Habilitar o suporte para o TLS 1.2 em seu ambiente para a substituição do Microsoft Entra TLS 1.1 e 1.0

Para melhorar a postura de segurança do locatário e permanecer em conformidade com os padrões da indústria, o Microsoft Entra ID em breve interromperá o suporte aos seguintes protocolos e codificações TLS (Transport Layer Security):

• TLS 1.1
• TLS 1.0
• Pacote de codificação 3DES (TLS_RSA_WITH_3DES_EDE_CBC_SHA)

Como essa alteração pode afetar sua organização

Seus aplicativos se comunicam ou se autenticam com o Microsoft Entra ID? Em seguida, esses aplicativos podem não funcionar conforme o esperado se não conseguirem usar o TLS 1.2 para comunicar. Esta situação inclui:

• Microsoft Entra Connect
• Microsoft Graph PowerShell
• Conectores de proxy de aplicativo Microsoft Entra
• Agentes PTA
• Navegadores herdados
• Aplicativos que são integrados com o Microsoft Entra ID

Por que essa alteração está sendo feita

Esses protocolos e codificações estão sendo preteridos pelos seguintes motivos:

• Para seguir os padrões de conformidade mais recentes do Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP).
• Para melhorar a segurança quando os usuários interagem com nossos serviços de nuvem.

Os serviços do pacote de criptografia TLS 1.0, TLS 1.1 e 3DES estão sendo preteridos na agenda a seguir.

Tipo de instância	Data de preterição	Status
Instâncias do governo dos EUA	31 de março de 2021	CONCLUÍDO
Instâncias públicas	31 de janeiro de 2022	CONCLUÍDO
Instâncias do Microsoft Entra operadas pela 21Vianet na China	Junho de 2023	CONTÍNUA

Suporte do TLS 1.3 para serviços de Microsoft Entra

Além de dar suporte ao TLS 1.2, Microsoft Entra também está distribuindo suporte para o TLS 1.3 para seus pontos de extremidade se alinharem às melhores práticas de segurança (NIST – SP 800-52 Rev. 2). Com essa alteração, pontos de extremidade do Microsoft Entra darão suporte aos protocolos TLS 1.2 e TLS 1.3.

Habilitar o suporte para o TLS 1.2 em seu ambiente

Para garantir uma conexão segura com Microsoft Entra serviços ID e Microsoft 365, configure seus aplicativos cliente e os sistemas operacionais do cliente e do servidor (SO) para dar suporte a pacotes de criptografia do TLS 1.2 e contemporâneos.

Diretrizes para habilitar o TLS 1.2 em clientes

• Atualize o Windows e o TLS padrão que você usa para "WinHTTP".
• Identifique e reduza a sua dependência dos aplicativos cliente e sistemas operacionais que não suportam o TLS 1.2.
• Habilite o TLS 1.2 para aplicativos e serviços que comunicam com o Microsoft Entra ID.
• Atualize e configure sua instalação .NET Framework para dar suporte ao TLS 1.2.
• Certifique-se de que os aplicativos e o PowerShell (que usam o Microsoft Graph e os scripts do Microsoft Graph PowerShell) sejam hospedados e executados em uma plataforma que oferece suporte ao TLS 1.2.
• Certifique-se de que o navegador da Web tenha as atualizações mais recentes. Recomendamos que você use o novo navegador Microsoft Edge (com base no Chromium). Para obter mais informações, consulte as Notas de versão do Microsoft Edge para o Canal Estável.
• Certifique-se de que o proxy da Web oferece suporte ao TLS 1.2. Para obter mais informações sobre como atualizar um proxy da Web, verifique com o fornecedor da sua solução de proxy da Web.

Para saber mais, confira os seguintes artigos:

• Como habilitar o TLS 1.2 para o Configuration Manager
• Preparação para o TLS 1.2 no Office 365 e no Office 365 GCC - Conformidade do Microsoft 365

Atualize o Windows OS e o TLS padrão que você usa para WinHTTP

Esses sistemas operacionais suportam nativamente o TLS 1.2 para comunicações de servidor cliente no WinHTTP:

• Windows 8.1, Windows 10 e versões posteriores
• Windows Server 2012 R2, Windows Server 2016, e versões posteriores

Verifique se você não desabilitou explicitamente o TLS 1.2 nessas plataformas.

Por padrão, as versões anteriores do Windows (como Windows 8 e Windows Server 2012) não habilitam o TLS 1.2 ou o TLS 1.1 para comunicações seguras usando WinHTTP. Para essas versões anteriores do Windows:

1. Instale a atualização 3140245.
2. Habilite os valores do registro na seção Habilitar TLS 1.2 em sistemas operacionais cliente ou servidor.

Você pode configurar esses valores para adicionar o TLS 1.2 e o TLS 1.1 à lista de protocolos seguros padrão para WinHTTP.

Para obter mais informações, consulte Como habilitar o TLS 1.2 em clientes.

Observação

Por padrão, um sistema operacional compatível com TLS 1.2 (por exemplo, Windows 10) também oferece suporte a versões herdadas do protocolo TLS. Quando uma conexão é feita usando TLS 1.2 e não obtém uma resposta oportuna, ou quando a conexão é redefinida, o SO pode tentar se conectar ao serviço da web de destino usando um protocolo TLS mais antigo (como TLS 1.0 ou 1.1). Isso geralmente ocorre se a rede estiver ocupada ou se um pacote cair na rede. Após o fallback temporário para o TLS herdado, o sistema operacional tentará novamente fazer uma conexão TLS 1.2.

Qual será o status desse tráfego de fallback depois que a Microsoft parar de oferecer suporte ao TLS herdado? O sistema operacional ainda pode tentar fazer uma conexão TLS usando o protocolo TLS herdado. Mas se o serviço da Microsoft não oferecer mais suporte ao protocolo TLS mais antigo, a conexão herdada baseada em TLS não será bem-sucedida. Isso forçará o sistema operacional a tentar a conexão novamente usando o TLS 1.2.

Identifique e reduza a dependência de clientes que não suportam o TLS 1.2

Atualize os seguintes clientes para fornecer acesso ininterrupto:

• Android versão 4.3 e versões anteriores
• Firefox versão 5.0 e versões anteriores
• Versões do Internet Explorer 8-10 no Windows 7 e versões anteriores
• Internet Explorer 10 no Windows Phone 8.0
• Safari 6.0.4 no OS X 10.8.4 e versões anteriores

Para obter mais informações, consulte Simulação handshake para vários clientes se conetando ao www.microsoft.com, cortesia do SSLLabs.com.

Habilite funções comuns de servidor no TLS 1.2 que se comunicam com o Microsoft Entra ID

• Microsoft Entra Connect (instalar a versão mais recente)

  • Você também deseja habilitar o TLS 1.2 entre o servidor do motor de sincronização e um SQL Server? Certifique-se de que tem as versões necessárias instaladas para o suporte ao TLS 1.2 para Microsoft SQL Server.

• Agente de autenticação do Microsoft Entra Connect (autenticação de passagem) (versão 1.5.643.0 e versões posteriores)

• Proxy de aplicativo do Azure (versão 1.5.1526.0 e versões posteriores impõem o TLS 1.2)

• Serviços de Federação do Active Directory (AD FS) para servidores configurados para usar a Autenticação Multifator do Azure (Azure MFA)

• Servidores NPS configurados para usar a extensão NPS para a autenticação multifator do Microsoft Entra

• MFA Server versão 8.0 x ou versões posteriores

• Serviço de proxy de proteção por senha do Microsoft Entra

  Ação necessária

  1. É altamente recomendável que você execute a versão mais recente do agente, serviço ou conector.

  2. Por padrão, o TKS 1.2 está habilitado no Windows Server 2012 R2 e versões posteriores. Em raras instâncias, a configuração padrão do SO pode ter sido modificada para desabilitar o TLS 1.

     Para garantir que o TLS 1.2 está habilitado, recomendamos que você adicione explicitamente os valores do registro da seção "Habilitar o TLS 1.2 em sistemas operacionais cliente ou servidor" em servidores que estão executando o Windows Server e que se comuniquem com o Microsoft Entra ID.

  3. A maioria dos serviços listados anteriormente depende do .NET Framework. Certifique-se de que ele seja atualizado conforme descrito na seção Atualizar e configurar o .NET Framework para dar suporte ao TLS 1.2.

  Para saber mais, confira os seguintes artigos:

  • Imposição do TLS 1.2 - Impor o TLS 1.2 para o Serviço de registro do Microsoft Entra
  • Microsoft Entra Connect: imposição do TLS 1.2 para Microsoft Entra Connect
  • Compreender conectores de proxy de aplicativo do Microsoft Entra

Habilitar o TLS 1.2 em sistemas operacionais cliente ou servidor

Cadeias de caracteres do registro

Para o Windows 2012 R2, Windows 8.1 e sistemas operacionais posteriores, o TLS 1.2 está habilitado por padrão. Portanto, os valores de registro a seguir não são exibidos, a menos que tenham sido definidos com valores diferentes.

Para configurar e habilitar manualmente o TLS 1.2 no nível do sistema operacional, adicione os valores DWORD a seguir.

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
  • DisabledByDefault: 00000000
  • Enabled: 00000001
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
  • DisabledByDefault: 00000000
  • Enabled: 00000001
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
  • SchUseStrongCrypto: 00000001

Para habilitar o TLS 1.2 usando o script do PowerShell, consulte a imposição do TLS 1.2 para o Microsoft Entra Connect.

Como marcar qual protocolo TLS está sendo usado

Aqui estão duas maneiras de verificar qual TLS está sendo usado:

• Configurações de segurança do navegador
• Propriedades da Internet no Windows

Para verificar qual protocolo TLS está sendo usado com as propriedades da Internet, siga estas etapas:

1. Pressione Windows+R para abrir a caixa Executar.

2. Digite inetcpl.cpl e selecione OK. Em seguida, a janela Propriedades da Internet é aberta.

3. Na janela Propriedades da Internet, selecione a guia Avançado e role para baixo para verificar as configurações relacionadas ao TLS.

   

Atualize e configure o .NET Framework para dar suporte ao TLS 1.2

Aplicativos Microsoft Entra integrados e scripts de Windows PowerShell gerenciados (usando o Microsoft Graph PowerShell e o Microsoft Graph) podem usar .NET Framework.

Instale as atualizações do .NET para habilitar uma criptografia forte

Determine a versão do .NET

Primeiro, determine as versões instaladas do .NET.

• Para obter mais informações, consulte Determinar quais versões e níveis de service pack do .NET Framework estão instalados.

Instale atualizações do .NET

Instale as atualizações do .NET para que você possa habilitar uma criptografia forte. Algumas versões .NET Framework talvez tenham que ser atualizadas para habilitar uma criptografia forte.

Use estas diretrizes:

• O .NET Framework 4.6.2 e versões posteriores oferece suporte para TLS 1.2 e TLS 1.1. Verifique as configurações do registro. Nenhuma alteração é necessária.

• Atualize o .NET Framework 4.6 e as versões anteriores para oferecer suporte ao TLS 1.2 e TLS 1.1.

  Para obter mais informações, consulte Versões e dependências do .NET Framework.

• Usa o .NET Framework 4.5.2 ou 4.5.1 no Windows 8.1 ou Windows Server 2012? Então, as atualizações e detalhes relevantes também estão disponíveis no Catálogo do Microsoft Update.

  • Consulte também o Comunicado de Segurança da Microsoft 2960358.

Para qualquer computador que comunique na rede e executa um sistema habilitado para TLS 1.2, defina os seguintes valores DWORD do registro.

• Para aplicativos de 32 bits executados em SO de 32 bits e aplicativos de 64 bits executados em SO de 64 bits, atualize os seguintes valores de subchave:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727

    • SystemDefaultTlsVersions: 00000001
    • SchUseStrongCrypto: 00000001

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

    • SystemDefaultTlsVersions: 00000001
    • SchUseStrongCrypto: 00000001

• Para aplicativos de 32 bits executados em SO de 64 bits, atualize os seguintes valores de subchave:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727
    • SystemDefaultTlsVersions: dword:00000001
    • SchUseStrongCrypto: dword:00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
    • SystemDefaultTlsVersions: dword:00000001
    • SchUseStrongCrypto: dword:00000001

Por exemplo, defina esses valores em:

• Clientes do Configuration Manager
• Funções do sistema de site remoto que não estão instaladas no servidor do site
• O próprio servidor do site

Para saber mais, confira os seguintes artigos:

• Pacotes de codificação TLS compatíveis com o Microsoft Entra ID
• Como habilitar o TLS 1.2 para o Configuration Manager
• Práticas recomendadas do TLS (protocolo TLS) com o .NET Framework
• Resolvendo o problema do TLS 1.0 - Documentação de segurança

Visão geral da nova telemetria nos logs de login

Para ajudá-lo a identificar quaisquer clientes ou aplicativos que ainda usam TLS herdados em seu ambiente, consulte os logs de login do Microsoft Entra. Para clientes ou aplicativos que fazem o login através do TLS herdado, o Microsoft Entra ID marca o campo TLS herdado, em Detalhes adicionais, como Verdadeiro. O campo TLS herdado só será exibido se o login ocorreu através do TLS herdado. Se você não vir nenhum TLS herdado em seus logs, estará pronto para mudar para TLS 1.2.

Para encontrar as tentativas de login que usaram protocolos TLS herdados, um administrador pode revisar os logs ao:

• Exportando e consultando os logs no Azure Monitor.
• Baixando os últimos sete dias de logs no formato JSON (JavaScript Object Notation).
• Filtrando e exportando logs de login usando o PowerShell.

Esses métodos são descritos abaixo.

Azure Monitor

Você pode consultar os logs de login usando o Azure Monitor. O Azure Monitor é uma ferramenta poderosa de análise, monitoramento e alerta de logs. Use o Azure Monitor para:

• Logs do Microsoft Entra
• Logs de recursos do Azure
• Logs de ferramentas de software independentes

Observação

Você precisa de uma licença Microsoft Entra ID P1 ou P2 para exportar dados de relatório para o Azure Monitor.

Para consultar entradas TLS herdadas usando o Azure Monitor:

1. Em Integrar logs do Microsoft Entra com logs do Azure Monitor, siga as instruções sobre como acessar os logs de login do Microsoft Entra no Azure Monitor.

2. Na área de definição de consulta, cole a seguinte consulta Kusto Query Language:

   // Interactive sign-ins only
   SigninLogs
   | where AuthenticationProcessingDetails has "Legacy TLS"
       and AuthenticationProcessingDetails has "True"
   | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
   | mv-apply JsonAuthProcDetails on (
       where JsonAuthProcDetails.key startswith "Legacy TLS"
       | project HasLegacyTls=JsonAuthProcDetails.value
   )
   | where HasLegacyTls == true
   
   // Non-interactive sign-ins
   AADNonInteractiveUserSignInLogs
   | where AuthenticationProcessingDetails has "Legacy TLS"
       and AuthenticationProcessingDetails has "True"
   | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
   | mv-apply JsonAuthProcDetails on (
       where JsonAuthProcDetails.key startswith "Legacy TLS"
       | project HasLegacyTls=JsonAuthProcDetails.value
   )
   | where HasLegacyTls == true
   
   // Workload Identity (service principal) sign-ins
   AADServicePrincipalSignInLogs
   | where AuthenticationProcessingDetails has "Legacy TLS"
       and AuthenticationProcessingDetails has "True"
   | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
   | mv-apply JsonAuthProcDetails on (
       where JsonAuthProcDetails.key startswith "Legacy TLS"
       | project HasLegacyTls=JsonAuthProcDetails.value
   )
   | where HasLegacyTls == true
   

3. Selecione Executar para executar a consulta. As entradas de log que corresponderem à consulta aparecem na guia Resultados abaixo da definição de consulta.

4. Para saber mais sobre a origem da solicitação do TLS herdado, procure os seguintes campos:

   • UserDisplayName
   • AppDisplayName
   • ResourceDisplayName
   • UserAgent

JSON

Para ver o sinalizador do TLS herdado, você pode baixar os últimos sete dias de logs de login no formato JSON.

Observação

1. O sinalizador do TLS herdado só será exibido se o TLS herdado for usado para a solicitação de login.

2. Se você baixar os logs de login no formato CSV (valor separado por vírgula), o sinalizador do TLS herdado não aparecerá.

Baixar logs JSON

Para baixar logs de login como JSON:

1. No portal do Azure, procure e clique em Microsoft Entra ID.

2. Na página de menu Visão Geral, selecione Logs de login.

3. Limpe todos os filtros, exceto o filtro Data.

4. Defina o filtro Data como Últimos 7 dias.

5. Selecione Baixar.

6. Escolha cada categoria de logs:

   • Usuário interativo
   • Usuário não interativo
   • Identidade gerenciada

Exibir os arquivos JSON

Agora você pode revisar os logs JSON usando um visualizador JSON de sua escolha.

Observação

Se você precisar de um visualizador JSON, poderá baixar o Visual Studio Code.

Para revisar os logs JSON:

1. Abra os arquivos de log JSON do visualizador JSON.

2. Pesquise o termo TLS herdado.

3. Se você encontrar um arquivo de log com TLS herdado, revise essa entrada de log de login para saber mais sobre a origem da solicitação do TLS herdado. Procure os seguintes campos:

   • UserDisplayName
   • AppDisplayName
   • ResourceDisplayName
   • UserAgent

PowerShell

Use o PowerShell para filtrar e exportar entradas de log de login onde o TLS herdado é usado.

Observação

Você precisa de uma licença Microsoft Entra ID P1 e P2 para chamar a API do Microsoft Graph por meio do PowerShell.

Para filtrar e exportar as entradas de log de login:

1. Usando a opção Executar como administrador, abra o Windows PowerShell no menu Iniciar.

2. Execute os seguintes comandos para instalar o Microsoft Graph SDKs e definir a política de execução:

   Install-Module Microsoft.Graph -Scope AllUsers
   Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Scope CurrentUser
   

3. Salve o script a seguir em um arquivo de script do PowerShell (.ps1).

   $tId = "your-tenant-id"  # Add tenant ID from Azure Active Directory page on portal.
   $agoDays = 4  # Will filter the log for $agoDays from the current date and time.
   $startDate = (Get-Date).AddDays(-($agoDays)).ToString('yyyy-MM-dd')  # Get filter start date.
   $pathForExport = "./"  # The path to the local filesystem for export of the CSV file.
   
   Connect-MgGraph -Scopes "AuditLog.Read.All" -TenantId $tId  # Or use Directory.Read.All.
   Select-MgProfile "beta"  # Low TLS is available in Microsoft Graph preview endpoint.
   
   # Define the filtering strings for interactive and non-interactive sign-ins.
   $procDetailFunction = "x: x/key eq 'legacy tls (tls 1.0, 1.1, 3des)' and x/value eq '1'"
   $clauses = (
       "createdDateTime ge $startDate",
       "signInEventTypes/any(t: t eq 'nonInteractiveUser')",
       "signInEventTypes/any(t: t eq 'servicePrincipal')",
       "(authenticationProcessingDetails/any($procDetailFunction))"
   )
   
   # Get the interactive and non-interactive sign-ins based on filtering clauses.
   $signInsInteractive = Get-MgAuditLogSignIn -Filter ($clauses[0,3] -Join " and ") -All
   $signInsNonInteractive = Get-MgAuditLogSignIn -Filter ($clauses[0,1,3] -Join " and ") -All
   $signInsWorkloadIdentities = Get-MgAuditLogSignIn -Filter ($clauses[0,2,3] -Join " and ") -All
   
   $columnList = @{  # Enumerate the list of properties to be exported to the CSV files.
       Property = "CorrelationId", "createdDateTime", "userPrincipalName", "userId",
                 "UserDisplayName", "AppDisplayName", "AppId", "IPAddress", "isInteractive",
                 "ResourceDisplayName", "ResourceId", "UserAgent"
   }
   
   $columnListWorkloadId = @{ #Enumerate the list of properties for workload identities to be exported to the CSV files.
       Property = "CorrelationId", "createdDateTime", "AppDisplayName", "AppId", "IPAddress",
                 "ResourceDisplayName", "ResourceId", "ServicePrincipalId", "ServicePrincipalName"
   }
   
   $signInsInteractive | ForEach-Object {
       foreach ($authDetail in $_.AuthenticationProcessingDetails)
       {
           if (($authDetail.Key -match "Legacy TLS") -and ($authDetail.Value -eq "True"))
           {
               $_ | Select-Object @columnList
           }
       }
   } | Export-Csv -Path ($pathForExport + "Interactive_lowTls_$tId.csv") -NoTypeInformation
   
   $signInsNonInteractive | ForEach-Object {
       foreach ($authDetail in $_.AuthenticationProcessingDetails)
       {
           if (($authDetail.Key -match "Legacy TLS") -and ($authDetail.Value -eq "True"))
           {
               $_ | Select-Object @columnList
           }
       }
   } | Export-Csv -Path ($pathForExport + "NonInteractive_lowTls_$tId.csv") -NoTypeInformation
   
   $signInsWorkloadIdentities | ForEach-Object {
       foreach ($authDetail in $_.AuthenticationProcessingDetails)
       {
           if (($authDetail.Key -match "Legacy TLS") -and ($authDetail.Value -eq "True"))
           {
               $_ | Select-Object @columnListWorkloadId
           }
       }
   } | Export-Csv -Path ($pathForExport + "WorkloadIdentities_lowTls_$tId.csv") -NoTypeInformation
   

4. No portal do Azure, procure e clique em Microsoft Entra ID.

5. Copie o valor de ID do locatário da página Microsoft Entra ID para a primeira instrução do script do PowerShell, atribuindo-o à variável $tId.

6. Salve e execute o script. Se você for solicitado quando o script estiver em execução, entre como administrador global. Em seguida, dê seu consentimento para permitir que a Microsoft Graph leia as informações do log de auditoria.

7. Para saber mais sobre a origem da solicitação do TLS herdado, pesquise os arquivos de saída do script (Interactive_lowTls_<Tenant-ID>.csv and NonInteractive_lowTls_<Tenant-ID>.csv) para estes campos:

   • UserDisplayName
   • AppDisplayName
   • ResourceDisplayName
   • UserAgent

Exibir detalhes sobre entradas de log no centro de administração do Microsoft Entra

Depois de obter os logs, você pode obter mais detalhes sobre entradas de log de login baseadas em TLS herdados no centro de administração do Microsoft Entra. Siga estas etapas:

1. No portal do Azure, procure e clique em Microsoft Entra ID.

2. Na página de menu Visão Geral, selecione Logs de login.

3. Selecione uma entrada de log de login para um usuário.

4. Selecione a guia Detalhes adicionais. (Se você não vir essa guia, selecione primeiro as reticências (...) no canto direito para exibir a lista completa de guias.)

5. Verifique se há um valor TLS herdado (TLS 1.0, 1.1 ou 3DES) definido como Verdadeiro. Se você vir esse campo e o valor específicos, a tentativa de login foi feita usando o TLS herdado. Se a tentativa de entrar foi feita usando o TLS 1.2, esse campo não aparecerá.

Para obter mais informações, consulte Logs de login no Microsoft Entra ID.

Entre em contato conosco para obter ajuda

Se você tiver dúvidas ou precisar de ajuda, crie uma solicitação de suporte ou peça ajuda à comunidade de suporte do Azure. Você também pode enviar comentários sobre o produto para a comunidade de comentários do Azure.