Imposição do TLS 1.2 para o Serviço de Registro do Microsoft Entra
O Serviço do Registro de Dispositivos do Microsoft Entra é usado para conectar dispositivos à nuvem com uma identidade de dispositivo. Atualmente, o Serviço de Registro de Dispositivos do Microsoft Entra dá suporte ao uso do protocolo TLS 1.2 para comunicações com o Azure. Para garantir a segurança e a melhor criptografia da classe, a Microsoft recomenda desabilitar o TLS 1.0 e 1.1. Este documento fornecerá informações sobre como garantir que os computadores usados para concluir o registro e se comunicar com o Serviço de Registro de Dispositivos do Microsoft Entra usam o TLS 1.2.
A versão 1.2 do protocolo TLS é um protocolo de criptografia que foi projetado para fornecer comunicação segura. O protocolo TLS tem como objetivo principal fornecer privacidade e integridade dos dados. O TLS passou por muitas iterações com a versão 1.2 que está sendo definida em RFC 5246 (link externo).
A análise atual das conexões mostra pouco uso do TLS 1.1 e 1.0, mas estamos fornecendo essas informações para que você possa atualizar todos os clientes ou servidores afetados, conforme necessário, antes que o suporte para TLS 1.1 e 1.0 seja encerrado. Se você estiver usando uma infraestrutura local para cenários híbridos ou Serviços de Federação do Active Directory (AD FS), verifique se a infraestrutura pode dar suporte a conexões de entrada e saída que usam o TLS 1.2.
Atualizar os servidores do Windows
Para servidores do Windows que usam o Serviço de Registro de Dispositivos do Microsoft Entra ou atuam como proxies, use as seguintes etapas para garantir que o TLS 1.2 esteja habilitado:
Importante
Depois de atualizar o registro, você precisa reiniciar o servidor do Windows para que as alterações entrem em vigor.
Habilitar o TLS 1.2
Verifique se as seguintes cadeias de caracteres de registro estão configuradas conforme mostrado:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
- "DisabledByDefault"=dword:00000000
- "Enabled"=dword:00000001
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
- "DisabledByDefault"=dword:00000000
- "Enabled"=dword:00000001
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319
- "SchUseStrongCrypto"=dword:00000001
Atualizar os proxies não Windows
Os computadores que atuem como proxy entre os dispositivos e o Serviço de Registro de Dispositivos do Microsoft Entra devem garantir que o TLS 1.2 esteja habilitado. Siga as diretrizes do fornecedor para garantir o suporte.
Atualizar os servidores do AD FS
Os servidores do AD FS usados para se comunicarem com o Serviço de Registro de Dispositivos do Microsoft Entra devem garantir que o TLS 1.2 esteja habilitado. Veja Gerenciar protocolos SSL/TLS e conjuntos de codificação para o AD FS para obter informações sobre como habilitar/verificar essa configuração.
Atualizações do cliente
Como todas as combinações servidor-cliente e navegador-servidor devem usar o TLS 1.2 para se conectar com o Serviço de Registro de Dispositivos do Microsoft Entra, talvez seja necessário atualizar esses dispositivos.
Os clientes a seguir são conhecidos por não oferecer suporte para o TLS 1.2. Atualize os clientes para garantir o acesso ininterrupto.
- Android versão 4.3 e versões anteriores
- Firefox versão 5.0 e versões anteriores
- Internet Explorer versões 8-10 no Windows 7 e versões anteriores
- Internet Explorer 10 no Windows Phone 8.0
- Safari versão 6.0.4 no OS X 10.8.4 e versões anteriores