Erzwingen von TLS 1.2 für den Microsoft Entra-Registrierungsdienst
Der Microsoft Entra-Geräteregistrierungsdienst wird verwendet, um Geräte mit einer Geräteidentität mit der Cloud zu verbinden. Der Microsoft Entra-Geräteregistrierungsdienst unterstützt derzeit die Verwendung von TRANSPORT Layer Security (TLS) 1.2 für die Kommunikation mit Azure. Um die Sicherheit und die beste Klassenverschlüsselung sicherzustellen, empfiehlt Microsoft, TLS 1.0 und 1.1 zu deaktivieren. Dieses Dokument enthält Informationen dazu, wie Sie sicherstellen können, dass Computer, die zum Abschließen der Registrierung und Kommunikation mit dem Microsoft Entra Device Registration Service verwendet werden, TLS 1.2 verwenden.
Das TLS-Protokoll Version 1.2 ist ein Kryptografieprotokoll, das für sichere Kommunikation konzipiert ist. Das TLS-Protokoll zielt in erster Linie auf die Bereitstellung von Datenschutz- und Datenintegrität ab. TLS hat viele Iterationen durchlaufen, wobei Version 1.2 in RFC 5246 (externer Link)definiert wurde.
Die aktuelle Analyse von Verbindungen zeigt wenig TLS 1.1- und 1.0-Verwendung, aber wir stellen diese Informationen bereit, damit Sie alle betroffenen Clients oder Server nach Bedarf aktualisieren können, bevor die Unterstützung für TLS 1.1 und 1.0 endet. Wenn Sie eine lokale Infrastruktur für Hybridszenarien oder Active Directory-Verbunddienste (AD FS) verwenden, stellen Sie sicher, dass die Infrastruktur sowohl eingehende als auch ausgehende Verbindungen unterstützen kann, die TLS 1.2 verwenden.
Aktualisieren von Windows-Servern
Verwenden Sie für Windows-Server, die den Microsoft Entra Device Registration Service verwenden oder als Proxys fungieren, die folgenden Schritte, um sicherzustellen, dass TLS 1.2 aktiviert ist:
Wichtig
Nachdem Sie die Registrierung aktualisiert haben, müssen Sie den Windows-Server neu starten, damit die Änderungen wirksam werden.
Aktivieren von TLS 1.2
Stellen Sie sicher, dass die folgenden Registrierungszeichenfolgen wie dargestellt konfiguriert sind:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
- "DisabledByDefault"=dword:000000000
- "Enabled"=dword:00000001
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
- "DisabledByDefault"=dword:000000000
- "Enabled"=dword:00000001
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319
- "SchUseStrongCrypto"=dword:00000001
Aktualisieren von Nicht-Windows-Proxys
Alle Computer, die als Proxys zwischen Geräten und dem Microsoft Entra Device Registration Service fungieren, müssen sicherstellen, dass TLS 1.2 aktiviert ist. Befolgen Sie die Anweisungen Ihres Herstellers, um den Support sicherzustellen.
Aktualisieren von AD FS-Servern
Alle AD FS-Server, die für die Kommunikation mit dem Microsoft Entra Device Registration Service verwendet werden, müssen sicherstellen, dass TLS 1.2 aktiviert ist. Informationen zum Aktivieren/Überprüfen dieser Konfiguration finden Sie unter Verwalten von SSL/TLS-Protokollen und Cipher Suites für AD FS-.
Clientupdates
Da alle Clientserver- und Browserserverkombinationen TLS 1.2 verwenden müssen, um eine Verbindung mit dem Microsoft Entra Device Registration Service herzustellen, müssen Sie diese Geräte möglicherweise aktualisieren.
Die folgenden Clients sind bekannt, dass TLS 1.2 nicht unterstützt werden kann. Aktualisieren Sie Ihre Clients, um einen unterbrechungsfreien Zugriff sicherzustellen.
- Android Version 4.3 und früher
- Firefox, Version 5.0 und früher
- Internet Explorer-Versionen 8-10 unter Windows 7 und früher
- Internet Explorer 10 unter Windows Phone 8.0
- Safari Version 6.0.4 unter OS X 10.8.4 und früher