Microsoft Entra TLS 1.1 と 1.0 の非推奨に備えてお使いの環境で TLS 1.2 のサポートを有効にする

テナントのセキュリティ体制を改善し、業界標準に準拠し続けるために、Microsoft Entra ID は間もなく次のトランスポート層セキュリティ (TLS) プロトコルと暗号のサポートを停止します。

• TLS 1.1
• TLS 1.0
• 3DES 暗号スイート (TLS_RSA_WITH_3DES_EDE_CBC_SHA)

この変更が組織に与える影響

アプリケーションは Microsoft Entra ID と通信するか、認証しますか? TLS 1.2 を使用して通信できない場合、これらのアプリケーションは正常に機能しない可能性があります。 この状況には次のものが含まれます。

• Microsoft Entra Connect
• Microsoft Graph PowerShell
• Microsoft Entra アプリケーション プロキシ コネクタ
• PTA エージェント
• レガシ ブラウザー
• Microsoft Entra ID と統合されているアプリケーション

この変更が行われる理由

これらのプロトコルと暗号は、次の理由で非推奨になっています。

• Federal Risk and Authorization Management Program (FedRAMP) の最新のコンプライアンス基準に従うため。
• ユーザーがクラウド サービスを操作する際のセキュリティを向上させるため。

TLS 1.0、TLS 1.1、および 3DES 暗号スイート サービスは、次のスケジュールで非推奨とされます。

インスタンスの種類	非推奨日	状態
米国政府インスタンス	2021 年 3 月 31 日	完了
パブリック インスタンス	2022 年 1 月 31 日	完了
21Vianet が中国で運営する Microsoft Entra インスタンス	2024 年 11 月 30 日	進行 中

Microsoft Entra サービスの TLS 1.3 サポート

Microsoft Entra では、TLS 1.2 のサポートに加えて、セキュリティのベスト プラクティス (NIST - SP 800-52 Rev. 2) に合わせて、エンドポイントの TLS 1.3 のサポートもロールアウトしています。 この変更により、Microsoft Entra エンドポイントは TLS 1.2 プロトコルと TLS 1.3 プロトコルの両方をサポートします。

環境での TLS 1.2 のサポートを有効にする

Microsoft Entra ID と Microsoft 365 サービスへの安全な接続を確保するには、TLS 1.2 と現代的な暗号スイートをサポートするように、クライアント アプリとクライアントとサーバーオペレーティング システム (OS) の両方を構成します。

クライアントで TLS 1.2 を有効にするためのガイドライン

• 「WinHTTP」に使用する Windows と既定の TLS を更新します。
• TLS 1.2 をサポートしていないクライアント アプリとオペレーティン グシステムへの依存を特定して軽減します。
• Microsoft Entra ID と通信するアプリケーションとサービスに対して TLS 1.2 を有効にします。
• TLS 1.2 をサポートするように .NET Framework のインストールを更新および構成します。
• アプリケーションと PowerShell ( Microsoft Graph と Microsoft Graph PowerShell を使用) スクリプトがホストされ、TLS 1.2 をサポートするプラットフォームで実行されていることを確認します。
• Web ブラウザーに最新の更新プログラムがインストールされていることを確認します。 新しい Microsoft Edge ブラウザー (Chromium ベース) を使用することをお勧めします。 詳細については、「Microsoft Edge Stable チャネルのリリース ノート」を参照してください。
• Web プロキシが TLS 1.2 をサポートしていることを確認します。 Web プロキシを更新する方法の詳細については、Web プロキシ ソリューションのベンダーに確認してください。

詳細については、次の記事をご覧ください。

• クライアントで TLS 1.2 を有効にする方法
• Office 365 および Office 365 GCC での TLS 1.2 の準備 - Microsoft 365 コンプライアンス

WinHTTP に使用する Windows OS と既定の TLS を更新する

これらのオペレーティン グ システムは、WinHTTP を介したクライアント/サーバー通信用の TLS 1.2 をネイティブにサポートします。

• Windows 8.1、Windows 10、およびそれ以降のバージョン
• Windows Server 2012 R2、Windows Server 2016、およびそれ以降のバージョン

これらのプラットフォームで TLS 1.2 を明示的に無効にしていないことを確認します。

既定では、以前のバージョンの Windows (Windows 8 や Windows Server 2012 など) では、WinHTTP を使用したセキュリティで保護された通信のために TLS 1.2 または TLS 1.1 を有効にしません。 これらの以前のバージョンの Windows の場合は、次の手順を実行します。

1. 更新プログラム 3140245 をインストールします。
2. 「クライアントまたはサーバーのオペレーティング システムで TLS 1.2 を有効にする」セクションのレジストリ値を有効にします。

これらの値を構成して、TLS 1.2 および TLS 1.1 を WinHTTP の既定のセキュリティで保護されたプロトコルの一覧に追加できます。

TLS 1.2 の詳細については、「TLS 1.2 を有効にする方法」を参照してください。

Note

既定では、TLS 1.2 (Windows 10 など) をサポートする OS では、従来のバージョンの TLS プロトコルもサポートされます。 TLS 1.2 を使用して接続が確立され、タイムリーな応答が得られない場合、または接続がリセットされると、OS は古い TLS プロトコル (TLS 1.0 や 1.1 など) を使用してターゲット Web サービスへの接続を試みる可能性があります。 これは通常、ネットワークがビジー状態の場合、またはネットワーク内でパケットがドロップした場合に発生します。 レガシ TLS への一時的なフォールバックの後、OS は TLS 1.2 接続の確立を再試行します。

Microsoft がレガシ TLS のサポートを停止した後、このようなフォールバック トラフィックの状態はどうなるでしょうか。 OS では、レガシ TLS プロトコルを使用して TLS 接続を試みる場合があります。 ただし、Microsoft サービスが古い TLS プロトコルをサポートしなくなった場合、従来の TLS ベースの接続は成功しません。 これにより、代わりに TLS 1.2 を使用して OS が接続を再試行するように強制されます。

TLS 1.2 をサポートしないクライアントへの依存を特定して軽減する

次のクライアントを更新して、中断のないアクセスを提供します。

• Android バージョン 4.3 およびそれ以前のバージョン
• Firefox バージョン 5.0 以前のバージョン
• Windows 7 上の Internet Explorer バージョン 8 ～ 10 およびそれ以前のバージョン
• Windows Phone 8.0 での Internet Explorer 10
• OS X10.8.4 上の Safari 6.0.4 およびそれ以前のバージョン

詳細については、「www.microsoft.com に接続するさまざまなクライアントのハンドシェイク シミュレーション (SSLLabs.com 提供)」を参照してください。

Microsoft Entra ID と通信する一般的なサーバー ロールで TLS 1.2 を有効にする

• Microsoft Entra Connect (最新バージョンをインストールする)

  • 同期エンジン サーバーとリモート SQL Server の間で TLS 1.2 も有効にしますか? 次に、Microsoft SQL Server の TLS 1.2 サポートに必要なバージョンがインストールされていることを確認します。

• Microsoft Entra Connect 認証エージェント (パススルー認証) (バージョン 1.5.643.0 以降のバージョン)

• Azure アプリケーション プロキシ (バージョン 1.5.1526.0 以降のバージョンでは TLS 1.2 が適用されます)

• Azure 多要素認証 (Azure MFA) を使用するように構成されているサーバーのActive Directory フェデレーション サービス (AD FS) (AD FS)

• Microsoft Entra 多要素認証に NPS 拡張機能を使用するように構成されている NPS サーバー

• MFA Server 8.0.x 以降のバージョン

• Microsoft Entra パスワード保護プロキシ サービス

  操作が必要です

  1. 最新バージョンのエージェント、サービス、またはコネクタを実行することを強くお勧めします。

  2. 既定では、TLS 1.2 は Windows Server 2012 R2 以降のバージョンで有効になっています。 まれに、TLS 1 を無効にするように既定の OS 構成が変更されている場合があります。

     TLS 1.2 が有効になっていることを確認するには、Windows Server を実行していて Microsoft Entra ID と通信するサーバーの Enable TLS 1.2 on client または server オペレーティング システム セクションのレジストリ値を明示的に追加することをお勧めします。

  3. 前述のサービスのほとんどは、.NET Framework に依存しています。 「TLS 1.2 をサポートするように .NET Framework を更新および構成する」の説明に従って更新されていることを確認します。

  詳細については、次の記事をご覧ください。

  • TLS 1.2 の適用 - Microsoft Entra 登録サービスに TLS 1.2 を適用する
  • Microsoft Entra Connect: Microsoft Entra Connect の TLS 1.2 の適用
  • Microsoft Entra アプリケーション プロキシ コネクタを理解する

クライアントまたはサーバーのオペレーティング システムで TLS 1.2 を有効にする

レジストリ文字列

Windows 2012 R2、Windows 8.1、およびそれ以降のオペレーティング システムの場合、TLS 1.2 は既定で有効になっています。 したがって、次のレジストリ値は、異なる値で設定されていない限り表示されません。

オペレーティング システム レベルで TLS 1.2 を手動で構成して有効にするには、次の DWORD 値を追加します。

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
  • DisabledByDefault: 0000000000
  • Enabled: 00000001
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
  • DisabledByDefault: 0000000000
  • Enabled: 00000001
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
  • SchUseStrongCrypto: 00000001

PowerShell スクリプトを使用して TLS 1.2 を有効にするには、Microsoft Entra Connect TLS 1.2 の適用を参照してください。

使用されている TLS プロトコルを確認する方法

使用されている TLS を確認するには、次の 2 つの方法があります。

• ブラウザーのセキュリティ設定
• Windows のインターネット プロパティ

インターネット プロパティを使用して使用されている TLS プロトコルを確認するには、次の手順に従います。

1. Windows+R を押して、Run ボックスを開きます。

2. 「 inetcpl.cpl 」と入力し、 OK を選択します。 次に、 Internet プロパティ ウィンドウが開きます。

3. Internet のプロパティ ウィンドウで、[Advanced] タブを選択し、下にスクロールして TLS に関連する設定を確認します。

   

TLS 1.2 をサポートするように .NET Framework を更新および構成する

マネージド Microsoft Entra 統合アプリケーションと Windows PowerShell スクリプト ( Microsoft Graph PowerShell を使用 Microsoft Graph) では、.NET Framework を使用できます。

.NET 更新プログラムをインストールして、強力な暗号化を有効にする

.NET のバージョンの確認

まず、インストールされている .NET のバージョンを確認します。

• 詳細については、「インストールされている Microsoft .NET Framework のバージョンおよび Service Pack のレベルを確認する」を参照してください。

.NET 更新プログラムのインストール

強力な暗号化を有効にできるように、.NET 更新プログラムをインストールします。 強力な暗号化を有効にするには、.NET Framework の一部のバージョンを更新する必要がある場合があります。

次のガイドラインを使用してください：

• .NET Framework 4.6.2 以降のバージョンは、TLS 1.2 および TLS 1.1 をサポートします。 レジストリ設定を確認します。 その他の変更は不要です。

• .NET Framework 4.6 以前のバージョンを更新して、TLS 1.2 および TLS 1.1 をサポートします。

  詳細については、「.NET Framework のバージョンおよび依存関係」を参照してください。

• Windows 8.1 または Windows Server 2012 で .NET Framework 4.5.2 または 4.5.1 を使用していますか? 次に、関連する更新プログラムと詳細も「Microsoft Update カタログ」から入手できます。

  • 詳細については、「マイクロソフト セキュリティ アドバイザリ 2960358」を参照してください。

ネットワークを介して通信し、TLS 1.2 対応システムを実行しているコンピューターの場合は、次のレジストリ DWORD 値を設定します。

• 32 ビット OS で実行されている 32 ビット アプリケーションおよび 64 ビット OS で実行されている 64 ビット アプリケーションの場合、次のサブキー値を更新します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727

    • SystemDefaultTlsVersions: 00000001
    • SchUseStrongCrypto: 00000001

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

    • SystemDefaultTlsVersions: 00000001
    • SchUseStrongCrypto: 00000001

• 64 ビット OS で実行されている 32 ビット アプリケーションの場合、次のサブキー値を更新します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727
    • SystemDefaultTlsVersions: dword:00000001
    • SchUseStrongCrypto: dword:00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
    • SystemDefaultTlsVersions: dword:00000001
    • SchUseStrongCrypto: dword:00000001

たとえば、次の値を設定します。

• 構成マネージャー クライアント
• サイト サーバーにインストールされていないリモート サイト システムのロール
• サイト サーバー自体

詳細については、次の記事をご覧ください。

• Microsoft Entra ID でサポートされている TLS 暗号スイート
• クライアントで TLS 1.2 を有効にする方法
• .NET Framework でのトランスポート層セキュリティ (TLS) のベスト プラクティス
• TLS 1.0 の問題の解決 - セキュリティ ドキュメント

サインイン ログの新しいテレメトリの概要

環境内でレガシ TLS を引き続き使用するクライアントまたはアプリを特定するには、Microsoft Entra サインイン ログを表示します。 レガシ TLS 経由でサインインするクライアントまたはアプリの場合、Microsoft Entra ID は Additional Details の Legacy TLS フィールドを True でマークします。 [レガシ TLS] フィールドは、サインインがレガシ TLS を介して行われた場合にのみ表示されます。 ログにレガシ TLS が表示されない場合は、TLS 1.2 に切り替える準備ができました。

レガシ TLS プロトコルを使用したサインイン試行を確認するために、管理者は次の方法でログを確認できます。

• Azure Monitor でログをエクスポートしてクエリします。
• 過去 7 日間のログを JavaScript Object Notation (JSON) 形式でダウンロードします。
• PowerShell を使用してサインイン ログをフィルター処理およびエクスポートします。

これらの方法について以下に詳しく説明します。

Azure Monitor

Azure Monitor を使用してサインイン ログをクエリできます。 Azure Monitor は、強力なログ分析、監視、およびアラート ツールです。 次に対して Azure Monitor を使用します。

• Microsoft Entra ログ
• Azure リソース ログ
• 独立したソフトウェア ツールからのログ

Note

レポート データを Azure Monitor にエクスポートするには、Microsoft Entra ID P1 または P2 ライセンスが必要です。

Azure Monitor を使用してレガシ TLS エントリをクエリするには、次の手順を実行します。

1. Azure Monitor ログを使用して Microsoft Entra ログを統合、Azure Monitor の Microsoft Entra サインイン ログにアクセスする方法の手順に従います。

2. クエリ定義領域に、次の Kusto クエリ言語クエリを貼り付けます。

   // Interactive sign-ins only
   SigninLogs
   | where AuthenticationProcessingDetails has "Legacy TLS"
       and AuthenticationProcessingDetails has "True"
   | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
   | mv-apply JsonAuthProcDetails on (
       where JsonAuthProcDetails.key startswith "Legacy TLS"
       | project HasLegacyTls=JsonAuthProcDetails.value
   )
   | where HasLegacyTls == true
   
   // Non-interactive sign-ins
   AADNonInteractiveUserSignInLogs
   | where AuthenticationProcessingDetails has "Legacy TLS"
       and AuthenticationProcessingDetails has "True"
   | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
   | mv-apply JsonAuthProcDetails on (
       where JsonAuthProcDetails.key startswith "Legacy TLS"
       | project HasLegacyTls=JsonAuthProcDetails.value
   )
   | where HasLegacyTls == true
   
   // Workload Identity (service principal) sign-ins
   AADServicePrincipalSignInLogs
   | where AuthenticationProcessingDetails has "Legacy TLS"
       and AuthenticationProcessingDetails has "True"
   | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
   | mv-apply JsonAuthProcDetails on (
       where JsonAuthProcDetails.key startswith "Legacy TLS"
       | project HasLegacyTls=JsonAuthProcDetails.value
   )
   | where HasLegacyTls == true
   

3. [実行] を選択して、クエリを実行します。 クエリに一致するログ エントリは、クエリ定義の下の [結果] タブに表示されます。

4. レガシ TLS 要求のソースの詳細については、次のフィールドを検索します。

   • User.DisplayName
   • AppDisplayName
   • ResourceDisplayName
   • UserAgent

JSON

レガシ TLS フラグを表示するには、過去 7 日間のサインイン ログを JSON 形式でダウンロードできます。

Note

1. レガシ TLS フラグは、サインインの要求にレガシ TLS が使用されている場合にのみ表示されます。

2. 代わりに、サインイン ログをコンマ区切り値 (CSV) 形式でダウンロードすると、レガシ TLS フラグは表示されません。

JSON ログのダウンロード

サインイン ログを JSON としてダウンロードするには、次の手順を実行します。

1. Azure portal で、Microsoft Entra ID を探して選択します。

2. [概要] ページのメニューで、[サインイン ログ] を選択します。

3. [日付] フィルターを除くすべてのフィルターをクリアします。

4. [日付] フィルターを [過去 7 日間] に設定します。

5. [Download] を選択します。

6. ログの各カテゴリを選択します。

   • ユーザー対話型
   • ユーザー非対話型
   • マネージド ID

JSON ファイルの表示

これで、選択した JSON ビューアーを使用して JSON ログを確認できます。

Note

JSON ビューアーが必要な場合は、Visual Studio Code をダウンロードできます。

JSON ログを確認するには、次の手順を実行します。

1. JSON ビューアーの JSON ログ ファイルを開きます。

2. 「レガシ TLS」という用語を検索します。

3. レガシ TLS を含むログ ファイルを検索した場合は、そのサインイン ログ エントリを確認して、レガシ TLS 要求のソースの詳細を確認します。 次のフィールドを探します。

   • User.DisplayName
   • AppDisplayName
   • ResourceDisplayName
   • UserAgent

PowerShell

PowerShell を使用して、レガシ TLS が使用されているサインイン ログ エントリをフィルター処理およびエクスポートします。

Note

PowerShell を使用して Microsoft Graph API を呼び出すには、Microsoft Entra ID P1 または P2 ライセンスが必要です。

サインイン ログ エントリをフィルター処理してエクスポートするには、次の手順を実行します。

1. [管理者として実行] オプションを使用して、[スタート] メニューから Windows PowerShell を開きます。

2. 次のコマンドを実行して、Microsoft Graph SDK をインストールし、実行ポリシーを設定します。

   Install-Module Microsoft.Graph -Scope AllUsers
   Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Scope CurrentUser
   

3. 次のスクリプトを PowerShell スクリプト (.ps1) ファイルに保存します。

   $tId = "your-tenant-id"  # Add tenant ID from Azure Active Directory page on portal.
   $agoDays = 4  # Will filter the log for $agoDays from the current date and time.
   $startDate = (Get-Date).AddDays(-($agoDays)).ToString('yyyy-MM-dd')  # Get filter start date.
   $pathForExport = "./"  # The path to the local filesystem for export of the CSV file.
   
   Connect-MgGraph -Scopes "AuditLog.Read.All" -TenantId $tId  # Or use Directory.Read.All.
   Select-MgProfile "beta"  # Low TLS is available in Microsoft Graph preview endpoint.
   
   # Define the filtering strings for interactive and non-interactive sign-ins.
   $procDetailFunction = "x: x/key eq 'legacy tls (tls 1.0, 1.1, 3des)' and x/value eq '1'"
   $clauses = (
       "createdDateTime ge $startDate",
       "signInEventTypes/any(t: t eq 'nonInteractiveUser')",
       "signInEventTypes/any(t: t eq 'servicePrincipal')",
       "(authenticationProcessingDetails/any($procDetailFunction))"
   )
   
   # Get the interactive and non-interactive sign-ins based on filtering clauses.
   $signInsInteractive = Get-MgAuditLogSignIn -Filter ($clauses[0,3] -Join " and ") -All
   $signInsNonInteractive = Get-MgAuditLogSignIn -Filter ($clauses[0,1,3] -Join " and ") -All
   $signInsWorkloadIdentities = Get-MgAuditLogSignIn -Filter ($clauses[0,2,3] -Join " and ") -All
   
   $columnList = @{  # Enumerate the list of properties to be exported to the CSV files.
       Property = "CorrelationId", "createdDateTime", "userPrincipalName", "userId",
                 "UserDisplayName", "AppDisplayName", "AppId", "IPAddress", "isInteractive",
                 "ResourceDisplayName", "ResourceId", "UserAgent"
   }
   
   $columnListWorkloadId = @{ #Enumerate the list of properties for workload identities to be exported to the CSV files.
       Property = "CorrelationId", "createdDateTime", "AppDisplayName", "AppId", "IPAddress",
                 "ResourceDisplayName", "ResourceId", "ServicePrincipalId", "ServicePrincipalName"
   }
   
   $signInsInteractive | ForEach-Object {
       foreach ($authDetail in $_.AuthenticationProcessingDetails)
       {
           if (($authDetail.Key -match "Legacy TLS") -and ($authDetail.Value -eq "True"))
           {
               $_ | Select-Object @columnList
           }
       }
   } | Export-Csv -Path ($pathForExport + "Interactive_lowTls_$tId.csv") -NoTypeInformation
   
   $signInsNonInteractive | ForEach-Object {
       foreach ($authDetail in $_.AuthenticationProcessingDetails)
       {
           if (($authDetail.Key -match "Legacy TLS") -and ($authDetail.Value -eq "True"))
           {
               $_ | Select-Object @columnList
           }
       }
   } | Export-Csv -Path ($pathForExport + "NonInteractive_lowTls_$tId.csv") -NoTypeInformation
   
   $signInsWorkloadIdentities | ForEach-Object {
       foreach ($authDetail in $_.AuthenticationProcessingDetails)
       {
           if (($authDetail.Key -match "Legacy TLS") -and ($authDetail.Value -eq "True"))
           {
               $_ | Select-Object @columnListWorkloadId
           }
       }
   } | Export-Csv -Path ($pathForExport + "WorkloadIdentities_lowTls_$tId.csv") -NoTypeInformation
   

4. Azure portal で、Microsoft Entra ID を探して選択します。

5. Microsoft Entra ID ページの Tenant ID 値を PowerShell スクリプトの最初のステートメントにコピーし、 $tId 変数に割り当てます。

6. スクリプトを保存して実行します。 スクリプトの実行時にメッセージが表示されたら、グローバル管理者としてサインインします。 次に、Microsoft Graph に監査ログ情報を読み取らせることに同意します。

7. レガシ TLS 要求のソースについては、スクリプト出力ファイル (Interactive_lowTls_<Tenant-ID>.csv と NonInteractive_lowTls_<Tenant-ID>.csv) で次のフィールドを検索します。

   • User.DisplayName
   • AppDisplayName
   • ResourceDisplayName
   • UserAgent

Microsoft Entra 管理センターでログ エントリの詳細を表示する

ログを取得すると、Microsoft Entra 管理センターで従来の TLS ベースのサインイン ログ エントリの詳細を取得できます。 次のステップを実行します。

1. Azure portal で、Microsoft Entra ID を探して選択します。

2. [概要] ページのメニューで、[サインイン ログ] を選択します。

3. ユーザーのサインイン ログ エントリを選択します。

4. [追加の詳細情報] タブを選択します (このタブが表示されない場合は、最初に右隅の省略記号 (...) を選択して、タブの完全なリストを表示します)。

5. True に設定されている Legacy TLS (TLS 1.0、1.1、または 3DES) 値を確認します。 その特定のフィールドと値が表示されている場合は、レガシ TLS を使用してサインインが行われています。 サインインが TLS 1.2 を使用して行われた場合、そのフィールドは表示されません。

詳細については、「Microsoft Entra ID のサインイン ログ」を参照してください。

お問い合わせはこちらから

質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。