Compartilhar via


Imposição do TLS 1.2 para o Serviço de Registro do Microsoft Entra

O Serviço do Registro de Dispositivos do Microsoft Entra é usado para conectar dispositivos à nuvem com uma identidade de dispositivo. Atualmente, o Serviço de Registro de Dispositivos do Microsoft Entra dá suporte ao uso do protocolo TLS 1.2 para comunicações com o Azure. Para garantir a segurança e a melhor criptografia da classe, a Microsoft recomenda desabilitar o TLS 1.0 e 1.1. Este documento fornecerá informações sobre como garantir que os computadores usados para concluir o registro e se comunicar com o Serviço de Registro de Dispositivos do Microsoft Entra usam o TLS 1.2.

A versão 1.2 do protocolo TLS é um protocolo de criptografia que foi projetado para fornecer comunicação segura. O protocolo TLS tem como objetivo principal fornecer privacidade e integridade dos dados. O TLS passou por muitas iterações com a versão 1.2 que está sendo definida em RFC 5246 (link externo).

A análise atual das conexões mostra pouco uso do TLS 1.1 e 1.0, mas estamos fornecendo essas informações para que você possa atualizar todos os clientes ou servidores afetados, conforme necessário, antes que o suporte para TLS 1.1 e 1.0 seja encerrado. Se você estiver usando uma infraestrutura local para cenários híbridos ou Serviços de Federação do Active Directory (AD FS), verifique se a infraestrutura pode dar suporte a conexões de entrada e saída que usam o TLS 1.2.

Atualizar os servidores do Windows

Para servidores do Windows que usam o Serviço de Registro de Dispositivos do Microsoft Entra ou atuam como proxies, use as seguintes etapas para garantir que o TLS 1.2 esteja habilitado:

Importante

Depois de atualizar o registro, você precisa reiniciar o servidor do Windows para que as alterações entrem em vigor.

Habilitar o TLS 1.2

Verifique se as seguintes cadeias de caracteres de registro estão configuradas conforme mostrado:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
    • "DisabledByDefault"=dword:00000000
    • "Enabled"=dword:00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
    • "DisabledByDefault"=dword:00000000
    • "Enabled"=dword:00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319
    • "SchUseStrongCrypto"=dword:00000001

Atualizar os proxies não Windows

Os computadores que atuem como proxy entre os dispositivos e o Serviço de Registro de Dispositivos do Microsoft Entra devem garantir que o TLS 1.2 esteja habilitado. Siga as diretrizes do fornecedor para garantir o suporte.

Atualizar os servidores do AD FS

Os servidores do AD FS usados para se comunicarem com o Serviço de Registro de Dispositivos do Microsoft Entra devem garantir que o TLS 1.2 esteja habilitado. Veja Gerenciar protocolos SSL/TLS e conjuntos de codificação para o AD FS para obter informações sobre como habilitar/verificar essa configuração.

Atualizações do cliente

Como todas as combinações servidor-cliente e navegador-servidor devem usar o TLS 1.2 para se conectar com o Serviço de Registro de Dispositivos do Microsoft Entra, talvez seja necessário atualizar esses dispositivos.

Os clientes a seguir são conhecidos por não oferecer suporte para o TLS 1.2. Atualize os clientes para garantir o acesso ininterrupto.

  • Android versão 4.3 e versões anteriores
  • Firefox versão 5.0 e versões anteriores
  • Internet Explorer versões 8-10 no Windows 7 e versões anteriores
  • Internet Explorer 10 no Windows Phone 8.0
  • Safari versão 6.0.4 no OS X 10.8.4 e versões anteriores

Próximas etapas

Visão geral deoTLS/SSL (SSP Schannel)