Microsoft Entra プライベート ネットワーク コネクタは、お客様が適用することを選択した TLS バージョンに従って、トランスポート層セキュリティ (TLS) 1.2、TLS 1.3 以降をサポートしています。
暗号スイート
暗号スイートは、セキュリティで保護された接続を作成するために使用される一連の暗号アルゴリズムです。 TLS 1.2 と TLS 1.3 では、既定の Windows 暗号が使用されます。
次の表に、TLS 1.3 と TLS 1.2 でサポートされている暗号スイートを示します。
| # TLS 1.3 (サーバー優先順のスイート) | |||
|---|---|---|---|
| TLS_AES_256_GCM_SHA384 (0x1302) | ECDH secp384r1 (eq. 7680 bits RSA) | FS | |
| TLS_AES_128_GCM_SHA256 (0x1301) | ECDH secp256r1 (eq. 3072 bits RSA) | FS |
| # TLS 1.2 (サーバー優先順のスイート) | |||
|---|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) | ECDH secp384r1 (eq. 7680 bits RSA) | FS | |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) | ECDH secp256r1 (eq. 3072 bits RSA) | FS | |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) | ECDH secp384r1 (eq. 7680 bits RSA) | FS | 弱い |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) | ECDH secp256r1 (eq. 3072 bits RSA) | FS | 弱い |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) | ECDH secp384r1 (eq. 7680 bits RSA) | FS | 弱い |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) | ECDH secp256r1 (eq. 3072 bits RSA) | FS | 弱い |
| TLS_RSA_WITH_AES_256_GCM_SHA384 (0x9d) | 弱い | ||
| TLS_RSA_WITH_AES_128_GCM_SHA256 (0x9c) | 弱い | ||
| TLS_RSA_WITH_AES_256_CBC_SHA256 (0x3d) | 弱い | ||
| TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3c) | 弱い | ||
| TLS_RSA_WITH_AES_256_CBC_SHA (0x35) | 弱い | ||
| TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) | 弱い |
フィルター暗号
使用する既定の TLS 1.2 および TLS 1.3 暗号のうちどれを除外するかを決定するには、次のような要因を考慮してください。
- コネクタ オペレーティング システム。
- TLS ライブラリ。
- アプリケーション構成。
暗号の一覧を表示するには:
- Wireshark などのプロトコル アナライザーを使用して、コネクタへの特定の要求を表示します。
- Client Hello メッセージを展開します。