Udostępnij za pośrednictwem

Wymuszanie protokołu TLS 1.2 dla usługi rejestracji entra firmy Microsoft

  • Artykuł

Usługa rejestracji urządzeń firmy Microsoft jest używana do łączenia urządzeń z chmurą przy użyciu tożsamości urządzenia. Usługa rejestracji urządzeń firmy Microsoft obecnie obsługuje komunikację z platformą Azure przy użyciu protokołu Transport Layer Security (TLS) 1.2. Aby zapewnić bezpieczeństwo i najlepsze w klasie szyfrowanie, firma Microsoft zaleca wyłączenie protokołów TLS 1.0 i 1.1. Ten dokument zawiera informacje na temat sposobu, w jaki maszyny używane do rejestracji i komunikowania się z usługą rejestracji urządzeń firmy Microsoft używają protokołu TLS 1.2.

Protokół TLS w wersji 1.2 jest protokołem kryptografii zaprojektowanym w celu zapewnienia bezpiecznej komunikacji. Protokół TLS ma na celu przede wszystkim zapewnienie prywatności i integralności danych. Protokół TLS przeszedł wiele iteracji ze zdefiniowaną wersją 1.2 w dokumencie RFC 5246 (link zewnętrzny).

Bieżąca analiza połączeń pokazuje niewielkie użycie protokołu TLS 1.1 i 1.0, ale udostępniamy te informacje, aby można było zaktualizować wszystkich klientów lub serwerów, których to dotyczy, przed zakończeniem obsługi protokołu TLS 1.1 i 1.0. Jeśli używasz dowolnej infrastruktury lokalnej dla scenariuszy hybrydowych lub usług Active Directory Federation Services (AD FS), upewnij się, że infrastruktura może obsługiwać połączenia przychodzące i wychodzące korzystające z protokołu TLS 1.2.

Aktualizowanie serwerów z systemem Windows

W przypadku serwerów z systemem Windows, które korzystają z usługi rejestracji urządzeń firmy Microsoft lub działają jako serwery proxy, wykonaj następujące kroki, aby upewnić się, że protokół TLS 1.2 jest włączony:

Ważne

Po zaktualizowaniu rejestru należy ponownie uruchomić serwer z systemem Windows, aby zmiany zaczęły obowiązywać.

Włączanie protokołu TLS 1.2

Upewnij się, że następujące ciągi rejestru są skonfigurowane, jak pokazano poniżej:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
    • "DisabledByDefault"=dword:00000000
    • "Enabled"=dword:00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
    • "DisabledByDefault"=dword:00000000
    • "Enabled"=dword:00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319
    • "SchUseStrongCrypto"=dword:00000001

Aktualizowanie serwerów proxy innych niż Windows

Wszystkie maszyny, które działają jako serwery proxy między urządzeniami i usługą rejestracji urządzeń firmy Microsoft, muszą upewnić się, że protokół TLS 1.2 jest włączony. Postępuj zgodnie ze wskazówkami dostawcy, aby zapewnić pomoc techniczną.

Aktualizowanie serwerów usług AD FS

Wszystkie serwery usług AD FS używane do komunikowania się z usługą rejestracji urządzeń firmy Microsoft muszą upewnić się, że protokół TLS 1.2 jest włączony. Aby uzyskać informacje na temat włączania/weryfikowania tej konfiguracji, zobacz Zarządzanie protokołami SSL/TLS i zestawami szyfrowania dla usług AD FS .

Aktualizacje klienta

Ponieważ wszystkie kombinacje client-server i browser-server muszą używać protokołu TLS 1.2 do nawiązania połączenia z usługą rejestracji urządzeń firmy Microsoft, może być konieczne zaktualizowanie tych urządzeń.

Następujący klienci są znani, że nie mogą obsługiwać protokołu TLS 1.2. Zaktualizuj klientów, aby zapewnić nieprzerwany dostęp.

  • System Android w wersji 4.3 lub starszej
  • Firefox w wersji 5.0 lub starszej
  • Program Internet Explorer w wersji 8-10 w systemie Windows 7 lub starszym
  • Program Internet Explorer 10 w systemie Windows Telefon 8.0
  • Safari w wersji 6.0.4 w systemie OS X 10.8.4 i starszych wersjach

Następne kroki

Omówienie protokołu TLS/SSL (dostawca SSP Schannel)