Aplicación de TLS 1.2 para el servicio de registro de Microsoft Entra
El servicio de registro de dispositivos de Microsoft Entra se usa para conectar dispositivos a la nube con una identidad de dispositivo. El servicio de registro de dispositivos de Microsoft Entra admite actualmente el uso de Seguridad de la capa de transporte (TLS) 1.2 para las comunicaciones con Azure. Para garantizar la seguridad y el mejor cifrado, Microsoft recomienda deshabilitar TLS 1.0 y 1.1. En este documento se proporciona información sobre cómo asegurarse de que las máquinas usadas para completar el registro y comunicarse con el servicio de registro de dispositivos de Microsoft Entra usan TLS 1.2.
El protocolo TLS, versión 1.2, es un protocolo de criptografía que está diseñado para proporcionar comunicaciones seguras. El protocolo TLS tiene como objetivo principal proporcionar privacidad e integridad de los datos. TLS ha pasado por muchas iteraciones con la versión 1.2; estas se definen en RFC 5246 (vínculo externo).
El análisis actual de conexiones muestra un uso escaso de TLS 1.1 y 1.0, pero proporcionamos esta información para que pueda actualizar cualquier cliente o servidor afectado según sea necesario antes de que finalice la compatibilidad con TLS 1.1 y 1.0. Si usa una infraestructura local para escenarios híbridos o Servicios de federación de Active Directory (AD FS), asegúrese de que la infraestructura puede admitir tanto conexiones entrantes como salientes que usen TLS 1.2.
Actualización de servidores de Windows
En el caso de los servidores de Windows que usan el servicio de registro de dispositivos de Microsoft Entra o actúan como servidores proxy, realice los pasos siguientes para asegurarse de que TLS 1.2 está habilitado:
Importante
Una vez que haya actualizado el registro, debe reiniciar el servidor de Windows para que los cambios surtan efecto.
Habilitar TLS 1.2
Asegúrese de que las siguientes cadenas del registro están configuradas de la siguiente manera:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
- "DisabledByDefault"=dword:00000000
- "Enabled"=dword:00000001
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
- "DisabledByDefault"=dword:00000000
- "Enabled"=dword:00000001
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319
- "SchUseStrongCrypto"=dword:00000001
Actualización de servidores proxy que no son de Windows
Todas las máquinas que actúen como servidores proxy entre dispositivos y el servicio de registro de dispositivos de Microsoft Entra deben asegurarse de que TLS 1.2 está habilitado. Siga las instrucciones del proveedor para garantizar el soporte técnico.
Actualización de servidores de AD FS
Todos los servidores de AD FS utilizados para comunicarse con el servicio de registro de dispositivos de Microsoft Entra deben asegurarse de que TLS 1.2 está habilitado. Consulte Administración de conjuntos de cifrado y protocolos SSL/TLS de AD FS para encontrar información sobre cómo habilitar o comprobar esta configuración.
Actualizaciones de clientes
Dado que todas las combinaciones cliente-servidor y explorador-servidor deben usar TLS 1.2 para conectarse con el servicio de registro de dispositivos de Microsoft Entra, puede que tenga que actualizar estos dispositivos.
Se sabe que los siguientes clientes no pueden admitir TLS 1.2. Actualice los clientes para garantizar el acceso ininterrumpido.
- Android versión 4.3 y anteriores
- Firefox versión 5.0 y anteriores
- Internet Explorer versiones 8-10 en Windows 7 y anteriores
- Internet Explorer 10 en Windows Phone 8.0
- Safari versión 6.0.4 en OS X 10.8.4 y versiones anteriores