クライアントが TLS 1.2 をサポートしていないときに、認証エラーが発生する

概要

Microsoft 365 管理 センター (2021 年 2 月の通信 MC240160 など) で以前に通信したように、すべてのオンライン サービスをトランスポート層セキュリティ (TLS) 1.2 以降に移行しています。 この変更は、2020 年 10 月 15 日に開始されました。 TLS 1.2 以降のサポートは、今後数か月間、すべての Microsoft 365 環境に引き続き追加される予定です。 この変更に備える手順を実行していない場合は、Microsoft 365 への接続が影響を受ける可能性があります。

.NET FRAMEWORK TLS 1.2 用に構成されていません

現象

SharePoint にアクセスすると、次の 1 つ以上のエラーが発生します。

トークン要求が失敗しました。 >--- System.Net.WebException: リモート サーバーからエラーが返されました: (401) 承認されていません。 at System.Net.HttpWebRequest.GetResponse()

System.Net.WebException: 基になる接続が閉じられました。送信時に予期しないエラーが発生しました。

System.IO.IOException: トランスポート接続からデータを読み取ることができません:既存の接続がリモート ホストによって強制的に閉じられました。

System.Net.Sockets.SocketException: 既存の接続がリモート ホストによって強制的に閉じられました。

ビジネス データ接続メタデータ ストアは現在使用できません。

解決方法

TLS 1.2 以降を有効にするために.NET Frameworkを構成する方法の詳細については、「強力な暗号化の構成」を参照してください。

OS で TLS 1.2 が有効になっていない

現象

認証の問題は、TLS 1.2 が有効になっていない古いオペレーティング システムやブラウザー、またはレガシ TLS プロトコルを強制する特定のネットワーク構成とプロキシ設定で発生します。

解決方法

Windows 10

解決策 1: 暗号スイートの設定を確認する

TLS 1.2 にアップグレードした後でも、暗号スイートの設定が Azure Front Door の要件と一致していることを確認することが重要です。Microsoft 365と Azure Front Door では暗号スイートのサポートが若干異なるためです。

TLS 1.2 の場合、次の暗号スイートが Azure Front Door でサポートされています。

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

暗号スイートを追加するには、グループ ポリシーを展開するか、「グループ ポリシーを使用して TLS 暗号スイートの順序を構成する」で説明されているようにローカル グループ ポリシーを使用します。

重要

暗号スイートの順序を編集して、これら 4 つのスイートがリストの一番上 (最高の優先順位) にあることを確認します。

Alternativley では、 Enable-TlsCipherSuite コマンドレットを使用して TLS 暗号スイートを有効にすることができます。 たとえば、次のコマンドを実行して、暗号スイートを最高の優先順位として有効にします。

Enable-TlsCipherSuite -Name "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384" -Position 0

このコマンドでは、TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 暗号スイートを、最高の優先順位である位置 0 の TLS 暗号スイート リストに追加します。

重要

Enable-TlsCipherSuite を実行した後、Get-TlsCipherSuite を実行して、暗号スイートの順序を確認できます。 順序に変更が反映されていない場合は、SSL 暗号スイートの順序グループ ポリシー設定で既定の TLS 暗号スイートの順序が構成されているかどうかを確認してください。

詳細については、「Azure Front Door でサポートされている現行の暗号スイートは何ですか?」を参照してください。

Windows 8、Windows 7 または Windows Server 2012/2008 R2 (SP1)

Windows 8、Windows 7 Service Pack 1 (SP1)、Windows Server 2012、または Windows Server 2008 R2 SP1 を使用している場合は、次の解決策を参照してください。

SharePoint ライブラリにマップされたネットワーク ドライブ

現象

認証の問題またはエラーは、SharePoint ライブラリにマップされているネットワーク ドライブを使用しようとすると発生します。

解決方法

この問題は、使用中のオペレーティング システムと、Web クライアントが TLS 1.2 をサポートしているかどうかが原因で発生する可能性があります。 TLS 1.2 のサポートは次のとおりです。

ブラウザーは TLS 1.2 をサポートしていません

現象

TLS 1.2 以降をサポートしていない既知のアプリから SharePoint にアクセスするための認証の問題またはエラーが発生します。 次のブラウザーでは、TLS 1.2 はサポートされていません。

  • Android 4.3 およびそれ以前のバージョン
  • Firefox 5.0 およびそれ以前のバージョン
  • Windows 7 以前の Internet Explorer 8-10
  • Windows Phone 8 上の Internet Explorer 10
  • Safari 6.0.4/OS X10.8.4 およびそれ以前のバージョン

解決方法

ブラウザーの新しいバージョンにアップグレードします。

AZURE APP SERVICEは最新バージョンの TLS と .NET Frameworkを使用しません

現象

Azure App Serviceを使用する場合の認証の問題。

解決方法

  1. App Service インスタンスの最小 TLS バージョンを TLS 1.2 に設定します。 詳細については、「 TLS バージョンを適用する」を参照してください。
  2. 最新バージョンの.NET Frameworkを使用していることを確認します。

ハイブリッド検索がクロールに失敗するか、結果を返す

現象

Microsoft 365 の SharePoint でハイブリッド検索を使用すると、次の 1 つ以上の問題が発生します。

  • クロールは失敗します。
  • 結果は返されません。
  • "既存の接続が強制的に閉じられました" などのエラー メッセージが表示されます。

解決方法

問題を解決するには、「 ハイブリッド検索がクロールに失敗するか、結果を返す」を参照してください。

関連情報