針對 Microsoft Entra 註冊服務強制執行 TLS 1.2
Microsoft Entra 裝置註冊服務是用來以裝置身分識別將裝置連線到雲端。 Microsoft Entra 裝置註冊服務目前支援使用傳輸層安全性 (TLS) 1.2 來與 Azure 進行通訊。 為了確保安全性和同級最佳的加密,Microsoft 建議停用 TLS 1.0 和 1.1。 本文件提供的資訊將會說明如何確保用來完成註冊和與Microsoft Entra 裝置註冊服務進行通訊的電腦使用的是 TLS 1.2。
TLS 通訊協定 1.2 版是加密通訊協定,其設計旨在提供安全的通訊。 TLS 通訊協定主要是為了提供隱私權和資料完整性。 TLS 使用在 RFC 5246 (外部連結) 中定義的 1.2 版,歷經許多反覆項目。
目前的連線分析會顯示少量的 TLS 1.1 和 1.0 使用方式,但我們會提供此資訊,讓您可以視需要更新任何受影響的用戶端或伺服器,然後才結束對 TLS 1.1 和 1.0 的支援。 如果您在混合式情節中使用任何內部部署基礎結構,或 Active Directory 同盟服務 (AD FS),請確保基礎結構可支援使用 TLS 1.2 的輸入和輸出連線。
更新 Windows 伺服器
針對使用 Microsoft Entra 裝置註冊服務或作為 proxy 的 Windows 伺服器,請使用下列步驟來確保已啟用 TLS 1.2:
重要
更新登錄之後,您必須重新啟動 Windows 伺服器,變更才會生效。
啟用 TLS 1.2
確保如下所示,已設定下列登錄字串:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
- "DisabledByDefault"=dword:00000000
- "Enabled"=dword:00000001
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
- "DisabledByDefault"=dword:00000000
- "Enabled"=dword:00000001
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319
- "SchUseStrongCrypto"=dword:00000001
更新非 Windows 的 proxy
任何在裝置和 Microsoft Entra 裝置註冊服務之間作為 proxy 的電腦都必須確保已啟用 TLS 1.2。 遵循廠商的指導,以確保支援。
更新 AD FS 伺服器
任何用來與 Microsoft Entra 裝置註冊服務通訊的 AD FS 伺服器,都必須確保已啟用 TLS 1.2。 如需如何啟用/驗證此設定的詳細資訊,請參閱管理 AD FS 的 SSL/TLS 通訊協定和加密套件。
用戶端更新
由於所有用戶端-伺服器和瀏覽器-伺服器組合都必須使用 TLS 1.2 來與 Microsoft Entra 裝置註冊服務進行連線,因此您可能需要更新這些裝置。
以下是已知無法支援 TLS 1.2 的用戶端。 更新用戶端,以確保存取不中斷。
- Android 4.3 版和先前版本
- Firefox 5.0 版和先前版本
- Windows 7 和先前版本上的 Internet Explorer 8-10 版
- Windows Phone 8.0 上的 Internet Explorer 10
- OS X 10.8.4 和先前版本上的 Safari 6.0.4 版