概要
Microsoft 365 管理センターで既に説明したように (たとえば、2021 年 2 月の通信MC240160)、すべてのオンライン サービスをトランスポート層セキュリティ (TLS) 1.2 以降に移行しています。 この変更は、2020 年 10 月 15 日に開始されました。 TLS 1.2 以降のサポートは、今後数か月間、すべての Microsoft 365 環境に引き続き追加される予定です。 この変更に備える手順を実行していない場合は、Microsoft 365 への接続が影響を受ける可能性があります。
TLS 1.2 用に構成されていない .NET Framework
症状
SharePoint にアクセスすると、次のエラーが 1 つ以上発生します。
トークン要求が失敗しました。 ---> System.Net.WebException: リモート サーバーがエラー (401) 未承認を返しました。 at System.Net.HttpWebRequest.GetResponse()
System.Net.WebException: 基になる接続が閉じられました: 送信時に予期しないエラーが発生しました。
System.IO.IOException: トランスポート接続からデータを読み取ることができません:既存の接続がリモート ホストによって強制的に閉じられました。
System.Net.Sockets.SocketException: 既存の接続がリモート ホストによって強制的に閉じられました。
ビジネス データ接続メタデータ ストアは現在使用できません。
解決策
TLS 1.2 以降を有効にするように .NET Framework を構成する方法の詳細については、「 強力な暗号化の構成」を参照してください。
OS で TLS 1.2 が有効になっていない
症状
認証の問題は、TLS 1.2 が有効になっていない古いオペレーティング システムとブラウザー、または従来の TLS プロトコルを強制する特定のネットワーク構成とプロキシ設定で発生します。
解決策
Windows 10
解決策 1: 暗号スイートの設定を確認する
TLS 1.2 にアップグレードした後でも、Microsoft 365 と Azure Front Door では暗号スイートのサポートが若干異なるため、暗号スイートの設定が Azure Front Door の要件と一致していることを確認することが重要です。
TLS 1.2 の場合、Azure Front Door では次の暗号スイートがサポートされています。
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
暗号スイートを追加するには、「グループ ポリシーを使用 した TLS 暗号スイートの順序の構成」の説明に従って、グループ ポリシーをデプロイするか、ローカル グループ ポリシーを使用します。
Von Bedeutung
暗号スイートの順序を編集して、これら 4 つのスイートがリストの一番上 (最も優先度が高い) であることを確認します。
Alternativley では、 Enable-TlsCipherSuite コマンドレットを使用して TLS 暗号スイートを有効にすることができます。 たとえば、次のコマンドを実行して、最も優先度の高い暗号スイートを有効にします。
Enable-TlsCipherSuite -Name "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384" -Position 0
このコマンドは、TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384暗号スイートを、優先順位が最も高い位置 0 の TLS 暗号スイート・リストに追加します。
Von Bedeutung
Enable-TlsCipherSuite を実行した後、Get-TlsCipherSuite を実行して暗号スイートの順序を確認できます。 順序に変更が反映されない場合は、 SSL 暗号スイートの順序 グループ ポリシー設定で既定の TLS 暗号スイートの順序が構成されているかどうかを確認します。
詳細については、「 Azure Front Door でサポートされている現在の暗号スイートとは」を参照してください。
Windows 8、Windows 7、または Windows Server 2012/2008 R2(SP1)
Windows 8、Windows 7 Service Pack 1 (SP1)、Windows Server 2012、または Windows Server 2008 R2 SP1 を使用している場合は、次の解決策を参照してください。
-
Easy Fix ツールでは、TLS 1.1 および TLS 1.2 Secure Protocol レジストリ キーを自動的に追加できます。 詳細については、Windowsの WinHTTP で TLS 1.1 と TLS 1.2 を既定のセキュリティで保護されたプロトコルとして有効にする更新プログラムの
を参照してください。 - Windows 8 の場合は、 KB 3140245をインストールし、対応するレジストリ値を作成します。
- Windows Server 2012 の場合、 Easy Fix ツール では、TLS 1.1 および TLS 1.2 セキュア プロトコル レジストリ キーを自動的に追加できます。 Easy Fix ツールを実行した後も断続的な接続エラーが発生する場合は、 DHE 暗号スイートを無効にすることを検討してください。 詳細については、「 Windows で SQL Server を接続するときに、アプリケーションが TLS 接続エラーを強制的に終了する」を参照してください。
SharePoint ライブラリにマップされたネットワーク ドライブ
症状
SharePoint ライブラリにマップされているネットワーク ドライブを使用しようとすると、認証の問題またはエラーが発生します。
解決策
この問題は、使用中のオペレーティング システムと、Web クライアントが TLS 1.2 をサポートしているかどうかが原因で発生する可能性があります。 TLS 1.2 のサポートは次のとおりです。
- WINDOWS 8 および Windows 7 では、 KB 3140245 をインストールし、対応するレジストリ値を作成した後、TLS 1.2 がサポートされます。 詳細については、「 Windows の WinHTTP で TLS 1.2 を既定のセキュリティで保護されたプロトコルとして有効にする更新プログラム」を参照してください。
- Windows 8.1 では、2021 年の第 3 四半期に予定されている更新プログラムの後、TLS 1.2 がサポートされます。
- Windows 10 では、TLS 1.2 が既にサポートされています。
ブラウザーは TLS 1.2 をサポートしていません
症状
TLS 1.2 以降をサポートしていない既知のアプリから SharePoint にアクセスするための認証の問題または失敗が発生します。 次のブラウザーでは、TLS 1.2 はサポートされていません。
- Android 4.3 およびそれ以前のバージョン
- Firefox 5.0 およびそれ以前のバージョン
- Windows 7 以前の Internet Explorer 8-10
- Windows Phone 8 上の Internet Explorer 10
- Safari 6.0.4/OS X10.8.4 およびそれ以前のバージョン
解決策
新しいバージョンのブラウザーにアップグレードします。
Azure App Service で最新バージョンの TLS と .NET Framework が使用されない
症状
Azure App Service を使用するときの認証の問題。
解決策
- App Service インスタンスの最小 TLS バージョンを TLS 1.2 に設定します。 詳細については、「 TLS バージョンの適用」を参照してください。
- 最新バージョンの .NET Framework を使用していることを確認します。
ハイブリッド検索がクロールできないか、結果を返すことができない
症状
Microsoft 365 の SharePoint でハイブリッド検索を使用すると、次の 1 つ以上の問題が発生します。
- クロールが失敗します。
- 結果は返されません。
- "既存の接続が強制的に閉じられました" などのエラー メッセージが表示されます。
解決策
問題を解決するには、「ハイブリッド検索がクロールに失敗したり、結果を返さなかったりする場合」を参照してください。