TLS 1.2 afdwingen voor de Microsoft Entra-registratieservice
De Microsoft Entra Device Registration Service wordt gebruikt om apparaten te verbinden met de cloud met een apparaat-id. De Microsoft Entra Device Registration Service ondersteunt momenteel het gebruik van TLS (Transport Layer Security) 1.2 voor communicatie met Azure. Microsoft raadt aan TLS 1.0 en 1.1 uit te schakelen om de beveiliging en de beste versleuteling in klasse te garanderen. Dit document bevat informatie over hoe u ervoor kunt zorgen dat computers die worden gebruikt om de registratie te voltooien en te communiceren met de Microsoft Entra Device Registration Service TLS 1.2 gebruiken.
Het TLS-protocol versie 1.2 is een cryptografisch protocol dat is ontworpen om veilige communicatie te bieden. Het TLS-protocol is voornamelijk gericht op het bieden van privacy en gegevensintegriteit. TLS heeft veel iteraties doorlopen waarbij versie 1.2 is gedefinieerd in RFC 5246 (externe koppeling).
De huidige analyse van verbindingen toont weinig TLS 1.1- en 1.0-gebruik, maar deze informatie wordt verstrekt, zodat u alle betrokken clients of servers kunt bijwerken indien nodig voordat ondersteuning voor TLS 1.1 en 1.0 eindigt. Als u een on-premises infrastructuur gebruikt voor hybride scenario's of Active Directory Federation Services (AD FS), moet u ervoor zorgen dat de infrastructuur zowel binnenkomende als uitgaande verbindingen die gebruikmaken van TLS 1.2 kan ondersteunen.
Windows-servers bijwerken
Voor Windows-servers die gebruikmaken van de Microsoft Entra Device Registration Service of fungeren als proxy's, gebruikt u de volgende stappen om ervoor te zorgen dat TLS 1.2 is ingeschakeld:
Belangrijk
Nadat u het register hebt bijgewerkt, moet u de Windows-server opnieuw opstarten om de wijzigingen van kracht te laten worden.
TLS 1.2 inschakelen
Zorg ervoor dat de volgende registertekenreeksen zijn geconfigureerd zoals wordt weergegeven:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
- "DisabledByDefault"=dword:00000000
- "Enabled"=dword:00000001
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
- "DisabledByDefault"=dword:00000000
- "Enabled"=dword:00000001
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319
- "SchUseStrongCrypto"=dword:00000001
Niet-Windows-proxy's bijwerken
Computers die fungeren als proxy's tussen apparaten en de Microsoft Entra Device Registration Service, moeten ervoor zorgen dat TLS 1.2 is ingeschakeld. Volg de richtlijnen van uw leverancier om ondersteuning te garanderen.
AD FS-servers bijwerken
Alle AD FS-servers die worden gebruikt om te communiceren met de Microsoft Entra Device Registration Service, moeten ervoor zorgen dat TLS 1.2 is ingeschakeld. Zie Het beheren van SSL/TLS-protocollen en coderingssuites voor AD FS voor informatie over het inschakelen/verifiëren van deze configuratie.
Clientupdates
Aangezien alle combinaties van client-server en browserserver TLS 1.2 moeten gebruiken om verbinding te maken met de Microsoft Entra Device Registration Service, moet u deze apparaten mogelijk bijwerken.
De volgende clients zijn bekend dat tls 1.2 niet kan worden ondersteund. Werk uw clients bij om ononderbroken toegang te garanderen.
- Android-versie 4.3 en eerder
- Firefox versie 5.0 en eerder
- Internet Explorer-versies 8-10 op Windows 7 en eerder
- Internet Explorer 10 in Windows Telefoon 8.0
- Safari-versie 6.0.4 op OS X 10.8.4 en eerder