Azure AD TLS 1.1 ve 1.0'ın kullanımdan kaldırılacağından, ortamınızda TLS 1.2 desteğini etkinleştirin

Kiracınızın güvenlik duruşunu geliştirmek ve endüstri standartlarına uygun kalmak için Microsoft Azure Active Directory (Azure AD), yakında aşağıdaki Aktarım Katmanı Güvenliği (TLS) protokollerini ve şifrelemelerini desteklemeyi durduracaktır:

• TLS 1.1
• TLS 1.0
• 3DES şifre paketi (TLS_RSA_WITH_3DES_EDE_CBC_SHA)

Bu değişiklik kuruluşunuzu nasıl etkileyebilir?

Uygulamalarınız, Azure Active Directory ile iletişim kuruyor veya kimlik doğrulaması yapıyor mu? O zaman bu uygulamalar, iletişim kurmak için TLS 1.2 kullanamıyorsa beklendiği gibi çalışmayabilir. Bu durum şunları içerir:

• Azure AD Connect
• Azure AD PowerShell
• Azure AD Uygulama Ara Sunucusu bağlayıcıları
• PTA aracıları
• Eski tarayıcılar
• Azure AD ile tümleştirilmiş uygulamalar

Bu değişiklik neden yapılıyor?

Bu protokoller ve şifreler, aşağıdaki nedenlerle kullanım dışı bırakılıyor:

• Federal Risk ve Yetkilendirme Yönetimi Programı (FedRAMP) için en son uyumluluk standartlarını takip etmek.
• Kullanıcılar bulut hizmetlerimizle etkileşime geçtiğinde güvenliği geliştirmek.

Hizmetler, aşağıdaki tarihlerde kullanım dışı bırakılacaktır:

• 31 Mart 2021'den itibaren ABD kamu örneklerinde TLS 1.0, 1.1, ve 3DES Şifre paketi.
• 31 Ocak 2022'den itibaren genel örneklerde TLS 1.0, 1.1 ve 3DES Şifre paketi. (Bu tarih, yöneticilere eski TLS protokollerine ve şifrelerine (TLS 1.0,1.1 ve 3DES) bağımlılığı kaldırmaları için daha fazla zaman tanıyacak şekilde 30 Haziran 2021'den 31 Ocak 2022'ye ertelenmiştir.)

Ortamınızda TLS 1.2 desteğini etkinleştirin

Azure Active Directory (Azure AD) ve Microsoft 365 hizmetlerine güvenli bir bağlantıyı nasıl sağlarsınız? TLS 1.2 ve modern şifre paketleri için istemci uygulamalarınızı ve istemci ve sunucu işletim sistemini (OS) etkinleştirirsiniz.

İstemcilerde TLS 1.2'yi etkinleştirme yönergeleri

• "WinHTTP" için kullandığınız Windows ve varsayılan TLS'yi güncelleştirin.
• TLS 1.2'yi desteklemeyen istemci uygulamalarına ve işletim sistemlerine bağımlılığınızı belirleyin ve azaltın.
• Azure AD ile iletişim kuran uygulamalar ve hizmetler için TLS 1.2'yi etkinleştirin.
• .NET Framework yüklemenizi, TLS 1.2'yi destekleyecek şekilde güncelleştirin ve yapılandırın.
• Uygulamaların ve PowerShell'in (Microsoft Graph kullanan) ve Azure AD PowerShell betiklerinin, TLS 1.2'yi destekleyen bir platformda barındırıldığından ve çalıştırıldığından emin olun.
• Web tarayıcınızda en son güncelleştirmelerin bulunduğundan emin olun. Yeni Microsoft Edge tarayıcısını kullanmanızı öneririz (Chromium temelli). Daha fazla bilgi için bkz. Kararlı Kanal için Microsoft Edge sürüm notları.
• Web ara sunucunuzun TLS 1.2'yi desteklediğine emin olun. Web ara sunucusunu güncelleştirme hakkında daha fazla bilgi için web ara sunucu çözümünüzün satıcısına başvurun.

Daha fazla bilgi için aşağıdaki makalelere bakın:

• İstemcilerde TLS 1.2'yi etkinleştirme
• Office 365 ve Office 365 GCC'de TLS 1.2'ye hazırlanma - Microsoft 365 Uyumluluğu

Windows işletim sistemini ve WinHTTP için kullandığınız varsayılan TLS'yi güncelleştirin

Bu işletim sistemleri, WinHTTP üzerinden istemci-sunucu iletişimleri için TLS 1.2'yi doğal olarak destekler:

• Windows 10
• Windows 8.1
• Windows Server 2016
• Windows Server 2012 R2
• Windows ve Windows Server'ın sonraki sürümleri

Bu platformlarda TLS 1.2'yi açıkça devre dışı bırakmadığınızı doğrulayın.

Varsayılan olarak, Windows önceki sürümleri (Windows 8 ve Windows Server 2012 gibi), WinHTTP kullanarak güvenli iletişimler için TLS 1.2 veya TLS 1.1'i etkinleştirmez. Windows'un bu önceki sürümleri için:

1. Güncelleştirme 3140245'i yükleyin.
2. İstemci veya sunucu işletim sistemlerinde TLS 1.2'yi etkinleştirme bölümünden kayıt defteri değerlerini etkinleştirin.

Bu değerleri, WinHTTP için varsayılan güvenli protokoller listesine TLS 1.2 ve TLS 1.1'i ekleyecek şekilde yapılandırabilirsiniz.

Daha fazla bilgi edinmek için bkz. İstemcilerde TLS 1.2'yi etkinleştirme.

Not

Varsayılan olarak, TLS 1.2'yi destekleyen bir işletim sistemi (örneğin, Windows 10) TLS protokolünün eski sürümlerini de destekler. Bir bağlantı TLS 1.2 kullanılarak yapıldığında ve zamanında yanıt almadığında veya bağlantı sıfırlandığında, işletim sistemi eski bir TLS protokolü (TLS 1.0 veya 1.1 gibi) kullanarak hedef web hizmetine bağlanmayı deneyebilir. Bu durum genellikle ağ meşgulse veya ağa bir paket düştüğünde oluşur. Eski TLS'ye geçici geri dönüş sonrasında, işletim sistemi bir TLS 1.2 bağlantısı kurmayı yeniden dener.

Microsoft eski TLS'yi desteklemeyi durdurduktan sonra bu tür geri dönüş trafiğinin durumu ne olacak? İşletim sistemi yine de eski TLS protokollerini kullanarak TLS bağlantısı kurmayı deneyebilir. Ancak Microsoft hizmeti artık eski TLS protokollerini desteklemezse eski TLS tabanlı bağlantı başarılı olmaz. Bu işlem, işletim sistemini bunun yerine TLS 1.2 kullanarak bağlantıyı yeniden denemeye zorlar.

TLS 1.2'yi desteklemeyen istemcilere bağımlılığı belirleyin ve azaltın

Kesintisiz erişim sağlamak için aşağıdaki istemcileri güncelleştirin:

• Android sürüm 4.3 ve önceki sürümleri
• Firefox 5.0 ve önceki sürümleri
• Windows 7 ve önceki sürümlerinde Internet Explorer sürüm 8-10
• Windows Phone 8.0'da Internet Explorer 10
• OS X 10.8.4 ve önceki sürümlerde Safari 6.0.4

Daha fazla bilgi için bkz. www.microsoft.com'a bağlanan çeşitli istemciler için El Sıkışma Simülasyonu, SSLLabs.com'a teşekkürler.

Azure AD ile iletişim kuran ortak sunucu rollerinde TLS 1.2'yi etkinleştirin

• Azure AD Connect (en son sürümü yükleyin)

  • Eşitleme altyapısı sunucusu ile uzak bir SQL Server arasında da TLS 1.2'yi etkinleştirmek istiyor musunuz? Ardından, Microsoft SQL Server için TLS 1.2 desteği'nin gerektirdiği sürümlerin yüklü olduğundan emin olun.

• Azure AD Connect Kimlik Doğrulama Aracısı (doğrudan kimlik doğrulaması) (sürüm 1.5.643.0 ve sonraki sürümler)

• Azure Uygulama Ara Sunucusu (sürüm 1.5.1526.0 ve üzeri sürümler için TLS 1.2 zorunludur)

• Azure Çok Faktörlü Kimlik Doğrulaması (Azure MFA) kullanmak üzere yapılandırılmış sunucular için Active Directory Federasyon Hizmetleri (AD FS)

• Azure AD MFA için NPS uzantısını kullanacak şekilde yapılandırılmış NPS sunucuları

• MFA Sunucusu sürüm 8.0. x veya sonraki sürümler

• Azure AD Parola Koruması ara sunucu hizmeti

  Eylem gerekiyor

  1. Aracı, hizmet veya bağlayıcının en son sürümünü çalıştırmanızı şiddetle öneririz.

  2. Varsayılan olarak TLS 1.2, Windows Server 2012 R2 ve sonraki sürümlerde etkinleştirilmiştir. Nadir durumlarda, varsayılan işletim sistemi yapılandırması, TLS 1'i devre dışı bırakmak için değiştirilmiş olabilir.

     TLS 1.2'nin etkinleştirildiğinden emin olmak için Windows Server çalıştıran ve Azure AD ile iletişim kuran sunucularda, İstemci veya sunucu işletim sistemlerinde TLS 1.2'yi etkinleştirme bölümünden kayıt defteri değerlerini açıkça eklemenizi öneririz.

  3. Daha önce listelenen hizmetlerin çoğu .NET Framework'üne bağlıdır. .NET Framework'ünü, TLS 1.2'yi destekleyecek şekilde güncelleştirme ve yapılandırma bölümünde açıklandığı gibi güncelleştirildiğinden emin olun.

  Daha fazla bilgi için aşağıdaki makalelere bakın:

  • TLS 1.2 zorlaması - Azure AD Kayıt Hizmeti için TLS 1.2'yi zorunlu tutma
  • Azure AD Connect: Azure Active Directory Connect için TLS 1.2 zorlaması
  • Azure AD Uygulama Ara Sunucusu bağlayıcılarını anlama

İstemci veya sunucu işletim sistemlerinde TLS 1.2'yi etkinleştirme

Kayıt defteri dizeleri

TLS 1.2'yi işletim sistemi düzeyinde el ile yapılandırmak ve etkinleştirmek için aşağıdaki DWORD değerlerini ekleyebilirsiniz.

Windows 2012 R2, Windows 8.1 ve üzeri işletim sistemi için TLS 1.2 varsayılan olarak etkindir. Bu nedenle, aşağıdaki kayıt defteri değerleri farklı değerlerle ayarlanmadığı sürece gerekli değildir.

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
  • "DisabledByDefault": 00000000
  • "Etkin": 00000001
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
  • "DisabledByDefault": 00000000
  • "Etkin": 00000001
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
  • "SchUseStrongCrypto": 00000001

Bir PowerShell betiği kullanarak TLS 1.2'yi etkinleştirmek için bkz. Azure AD Connect için TLS 1.2 zorlaması.

.NET Framework'ü TLS 1.2'yi destekleyecek şekilde güncelleştirin ve yapılandırın

Yönetilen Azure AD tümleşik uygulamalar ve Windows PowerShell betikleri (Azure AD PowerShell V1 (Microsoft MSOnline), V2 (AzureAD), Microsoft Graph kullanarak), .NET Framework kullanabilir.

Güçlü şifrelemeyi etkinleştirmek için .NET güncelleştirmelerini yükleme

.NET sürümünü belirleme

İlk olarak, yüklü .NET sürümlerini belirleyin.

• Daha fazla bilgi için bkz. hangi .NET Framework sürümlerinin ve hizmet paketi düzeylerinin yüklendiğini belirleme.

.NET güncelleştirmelerini yükleme

Güçlü şifrelemeyi etkinleştirebilmeniz için .NET güncelleştirmelerini yükleyin. Güçlü şifrelemeyi etkinleştirmek için .NET Framework'ün bazı sürümlerinin güncelleştirilmiş olması gerekebilir.

Şu yönergeleri kullanın:

• .NET Framework 4.6.2 ve sonraki sürümler TLS 1.2 ve TLS 1.1'i destekler. Kayıt defteri ayarlarını denetleyin. Başka değişiklik yapılması gerekmez.

• .NET FRAMEWORK 4.6 ve önceki sürümleri TLS 1.2 ve TLS 1.1'i destekleyecek şekilde güncelleştirin.

  Daha fazla bilgi için bkz. .NET Framework sürümleri ve bağımlılıkları.

• Windows 8.1 veya Windows Server 2012 üzerinde .NET Framework 4.5.2 veya 4.5.1 mi kullanıyorsunuz? Ardından ilgili güncelleştirmeler ve ayrıntılar Microsoft Update Kataloğu'ndan da kullanılabilir.

  • Ayrıca bkz. Microsoft Güvenlik Bildirimi 2960358.

Ağ üzerinden iletişim kuran ve TLS 1.2 etkin bir sistem çalıştıran tüm bilgisayarlar için aşağıdaki kayıt defteri DWORD değerlerini ayarlayın.

• 32 bit işletim sisteminde çalışan 32 bit uygulamalar ve 64 bit işletim sisteminde çalışan 64 bit uygulamalar için aşağıdaki alt anahtar değerlerini güncelleştirin:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727

    • "SystemDefaultTlsVersions": 00000001
    • "SchUseStrongCrypto": 00000001

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

    • "SystemDefaultTlsVersions": 00000001
    • "SchUseStrongCrypto": 00000001

• 64 bit işletim sistemleri üzerinde çalışan 32 bit uygulamalar için aşağıdaki alt anahtar değerlerini güncelleştirin:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727
    • "SystemDefaultTlsVersions": dword:00000001
    • "SchUseStrongCrypto": dword:00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
    • "SystemDefaultTlsVersions": dword:00000001
    • "SchUseStrongCrypto": dword:00000001

Örneğin, bu değerleri şunlarda ayarlayın:

• Yapılandırma Yöneticisi istemcileri
• Site sunucusunda yüklü olmayan uzak site sistemi rolleri
• Site sunucusunun kendisi

Daha fazla bilgi için aşağıdaki makalelere bakın:

• Azure AD tarafından desteklenen TLS Şifre Paketleri
• İstemcilerde TLS 1.2'yi etkinleştirme
• .NET Framework ile Aktarım Katmanı Güvenliği (TLS) en iyi uygulamaları
• TLS 1.0 problemini çözme - Güvenlik belgeleri.

Oturum açma günlüklerindeki yeni telemetriye genel bakış

Ortamınızda hala eski TLS kullanan istemcileri veya uygulamaları tanımlamanıza yardımcı olmak için Azure AD oturum açma günlüklerini görüntüleyin. Eski TLS üzerinde oturum açan istemciler veya uygulamalar için Azure AD Ek Ayrıntılar'daki Eski TLS alanını True olarak işaretler. Eski TLS alanı, yalnızca oturum açma eski TLS üzerinden gerçekleşmişse görüntülenir. Günlüklerinizde eski TLS görmüyorsanız TLS 1.2'ye geçmeye hazırsınız demektir.

Yönetici, eski TLS protokollerini kullanan oturum açma girişimlerini bulmak için günlükleri şu yöntemlerle gözden geçirebilir:

• Azure İzleyici'de günlükleri dışarı aktarma ve sorgulama.
• Son yedi günlük günlükleri JavaScript Nesne Gösterimi (JSON) biçiminde indirme.
• PowerShell kullanarak oturum açma günlüklerini filtreleme ve dışarı aktarma.

Bu yöntemler aşağıda açıklanmıştır.

Azure İzleyici

Azure İzleyici'yi kullanarak oturum açma günlüklerini sorgulayabilirsiniz. Azure İzleyici, güçlü bir günlük analizi, izleme ve uyarı aracıdır. Azure İzleyici'nin kullanımı:

• Azure AD günlükleri
• Azure kaynak günlükleri
• Bağımsız yazılım araçlarından günlükler

Not

Raporlama verilerini Azure İzleyici'ye aktarmak için bir Azure AD Premium lisansına ihtiyacınız vardır.

Azure İzleyici'yi kullanarak eski TLS girişlerini sorgulamak için:

1. Azure AD günlüklerini Azure İzleyici günlükleriyle tümleştirme bölümünde, Azure İzleyici'de Azure AD oturum açma günlüklerine erişmek için yönergelerini izleyin.

2. Sorgu tanımı alanına aşağıdaki Kusto Sorgu Dili sorgusunu yapıştırın:

   // Interactive sign-ins only
   SigninLogs
   | where AuthenticationProcessingDetails has "Legacy TLS"
       and AuthenticationProcessingDetails has "True"
   | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
   | mv-apply JsonAuthProcDetails on (
       where JsonAuthProcDetails.key startswith "Legacy TLS"
       | project HasLegacyTls=JsonAuthProcDetails.value
   )
   | where HasLegacyTls == true
   
   // Non-interactive sign-ins
   AADNonInteractiveUserSignInLogs
   | where AuthenticationProcessingDetails has "Legacy TLS"
       and AuthenticationProcessingDetails has "True"
   | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
   | mv-apply JsonAuthProcDetails on (
       where JsonAuthProcDetails.key startswith "Legacy TLS"
       | project HasLegacyTls=JsonAuthProcDetails.value
   )
   | where HasLegacyTls == true
   
   // Workload Identity (service principal) sign-ins
   AADServicePrincipalSignInLogs
   | where AuthenticationProcessingDetails has "Legacy TLS"
       and AuthenticationProcessingDetails has "True"
   | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
   | mv-apply JsonAuthProcDetails on (
       where JsonAuthProcDetails.key startswith "Legacy TLS"
       | project HasLegacyTls=JsonAuthProcDetails.value
   )
   | where HasLegacyTls == true
   

3. Sorguyu yürütmek için Çalıştır'ı seçin. Sorguyla eşleşen günlük girişleri, sorgu tanımının altındaki Sonuçlar sekmesinde görünür.

4. Eski TLS isteğinin kaynağı hakkında daha fazla bilgi edinmek için aşağıdaki alanları arayın:

   • UserDisplayName
   • AppDisplayName
   • ResourceDisplayName
   • UserAgent

JSON

Eski TLS bayrağını görmek için son yedi günlük oturum açma günlüklerini JSON biçiminde indirebilirsiniz.

Not

1. Eski TLS bayrağı, yalnızca eski TLS oturum açma isteği için kullanılıyorsa görünür.

2. Bunun yerine oturum açma günlüklerini virgülle ayrılmış değer (CSV) biçiminde indirirseniz, eski TLS bayrağı görünmez.

JSON günlüklerini indirme

Oturum açma günlüklerini JSON olarak indirmek için:

1. Azure portal'da, Azure Active Directory'yi arayın ve seçin.

2. Genel Bakış sayfası menüsünde, Oturum açma günlükleri'ni seçin.

3. Tarih filtresi dışındaki tüm filtreleri temizleyin.

4. Tarih filtresini, Son 7 gün olarak ayarlayın.

5. İndir'i seçin.

6. Her bir günlük kategorisini seçin:

   • Kullanıcı etkileşimli
   • Kullanıcı etkileşimli değil
   • Yönetilen kimlik

JSON dosyalarını görüntüleme

Artık tercih ettiğiniz bir JSON görüntüleyicisini kullanarak JSON günlüklerini gözden geçirebilirsiniz.

Not

JSON görüntüleyiciye ihtiyacınız varsa Visual Studio Code'u indirebilirsiniz.

JSON günlüklerini gözden geçirmek için:

1. JSON günlük dosyalarını JSON görüntüleyicinizde açın.

2. Eski TLS terimini arayın.

3. Eski TLS içeren bir günlük dosyası bulursanız, eski TLS isteğinin kaynağı hakkında daha fazla bilgi edinmek için bu oturum açma günlüğü girdisini gözden geçirin. Aşağıdaki alanları arayın:

   • UserDisplayName
   • AppDisplayName
   • ResourceDisplayName
   • UserAgent

PowerShell

Eski TLS'nin kullanıldığı oturum açma günlüğü girişlerini filtrelemek ve dışarı aktarmak için PowerShell'i kullanın.

Not

PowerShell aracılığıyla Microsoft Graph API'yi çağırmak için bir Azure AD Premium lisansına ihtiyacınız vardır.

Oturum açma günlüğü girişlerini filtrelemek ve dışarı aktarmak için:

1. Yönetici olarak çalıştır seçeneğini kullanarak Başlat menüsünden Windows PowerShell'i açın.

2. Microsoft Graph SDK'larını yüklemek ve yürütme ilkesini ayarlamak için aşağıdaki komutları çalıştırın:

   Install-Module Microsoft.Graph -Scope AllUsers
   Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Scope CurrentUser
   

3. Aşağıdaki betiği bir PowerShell betik (.ps1) dosyasına kaydedin.

   $tId = "your-tenant-id"  # Add tenant ID from Azure Active Directory page on portal.
   $agoDays = 4  # Will filter the log for $agoDays from the current date and time.
   $startDate = (Get-Date).AddDays(-($agoDays)).ToString('yyyy-MM-dd')  # Get filter start date.
   $pathForExport = "./"  # The path to the local filesystem for export of the CSV file.
   
   Connect-MgGraph -Scopes "AuditLog.Read.All" -TenantId $tId  # Or use Directory.Read.All.
   Select-MgProfile "beta"  # Low TLS is available in Microsoft Graph preview endpoint.
   
   # Define the filtering strings for interactive and non-interactive sign-ins.
   $procDetailFunction = "x: x/key eq 'legacy tls (tls 1.0, 1.1, 3des)' and x/value eq '1'"
   $clauses = (
       "createdDateTime ge $startDate",
       "signInEventTypes/any(t: t eq 'nonInteractiveUser')",
       "signInEventTypes/any(t: t eq 'servicePrincipal')",
       "(authenticationProcessingDetails/any($procDetailFunction))"
   )
   
   # Get the interactive and non-interactive sign-ins based on filtering clauses.
   $signInsInteractive = Get-MgAuditLogSignIn -Filter ($clauses[0,3] -Join " and ") -All
   $signInsNonInteractive = Get-MgAuditLogSignIn -Filter ($clauses[0,1,3] -Join " and ") -All
   $signInsWorkloadIdentities = Get-MgAuditLogSignIn -Filter ($clauses[0,2,3] -Join " and ") -All
   
   $columnList = @{  # Enumerate the list of properties to be exported to the CSV files.
       Property = "CorrelationId", "createdDateTime", "userPrincipalName", "userId",
                 "UserDisplayName", "AppDisplayName", "AppId", "IPAddress", "isInteractive",
                 "ResourceDisplayName", "ResourceId", "UserAgent"
   }
   
   $columnListWorkloadId = @{ #Enumerate the list of properties for workload identities to be exported to the CSV files.
       Property = "CorrelationId", "createdDateTime", "AppDisplayName", "AppId", "IPAddress",
                 "ResourceDisplayName", "ResourceId", "ServicePrincipalId", "ServicePrincipalName"
   }
   
   $signInsInteractive | ForEach-Object {
       foreach ($authDetail in $_.AuthenticationProcessingDetails)
       {
           if (($authDetail.Key -match "Legacy TLS") -and ($authDetail.Value -eq "True"))
           {
               $_ | Select-Object @columnList
           }
       }
   } | Export-Csv -Path ($pathForExport + "Interactive_lowTls_$tId.csv") -NoTypeInformation
   
   $signInsNonInteractive | ForEach-Object {
       foreach ($authDetail in $_.AuthenticationProcessingDetails)
       {
           if (($authDetail.Key -match "Legacy TLS") -and ($authDetail.Value -eq "True"))
           {
               $_ | Select-Object @columnList
           }
       }
   } | Export-Csv -Path ($pathForExport + "NonInteractive_lowTls_$tId.csv") -NoTypeInformation
   
   $signInsWorkloadIdentities | ForEach-Object {
       foreach ($authDetail in $_.AuthenticationProcessingDetails)
       {
           if (($authDetail.Key -match "Legacy TLS") -and ($authDetail.Value -eq "True"))
           {
               $_ | Select-Object @columnListWorkloadId
           }
       }
   } | Export-Csv -Path ($pathForExport + "WorkloadIdentities_lowTls_$tId.csv") -NoTypeInformation
   

4. Azure portal'da, Azure Active Directory'yi arayın ve seçin.

5. Kiracı Kimliği değerini, Azure Active Directory sayfasından PowerShell betiğinin ilk deyimine kopyalayıp $tId değişkenine atayın.

6. Betiği kaydedin ve çalıştırın. Betik çalışırken istenirse genel yönetici olarak oturum açın. Ardından, Microsoft Graph'ın denetim günlüğü bilgilerini okumasına onay verin.

7. Eski TLS isteğinin kaynağı hakkında bilgi edinmek için şu alanlar için betik çıkış dosyalarını (Interactive_lowTls_<Tenant-ID>.csv ve NonInteractive_lowTls_<Tenant-ID>.csv) arayın:

   • UserDisplayName
   • AppDisplayName
   • ResourceDisplayName
   • UserAgent

Azure AD portalında günlük girdileriyle ilgili ayrıntıları görüntüleyin

Günlükleri aldıktan sonra, Azure AD portalında eski TLS tabanlı oturum açma günlüğü girdileri hakkında daha detaylı bilgi edinebilirsiniz. Şu adımları izleyin:

1. Azure portal'da, Azure Active Directory'yi arayın ve seçin.

2. Genel Bakış sayfası menüsünde, Oturum açma günlükleri'ni seçin.

3. Kullanıcı için bir oturum açma günlüğü girdisi seçin.

4. Ek ayrıntılar sekmesini seçin. (Bu sekmeyi görmüyorsanız, sekmelerin tam listesini görüntülemek için önce sağ köşedeki üç noktayı (...) seçin.)

5. True olarak ayarlanmış bir Eski TLS (TLS 1.0, 1.1 veya 3DES) değerini denetleyin. Bu belirli alanı ve değeri görürseniz eski TLS kullanılarak oturum açma girişiminde bulunulmuştur. Oturum açma girişimi TLS 1.2 kullanılarak yapıldıysa bu alan görünmez.

Daha fazla bilgi için bkz. Azure Active Directory’de oturum açma günlükleri.

Yardım için bize ulaşın

Sorularınız veya yardıma ihtiyacınız varsa bir destek isteği oluşturun veya Azure topluluk desteği isteyin. Ürün geri bildirimini Azure topluluk desteğine de gönderebilirsiniz.