Microsoft Entra 设备注册服务用于使用设备标识将设备连接到云。 Microsoft Entra 设备注册服务目前支持使用传输层安全性 (TLS) 1.2 与 Azure 通信。 为了确保安全性和最佳加密,Microsoft建议禁用 TLS 1.0 和 1.1。 本文档将介绍如何确保用于完成注册的计算机并使用 TLS 1.2 与 Microsoft Entra 设备注册服务通信。
TLS 协议版本 1.2 是一种加密协议,旨在提供安全通信。 TLS 协议主要旨在提供隐私和数据完整性。 TLS 经过多次迭代,RFC 5246(外部链接)中定义了版本 1.2。
当前对连接的分析显示 TLS 1.1 和 1.0 用法很少,但我们提供了此信息,以便在支持 TLS 1.1 和 1.0 之前根据需要更新任何受影响的客户端或服务器。 如果对混合方案或 Active Directory 联合身份验证服务(AD FS)使用任何本地基础结构,请确保基础结构可以同时支持使用 TLS 1.2 的入站和出站连接。
更新 Windows 服务器
对于使用 Microsoft Entra 设备注册服务或充当代理的 Windows 服务器,请使用以下步骤确保启用 TLS 1.2:
重要
更新注册表后,必须重启 Windows 服务器才能使更改生效。
启用 TLS 1.2
确保按如下所示配置以下注册表字符串:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
- “DisabledByDefault”=dword:000000000
- “Enabled”=dword:00000001
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
- “DisabledByDefault”=dword:000000000
- “Enabled”=dword:00000001
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319
- “SchUseStrongCrypto”=dword:00000001
更新非 Windows 代理
充当设备与 Microsoft Entra 设备注册服务之间的代理的任何计算机都必须确保启用 TLS 1.2。 按照供应商的指导确保支持。
更新 AD FS 服务器
用于与 Microsoft Entra 设备注册服务通信的任何 AD FS 服务器都必须确保启用 TLS 1.2。 有关如何启用/验证此配置的信息,请参阅 管理 AD FS 的 SSL/TLS 协议和密码套件。
客户端更新
由于所有客户端服务器和浏览器服务器组合都必须使用 TLS 1.2 连接到 Microsoft Entra 设备注册服务,因此可能需要更新这些设备。
已知以下客户端无法支持 TLS 1.2。 更新客户端以确保不间断的访问。
- Android 版本 4.3 及更低版本
- Firefox 版本 5.0 及更低版本
- Windows 7 及更早版本的 Internet Explorer 版本 8-10
- Windows Phone 8.0 上的 Internet Explorer 10
- OS X 10.8.4 及更低版本上的 Safari 版本 6.0.4