Microsoft Entra için ortamınızda TLS 1.2 desteğini etkinleştirme

Summary

Bu makalede, Microsoft Entra TLS 1.0 ve 1.1'in yakında kullanımdan kaldırılmasına hazırlık olarak ortamınızda Aktarım Katmanı Güvenliği (TLS) 1.2 desteğinin nasıl etkinleştirileceği açıklanır.

Kiracınızın güvenlik duruşunu geliştirmek ve endüstri standartlarına uygun kalmak için Microsoft Entra ID yakında aşağıdaki TLS protokollerini ve şifrelemelerini desteklemeyi durduracaktır:

• TLS 1.1
• TLS 1.0
• 3DES şifre paketi (TLS_RSA_WITH_3DES_EDE_CBC_SHA)

Bu değişiklik kuruluşunuzu nasıl etkileyebilir?

Uygulamalarınız Microsoft Entra Id ile iletişim kuruyor veya kimlik doğrulaması yapıyor mu? O zaman bu uygulamalar, iletişim kurmak için TLS 1.2 kullanamıyorsa beklendiği gibi çalışmayabilir. Bu durum şunları içerir:

• Microsoft Entra Connect
• Microsoft Graph PowerShell
• Microsoft Entra uygulama proxy bağlayıcıları
• PTA aracıları
• Eski tarayıcılar
• Microsoft Entra ID ile tümleştirilmiş uygulamalar

Bu değişiklik neden yapılıyor?

Bu protokoller ve şifreler, aşağıdaki nedenlerle kullanım dışı bırakılıyor:

• Federal Risk ve Yetkilendirme Yönetimi Programı (FedRAMP) için en son uyumluluk standartlarını takip etmek.
• Kullanıcılar bulut hizmetlerimizle etkileşime geçtiğinde güvenliği geliştirmek.

TLS 1.0, TLS 1.1 ve 3DES Şifreleme paketi hizmetleri aşağıdaki zamanlamada kullanım dışı bırakılmaktadır.

Örnek türü	Kullanım dışı bırakma tarihi	Durum
ABD hükümet örnekleri	31 Mart 2021	TAMAMLANDI
Kamuya açık örnekler	31 Ocak 2022	TAMAMLANDI
Çin'de 21Vianet tarafından işletilen Microsoft Entra örnekleri	31 Ocak 2025	DEVAM EDEN

Microsoft Entra hizmetleri için TLS 1.3 desteği

Microsoft Entra, TLS 1.2'yi desteklemeye ek olarak, uç noktalarının en iyi güvenlik uygulamalarıyla uyumlu olması için TLS 1.3 desteğini de kullanıma hazırlar (NIST - SP 800-52 Rev. 2). Bu değişiklikle, Microsoft Entra uç noktaları hem TLS 1.2 hem de TLS 1.3 protokollerini destekleyecektir.

Ortamınızda TLS 1.2 desteğini etkinleştirin

Microsoft Entra ID ve Microsoft 365 hizmetlerine güvenli bir bağlantı sağlamak için, istemci uygulamalarınızı ve hem istemci hem de sunucu işletim sistemlerini (OS) TLS 1.2 ve çağdaş şifreleme paketlerini destekleyecek şekilde yapılandırın.

İstemcilerde TLS 1.2'yi etkinleştirme yönergeleri

• "WinHTTP" için kullandığınız Windows ve varsayılan TLS'yi güncelleştirin.
• TLS 1.2'yi desteklemeyen istemci uygulamalarına ve işletim sistemlerine bağımlılığınızı belirleyin ve azaltın.
• Microsoft Entra Id ile iletişim kuran uygulamalar ve hizmetler için TLS 1.2'yi etkinleştirin.
• .NET Framework yüklemenizi, TLS 1.2'yi destekleyecek şekilde güncelleştirin ve yapılandırın.
• Uygulamaların ve PowerShell (Microsoft Graph ve Microsoft Graph PowerShell kullanan) betiklerinin TLS 1.2 destekleyen bir platformda barındırıldığından ve çalıştırıldığından emin olun.
• Web tarayıcınızda en son güncelleştirmelerin bulunduğundan emin olun. Yeni Microsoft Edge tarayıcısını kullanmanızı öneririz (Chromium temelli). Daha fazla bilgi için bkz. Kararlı Kanal için Microsoft Edge sürüm notları.
• Web ara sunucunuzun TLS 1.2'yi desteklediğine emin olun. Web ara sunucusunu güncelleştirme hakkında daha fazla bilgi için web ara sunucu çözümünüzün satıcısına başvurun.

Daha fazla bilgi için aşağıdaki makaleleri inceleyin:

• İstemcilerde TLS 1.2'yi etkinleştirme
• Office 365 ve Office 365 GCC'de TLS 1.2'ye hazırlanma - Microsoft 365 Uyumluluğu

Windows işletim sistemini ve WinHTTP için kullandığınız varsayılan TLS'yi güncelleştirin

Bu işletim sistemleri, WinHTTP üzerinden istemci-sunucu iletişimleri için TLS 1.2'yi doğal olarak destekler:

• Windows 8.1, Windows 10 ve sonraki sürümleri
• Windows Server 2012 R2, Windows Server 2016 ve sonraki sürümleri

Bu platformlarda TLS 1.2'yi açıkça devre dışı bırakmadığınızı doğrulayın.

Varsayılan olarak, Windows önceki sürümleri (Windows 8 ve Windows Server 2012 gibi), WinHTTP kullanarak güvenli iletişimler için TLS 1.2 veya TLS 1.1'i etkinleştirmez. Windows'un bu önceki sürümleri için:

1. Güncelleştirme 3140245'i yükleyin.
2. İstemci veya sunucu işletim sistemlerinde TLS 1.2'yi etkinleştirme bölümünden kayıt defteri değerlerini etkinleştirin.

Bu değerleri, WinHTTP için varsayılan güvenli protokoller listesine TLS 1.2 ve TLS 1.1'i ekleyecek şekilde yapılandırabilirsiniz.

Daha fazla bilgi edinmek için bkz. İstemcilerde TLS 1.2'yi etkinleştirme.

Dikkat

Varsayılan olarak, TLS 1.2'yi (örneğin, Windows 10) destekleyen bir işletim sistemi, TLS protokolünün eski sürümlerini de destekler. Bir bağlantı TLS 1.2 kullanılarak yapıldığında ve zamanında yanıt almadığında veya bağlantı sıfırlandığında, işletim sistemi eski bir TLS protokolü (TLS 1.0 veya 1.1 gibi) kullanarak hedef web hizmetine bağlanmayı deneyebilir. Bu durum genellikle ağ meşgulse veya bir paket ağa düşerse oluşur. Eski TLS'ye geçici geri dönüşten sonra, işletim sistemi bir TLS 1.2 bağlantısı oluşturmayı yeniden dener.

Microsoft eski TLS'yi desteklemeyi durdurduktan sonra bu tür geri dönüş trafiğinin durumu ne olacak? İşletim sistemi yine de eski TLS protokolunu kullanarak BIR TLS bağlantısı oluşturmaya çalışabilir. Ancak Microsoft hizmeti artık eski TLS protokollerini desteklemiyorsa eski TLS tabanlı bağlantı başarılı olmaz. Bu işlem işletim sistemini tls 1.2 kullanarak bağlantıyı yeniden denemeye zorlar.

TLS 1.2'i desteklemeyen istemcilerdeki bağımlılıkları belirleme ve azaltma

Kesintisiz erişim sağlamak için aşağıdaki istemcileri güncelleştirin:

• Android sürüm 4.3 ve önceki sürümleri
• Firefox 5.0 ve önceki sürümleri
• Windows 7 ve önceki sürümlerinde Internet Explorer sürüm 8-10
• Windows Phone 8.0'da Internet Explorer 10
• OS X 10.8.4 ve önceki sürümlerde Safari 6.0.4

Daha fazla bilgi için bkz. www.microsoft.com'a bağlanan çeşitli istemciler için El Sıkışma Simülasyonu, SSLLabs.com'a teşekkürler.

Microsoft Entra ID ile iletişim kuran ortak sunucu rollerinde TLS 1.2'yi etkinleştirme

• Microsoft Entra Connect (en son sürümü yükleyin)

  • Eşitleme altyapısı sunucusu ile uzak bir SQL Server arasında da TLS 1.2'yi etkinleştirmek istiyor musunuz? Ardından, Microsoft SQL Server için TLS 1.2 desteği'nin gerektirdiği sürümlerin yüklü olduğundan emin olun.

• Microsoft Entra Connect Kimlik Doğrulama Aracısı (doğrudan kimlik doğrulaması) (sürüm 1.5.643.0 ve sonraki sürümler)

• Azure Uygulama Ara Sunucusu (sürüm 1.5.1526.0 ve üzeri sürümler için TLS 1.2 zorunludur)

• Azure çok faktörlü kimlik doğrulaması (Azure MFA) kullanacak şekilde yapılandırılmış sunucular için Active Directory Federasyon Hizmetleri (AD FS)

• Microsoft Entra çok faktörlü kimlik doğrulaması için NPS uzantısını kullanacak şekilde yapılandırılmış NPS sunucuları

• MFA Sunucusu sürüm 8.0. x veya sonraki sürümler

• Microsoft Entra Password Protection proxy hizmeti

  Eylem Gerekli 

  1. Aracı, hizmet veya bağlayıcının en son sürümünü çalıştırmanızı şiddetle öneririz.

  2. Varsayılan olarak TLS 1.2, Windows Server 2012 R2 ve sonraki sürümlerde etkinleştirilmiştir. Nadir durumlarda, varsayılan işletim sistemi yapılandırması, TLS 1'i devre dışı bırakmak için değiştirilmiş olabilir.

     TLS 1.2'nin etkinleştirildiğinden emin olmak için, Windows Server çalıştıran ve Microsoft Entra Id ile iletişim kuran sunuculardaki İstemci veya sunucu işletim sistemlerinde TLS 1.2'yi etkinleştirme bölümünden kayıt defteri değerlerini açıkça eklemenizi öneririz.

  3. Daha önce listelenen hizmetlerin çoğu .NET Framework'üne bağlıdır. .NET Framework'ünü, TLS 1.2'yi destekleyecek şekilde güncelleştirme ve yapılandırma bölümünde açıklandığı gibi güncelleştirildiğinden emin olun.

  Daha fazla bilgi için aşağıdaki makaleleri inceleyin:

  • TLS 1.2 zorlaması - Microsoft Entra Kayıt Hizmeti için TLS 1.2'yi zorunlu tutma
  • Microsoft Entra Connect: Microsoft Entra Connect için TLS 1.2 zorlaması
  • Microsoft Entra uygulama ara sunucusu bağlayıcılarını anlama

İstemci veya sunucu işletim sistemlerinde TLS 1.2'yi etkinleştirme

Kayıt defteri dizeleri

Windows 2012 R2, Windows 8.1 ve üzeri işletim sistemleri için TLS 1.2 varsayılan olarak etkindir. Bu nedenle, aşağıdaki kayıt defteri değerleri farklı değerlerle ayarlanmadığı sürece görüntülenmez.

TLS 1.2'yi işletim sistemi düzeyinde el ile yapılandırmak ve etkinleştirmek için aşağıdaki DWORD değerlerini ekleyebilirsiniz:

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
  • DisabledByDefault: 00000000
  • Enabled: 00000001
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
  • DisabledByDefault: 00000000
  • Enabled: 00000001
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\. NETFramework\v4.0.30319
  • SchUseStrongCrypto: 00000001

PowerShell betiği ile TLS 1.2'yi etkinleştirmek için Microsoft Entra Connect için TLS 1.2 zorlaması bölümüne bakın.

Hangi TLS protokollerinin kullanıldığını denetleme

Hangi TLS'nin kullanıldığını denetlemenin iki yolu şunlardır:

• Tarayıcı güvenlik ayarları
• Windows'da İnternet Özellikleri

İnternet Özellikleri kullanılarak hangi TLS protokollerinin kullanıldığını denetlemek için şu adımları izleyin:

1. Çalıştır kutusunu açmak için Windows+ tuşuna basın.

2. inetcpl.cpl yazıp Tamam'ı seçin. Ardından İnternet Özellikleri penceresi açılır.

3. İnternet Özellikleri penceresinde Gelişmiş sekmesini seçin ve TLS ile ilgili ayarları denetlemek için aşağı kaydırın.

   

.NET Framework'ü TLS 1.2'yi destekleyecek şekilde güncelleştirin ve yapılandırın

Yönetilen Microsoft Entra tümleşik uygulamaları ve Windows PowerShell betikleri (Microsoft Graph PowerShell ve Microsoft Graph kullanılarak) .NET Framework kullanabilir.

Güçlü şifrelemeyi etkinleştirmek için .NET güncelleştirmelerini yükleme

.NET sürümünü belirleme

İlk olarak, yüklü .NET sürümlerini belirleyin.

• Daha fazla bilgi için bkz. hangi .NET Framework sürümlerinin ve hizmet paketi düzeylerinin yüklendiğini belirleme.

.NET güncelleştirmelerini yükleme

Güçlü şifrelemeyi etkinleştirebilmeniz için .NET güncelleştirmelerini yükleyin. Güçlü şifrelemeyi etkinleştirmek için .NET Framework'ün bazı sürümlerinin güncelleştirilmiş olması gerekebilir.

Şu yönergeleri kullanın:

• .NET Framework 4.6.2 ve sonraki sürümler TLS 1.2 ve TLS 1.1'i destekler. Kayıt defteri ayarlarını denetleyin. Başka değişiklik yapılması gerekmez.

• .NET FRAMEWORK 4.6 ve önceki sürümleri TLS 1.2 ve TLS 1.1'i destekleyecek şekilde güncelleştirin.

  Daha fazla bilgi için bkz. .NET Framework sürümleri ve bağımlılıkları.

• Windows 8.1 veya Windows Server 2012 üzerinde .NET Framework 4.5.2 veya 4.5.1 mi kullanıyorsunuz? Ardından ilgili güncelleştirmeler ve ayrıntılar Microsoft Update Kataloğu'ndan da kullanılabilir.

  • Ayrıca bkz. Microsoft Güvenlik Bildirimi 2960358.

Ağ üzerinden iletişim kuran ve TLS 1.2 etkin bir sistem çalıştıran tüm bilgisayarlar için aşağıdaki kayıt defteri DWORD değerlerini ayarlayın.

• 32 bit işletim sisteminde çalışan 32 bit uygulamalar ve 64 bit işletim sisteminde çalışan 64 bit uygulamalar için aşağıdaki alt anahtar değerlerini güncelleştirin:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\. NETFramework\v2.0.50727

    • SystemDefaultTlsVersions: 00000001
    • SchUseStrongCrypto: 00000001

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\. NETFramework\v4.0.30319

    • SystemDefaultTlsVersions: 00000001
    • SchUseStrongCrypto: 00000001

• 64 bit işletim sistemleri üzerinde çalışan 32 bit uygulamalar için aşağıdaki alt anahtar değerlerini güncelleştirin:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\. NETFramework\v2.0.50727
    • SystemDefaultTlsVersions: dword:00000001
    • SchUseStrongCrypto: dword:00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\. NETFramework\v4.0.30319
    • SystemDefaultTlsVersions: dword:00000001
    • SchUseStrongCrypto: dword:00000001

Örneğin, bu değerleri şunlarda ayarlayın:

• Yapılandırma Yöneticisi istemcileri
• Site sunucusunda yüklü olmayan uzak site sistemi rolleri
• Site sunucusunun kendisi

Daha fazla bilgi için aşağıdaki makaleleri inceleyin:

• Microsoft Entra Id tarafından desteklenen TLS Şifreleme Paketleri
• İstemcilerde TLS 1.2'yi etkinleştirme
• .NET Framework ile Aktarım Katmanı Güvenliği (TLS) en iyi yöntemleri
• TLS 1.0 problemini çözme - Güvenlik belgeleri.

Oturum açma günlüklerindeki yeni telemetriye genel bakış

Ortamınızda eski TLS kullanmaya devam eden istemcileri veya uygulamaları tanımlamanıza yardımcı olmak için Microsoft Entra oturum açma günlüklerini görüntüleyin. Microsoft Entra ID, eski TLS üzerinden oturum açabilen istemciler veya uygulamalar için Ek Ayrıntılar'dakiEski TLS alanını True ile işaretler. Eski TLS alanı, yalnızca oturum açma eski TLS üzerinden gerçekleşmişse görüntülenir. Günlüklerinizde eski TLS görmüyorsanız TLS 1.2'ye geçmeye hazırsınız demektir.

Yönetici, eski TLS protokollerini kullanan oturum açma girişimlerini bulmak için günlükleri şu yöntemlerle gözden geçirebilir:

• Azure İzleyici'de günlükleri dışarı aktarma ve sorgulama.
• Son yedi günlük günlükleri JavaScript Nesne Gösterimi (JSON) biçiminde indirme.
• PowerShell kullanarak oturum açma günlüklerini filtreleme ve dışarı aktarma.

Bu yöntemler aşağıda açıklanmaktadır.

Azure Monitor

Azure İzleyici'yi kullanarak oturum açma günlüklerini sorgulayabilirsiniz. Azure İzleyici, güçlü bir günlük analizi, izleme ve uyarı aracıdır. Azure İzleyici'nin kullanımı:

• Microsoft Entra günlükleri
• Azure kaynak günlükleri
• Bağımsız yazılım araçlarından günlükler

Dikkat

Raporlama verilerini Azure İzleyici'ye aktarmak için bir Microsoft Entra ID P1 veya P2 lisansına sahip olmanız gerekir.

Azure İzleyici'yi kullanarak eski TLS girişlerini sorgulamak için:

1. Microsoft Entra günlüklerini Azure İzleyici günlükleriyle tümleştirme bölümünde, Azure İzleyici'de Microsoft Entra oturum açma günlüklerine erişme yönergelerini izleyin.

2. Sorgu tanımı alanına aşağıdaki Kusto Sorgu Dili sorgusunu yapıştırın:

   // Interactive sign-ins only
   SigninLogs
   | where AuthenticationProcessingDetails has "Legacy TLS"
       and AuthenticationProcessingDetails has "True"
   | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
   | mv-apply JsonAuthProcDetails on (
       where JsonAuthProcDetails.key startswith "Legacy TLS"
       | project HasLegacyTls=JsonAuthProcDetails.value
   )
   | where HasLegacyTls == true
   
   // Non-interactive sign-ins
   AADNonInteractiveUserSignInLogs
   | where AuthenticationProcessingDetails has "Legacy TLS"
       and AuthenticationProcessingDetails has "True"
   | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
   | mv-apply JsonAuthProcDetails on (
       where JsonAuthProcDetails.key startswith "Legacy TLS"
       | project HasLegacyTls=JsonAuthProcDetails.value
   )
   | where HasLegacyTls == true
   
   // Workload Identity (service principal) sign-ins
   AADServicePrincipalSignInLogs
   | where AuthenticationProcessingDetails has "Legacy TLS"
       and AuthenticationProcessingDetails has "True"
   | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
   | mv-apply JsonAuthProcDetails on (
       where JsonAuthProcDetails.key startswith "Legacy TLS"
       | project HasLegacyTls=JsonAuthProcDetails.value
   )
   | where HasLegacyTls == true
   

3. Sorguyu yürütmek için Çalıştır'ı seçin. Sorguyla eşleşen günlük girişleri, sorgu tanımının altındaki Sonuçlar sekmesinde görünür.

4. Eski TLS isteğinin kaynağı hakkında daha fazla bilgi edinmek için aşağıdaki alanları arayın:

   • UserDisplayName
   • AppDisplayName
   • ResourceDisplayName
   • UserAgent

JSON

Eski TLS bayrağını görmek için son yedi günlük oturum açma günlüklerini JSON biçiminde indirebilirsiniz.

Dikkat

1. Eski TLS bayrağı, yalnızca eski TLS oturum açma isteği için kullanılıyorsa görünür.

2. Bunun yerine oturum açma günlüklerini virgülle ayrılmış değer (CSV) biçiminde indirirseniz, eski TLS bayrağı görünmez.

JSON günlüklerini indirme

Oturum açma günlüklerini JSON olarak indirmek için:

1. Azure portalında Microsoft Entra Id'yi arayın ve seçin.

2. Genel Bakış sayfası menüsünde, Oturum açma günlükleri'ni seçin.

3. Tarih filtresi dışındaki tüm filtreleri temizleyin.

4. Tarih filtresini, Son 7 gün olarak ayarlayın.

5. İndir'i seçin.

6. Günlüklerin her kategorisini seçin

   • Kullanıcı etkileşimli
   • Kullanıcı etkileşimli değil
   • Yönetilen kimlik

JSON dosyalarını görüntüleme

Artık tercih ettiğiniz bir JSON görüntüleyicisini kullanarak JSON günlüklerini gözden geçirebilirsiniz.

Dikkat

JSON görüntüleyiciye ihtiyacınız varsa Visual Studio Code'u indirebilirsiniz.

JSON günlüklerini gözden geçirmek için:

1. JSON günlük dosyalarını JSON görüntüleyicinizde açın.

2. Eski TLS terimini arayın.

3. Eski TLS içeren bir günlük dosyası bulursanız, eski TLS isteğinin kaynağı hakkında daha fazla bilgi edinmek için bu oturum açma günlüğü girdisini gözden geçirin. Aşağıdaki alanları arayın:

   • UserDisplayName
   • AppDisplayName
   • KaynakGörüntüAdı
   • UserAgent

PowerShell

Eski TLS'nin kullanıldığı oturum açma günlüğü girişlerini filtrelemek ve dışarı aktarmak için PowerShell'i kullanın.

Dikkat

PowerShell aracılığıyla Microsoft Graph API'sini çağırmak için Bir Microsoft Entra Id P1 veya P2 lisansına ihtiyacınız vardır.

Oturum açma günlüğü girişlerini filtrelemek ve dışarı aktarmak için:

1. Yönetici olarak çalıştır seçeneğini kullanarak Başlat menüsünden Windows PowerShell'i açın.

2. Microsoft Graph SDK'larını yüklemek ve yürütme ilkesini ayarlamak için aşağıdaki komutları çalıştırın:

   Install-Module Microsoft.Graph -Scope AllUsers
   Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Scope CurrentUser
   

3. Aşağıdaki betiği bir PowerShell betik (.ps1) dosyasına kaydedin.

   $tId = "your-tenant-id"  # Add tenant ID from Azure Active Directory page on portal.
   $agoDays = 4  # Will filter the log for $agoDays from the current date and time.
   $startDate = (Get-Date).AddDays(-($agoDays)).ToString('yyyy-MM-dd')  # Get filter start date.
   $pathForExport = "./"  # The path to the local filesystem for export of the CSV file.
   
   Connect-MgGraph -Scopes "AuditLog.Read.All" -TenantId $tId  # Or use Directory.Read.All.
   Select-MgProfile "beta"  # Low TLS is available in Microsoft Graph preview endpoint.
   
   # Define the filtering strings for interactive and non-interactive sign-ins.
   $procDetailFunction = "x: x/key eq 'legacy tls (tls 1.0, 1.1, 3des)' and x/value eq '1'"
   $clauses = (
       "createdDateTime ge $startDate",
       "signInEventTypes/any(t: t eq 'nonInteractiveUser')",
       "signInEventTypes/any(t: t eq 'servicePrincipal')",
       "(authenticationProcessingDetails/any($procDetailFunction))"
   )
   
   # Get the interactive and non-interactive sign-ins based on filtering clauses.
   $signInsInteractive = Get-MgAuditLogSignIn -Filter ($clauses[0,3] -Join " and ") -All
   $signInsNonInteractive = Get-MgAuditLogSignIn -Filter ($clauses[0,1,3] -Join " and ") -All
   $signInsWorkloadIdentities = Get-MgAuditLogSignIn -Filter ($clauses[0,2,3] -Join " and ") -All
   
   $columnList = @{  # Enumerate the list of properties to be exported to the CSV files.
       Property = "CorrelationId", "createdDateTime", "userPrincipalName", "userId",
                 "UserDisplayName", "AppDisplayName", "AppId", "IPAddress", "isInteractive",
                 "ResourceDisplayName", "ResourceId", "UserAgent"
   }
   
   $columnListWorkloadId = @{ #Enumerate the list of properties for workload identities to be exported to the CSV files.
       Property = "CorrelationId", "createdDateTime", "AppDisplayName", "AppId", "IPAddress",
                 "ResourceDisplayName", "ResourceId", "ServicePrincipalId", "ServicePrincipalName"
   }
   
   $signInsInteractive | ForEach-Object {
       foreach ($authDetail in $_.AuthenticationProcessingDetails)
       {
           if (($authDetail.Key -match "Legacy TLS") -and ($authDetail.Value -eq "True"))
           {
               $_ | Select-Object @columnList
           }
       }
   } | Export-Csv -Path ($pathForExport + "Interactive_lowTls_$tId.csv") -NoTypeInformation
   
   $signInsNonInteractive | ForEach-Object {
       foreach ($authDetail in $_.AuthenticationProcessingDetails)
       {
           if (($authDetail.Key -match "Legacy TLS") -and ($authDetail.Value -eq "True"))
           {
               $_ | Select-Object @columnList
           }
       }
   } | Export-Csv -Path ($pathForExport + "NonInteractive_lowTls_$tId.csv") -NoTypeInformation
   
   $signInsWorkloadIdentities | ForEach-Object {
       foreach ($authDetail in $_.AuthenticationProcessingDetails)
       {
           if (($authDetail.Key -match "Legacy TLS") -and ($authDetail.Value -eq "True"))
           {
               $_ | Select-Object @columnListWorkloadId
           }
       }
   } | Export-Csv -Path ($pathForExport + "WorkloadIdentities_lowTls_$tId.csv") -NoTypeInformation
   

4. Azure portalında Microsoft Entra Id'yi arayın ve seçin.

5. Kiracı Kimliği değerini Microsoft Entra Id sayfasından PowerShell betiğinin ilk deyimine kopyalayın ve değişkenine atayın$tId.

6. Betiği kaydedin ve çalıştırın. Komut dosyası çalışırken size sorulursa, genel yönetici olarak oturum açın. Ardından, Microsoft Graph'ın denetim günlüğü bilgilerini okumasına onay verin.

7. Eski TLS isteğinin kaynağı hakkında bilgi edinmek için şu alanlar için betik çıkış dosyalarını (Interactive_lowTls_<Tenant-ID>.csv ve NonInteractive_lowTls_<Tenant-ID>.csv) arayın:

   • UserDisplayName
   • AppDisplayName
   • ResourceDisplayName
   • UserAgent

Microsoft Entra yönetim merkezinde günlük girdileriyle ilgili ayrıntıları görüntüleyin

Günlükleri aldıktan sonra, Microsoft Entra yönetim merkezinde eski TLS tabanlı oturum açma günlüğü girdileri hakkında daha fazla ayrıntı alabilirsiniz. Şu adımları izleyin:

1. Azure portalında Microsoft Entra Id'yi arayın ve seçin.

2. Genel Bakış sayfası menüsünde, Oturum açma günlükleri'ni seçin.

3. Kullanıcı için bir oturum açma günlüğü girdisi seçin.

4. Ek ayrıntılar sekmesini seçin. (Bu sekmeyi görmüyorsanız, sekmelerin tam listesini görüntülemek için önce sağ köşedeki üç noktayı (...) seçin.)

5. Legacy TLS (TLS 1.0, 1.1 veya 3DES) değerinin True olarak ayarlandığını denetleyin. Bu belirli alanı ve değeri görürseniz eski TLS kullanılarak oturum açma girişiminde bulunulmuştur. Oturum açma girişimi TLS 1.2 kullanılarak yapıldıysa bu alan görünmez.

Daha fazla bilgi için bkz . Microsoft Entra Id'de oturum açma günlükleri.