Freigeben über


Aktivieren der Unterstützung für TLS 1.2 in Ihrer Umgebung für die Einstellung Microsoft Entra TLS 1.1 und 1.0

Um den Sicherheitsstatus Ihres Mandanten zu verbessern und die Einhaltung von Branchenstandards zu gewährleisten, wird Microsoft Entra ID in Kürze nicht mehr die folgenden Transport-Layer Security (TLS)-Protokolle und -Verschlüsselungen unterstützen:

  • TLS 1.1
  • TLS 1.0
  • 3DES-Verschlüsselungssuite (TLS_RSA_WITH_3DES_EDE_CBC_SHA)

Wie sich diese Änderung auf Ihre Organisation auswirken kann

Verwenden Ihre Anwendungen Microsoft Entra ID zur Kommunikation oder Authentifizierung? Dann funktionieren diese Anwendungen möglicherweise nicht wie erwartet, wenn sie TLS 1.2 nicht für die Kommunikation verwenden können. Diese Situation umfasst Folgendes:

  • Microsoft Entra Connect
  • Microsoft Graph PowerShell
  • Microsoft Entra-Anwendungsproxyconnectors
  • PTA-Agents
  • Ältere Browser
  • Anwendungen, die in Microsoft Entra ID integriert sind

Warum diese Änderung vorgenommen wird

Diese Protokolle und Verschlüsselungen sind aus den folgenden Gründen veraltet:

Die Dienste TLS 1.0, TLS 1.1 und 3DES Cipher Suite werden gemäß dem folgenden Zeitplan eingestellt.

Instanztyp Einstellungsdatum Status
U.S.-Regierungsinstanzen 31. März 2021 ABGESCHLOSSEN
Öffentliche Instanzen 31. Januar 2022 ABGESCHLOSSEN
Microsoft Entra-Instanzen, betrieben von 21Vianet in China Juni 2023 LAUFEND

TLS 1.3-Unterstützung für Microsoft Entra-Dienste

Zusätzlich zur Unterstützung von TLS 1.2 führt Microsoft Entra auch die Unterstützung für TLS 1.3 für seine Endpunkte ein, um die Best Practices für Sicherheit (NIST – SP 800-52 Rev. 2) zu erfüllen. Mit dieser Änderung unterstützen Microsoft Entra-Endpunkte sowohl TLS 1.2- als auch TLS 1.3-Protokolle.

Aktivieren der Unterstützung für TLS 1.2 in Ihrer Umgebung

Um eine sichere Verbindung mit Microsoft Entra ID und den Microsoft 365-Diensten zu gewährleisten, konfigurieren Sie Ihre Client-Apps und sowohl das Client- als auch das Serverbetriebssystem (OS) so, dass TLS 1.2 und moderne Cipher Suites unterstützt werden.

Richtlinien zum Aktivieren von TLS 1.2 auf Clients

  • Aktualisieren Sie Windows und das standardmäßige TLS, das Sie für "WinHTTP" verwenden.
  • Identifizieren und verringern Sie ihre Abhängigkeit von den Client-Apps und Betriebssystemen, die TLS 1.2 nicht unterstützen.
  • Aktivieren Sie TLS 1.2 für Anwendungen und Dienste, die mit Microsoft Entra ID kommunizieren.
  • Aktualisieren und konfigurieren Sie Ihre .NET Framework-Installation so, dass sie TLS 1.2 unterstützt.
  • Stellen Sie sicher, dass Anwendungen und PowerShell-Skripte (die Microsoft Graph und Microsoft Graph PowerShell verwenden) auf einer Plattform gehostet und ausgeführt werden, die TLS 1.2 unterstützt.
  • Stellen Sie sicher, dass Ihr Webbrowser über die neuesten Updates verfügt. Es wird empfohlen, den neuen Browser Microsoft Edge (basierend auf Chromium) zu verwenden. Weitere Informationen finden Sie in den Microsoft Edge-Versionshinweisen für Stable Channel.
  • Stellen Sie sicher, dass Ihr Webproxy TLS 1.2 unterstützt. Weitere Informationen zum Aktualisieren eines Webproxys finden Sie beim Anbieter Ihrer Webproxylösung.

Weitere Informationen finden Sie in den folgenden Artikeln:

Aktualisieren des Windows-Betriebssystems und des standardmäßigen TLS, das Sie für WinHTTP verwenden

Die folgenden Betriebssysteme unterstützen nativ TLS 1.2 für die Client-Server-Kommunikation über WinHTTP:

  • Windows 8.1, Windows 10 und neuere Versionen
  • Windows Server 2012 R2, Windows Server 2016 und neuere Versionen

Stellen Sie sicher, dass Sie TLS 1.2 auf diesen Plattformen nicht explizit deaktiviert haben.

Standardmäßig aktivieren frühere Versionen von Windows (z. B. Windows 8 und Windows Server 2012) TLS 1.2 oder TLS 1.1 nicht für die sichere Kommunikation mit WinHTTP. Für diese früheren Versionen von Windows:

  1. Installieren Sie das Update 3140245.
  2. Aktivieren Sie die Registrierungswerte aus dem Abschnitt TLS 1.2 auf Client- oder Serverbetriebssystemen aktivieren.

Sie können diese Werte so konfigurieren, dass TLS 1.2 und TLS 1.1 zu der standardmäßigen Liste der sicheren Protokolle für WinHTTP hinzugefügt werden.

Weitere Informationen finden Sie unter Aktivieren von TLS 1.2 auf Clients.

Hinweis

Ein Betriebssystem, das TLS 1.2 unterstützt (z. B. Windows 10), unterstützt standardmäßig auch ältere Versionen des TLS-Protokolls. Wenn eine Verbindung über TLS 1.2 hergestellt wird und keine zeitnahe Antwort erfolgt oder wenn die Verbindung zurückgesetzt wird, versucht das Betriebssystem möglicherweise, eine Verbindung zum Ziel-Webdienst über ein älteres TLS-Protokoll (wie TLS 1.0 oder 1.1) herzustellen. Dies geschieht in der Regel, wenn das Netz ausgelastet ist oder wenn ein Paket im Netz verloren geht. Nach dem vorübergehenden Rückgriff auf das alte TLS wird das Betriebssystem erneut versuchen, eine TLS 1.2-Verbindung herzustellen.

Welchen Status wird dieser Fallback-Verkehr haben, wenn Microsoft die Unterstützung für das alte TLS einstellt? Das Betriebssystem kann immer noch versuchen, eine TLS-Verbindung mit dem alten TLS-Protokoll herzustellen. Wenn der Microsoft-Dienst jedoch das ältere TLS-Protokoll nicht mehr unterstützt, wird die alte TLS-basierte Verbindung nicht erfolgreich sein. Dadurch wird das Betriebssystem gezwungen, die Verbindung erneut zu versuchen und stattdessen TLS 1.2 zu verwenden.

Identifizieren und Verringern der Abhängigkeit von Clients, die TLS 1.2 nicht unterstützen

Aktualisieren Sie die folgenden Clients, um einen unterbrechungsfreien Zugriff zu ermöglichen:

  • Android Version 4.3 und frühere Versionen
  • Firefox Version 5.0 und frühere Versionen
  • Internet Explorer Versionen 8-10 unter Windows 7 und früheren Versionen
  • Internet Explorer 10 unter Windows Phone 8,0
  • Safari 6.0.4 unter OS X 10.8.4 und früheren Versionen

Weitere Informationen finden Sie unter Handshake-Simulation für verschiedene Clients, die sich mit www.microsoft.com verbinden, mit freundlicher Genehmigung von SSLLabs.com.

Aktivieren Sie TLS 1.2 für allgemeine Serverrollen, die mit Microsoft Entra ID kommunizieren.

Aktivieren von TLS 1.2 auf Client- oder Serverbetriebssystemen

Registrierungszeichenfolgen

Für Windows 2012 R2, Windows 8.1 und neuere Betriebssysteme ist TLS 1.2 standardmäßig aktiviert. Daher sind die folgenden Registrierungswerte nur erforderlich, wenn sie mit unterschiedlichen Werten festgelegt wurden.

Um TLS 1.2 auf Betriebssystemebene manuell zu konfigurieren und zu aktivieren, können Sie die folgenden DWORD-Werte hinzufügen.

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
    •               DisabledByDefault00000000
    •               Enabled00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
    •               DisabledByDefault00000000
    •               Enabled00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
    •               SchUseStrongCrypto00000001

Um TLS 1.2 mithilfe eines PowerShell-Skripts zu aktivieren, besuchen Sie TLS 1.2 Erzwingung für Microsoft Entra Connect.

So überprüfen Sie, welches TLS-Protokoll verwendet wird

Im Folgenden finden Sie zwei Möglichkeiten, um zu überprüfen, welches TLS verwendet wird:

  • Browsersicherheitseinstellungen
  • Interneteigenschaften in Windows

Führen Sie die folgenden Schritte aus, um zu überprüfen, welches TLS-Protokoll mithilfe von Interneteigenschaften verwendet wird:

  1. Drücken Sie Windows+R, um das Feld Ausführen zu öffnen.

  2. Geben Sie inetcpl.cpl ein und wählen Sie dann OK. Anschließend wird das Fenster Interneteigenschaften geöffnet.

  3. Wählen Sie im Fenster Interneigenschaften die Registerkarte Erweitert und scrollen Sie nach unten, um die Einstellungen für TLS zu überprüfen.

    Screenshot, der die TLS-bezogenen Einstellungen in den Interneteigenschaften zeigt.

Aktualisieren und Konfigurieren von .NET Framework zur Unterstützung von TLS 1.2

Verwaltete integrierte Microsoft Entra-Anwendungen und Windows PowerShell-Skripts (mit Microsoft Graph PowerShell und Microsoft Graph) verwenden möglicherweise .NET Framework.

Installieren von .NET-Updates, um starke Kryptografie zu aktivieren

Ermitteln der .NET-Version

Ermitteln Sie zunächst die installierten .NET-Versionen.

.NET-Updates installieren

Installieren Sie die .NET-Updates, damit Sie starke Kryptografie aktivieren können. Einige Versionen von .NET Framework müssen möglicherweise aktualisiert werden, um starke Kryptografie zu ermöglichen.

Nutzen Sie diese Richtlinien:

  • .NET Framework 4.6.2 und spätere Versionen unterstützen TLS 1.2 und TLS 1.1. Überprüfen Sie die Registrierungseinstellungen. Es sind keine weiteren Änderungen erforderlich.

  • .NET Framework 4.6 und frühere Versionen müssen aktualisiert werden, um TLS 1.2 und TLS 1.1 zu unterstützen.

    Weitere Informationen finden Sie unter .NET Framework – Versionen und Abhängigkeiten.

  • Verwenden Sie .NET Framework 4.5.2 oder 4.5.1 unter Windows 8.1 oder Windows Server 2012? In diesem Fall sind die entsprechenden Updates und Details auch im Microsoft Update Catalog verfügbar.

Legen Sie für jeden Computer, der über das Netzwerk kommuniziert und ein TLS 1.2-fähiges System ausführt, die folgenden DWORD-Registrierungswerte fest.

  • Aktualisieren Sie für 32-Bit-Anwendungen auf 32-Bit-Systemen oder für 64-Bit-Anwendungen auf 64-Bit-Systemen die folgenden Unterschlüsselwerte:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727

      •               SystemDefaultTlsVersions00000001
      •               SchUseStrongCrypto00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

      •               SystemDefaultTlsVersions00000001
      •               SchUseStrongCrypto00000001
  • Aktualisieren Sie für 32-Bit-Anwendungen, die auf 64-Bit-Systemen ausgeführt werden, die folgenden Unterschlüsselwerte:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727
      •               SystemDefaultTlsVersionsdword:00000001
      •               SchUseStrongCryptodword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
      •               SystemDefaultTlsVersionsdword:00000001
      •               SchUseStrongCryptodword:00000001

Legen Sie z. B. folgende Werte fest:

  • Configuration Manager-Clients
  • Systemrollen von Remotewebsites, die nicht auf dem Standortserver installiert sind
  • Der Standortserver selbst

Weitere Informationen finden Sie in den folgenden Artikeln:

Übersicht über neue Telemetriedaten in den Anmeldeprotokollen

Zeigen Sie die Microsoft Entra-Anmeldeprotokolle an, um Clients oder Apps zu identifizieren, die weiterhin veraltete TLS in Ihrer Umgebung verwenden. Für Clients oder Apps, die sich über veraltete TLS anmelden, markiert Microsoft Entra ID das Feld Legacy TLS unter Zusätzliche Details mit True. Das Feld „Legacy TLS“ wird nur angezeigt, wenn die Anmeldung über veraltete TLS erfolgt ist. Wenn in Ihren Protokollen keine veraltete TLS angezeigt wird, können Sie zu TLS 1.2 wechseln.

Um die Anmeldeversuche zu finden, die ältere TLS-Protokolle verwendet haben, kann ein Administrator die Protokolle wie folgt überprüfen:

  • Exportieren und Abfragen der Protokolle in Azure Monitor.
  • Herunterladen der Protokolle der letzten sieben Tage im Json-Format (JavaScript Object Notation).
  • Filtern und Exportieren von Anmeldeprotokollen mithilfe von PowerShell.

Diese Methoden werden im Folgenden beschrieben.

Sie können die Anmeldeprotokolle mithilfe von Azure Monitor abfragen. Azure Monitor ist ein leistungsfähiges Protokollanalyse-, Überwachungs- und Benachrichtigungstool. Verwenden Sie Azure Monitor für:

  • Microsoft Entra-Protokolle
  • Azure-Ressourcenprotokolle
  • Protokolle von unabhängigen Softwaretools

Hinweis

Sie benötigen eine Microsoft Entra ID P1- oder P2-Lizenz, um Berichtsdaten nach Azure Monitor zu exportieren.

So fragen Sie veraltete TLS-Einträge mithilfe von Azure Monitor ab:

  1. Befolgen Sie die Anweisungen unter Integration von Microsoft Entra-Protokollen mit Azure Monitor-Protokollen, damit Sie auf die Microsoft Entra-Anmeldeprotokolle in Azure Monitor zugreifen können.

  2. Fügen Sie im Abfragedefinitionsbereich die folgende Kusto Query Language-Abfrage ein:

    // Interactive sign-ins only
    SigninLogs
    | where AuthenticationProcessingDetails has "Legacy TLS"
        and AuthenticationProcessingDetails has "True"
    | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
    | mv-apply JsonAuthProcDetails on (
        where JsonAuthProcDetails.key startswith "Legacy TLS"
        | project HasLegacyTls=JsonAuthProcDetails.value
    )
    | where HasLegacyTls == true
    
    // Non-interactive sign-ins
    AADNonInteractiveUserSignInLogs
    | where AuthenticationProcessingDetails has "Legacy TLS"
        and AuthenticationProcessingDetails has "True"
    | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
    | mv-apply JsonAuthProcDetails on (
        where JsonAuthProcDetails.key startswith "Legacy TLS"
        | project HasLegacyTls=JsonAuthProcDetails.value
    )
    | where HasLegacyTls == true
    
    // Workload Identity (service principal) sign-ins
    AADServicePrincipalSignInLogs
    | where AuthenticationProcessingDetails has "Legacy TLS"
        and AuthenticationProcessingDetails has "True"
    | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
    | mv-apply JsonAuthProcDetails on (
        where JsonAuthProcDetails.key startswith "Legacy TLS"
        | project HasLegacyTls=JsonAuthProcDetails.value
    )
    | where HasLegacyTls == true
    
  3. Wählen Sie Ausführen aus, um die Abfrage auszuführen. Die Protokolleinträge, die der Abfrage entsprechen, werden auf der Registerkarte Ergebnisse unterhalb der Abfragedefinition angezeigt.

  4. Weitere Informationen zur Quelle der veralteten TLS-Anforderung finden Sie in den folgenden Feldern:

    • User.DisplayName
    • AppDisplayName
    • ResourceDisplayName
    • UserAgent

Anzeigen von Details zu Protokolleinträgen im Microsoft Entra Admin Center

Nachdem Sie die Protokolle abgerufen haben, können Sie weitere Details zu Anmeldeprotokolleinträgen, die auf veralteter TLS basieren, im Microsoft Entra Admin Center abrufen. Gehen Sie folgendermaßen vor:

  1. Suchen Sie im Azure Portal nach Microsoft Entra ID und wählen Sie diese aus.

  2. Wählen Sie im Seitenmenü Übersicht die Option Anmeldeprotokolle aus.

  3. Wählen Sie einen Anmeldeprotokolleintrag für einen Benutzer aus.

  4. Wählen Sie die Registerkarte Zusätzliche Details aus. (Wenn diese Registerkarte nicht angezeigt wird, wählen Sie zuerst die drei Punkte (...) in der rechten oberen Ecke aus, um die vollständige Liste der Registerkarten anzuzeigen.)

  5. Suchen Sie nach einem Wert für veraltete TLS (TLS 1.0, 1.1 oder 3DES), der auf True festgelegt ist. Wenn Sie solch ein Feld und diesen Wert sehen, wurde der Anmeldeversuch mithilfe von veralteter TLS ausgeführt. Wenn der Anmeldeversuch mit TLS 1.2 durchgeführt wurde, wird dieses Feld nicht angezeigt.

Weitere Informationen finden Sie unter Anmeldeprotokolle in Microsoft Entra ID.

Kontaktieren Sie uns für Hilfe

Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.