Aracılığıyla paylaş


Ortamınızda Microsoft Entra TLS 1.1 ve 1.0 kullanımdan kaldırma için TLS 1.2 desteğini etkinleştirme

Kiracınızın güvenlik duruşunu geliştirmek ve endüstri standartlarına uygun kalmak için Microsoft Entra ID yakında aşağıdaki Aktarım Katmanı Güvenliği (TLS) protokollerini ve şifrelerini desteklemeyi durduracaktır:

  • TLS 1.1
  • TLS 1.0
  • 3DES şifre paketi (TLS_RSA_WITH_3DES_EDE_CBC_SHA)

Bu değişiklik kuruluşunuzu nasıl etkileyebilir?

Uygulamalarınız Microsoft Entra Id ile iletişim kuruyor veya kimlik doğrulaması yapıyor mu? O zaman bu uygulamalar, iletişim kurmak için TLS 1.2 kullanamıyorsa beklendiği gibi çalışmayabilir. Bu durum şunları içerir:

  • Microsoft Entra Connect
  • Microsoft Graph PowerShell
  • Microsoft Entra uygulama proxy bağlayıcıları
  • PTA aracıları
  • Eski tarayıcılar
  • Microsoft Entra ID ile tümleştirilmiş uygulamalar

Bu değişiklik neden yapılıyor?

Bu protokoller ve şifreler, aşağıdaki nedenlerle kullanım dışı bırakılıyor:

TLS 1.0, TLS 1.1 ve 3DES Şifreleme paketi hizmetleri aşağıdaki zamanlamada kullanım dışı bırakılmaktadır.

Örnek türü Kullanım dışı bırakma tarihi Durum
ABD kamu örnekleri 31 Mart 2021 TAMAMLANDI
Genel örnekler 31 Ocak 2022, Saat 2022, Şubat 2022, Saat 20:00 TAMAMLANDI
Çin'de 21Vianet tarafından işletilen Microsoft Entra örnekleri 30 Kasım 2024, Saat 2024, Kasım 2024, Kasım 2024, Kasım 20 DEVAM EDEN

Microsoft Entra hizmetleri için TLS 1.3 desteği

Microsoft Entra, TLS 1.2'yi desteklemeye ek olarak, uç noktalarının en iyi güvenlik uygulamalarıyla uyumlu olması için TLS 1.3 desteğini de kullanıma hazırlar (NIST - SP 800-52 Rev. 2). Bu değişiklikle, Microsoft Entra uç noktaları hem TLS 1.2 hem de TLS 1.3 protokollerini destekleyecektir.

Ortamınızda TLS 1.2 desteğini etkinleştirin

Microsoft Entra ID ve Microsoft 365 hizmetlerine güvenli bir bağlantı sağlamak için, istemci uygulamalarınızı ve hem istemci hem de sunucu işletim sistemlerini (OS) TLS 1.2 ve çağdaş şifreleme paketlerini destekleyecek şekilde yapılandırın.

İstemcilerde TLS 1.2'yi etkinleştirme yönergeleri

  • "WinHTTP" için kullandığınız Windows ve varsayılan TLS'yi güncelleştirin.
  • TLS 1.2'yi desteklemeyen istemci uygulamalarına ve işletim sistemlerine bağımlılığınızı belirleyin ve azaltın.
  • Microsoft Entra Id ile iletişim kuran uygulamalar ve hizmetler için TLS 1.2'yi etkinleştirin.
  • .NET Framework yüklemenizi, TLS 1.2'yi destekleyecek şekilde güncelleştirin ve yapılandırın.
  • Uygulamaların ve PowerShell (Microsoft Graph ve Microsoft Graph PowerShell kullanan) betiklerinin TLS 1.2 destekleyen bir platformda barındırıldığından ve çalıştırıldığından emin olun.
  • Web tarayıcınızda en son güncelleştirmelerin bulunduğundan emin olun. Yeni Microsoft Edge tarayıcısını kullanmanızı öneririz (Chromium temelli). Daha fazla bilgi için bkz. Kararlı Kanal için Microsoft Edge sürüm notları.
  • Web ara sunucunuzun TLS 1.2'yi desteklediğine emin olun. Web ara sunucusunu güncelleştirme hakkında daha fazla bilgi için web ara sunucu çözümünüzün satıcısına başvurun.

Daha fazla bilgi için aşağıdaki makaleleri inceleyin:

Windows işletim sistemini ve WinHTTP için kullandığınız varsayılan TLS'yi güncelleştirin

Bu işletim sistemleri, WinHTTP üzerinden istemci-sunucu iletişimleri için TLS 1.2'yi doğal olarak destekler:

  • Windows 8.1, Windows 10 ve sonraki sürümleri
  • Windows Server 2012 R2, Windows Server 2016 ve sonraki sürümleri

Bu platformlarda TLS 1.2'yi açıkça devre dışı bırakmadığınızı doğrulayın.

Varsayılan olarak, Windows önceki sürümleri (Windows 8 ve Windows Server 2012 gibi), WinHTTP kullanarak güvenli iletişimler için TLS 1.2 veya TLS 1.1'i etkinleştirmez. Windows'un bu önceki sürümleri için:

  1. Güncelleştirme 3140245'i yükleyin.
  2. İstemci veya sunucu işletim sistemlerinde TLS 1.2'yi etkinleştirme bölümünden kayıt defteri değerlerini etkinleştirin.

Bu değerleri, WinHTTP için varsayılan güvenli protokoller listesine TLS 1.2 ve TLS 1.1'i ekleyecek şekilde yapılandırabilirsiniz.

Daha fazla bilgi edinmek için bkz. İstemcilerde TLS 1.2'yi etkinleştirme.

Not

Varsayılan olarak, TLS 1.2'yi (örneğin, Windows 10) destekleyen bir işletim sistemi, TLS protokolünün eski sürümlerini de destekler. Bir bağlantı TLS 1.2 kullanılarak yapıldığında ve zamanında yanıt almadığında veya bağlantı sıfırlandığında, işletim sistemi eski bir TLS protokolü (TLS 1.0 veya 1.1 gibi) kullanarak hedef web hizmetine bağlanmayı deneyebilir. Bu durum genellikle ağ meşgulse veya bir paket ağa düşerse oluşur. Eski TLS'ye geçici geri dönüşten sonra, işletim sistemi bir TLS 1.2 bağlantısı oluşturmayı yeniden dener.

Microsoft eski TLS'yi desteklemeyi durdurduktan sonra bu tür geri dönüş trafiğinin durumu ne olacak? İşletim sistemi yine de eski TLS protokolunu kullanarak BIR TLS bağlantısı oluşturmaya çalışabilir. Ancak Microsoft hizmeti artık eski TLS protokollerini desteklemiyorsa eski TLS tabanlı bağlantı başarılı olmaz. Bu işlem işletim sistemini tls 1.2 kullanarak bağlantıyı yeniden denemeye zorlar.

TLS 1.2'yi desteklemeyen istemcilere bağımlılığı belirleyin ve azaltın

Kesintisiz erişim sağlamak için aşağıdaki istemcileri güncelleştirin:

  • Android sürüm 4.3 ve önceki sürümleri
  • Firefox 5.0 ve önceki sürümleri
  • Windows 7 ve önceki sürümlerinde Internet Explorer sürüm 8-10
  • Windows Phone 8.0'da Internet Explorer 10
  • OS X 10.8.4 ve önceki sürümlerde Safari 6.0.4

Daha fazla bilgi için bkz. www.microsoft.com'a bağlanan çeşitli istemciler için El Sıkışma Simülasyonu, SSLLabs.com'a teşekkürler.

Microsoft Entra ID ile iletişim kuran ortak sunucu rollerinde TLS 1.2'yi etkinleştirme

İstemci veya sunucu işletim sistemlerinde TLS 1.2'yi etkinleştirme

Kayıt defteri dizeleri

Windows 2012 R2, Windows 8.1 ve üzeri işletim sistemleri için TLS 1.2 varsayılan olarak etkindir. Bu nedenle, aşağıdaki kayıt defteri değerleri farklı değerlerle ayarlanmadığı sürece görüntülenmez.

TLS 1.2'yi işletim sistemi düzeyinde el ile yapılandırmak ve etkinleştirmek için aşağıdaki DWORD değerlerini ekleyebilirsiniz:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
    • DisabledByDefault: 00000000
    • Enabled: 00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
    • DisabledByDefault: 00000000
    • Enabled: 00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\. NETFramework\v4.0.30319
    • SchUseStrongCrypto: 00000001

PowerShell betiği kullanarak TLS 1.2'yi etkinleştirmek için bkz . Microsoft Entra Connect için TLS 1.2 zorlaması.

Hangi TLS protokollerinin kullanıldığını denetleme

Hangi TLS'nin kullanıldığını denetlemenin iki yolu şunlardır:

  • Tarayıcı güvenlik ayarları
  • Windows'da İnternet Özellikleri

İnternet Özellikleri kullanılarak hangi TLS protokollerinin kullanıldığını denetlemek için şu adımları izleyin:

  1. Çalıştır kutusunu açmak için Windows+R tuşuna basın.

  2. inetcpl.cpl yazıp Tamam'ı seçin. Ardından İnternet Özellikleri penceresi açılır.

  3. İnternet Özellikleri penceresinde Gelişmiş sekmesini seçin ve TLS ile ilgili ayarları denetlemek için aşağı kaydırın.

    İnternet Özellikleri'nde TLS ile ilgili ayarları gösteren ekran görüntüsü.

.NET Framework'ü TLS 1.2'yi destekleyecek şekilde güncelleştirin ve yapılandırın

Yönetilen Microsoft Entra tümleşik uygulamaları ve Windows PowerShell betikleri (Microsoft Graph PowerShell ve Microsoft Graph kullanılarak) .NET Framework kullanabilir.

Güçlü şifrelemeyi etkinleştirmek için .NET güncelleştirmelerini yükleme

.NET sürümünü belirleme

İlk olarak, yüklü .NET sürümlerini belirleyin.

.NET güncelleştirmelerini yükleme

Güçlü şifrelemeyi etkinleştirebilmeniz için .NET güncelleştirmelerini yükleyin. Güçlü şifrelemeyi etkinleştirmek için .NET Framework'ün bazı sürümlerinin güncelleştirilmiş olması gerekebilir.

Şu yönergeleri kullanın:

  • .NET Framework 4.6.2 ve sonraki sürümler TLS 1.2 ve TLS 1.1'i destekler. Kayıt defteri ayarlarını denetleyin. Başka değişiklik yapılması gerekmez.

  • .NET FRAMEWORK 4.6 ve önceki sürümleri TLS 1.2 ve TLS 1.1'i destekleyecek şekilde güncelleştirin.

    Daha fazla bilgi için bkz. .NET Framework sürümleri ve bağımlılıkları.

  • Windows 8.1 veya Windows Server 2012 üzerinde .NET Framework 4.5.2 veya 4.5.1 mi kullanıyorsunuz? Ardından ilgili güncelleştirmeler ve ayrıntılar Microsoft Update Kataloğu'ndan da kullanılabilir.

Ağ üzerinden iletişim kuran ve TLS 1.2 etkin bir sistem çalıştıran tüm bilgisayarlar için aşağıdaki kayıt defteri DWORD değerlerini ayarlayın.

  • 32 bit işletim sisteminde çalışan 32 bit uygulamalar ve 64 bit işletim sisteminde çalışan 64 bit uygulamalar için aşağıdaki alt anahtar değerlerini güncelleştirin:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\. NETFramework\v2.0.50727

      • SystemDefaultTlsVersions: 00000001
      • SchUseStrongCrypto: 00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\. NETFramework\v4.0.30319

      • SystemDefaultTlsVersions: 00000001
      • SchUseStrongCrypto: 00000001
  • 64 bit işletim sistemleri üzerinde çalışan 32 bit uygulamalar için aşağıdaki alt anahtar değerlerini güncelleştirin:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\. NETFramework\v2.0.50727
      • SystemDefaultTlsVersions: dword:00000001
      • SchUseStrongCrypto: dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\. NETFramework\v4.0.30319
      • SystemDefaultTlsVersions: dword:00000001
      • SchUseStrongCrypto: dword:00000001

Örneğin, bu değerleri şunlarda ayarlayın:

  • Yapılandırma Yöneticisi istemcileri
  • Site sunucusunda yüklü olmayan uzak site sistemi rolleri
  • Site sunucusunun kendisi

Daha fazla bilgi için aşağıdaki makaleleri inceleyin:

Oturum açma günlüklerindeki yeni telemetriye genel bakış

Ortamınızda eski TLS kullanmaya devam eden istemcileri veya uygulamaları tanımlamanıza yardımcı olmak için Microsoft Entra oturum açma günlüklerini görüntüleyin. Microsoft Entra ID, eski TLS üzerinden oturum açabilen istemciler veya uygulamalar için Ek Ayrıntılar'daki Eski TLS alanını True ile işaretler. Eski TLS alanı, yalnızca oturum açma eski TLS üzerinden gerçekleşmişse görüntülenir. Günlüklerinizde eski TLS görmüyorsanız TLS 1.2'ye geçmeye hazırsınız demektir.

Yönetici, eski TLS protokollerini kullanan oturum açma girişimlerini bulmak için günlükleri şu yöntemlerle gözden geçirebilir:

  • Azure İzleyici'de günlükleri dışarı aktarma ve sorgulama.
  • Son yedi günlük günlükleri JavaScript Nesne Gösterimi (JSON) biçiminde indirme.
  • PowerShell kullanarak oturum açma günlüklerini filtreleme ve dışarı aktarma.

Bu yöntemler aşağıda açıklanmaktadır.

Azure İzleyici'yi kullanarak oturum açma günlüklerini sorgulayabilirsiniz. Azure İzleyici, güçlü bir günlük analizi, izleme ve uyarı aracıdır. Azure İzleyici'nin kullanımı:

  • Microsoft Entra günlükleri
  • Azure kaynak günlükleri
  • Bağımsız yazılım araçlarından günlükler

Not

Raporlama verilerini Azure İzleyici'ye aktarmak için bir Microsoft Entra ID P1 veya P2 lisansına sahip olmanız gerekir.

Azure İzleyici'yi kullanarak eski TLS girişlerini sorgulamak için:

  1. Microsoft Entra günlüklerini Azure İzleyici günlükleriyle tümleştirme bölümünde, Azure İzleyici'de Microsoft Entra oturum açma günlüklerine erişme yönergelerini izleyin.

  2. Sorgu tanımı alanına aşağıdaki Kusto Sorgu Dili sorgusunu yapıştırın:

    // Interactive sign-ins only
    SigninLogs
    | where AuthenticationProcessingDetails has "Legacy TLS"
        and AuthenticationProcessingDetails has "True"
    | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
    | mv-apply JsonAuthProcDetails on (
        where JsonAuthProcDetails.key startswith "Legacy TLS"
        | project HasLegacyTls=JsonAuthProcDetails.value
    )
    | where HasLegacyTls == true
    
    // Non-interactive sign-ins
    AADNonInteractiveUserSignInLogs
    | where AuthenticationProcessingDetails has "Legacy TLS"
        and AuthenticationProcessingDetails has "True"
    | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
    | mv-apply JsonAuthProcDetails on (
        where JsonAuthProcDetails.key startswith "Legacy TLS"
        | project HasLegacyTls=JsonAuthProcDetails.value
    )
    | where HasLegacyTls == true
    
    // Workload Identity (service principal) sign-ins
    AADServicePrincipalSignInLogs
    | where AuthenticationProcessingDetails has "Legacy TLS"
        and AuthenticationProcessingDetails has "True"
    | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
    | mv-apply JsonAuthProcDetails on (
        where JsonAuthProcDetails.key startswith "Legacy TLS"
        | project HasLegacyTls=JsonAuthProcDetails.value
    )
    | where HasLegacyTls == true
    
  3. Sorguyu yürütmek için Çalıştır'ı seçin. Sorguyla eşleşen günlük girişleri, sorgu tanımının altındaki Sonuçlar sekmesinde görünür.

  4. Eski TLS isteğinin kaynağı hakkında daha fazla bilgi edinmek için aşağıdaki alanları arayın:

    • UserDisplayName
    • AppDisplayName
    • ResourceDisplayName
    • UserAgent

Microsoft Entra yönetim merkezinde günlük girdileriyle ilgili ayrıntıları görüntüleyin

Günlükleri aldıktan sonra, Microsoft Entra yönetim merkezinde eski TLS tabanlı oturum açma günlüğü girdileri hakkında daha fazla ayrıntı alabilirsiniz. Şu adımları izleyin:

  1. Azure portalında Microsoft Entra Id'yi arayın ve seçin.

  2. Genel Bakış sayfası menüsünde, Oturum açma günlükleri'ni seçin.

  3. Kullanıcı için bir oturum açma günlüğü girdisi seçin.

  4. Ek ayrıntılar sekmesini seçin. (Bu sekmeyi görmüyorsanız, sekmelerin tam listesini görüntülemek için önce sağ köşedeki üç noktayı (...) seçin.)

  5. True olarak ayarlanmış eski bir TLS (TLS 1.0, 1.1 veya 3DES) değerini denetleyin. Bu belirli alanı ve değeri görürseniz eski TLS kullanılarak oturum açma girişiminde bulunulmuştur. Oturum açma girişimi TLS 1.2 kullanılarak yapıldıysa bu alan görünmez.

Daha fazla bilgi için bkz . Microsoft Entra Id'de oturum açma günlükleri.

Yardım için bize ulaşın

Sorularınız veya yardıma ihtiyacınız varsa bir destek isteği oluşturun veya Azure topluluk desteği isteyin. Ürün geri bildirimini Azure geri bildirim topluluğuna da gönderebilirsiniz.