Принудительное применение TLS 1.2 для службы регистрации Microsoft Entra
Служба регистрации устройств Microsoft Entra используется для подключения устройств к облаку с удостоверением устройства. Служба регистрации устройств Microsoft Entra в настоящее время поддерживает использование tls 1.2 для обмена данными с Azure. Чтобы обеспечить безопасность и лучшее в своем классе шифрование, корпорация Майкрософт рекомендует отключить TLS 1.0 и 1.1. В этом документе содержатся сведения о том, как гарантировать, что компьютеры, используемые для завершения регистрации и взаимодействия со службой регистрации устройств Microsoft Entra, используют TLS 1.2.
Протокол TLS версии 1.2 — это протокол шифрования, который предназначен для обеспечения безопасности связи. Протокол TLS в основном предназначен для обеспечения конфиденциальности и целостности данных. Протокол TLS прошел много итераций, в результате чего версия 1.2 соответствует спецификации RFC 5246 (внешняя ссылка).
В текущем анализе подключений показано ограниченное использование протоколов TLS версий 1.1 и 1.0, но мы предоставляем эти сведения, чтобы при необходимости можно было обновить все затронутые клиенты или серверы, прежде чем закончится поддержка TLS 1.1 и 1.0. Если вы используете локальную инфраструктуру для гибридных сценариев или службы федерации Active Directory (AD FS), убедитесь, что инфраструктура поддерживает как входящие, так и исходящие подключения, использующие TLS 1.2.
Обновление серверов, работающих на Windows
Для серверов Windows, использующих службу регистрации устройств Microsoft Entra или выполняющих роль прокси-серверов, выполните следующие действия, чтобы убедиться, что протокол TLS 1.2 включен:
Важно!
После обновления реестра необходимо перезапустить сервер Windows, чтобы изменения вступили в силу.
Включить протокол TLS 1.2
Убедитесь, что следующие строки реестра настроены так, как показано ниже.
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
- "DisabledByDefault"=dword:00000000
- "Enabled"=dword:00000001
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
- "DisabledByDefault"=dword:00000000
- "Enabled"=dword:00000001
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319
- "SchUseStrongCrypto"=dword:00000001
Обновление прокси-серверов, работающих не на Windows
Все компьютеры, действующие в качестве прокси-серверов между устройствами и службой регистрации устройств Microsoft Entra, должны обеспечить включение TLS 1.2. Следуйте указаниям поставщика, чтобы обеспечить поддержку.
Обновление серверов AD FS
Все серверы AD FS, используемые для взаимодействия со службой регистрации устройств Microsoft Entra, должны убедиться, что протокол TLS 1.2 включен. Сведения о том, как включить или проверить конфигурацию, см. в разделе Управление протоколами SSL/TLS и комплектами шифров для AD FS.
Клиентские обновления
Так как все сочетания клиентских серверов и браузеров должны использовать TLS 1.2 для подключения к службе регистрации устройств Microsoft Entra, может потребоваться обновить эти устройства.
Для следующих клиентов известно, что поддержка TLS 1.2 не поддерживается. Обновите клиенты, чтобы обеспечить непрерывный доступ.
- Android версии 4.3 и более ранних версий
- Firefox версии 5.0 и более ранних версий
- Internet Explorer версий 8–10 в Windows 7 и более ранних версий
- Internet Explorer 10 для Windows Phone 8.0
- Safari версии 6.0.4 в OS X 10.8.4 и более ранних версий