Exigir TLS 1.2 para el servicio de registro de Microsoft Entra
El servicio de registro de dispositivos de Microsoft Entra se usa para conectar dispositivos a la nube con una identidad de dispositivo. El servicio de registro de dispositivos de Microsoft Entra admite actualmente el uso de seguridad de la capa de transporte (TLS) 1.2 para las comunicaciones con Azure. Para garantizar la seguridad y el cifrado de mejor clase, Microsoft recomienda deshabilitar TLS 1.0 y 1.1. Este documento proporcionará información sobre cómo asegurarse de que las máquinas usadas para completar el registro y comunicarse con el servicio de registro de dispositivos de Microsoft Entra usan TLS 1.2.
La versión 1.2 del protocolo TLS es un protocolo de criptografía diseñado para proporcionar comunicaciones seguras. El protocolo TLS tiene como objetivo principalmente proporcionar privacidad e integridad de los datos. TLS ha pasado por muchas iteraciones con la versión 1.2 que se define en RFC 5246 (vínculo externo).
El análisis actual de conexiones muestra poco uso de TLS 1.1 y 1.0, pero proporcionamos esta información para que pueda actualizar los clientes o servidores afectados según sea necesario antes de que finalice la compatibilidad con TLS 1.1 y 1.0. Si usa cualquier infraestructura local para escenarios híbridos o servicios de federación de Active Directory (AD FS), asegúrese de que la infraestructura puede admitir conexiones entrantes y salientes que usan TLS 1.2.
Actualizar servidores Windows
En el caso de los servidores Windows que usan el servicio de registro de dispositivos de Microsoft Entra o actúan como servidores proxy, siga estos pasos para asegurarse de que TLS 1.2 está habilitado:
Importante
Después de actualizar el registro, debe reiniciar el servidor de Windows para que los cambios surtan efecto.
Habilitación de TLS 1.2
Asegúrese de que las siguientes cadenas del Registro están configuradas como se muestra:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
- "DisabledByDefault"=dword:000000000
- "Enabled"=dword:00000001
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
- "DisabledByDefault"=dword:000000000
- "Enabled"=dword:00000001
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319
- "SchUseStrongCrypto"=dword:00000001
Actualización de servidores proxy que no son de Windows
Las máquinas que actúan como servidores proxy entre dispositivos y el servicio de registro de dispositivos de Microsoft Entra deben asegurarse de que TLS 1.2 está habilitado. Siga las instrucciones del proveedor para garantizar el soporte técnico.
Actualización de servidores de AD FS
Los servidores de AD FS que se usan para comunicarse con el servicio de registro de dispositivos de Microsoft Entra deben asegurarse de que TLS 1.2 está habilitado. Consulte Administración de protocolos SSL/TLS y conjuntos de cifrado para AD FS para obtener información sobre cómo habilitar o comprobar esta configuración.
Actualizaciones de cliente
Dado que todas las combinaciones de servidor cliente y servidor de explorador deben usar TLS 1.2 para conectarse con el servicio de registro de dispositivos de Microsoft Entra, es posible que tenga que actualizar estos dispositivos.
Se sabe que los siguientes clientes no pueden admitir TLS 1.2. Actualice los clientes para garantizar el acceso ininterrumpido.
- Android versión 4.3 y anteriores
- Firefox versión 5.0 y versiones anteriores
- Versiones 8-10 de Internet Explorer en Windows 7 y versiones anteriores
- Internet Explorer 10 en Windows Phone 8.0
- Safari versión 6.0.4 en OS X 10.8.4 y versiones anteriores