

   • User.DisplayName
   • AppDisplayName
   • ResourceDisplayName
   • UserAgent

Anzeigen von Details zu Protokolleinträgen im Azure AD-Portal

Nachdem Sie die Protokolle abgerufen haben, können Sie weitere Details zu Anmeldeprotokolleinträgen, die auf veralteter TLS basieren, im Azure AD-Portal abrufen. Gehen Sie folgendermaßen vor:

1. Suchen Sie im Azure-Portal nach Azure Active Directory, und wählen Sie es aus.

2. Wählen Sie im Seitenmenü Übersicht die Option Anmeldeprotokolle aus.

3. Wählen Sie einen Anmeldeprotokolleintrag für einen Benutzer aus.

4. Wählen Sie die Registerkarte Zusätzliche Details aus. (Wenn diese Registerkarte nicht angezeigt wird, wählen Sie zuerst die drei Punkte (...) in der rechten oberen Ecke aus, um die vollständige Liste der Registerkarten anzuzeigen.)

5. Suchen Sie nach einem Wert für veraltete TLS (TLS 1.0, 1.1 oder 3DES), der auf True festgelegt ist. Wenn Sie solch ein Feld und diesen Wert sehen, wurde der Anmeldeversuch mithilfe von veralteter TLS ausgeführt. Wenn der Anmeldeversuch mit TLS 1.2 durchgeführt wurde, wird dieses Feld nicht angezeigt.

Weitere Informationen finden Sie unter Anmeldeprotokolle in Azure Active Directory.

Kontaktieren Sie uns für Hilfe

Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können Produktfeedback auch an den Azure-Community-Support senden.