Microsoft 365 の TLS 1.0 と 1.1 を無効にする
重要
世界中の環境のほとんどの Microsoft 365 サービスで TLS 1.0 と 1.1 が既に無効になっています。 21 Vianet が運用する Microsoft 365 の場合、TLS 1.0/1.1 は 2023 年 6 月 30 日に無効になりました。
2018 年 10 月 31 日の時点で、トランスポート層セキュリティ (TLS) 1.0 および 1.1 プロトコルは、Microsoft 365 サービスでは非推奨とされます。 エンドユーザーに対する影響は最小限です。 この変更は 2 年以上前から公開されており、2017 年 12 月に最初に公開されました。 この記事は、Office 365 サービスに関連する Office 365 ローカル クライアントのみを対象としていますが、Office および Office Online Server/Office Web Appsに関するオンプレミスの TLS の問題にも適用できます。
SharePoint と OneDrive の場合は、TLS 1.2 をサポートするように .NET を更新して構成する必要があります。 詳細については、「クライアントで TLS 1.2 を有効にする方法」 を参照してください。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview 試用版ハブから開始します。 サインアップと試用期間の詳細については、こちらをご覧ください。
Office 365 と TLS の概要
Office クライアントは、Windows web サービス (WINHTTP) を使用して、TLS プロトコル経由でトラフィックを送受信します。 ローカル コンピューターの Web サービスで TLS 1.2 を使用できる場合、Office クライアントは TLS 1.2 を使用できます。 TLS プロトコルと SSL プロトコルはオペレーティング システムの一部であり、Office クライアントに固有ではないため、すべての Office クライアントで TLS プロトコルを使用できます。
Windows 8 以降のバージョンの場合
既定では、TLS 1.2 トラフィックを拒否するようにネットワーク デバイスが構成されていない場合、TLS 1.2 および 1.1 プロトコルを使用できます。
Windows 7 の場合
TLS 1.1 および 1.2 プロトコルは、KB 3140245 更新プログラムがないと使用できません。 この更新プログラムは、この問題を解決し、次のレジストリ サブキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
注:
この更新プログラムを適用していない Windows 7 ユーザーは、2018 年 10 月 31 日の時点で影響を受けている可能性があります。 KB 3140245 には、WINHTTP 設定を変更して TLS プロトコルを有効にする方法の詳細が含まれています。
詳細情報
KB の記事で説明されている DefaultSecureProtocols レジストリ キーの値によって、使用できるネットワーク プロトコルが決まります。
DefaultSecureProtocols 値 | プロトコルが有効 |
---|---|
0x00000008 | 既定で SSL 2.0 を有効にします |
0x00000020 | 既定で SSL 3.0 を有効にします |
0x00000080 | 既定で TLS 1.0 を有効にします |
0x00000200 | 既定で TLS 1.1 を有効にします |
0x00000800 | 既定で TLS 1.2 を有効にします |
0x00002000 | 既定で TLS 1.3 を有効にする |
Office クライアントと TLS レジストリ キー
「KB 4057306 Office 365 での TLS 1.2 の必須使用の準備」 を参照することができます。 これは IT 管理者向けの一般的な記事であり、TLS 1.2 の変更に関する公式資料です。
次の表は、2018 年 10 月 31 日以降の Office 365 クライアントの適切なレジストリ キー値を示しています。
2018 年 10 月 31 日以降、Office 365 サービスのプロトコルが有効になりました | 16 進値 |
---|---|
TLS 1.0 + 1.1 + 1.2 | 0x00000A80 |
TLS 1.1 + 1.2 | 0x00000A00 |
TLS 1.0 + 1.2 | 0x00000880 |
TLS 1.2 | 0x00000800 |
重要
SSL 2.0 および 3.0 プロトコルは使用しないでください。これは、DefaultSecureProtocols キーを使用して設定することもできます。 SSL 2.0 と 3.0 は、古いプロトコルまたは安全でないプロトコルと見なされます。 ベスト プラクティスは SSL 2.0 と SSL 3.0 の使用を終了することですが、最終的にこれを行う決定は、製品のニーズに最も適したものによって異なります。 SSL 3.0 の脆弱性の詳細については、「KB 3009008」 を参照してください。
プログラマー モードで既定のWindows 電卓を使用して、同じ参照レジストリ キー値を設定できます。 詳細については、「Windows の WinHTTP で TLS 1.1 と TLS 1.2 をデフォルトのセキュアプロトコルとして有効にするための KB 3140245 更新プログラム」 を参照してください。
Windows 7 更新プログラム (KB 3140245) がインストールされているかどうかに関係なく、DefaultSecureProtocols レジストリ サブ キーは存在せず、手動で追加するか、グループ ポリシー オブジェクト (GPO) を使用して追加する必要があります。 つまり、有効または制限されているセキュリティで保護されたプロトコルをカスタマイズする必要がない限り、このキーは必要ありません。 Windows 7 SP1 (KB 3140245) 更新プログラムのみが必要です。
TLS 1.2 をサポートするように .NET Framework を更新および構成する
TLS 1.0 または TLS 1.1 経由で Microsoft 365 API を呼び出すアプリケーションを更新して、TLS 1.2 を使用する必要があります。 .NET 4.5 の既定値は TLS 1.1 になります。 .NET 構成を更新するには、「クライアントでトランスポート層セキュリティ (TLS) 1.2 を有効にする方法」 を参照してください。
詳細情報
詳細については、「Office 365 での TLS 1.2 の必須使用の準備」 を参照してください。
関連情報
以下の参照資料は、クライアントで TLS 1.2 以降のバージョンを確実に使用するために役立つガイダンスや、TLS 1.0 および 1.1 の無効化に関するガイダンスです。
- Office 365 に接続する Windows 7 クライアントの場合、TLS 1.2 が Windows の WinHTTP の既定の安全なプロトコルであることを確認してください。 詳細については、「KB 3140245 - Windows の WinHTTP で TLS 1.1 と TLS 1.2 をデフォルトのセキュアプロトコルとして有効にするための更新」 を参照してください。
- TLS 1.0 および 1.1 の依存関係を削除することで脆弱な TLS への対処を開始するには、「Microsoft における TLS 1.2 のサポート」 をご参照ください。
- IIS の新機能を使用すると、脆弱なセキュリティ プロトコルを使用してサービスに接続している Windows Server 2012 R2 や Windows Server 2016 のクライアントを容易に確認できます。
- TLS 1.0 の問題に関する詳細については、「TLS 1.0 の問題の解決」を参照してください。
- セキュリティに対するマイクロソフトのアプローチについての公開情報をご覧になるには、Office 365 セキュリティ センターへアクセスしてください。
- TLS 1.0/1.1 の廃止の準備 - Office 365 Skype for Business
- Exchange サーバー TLS ガイダンス、パート 1: TLS 1.2 の準備
- Exchange サーバー TLS ガイダンス パート 2: TLS 1.2 を有効にして、クライアントがそれを使用していない特定
- Exchange サーバー TLS ガイダンス パート 3: TLS 1.0/1.1 をオフにする
- Office Online Server での TLS 1.1 および TLS 1.2 のサポートの有効化