Włączanie obsługi protokołu TLS 1.2 w środowisku dla Microsoft Entra wycofywania protokołów TLS 1.1 i 1.0

Aby poprawić stan zabezpieczeń dzierżawy i zachować zgodność ze standardami branżowymi, Tożsamość Microsoft Entra wkrótce przestanie obsługiwać następujące protokoły i szyfry usługi Transport Layer Security (TLS):

• Protokół TLS 1.1
• TLS 1.0
• Zestaw szyfrowania 3DES (TLS_RSA_WITH_3DES_EDE_CBC_SHA)

Jak ta zmiana może wpłynąć na Twoją organizację

Czy aplikacje komunikują się z Tożsamość Microsoft Entra lub uwierzytelniają się w ich Tożsamość Microsoft Entra? Te aplikacje mogą nie działać zgodnie z oczekiwaniami, jeśli nie mogą używać protokołu TLS 1.2 do komunikacji. Ta sytuacja obejmuje:

• Microsoft Entra Connect
• Microsoft Graph PowerShell
• łączniki serwera proxy aplikacji Microsoft Entra
• Agentów PTA
• Starsze przeglądarki
• Aplikacje zintegrowane z Tożsamość Microsoft Entra

Dlaczego ta zmiana jest wprowadzona

Te protokoły i szyfry są przestarzałe z następujących powodów:

• Aby postępować zgodnie z najnowszymi standardami zgodności dla Federalnego programu zarządzania ryzykiem i autoryzacją (FedRAMP).
• Aby zwiększyć bezpieczeństwo, gdy użytkownicy wchodzą w interakcje z naszymi usługami w chmurze.

Usługi zestawu szyfrowania TLS 1.0, TLS 1.1 i 3DES są przestarzałe zgodnie z poniższym harmonogramem.

Typ wystąpienia	Data wycofania	Stan
Wystąpienia instytucji rządowych USA	31 marca 2021 r.	ZAKOŃCZONE
Wystąpienia publiczne	31 stycznia 2022 r.	ZAKOŃCZONE
Microsoft Entra wystąpienia obsługiwane przez firmę 21Vianet w Chinach	Czerwiec 2023	BIEŻĄCYCH

Obsługa protokołu TLS 1.3 dla usług Microsoft Entra

Oprócz obsługi protokołu TLS 1.2 Microsoft Entra wprowadza również obsługę protokołu TLS 1.3 dla punktów końcowych w celu dostosowania ich do najlepszych rozwiązań w zakresie zabezpieczeń (NIST — SP 800-52 Rev. 2). Dzięki tej zmianie punkty końcowe Microsoft Entra będą obsługiwać protokoły TLS 1.2 i TLS 1.3.

Włączanie obsługi protokołu TLS 1.2 w środowisku

Aby zapewnić bezpieczne połączenie z usługami Tożsamość Microsoft Entra i Microsoft 365, skonfiguruj aplikacje klienckie oraz systemy operacyjne klienta i serwera do obsługi protokołu TLS 1.2 i współczesnych zestawów szyfrowania.

Wytyczne dotyczące włączania protokołu TLS 1.2 na klientach

• Zaktualizuj system Windows i domyślny protokół TLS używany dla elementu "WinHTTP".
• Identyfikowanie i zmniejszanie zależności aplikacji klienckich i systemów operacyjnych, które nie obsługują protokołu TLS 1.2.
• Włącz protokół TLS 1.2 dla aplikacji i usług komunikujących się z Tożsamość Microsoft Entra.
• Zaktualizuj i skonfiguruj instalację struktury oprogramowania .NET Framework, aby obsługiwała protokół TLS 1.2.
• Upewnij się, że skrypty aplikacji i programu PowerShell (korzystających z programu Microsoft Graph i programu Microsoft Graph PowerShell) są hostowane i uruchamiane na platformie obsługujących protokół TLS 1.2.
• Upewnij się, że przeglądarka internetowa ma najnowsze aktualizacje. Zalecamy korzystanie z nowej przeglądarki Microsoft Edge (opartej na silniku Chromium). Aby uzyskać więcej informacji, zobacz artykuł informacje o wersji przeglądarki Microsoft Edge dla stabilnego kanału.
• Upewnij się, że serwer proxy sieci Web obsługuje protokół TLS 1.2. Aby uzyskać więcej informacji na temat aktualizowania internetowego serwera proxy, skontaktuj się z dostawcą rozwiązania internetowego serwera proxy.

Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:

• Jak włączyć protokół TLS 1.2 dla klientów
• Przygotowanie do protokołu TLS 1.2 w usłudze Office 365 i usłudze Office 365 GCC — zgodność usługi Microsoft 365

Zaktualizuj system operacyjny Windows i domyślny protokół TLS używany w usłudze WinHTTP

Te systemy operacyjne natywnie obsługują protokół TLS 1.2 dla komunikacji klient-serwer za pośrednictwem usługi WinHTTP:

• Windows 8.1, Windows 10 i nowsze wersje
• Windows Server 2012 R2, Windows Server 2016 i nowszych wersjach

Sprawdź, czy nie wyłączono jawnie protokołu TLS 1.2 na tych platformach.

Domyślnie wcześniejsze wersje systemu Windows (takie jak Windows 8 i Windows Server 2012) nie włączają protokołu TLS 1.2 lub TLS 1.1 na potrzeby bezpiecznej komunikacji przy użyciu usługi WinHTTP. W przypadku tych wcześniejszych wersji systemu Windows:

1. Zainstaluj aktualizację 3140245.
2. Włącz wartości rejestru opisaną w części Włączanie protokołu TLS 1.2 w systemach operacyjnych klienta lub serwera.

Możesz skonfigurować te wartości, aby dodać protokoły TLS 1.2 i TLS 1.1 do domyślnej listy bezpiecznych protokołów usługi WinHTTP.

Aby uzyskać więcej informacji, zobacz artykuł Jak włączyć protokół TLS 1.2 dla klientów.

Uwaga

Domyślnie system operacyjny obsługjący protokół TLS 1.2 (na przykład Windows 10) obsługuje również starsze wersje protokołu TLS. Jeśli połączenie jest nawiązywane przy użyciu protokołu TLS 1.2 i nie otrzymuje terminowej odpowiedzi lub gdy połączenie zostanie zresetowane, system operacyjny może próbować nawiązać połączenie z docelową usługą internetową przy użyciu starszego protokołu TLS (takiego jak TLS 1.0 lub 1.1). Zwykle dzieje się tak, jeśli sieć jest zajęta lub pakiet spada w sieci. Po tymczasowym przejściu do starszego protokołu TLS system operacyjny spróbuje ponownie nawiązać połączenie TLS 1.2.

Jaki będzie stan takiego rezerwowego ruchu po tym, jak firma Microsoft przestanie obsługiwać starszy protokół TLS? System operacyjny może nadal próbować nawiązać połączenie TLS przy użyciu starszego protokołu TLS. Jeśli jednak usługa firmy Microsoft nie obsługuje już starszego protokołu TLS, starsze połączenie oparte na protokole TLS nie powiedzie się. Wymusi to ponowne wypróbowanie połączenia przez system operacyjny przy użyciu protokołu TLS 1.2.

Identyfikowanie i zmniejszanie zależności od klientów, którzy nie obsługują protokołu TLS 1.2

Zaktualizuj następujących klientów, aby zapewnić nieprzerwany dostęp:

• System Android wersja 4.3 i starsze jego wersje
• Firefox wersja 5.0 i starsze wersje
• Aplikacja Internet Explorer 8–10 w systemach Windows 7 i starszych jego wersjach
• Aplikacja Internet Explorer 10 w systemie Windows Phone 8,0
• Przeglądarka Safari 6.0.4na system OS X10.8.4 i wcześniejsze jego wersje

Aby uzyskać więcej informacji, zobacz artykuł Symulacja uzgadniania dla różnych klientów łączących się z witryną www.microsoft.com, dzięki uprzejmości witryny SSLLabs.com.

Włącz protokół TLS 1.2 dla typowych ról serwera, które komunikują się z Tożsamość Microsoft Entra

• Microsoft Entra Connect (zainstaluj najnowszą wersję)

  • Czy chcesz również włączyć protokół TLS 1.2 między serwerem aparatu synchronizacji a zdalnym serwerem SQL? Następnie upewnij się, że masz zainstalowane wymagane wersje dla obsługi protokołu TLS 1.2 dla serwera Microsoft SQL.

• Microsoft Entra Connect Authentication Agent (uwierzytelnianie przekazywane) (wersja 1.5.643.0 i nowsze wersje)

• Serwer proxy aplikacji platformy Azure (wersja 1.5.1526.0 i nowsze wersje wymuszają protokół TLS 1.2)

• Active Directory Federation Services (AD FS) dla serwerów skonfigurowanych do korzystania z uwierzytelniania wieloskładnikowego platformy Azure (Azure MFA)

• Serwery NPS, które są skonfigurowane do używania rozszerzenia NPS do Microsoft Entra uwierzytelniania wieloskładnikowego

• Serwer MFA w wersji 8.0. x lub nowsze jego wersje

• Microsoft Entra usługi serwera proxy ochrony haseł

  Wymagane działanie

  1. Zdecydowanie zalecamy uruchomienie najnowszej wersji agenta, usługi lub łącznika.

  2. Domyślnie protokół TLS 1.2 jest włączony w systemie Windows Server 2012 R2 i nowszych jego wersjach. W rzadkich przypadkach domyślna konfiguracja systemu operacyjnego mogła zostać zmodyfikowana w celu wyłączenia protokołu TLS 1.

     Aby upewnić się, że protokół TLS 1.2 jest włączony, zalecamy jawne dodanie wartości rejestru z sekcji Włączanie protokołu TLS 1.2 w systemach operacyjnych klienta lub serwera na serwerach z systemem Windows Server i komunikujących się z Tożsamość Microsoft Entra.

  3. Większość wcześniej wymienionych usług zależy od struktury oprogramowania .NET Framework. Upewnij się, że została ona zaktualizowana zgodnie z opisem w części Aktualizowanie i konfigurowanie struktury oprogramowania .NET Framework do obsługi protokołu TLS 1.2.

  Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:

  • Wymuszanie protokołu TLS 1.2 — wymuszanie protokołu TLS 1.2 dla usługi rejestracji Microsoft Entra
  • Microsoft Entra Connect: wymuszanie protokołu TLS 1.2 dla Microsoft Entra Connect
  • Omówienie łączników serwera proxy aplikacji Microsoft Entra

Włączanie protokołu TLS 1.2 w systemach operacyjnych klienta lub serwera

Ciągi rejestru

W systemach operacyjnych Windows 2012 R2, Windows 8.1 i nowszych protokół TLS 1.2 jest domyślnie włączony. W związku z tym następujące wartości rejestru nie są wyświetlane, chyba że zostały ustawione z różnymi wartościami.

Aby ręcznie skonfigurować i włączyć protokół TLS 1.2 na poziomie systemu operacyjnego, można dodać następujące wartości DWORD:

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
  • DisabledByDefault: 000000000
  • Enabled: 00000001
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
  • DisabledByDefault: 000000000
  • Enabled: 00000001
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
  • SchUseStrongCrypto: 00000001

Aby włączyć protokół TLS 1.2 przy użyciu skryptu programu PowerShell, zobacz wymuszanie protokołu TLS 1.2 dla programu Microsoft Entra Connect.

Jak sprawdzić, który protokół TLS jest używany

Poniżej przedstawiono dwa sposoby sprawdzania, który protokół TLS jest używany:

• Ustawienia zabezpieczeń przeglądarki
• Właściwości internetowe w systemie Windows

Aby sprawdzić, który protokół TLS jest używany przy użyciu właściwości internetowych, wykonaj następujące kroki:

1. Naciśnij klawisz Windows+R , aby otworzyć pole Uruchom .

2. Wpisz inetcpl.cpl , a następnie wybierz przycisk OK. Następnie zostanie otwarte okno Właściwości internetowe .

3. W oknie Właściwości internetowe wybierz kartę Zaawansowane i przewiń w dół, aby sprawdzić ustawienia związane z protokołem TLS.

   

Aktualizowanie i konfigurowanie struktury oprogramowania .NET Framework do obsługi protokołu TLS 1.2

Zarządzane Microsoft Entra zintegrowane aplikacje i skrypty Windows PowerShell (przy użyciu programu Microsoft Graph PowerShell i programu Microsoft Graph) mogą używać .NET Framework.

Instalowanie aktualizacji platformy .NET w celu włączenia usługi silnej kryptografii

Określanie wersji platformy .NET

Najpierw określ zainstalowane wersje platformy .NET.

• Aby uzyskać więcej informacji, zobacz artykuł Określanie, które wersje i poziomy dodatku Service Pack struktury oprogramowania .NET Framework są zainstalowane.

Zainstaluj aktualizacje platformy .NET.

Zainstaluj aktualizacje platformy .NET, aby umożliwić usługę silnej kryptografii. Niektóre wersje struktury oprogramowania .NET Framework mogą być aktualizowane w celu włączenia usługi silnej kryptografii.

Należy zastosować się do następujących wytycznych:

• Struktura oprogramowania .NET Framework 4.6.2 i jej późniejsze wersje obsługuje protokół TLS 1.2 i TLS 1.1. Sprawdź ustawienia rejestru. Nie są wymagane żadne inne zmiany.

• Zaktualizuj strukturę oprogramowania .NET Framework 4.6 i jej wersje wcześniejsze do obsługi protokołu TLS 1.2 i TLS 1.1.

  hhhb Aby uzyskać więcej informacji, zobacz .NET Framework wersje i zależności.

• Czy używasz struktury oprogramowania .NET Framework 4.5.2 lub 4.5.1 na systemie Windows 8.1 lub Windows Server 2012? Następnie odpowiednie aktualizacje i szczegóły są również dostępne w Katalogu usługi Microsoft Update.

  • Zobacz również artykuł Microsoft Security Advisory 2960358.

Dla każdego komputera, który komunikuje się w sieci i uruchamia system z obsługą protokołu TLS 1.2, ustaw następujące wartości DWORD rejestru.

• Dla 32-bitowych aplikacji w systemach 32-bitowych (lub aplikacji 64-bitowych w systemach 64-bitowych), zaktualizuj następującą wartość podklucza:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727

    • SystemDefaultTlsVersions: 00000001
    • SchUseStrongCrypto: 00000001

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

    • SystemDefaultTlsVersions: 00000001
    • SchUseStrongCrypto: 00000001

• Dla aplikacji 32-bitowych, które działają w systemach opartych 64-bitowych, zaktualizuj następującą wartość podklucza:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727
    • SystemDefaultTlsVersions: dword:00000001
    • SchUseStrongCrypto: dword:00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
    • SystemDefaultTlsVersions: dword:00000001
    • SchUseStrongCrypto: dword:00000001

Na przykład ustaw następujące wartości na wartość:

• Klienci programu Menadżer konfiguracji
• Role zdalnego systemu lokacji, które nie są zainstalowane na serwerze lokacji
• Sam serwer lokacji

Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:

• Zestawy szyfrowania TLS obsługiwane przez Tożsamość Microsoft Entra
• Jak włączyć protokół TLS 1.2 dla klientów
• Dobre praktyki dotyczące protokołu TLS dla struktury oprogramowania .NET Framework
• Rozwiązywanie problemu z protokołem TLS 1.0 — dokumentacja dotycząca zabezpieczeń.

Omówienie nowych danych telemetrycznych w dziennikach logowania

Aby ułatwić identyfikację klientów lub aplikacji, które nadal używają starszego protokołu TLS w twoim środowisku, wyświetl dzienniki logowania Microsoft Entra. W przypadku klientów lub aplikacji, które logują się za pośrednictwem starszego protokołu TLS, Tożsamość Microsoft Entra oznacza pole Starsza wersja protokołu TLS w obszarze Dodatkowe szczegóły z wartością True. Pole Starszy protokół TLS jest wyświetlane tylko wtedy, gdy logowanie nastąpiło za pośrednictwem starszego protokołu TLS. Jeśli w dziennikach nie widzisz żadnego starszego protokołu TLS, możesz przejść do protokołu TLS 1.2.

Aby znaleźć próby logowania, które używały starszych protokołów TLS, administrator może przejrzeć dzienniki, wykonując następujące czynności:

• Eksportowanie i wykonywanie zapytań dotyczących dzienników w usłudze Azure Monitor.
• Pobieranie dzienników z ostatnich siedmiu dni w formacie JavaScript Object Notation (JSON).
• Filtrowanie i eksportowanie dzienników logowania przy użyciu programu PowerShell.

Te metody zostały opisane poniżej.

Azure Monitor

Dzienniki logowania można wykonywać przy użyciu usługi Azure Monitor. Usługa Azure Monitor to zaawansowane narzędzie do analizy dzienników, monitorowania i alertów. Użyj usługi Azure Monitor dla:

• dzienniki Microsoft Entra
• Dzienniki logowania do zasobów platformy Azure
• Dzienniki z niezależnych narzędzi programowych

Uwaga

Do eksportowania danych raportowania do usługi Azure Monitor potrzebna jest licencja Tożsamość Microsoft Entra P1 lub P2.

Aby wykonać zapytanie dotyczące starszych wpisów dla protokołu TLS przy użyciu usługi Azure Monitor:

1. W obszarze Integrowanie dzienników Microsoft Entra z dziennikami usługi Azure Monitor postępuj zgodnie z instrukcjami dotyczącymi uzyskiwania dostępu do dzienników logowania Microsoft Entra w usłudze Azure Monitor.

2. W obszarze definicji zapytania wklej następujące zapytanie języka zapytań Kusto:

   // Interactive sign-ins only
   SigninLogs
   | where AuthenticationProcessingDetails has "Legacy TLS"
       and AuthenticationProcessingDetails has "True"
   | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
   | mv-apply JsonAuthProcDetails on (
       where JsonAuthProcDetails.key startswith "Legacy TLS"
       | project HasLegacyTls=JsonAuthProcDetails.value
   )
   | where HasLegacyTls == true
   
   // Non-interactive sign-ins
   AADNonInteractiveUserSignInLogs
   | where AuthenticationProcessingDetails has "Legacy TLS"
       and AuthenticationProcessingDetails has "True"
   | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
   | mv-apply JsonAuthProcDetails on (
       where JsonAuthProcDetails.key startswith "Legacy TLS"
       | project HasLegacyTls=JsonAuthProcDetails.value
   )
   | where HasLegacyTls == true
   
   // Workload Identity (service principal) sign-ins
   AADServicePrincipalSignInLogs
   | where AuthenticationProcessingDetails has "Legacy TLS"
       and AuthenticationProcessingDetails has "True"
   | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
   | mv-apply JsonAuthProcDetails on (
       where JsonAuthProcDetails.key startswith "Legacy TLS"
       | project HasLegacyTls=JsonAuthProcDetails.value
   )
   | where HasLegacyTls == true
   

3. Wybierz pozycję Uruchom, aby wykonać zapytanie. Wpisy dziennika zgodne z zapytaniem są wyświetlane na karcie Wyniki poniżej definicji zapytania.

4. Aby dowiedzieć się więcej o źródle starszego żądania protokołu TLS, poszukaj następujących pól:

   • UserDisplayName
   • AppDisplayName
   • ResourceDisplayName
   • UserAgent

JSON

Aby wyświetlić flagę starszego protokołu TLS, możesz pobrać dzienniki logowania w formacie JSON z ostatnich siedmiu dni.

Uwaga

1. Flaga starszego protokołu TLS jest wyświetlana tylko wtedy, gdy starszy protokół TLS jest używany do logowania się do żądania.

2. Jeśli zamiast tego pobierzesz dzienniki logowania w formacie wartości rozdzielanej przecinkami (CSV), starsza flaga TLS nie zostanie wyświetlona.

Pobieranie dzienników JSON

Aby pobrać dzienniki logowania w formacie JSON:

1. W Azure Portal wyszukaj i wybierz pozycję Tożsamość Microsoft Entra.

2. W menu strony Przegląd wybierz pozycję Dzienniki logowania.

3. Wyczyść wszystkie filtry z wyjątkiem filtru Data.

4. Ustaw filtr Data na wartość Ostatnie 7 dni.

5. Wybierz opcję Pobierz.

6. Wybierz każdą kategorię dzienników:

   • Interaktywne dla użytkownika
   • Nieinteraktywne dla użytkownika
   • Tożsamość zarządzana

Wyświetlanie plików JSON

Teraz możesz przejrzeć dzienniki JSON przy użyciu wybranej przeglądarki plików JSON.

Uwaga

Jeśli potrzebujesz przeglądarki plików JSON, możesz pobrać program Visual Studio Code.

Aby przejrzeć dzienniki JSON:

1. Otwórz pliki dziennika JSON w przeglądarce plików JSON.

2. Wyszukaj termin starszy protokół TLS (legacy TLS).

3. Jeśli znajdziesz plik dziennika ze starszym protokołem TLS, przejrzyj ten wpis dziennika logowania, aby dowiedzieć się więcej o źródle żądania starszego protokołu TLS. Poszukaj następujących pól:

   • UserDisplayName
   • AppDisplayName
   • ResourceDisplayName
   • UserAgent

PowerShell

Użyj programu PowerShell do filtrowania i eksportowania wpisów dziennika logowania, w których jest używany starszy protokół TLS.

Uwaga

Potrzebujesz licencji Tożsamość Microsoft Entra P1 lub P2, aby wywołać usługę Microsoft interfejs Graph API za pośrednictwem programu PowerShell.

Aby filtrować i eksportować wpisy dziennika logowania:

1. Za pomocą opcji Uruchom jako administrator otwórz program Windows PowerShell z menu Start.

2. Uruchom następujące polecenia, aby zainstalować Zestawy Microsoft Graph SDK i ustawić zasady wykonywania:

   Install-Module Microsoft.Graph -Scope AllUsers
   Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Scope CurrentUser
   

3. Zapisz następujący skrypt w pliku skryptu programu PowerShell (.ps1).

   $tId = "your-tenant-id"  # Add tenant ID from Azure Active Directory page on portal.
   $agoDays = 4  # Will filter the log for $agoDays from the current date and time.
   $startDate = (Get-Date).AddDays(-($agoDays)).ToString('yyyy-MM-dd')  # Get filter start date.
   $pathForExport = "./"  # The path to the local filesystem for export of the CSV file.
   
   Connect-MgGraph -Scopes "AuditLog.Read.All" -TenantId $tId  # Or use Directory.Read.All.
   Select-MgProfile "beta"  # Low TLS is available in Microsoft Graph preview endpoint.
   
   # Define the filtering strings for interactive and non-interactive sign-ins.
   $procDetailFunction = "x: x/key eq 'legacy tls (tls 1.0, 1.1, 3des)' and x/value eq '1'"
   $clauses = (
       "createdDateTime ge $startDate",
       "signInEventTypes/any(t: t eq 'nonInteractiveUser')",
       "signInEventTypes/any(t: t eq 'servicePrincipal')",
       "(authenticationProcessingDetails/any($procDetailFunction))"
   )
   
   # Get the interactive and non-interactive sign-ins based on filtering clauses.
   $signInsInteractive = Get-MgAuditLogSignIn -Filter ($clauses[0,3] -Join " and ") -All
   $signInsNonInteractive = Get-MgAuditLogSignIn -Filter ($clauses[0,1,3] -Join " and ") -All
   $signInsWorkloadIdentities = Get-MgAuditLogSignIn -Filter ($clauses[0,2,3] -Join " and ") -All
   
   $columnList = @{  # Enumerate the list of properties to be exported to the CSV files.
       Property = "CorrelationId", "createdDateTime", "userPrincipalName", "userId",
                 "UserDisplayName", "AppDisplayName", "AppId", "IPAddress", "isInteractive",
                 "ResourceDisplayName", "ResourceId", "UserAgent"
   }
   
   $columnListWorkloadId = @{ #Enumerate the list of properties for workload identities to be exported to the CSV files.
       Property = "CorrelationId", "createdDateTime", "AppDisplayName", "AppId", "IPAddress",
                 "ResourceDisplayName", "ResourceId", "ServicePrincipalId", "ServicePrincipalName"
   }
   
   $signInsInteractive | ForEach-Object {
       foreach ($authDetail in $_.AuthenticationProcessingDetails)
       {
           if (($authDetail.Key -match "Legacy TLS") -and ($authDetail.Value -eq "True"))
           {
               $_ | Select-Object @columnList
           }
       }
   } | Export-Csv -Path ($pathForExport + "Interactive_lowTls_$tId.csv") -NoTypeInformation
   
   $signInsNonInteractive | ForEach-Object {
       foreach ($authDetail in $_.AuthenticationProcessingDetails)
       {
           if (($authDetail.Key -match "Legacy TLS") -and ($authDetail.Value -eq "True"))
           {
               $_ | Select-Object @columnList
           }
       }
   } | Export-Csv -Path ($pathForExport + "NonInteractive_lowTls_$tId.csv") -NoTypeInformation
   
   $signInsWorkloadIdentities | ForEach-Object {
       foreach ($authDetail in $_.AuthenticationProcessingDetails)
       {
           if (($authDetail.Key -match "Legacy TLS") -and ($authDetail.Value -eq "True"))
           {
               $_ | Select-Object @columnListWorkloadId
           }
       }
   } | Export-Csv -Path ($pathForExport + "WorkloadIdentities_lowTls_$tId.csv") -NoTypeInformation
   

4. W Azure Portal wyszukaj i wybierz pozycję Tożsamość Microsoft Entra.

5. Skopiuj wartość identyfikatora dzierżawy ze strony Tożsamość Microsoft Entra do pierwszej instrukcji skryptu programu PowerShell, przypisując ją do zmiennej$tId.

6. Zapisz i uruchom skrypt. Jeśli zostanie wyświetlony monit o uruchomienie skryptu, zaloguj się jako administrator globalny. Następnie wyraź zgodę na umożliwienie programowi Microsoft Graph odczytu informacji dziennika inspekcji.

7. Aby dowiedzieć się więcej o źródle starszego żądania protokołu TLS, przeszukaj pliki wyjściowe skryptu (Interactive_lowTls_<Tenant-ID>.csv i NonInteractive_lowTls_<Tenant-ID>.csv) w poszukiwaniu następujących pól:

   • UserDisplayName
   • AppDisplayName
   • ResourceDisplayName
   • UserAgent

Wyświetlanie szczegółów dotyczących wpisów dziennika w centrum administracyjne Microsoft Entra

Po uzyskaniu dzienników możesz uzyskać więcej szczegółów na temat starszych wpisów dziennika logowania opartych na protokole TLS w centrum administracyjne Microsoft Entra. Wykonaj następujące czynności:

1. W Azure Portal wyszukaj i wybierz pozycję Tożsamość Microsoft Entra.

2. W menu strony Przegląd wybierz pozycję Dzienniki logowania.

3. Wybierz wpis dziennika logowania dla użytkownika.

4. Wybierz kartę Dodatkowe szczegóły. (Jeśli nie widzisz tej karty, najpierw wybierz wielokropek (...) w prawym rogu, aby wyświetlić pełną listę kart).

5. Sprawdź, czy starsza wersja protokołu TLS (TLS 1.0, 1.1 lub 3DES) ustawiona jest na wartość True. Jeśli widzisz to konkretne pole i wartość, próba logowania została podjęta przy użyciu starszego protokołu TLS. Jeśli próba logowania została podjęta przy użyciu protokołu TLS 1.2, to pole nie jest wyświetlane.

Aby uzyskać więcej informacji, zobacz Logowanie dzienników w Tożsamość Microsoft Entra.

Skontaktuj się z nami, aby uzyskać pomoc

Jeśli masz pytania lub potrzebujesz pomocy, utwórz wniosek o pomoc techniczną lub zadaj pytanie w społeczności wsparcia dla platformy Azure. Możesz również przesłać opinię o produkcie do społeczności opinii platformy Azure.