強力な TLS (Transport Layer Security) 暗号化の使用

  • [アーティクル]

適用対象:no-img-132013 no-img-162016 no-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

Secure Socket Layer (SSL) /トランスポート層セキュリティ (TLS) は、クライアントとサーバーの間でデータを暗号化しますが、一部の種類の暗号化は他の暗号化よりも強力です。 SharePoint Server では、Windows Server 2022 の高度なセキュリティ機能を利用して、 サーバーに対して行われた TLS 接続で最も強力な暗号化のみが使用されるようにします。

SharePoint Server は、接続で使用される HTTP バージョンに関係なく、 RFC 7540 のセクション 9.2 で指定された最小 TLS バージョンと暗号スイート要件を SSL バインドに適用するように構成します。

特に次のような場合です。

  • ネゴシエートされる SSL/TLS プロトコルのバージョンは、TLS 1.2 以上でである必要があります。 TLS 1.2 より低い TLS プロトコル バージョンとすべての SSL プロトコル バージョンは、その SSL バインドへの接続に対してブロックされます。

  • ネゴシエートされた TLS 暗号スイートは、GCM などの関連付けられたデータ (AEAD) 暗号化モードを使用した前方秘密と認証された暗号化をサポートする必要があります。 前方秘密を提供しない暗号スイート、または null、脆弱なストリーム暗号 (RC4 など) に基づく暗号スイート、またはブロック暗号モード (CBC など) は、SSL バインドへの接続に対してブロックされます。

これらの要件は、SSL バインドを使用するすべての SharePoint Web アプリケーションと、SharePoint サービス アプリケーション エンドポイントをホストする "SharePoint Web サービス" IIS Web サイトの SSL バインドに既定で適用されます。 下位互換性のために従来の暗号化 (以前の TLS プロトコル バージョンや暗号スイートなど) を引き続きサポートする必要がある場合は、サーバーの全体管理の [レガシ暗号化を許可する] 設定を使用してこれを構成できます。 また、次 PowerShell cmdlets のコマンド ライン ツールとコマンド ライン ツールの -AllowLegacyEncryption パラメーターを使用して構成することもできます。

  • New-SPWebApplication

  • New-SPWebApplicationExtension

  • Set-SPWebApplication ("Zone" パラメーター セット)

  • New-SPCentralAdministration

  • Set-SPCentralAdministration

  • Set-SPServiceHostConfig

  • PSConfig.exe -cmd adminvs

注:

既定の強力な TLS 暗号化は、SharePoint Server サブスクリプション エディションが以前の SharePoint Server のサーバーと一緒に展開されている場合は利用できません。 Microsoft では、Windows Server 2022 以上の SharePoint Server サブスクリプション エディションを展開することをお勧めします。