Compartilhar via


Habilitar o suporte para o TLS 1.2 em seu ambiente para a substituição do Microsoft Entra TLS 1.1 e 1.0

Para melhorar a postura de segurança do locatário e permanecer em conformidade com os padrões da indústria, o Microsoft Entra ID em breve interromperá o suporte aos seguintes protocolos e codificações TLS (Transport Layer Security):

  • TLS 1.1
  • TLS 1.0
  • Pacote de codificação 3DES (TLS_RSA_WITH_3DES_EDE_CBC_SHA)

Como essa alteração pode afetar sua organização

Seus aplicativos se comunicam ou se autenticam com o Microsoft Entra ID? Em seguida, esses aplicativos podem não funcionar conforme o esperado se não conseguirem usar o TLS 1.2 para comunicar. Esta situação inclui:

  • Microsoft Entra Connect
  • PowerShell do Microsoft Graph
  • Conectores de proxy de aplicativo Microsoft Entra
  • Agentes PTA
  • Navegadores herdados
  • Aplicativos que são integrados com o Microsoft Entra ID

Por que essa alteração está sendo feita

Esses protocolos e codificações estão sendo preteridos pelos seguintes motivos:

Os serviços do pacote de criptografia TLS 1.0, TLS 1.1 e 3DES estão sendo preteridos na agenda a seguir.

Tipo de instância Data de preterição Status
Instâncias do governo dos EUA 31 de março de 2021 CONCLUÍDO
Instâncias públicas 31 de janeiro de 2022 CONCLUÍDO
Instâncias do Microsoft Entra operadas pela 21Vianet na China 30 de novembro de 2024 CONTÍNUA

Suporte do TLS 1.3 para serviços de Microsoft Entra

Além de dar suporte ao TLS 1.2, Microsoft Entra também está distribuindo suporte para o TLS 1.3 para seus pontos de extremidade se alinharem às melhores práticas de segurança (NIST – SP 800-52 Rev. 2). Com essa alteração, pontos de extremidade do Microsoft Entra darão suporte aos protocolos TLS 1.2 e TLS 1.3.

Habilitar o suporte para o TLS 1.2 em seu ambiente

Para garantir uma conexão segura com Microsoft Entra serviços ID e Microsoft 365, configure seus aplicativos cliente e os sistemas operacionais do cliente e do servidor (SO) para dar suporte a pacotes de criptografia do TLS 1.2 e contemporâneos.

Diretrizes para habilitar o TLS 1.2 em clientes

  • Atualize o Windows e o TLS padrão que você usa para "WinHTTP".
  • Identifique e reduza a sua dependência dos aplicativos cliente e sistemas operacionais que não suportam o TLS 1.2.
  • Habilite o TLS 1.2 para aplicativos e serviços que comunicam com o Microsoft Entra ID.
  • Atualize e configure sua instalação .NET Framework para dar suporte ao TLS 1.2.
  • Certifique-se de que os aplicativos e o PowerShell (que usam o Microsoft Graph e os scripts do Microsoft Graph PowerShell) sejam hospedados e executados em uma plataforma que oferece suporte ao TLS 1.2.
  • Certifique-se de que o navegador da Web tenha as atualizações mais recentes. Recomendamos que você use o novo navegador Microsoft Edge (com base no Chromium). Para obter mais informações, consulte as Notas de versão do Microsoft Edge para o Canal Estável.
  • Certifique-se de que o proxy da Web oferece suporte ao TLS 1.2. Para obter mais informações sobre como atualizar um proxy da Web, verifique com o fornecedor da sua solução de proxy da Web.

Para obter mais informações, consulte os seguintes artigos:

Atualize o Windows OS e o TLS padrão que você usa para WinHTTP

Esses sistemas operacionais suportam nativamente o TLS 1.2 para comunicações de servidor cliente no WinHTTP:

  • Windows 8.1, Windows 10 e versões posteriores
  • Windows Server 2012 R2, Windows Server 2016, e versões posteriores

Verifique se você não desabilitou explicitamente o TLS 1.2 nessas plataformas.

Por padrão, as versões anteriores do Windows (como Windows 8 e Windows Server 2012) não habilitam o TLS 1.2 ou o TLS 1.1 para comunicações seguras usando WinHTTP. Para essas versões anteriores do Windows:

  1. Instale a atualização 3140245.
  2. Habilite os valores do registro na seção Habilitar TLS 1.2 em sistemas operacionais cliente ou servidor.

Você pode configurar esses valores para adicionar o TLS 1.2 e o TLS 1.1 à lista de protocolos seguros padrão para WinHTTP.

Para obter mais informações, consulte Como habilitar o TLS 1.2 em clientes.

Observação

Por padrão, um sistema operacional compatível com TLS 1.2 (por exemplo, Windows 10) também oferece suporte a versões herdadas do protocolo TLS. Quando uma conexão é feita usando TLS 1.2 e não obtém uma resposta oportuna, ou quando a conexão é redefinida, o SO pode tentar se conectar ao serviço da web de destino usando um protocolo TLS mais antigo (como TLS 1.0 ou 1.1). Isso geralmente ocorre se a rede estiver ocupada ou se um pacote cair na rede. Após o fallback temporário para o TLS herdado, o sistema operacional tentará novamente fazer uma conexão TLS 1.2.

Qual será o status desse tráfego de fallback depois que a Microsoft parar de oferecer suporte ao TLS herdado? O sistema operacional ainda pode tentar fazer uma conexão TLS usando o protocolo TLS herdado. Mas se o serviço da Microsoft não oferecer mais suporte ao protocolo TLS mais antigo, a conexão herdada baseada em TLS não será bem-sucedida. Isso forçará o sistema operacional a tentar a conexão novamente usando o TLS 1.2.

Identifique e reduza a dependência de clientes que não suportam o TLS 1.2

Atualize os seguintes clientes para fornecer acesso ininterrupto:

  • Android versão 4.3 e versões anteriores
  • Firefox versão 5.0 e versões anteriores
  • Versões do Internet Explorer 8-10 no Windows 7 e versões anteriores
  • Internet Explorer 10 no Windows Phone 8.0
  • Safari 6.0.4 no OS X 10.8.4 e versões anteriores

Para obter mais informações, consulte Simulação handshake para vários clientes se conetando ao www.microsoft.com, cortesia do SSLLabs.com.

Habilite funções comuns de servidor no TLS 1.2 que se comunicam com o Microsoft Entra ID

Habilitar o TLS 1.2 em sistemas operacionais cliente ou servidor

Cadeias de caracteres do registro

Para o Windows 2012 R2, Windows 8.1 e sistemas operacionais posteriores, o TLS 1.2 está habilitado por padrão. Portanto, os valores de registro a seguir não são exibidos, a menos que tenham sido definidos com valores diferentes.

Para configurar e habilitar manualmente o TLS 1.2 no nível do sistema operacional, adicione os valores DWORD a seguir.

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
    • DisabledByDefault: 00000000
    • Enabled: 00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
    • DisabledByDefault: 00000000
    • Enabled: 00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
    • SchUseStrongCrypto: 00000001

Para habilitar o TLS 1.2 usando o script do PowerShell, consulte a imposição do TLS 1.2 para o Microsoft Entra Connect.

Como marcar qual protocolo TLS está sendo usado

Aqui estão duas maneiras de verificar qual TLS está sendo usado:

  • Configurações de segurança do navegador
  • Propriedades da Internet no Windows

Para verificar qual protocolo TLS está sendo usado com as propriedades da Internet, siga estas etapas:

  1. Pressione Windows+R para abrir a caixa Executar.

  2. Digite inetcpl.cpl e selecione OK. Em seguida, a janela Propriedades da Internet é aberta.

  3. Na janela Propriedades da Internet, selecione a guia Avançado e role para baixo para verificar as configurações relacionadas ao TLS.

    Captura de tela que mostra as configurações relacionadas ao TLS em Propriedades da Internet.

Atualize e configure o .NET Framework para dar suporte ao TLS 1.2

Aplicativos Microsoft Entra integrados e scripts de Windows PowerShell gerenciados (usando o Microsoft Graph PowerShell e o Microsoft Graph) podem usar .NET Framework.

Instale as atualizações do .NET para habilitar uma criptografia forte

Determine a versão do .NET

Primeiro, determine as versões instaladas do .NET.

Instale atualizações do .NET

Instale as atualizações do .NET para que você possa habilitar uma criptografia forte. Algumas versões .NET Framework talvez tenham que ser atualizadas para habilitar uma criptografia forte.

Use estas diretrizes:

  • O .NET Framework 4.6.2 e versões posteriores oferece suporte para TLS 1.2 e TLS 1.1. Verifique as configurações do registro. Nenhuma alteração é necessária.

  • Atualize o .NET Framework 4.6 e as versões anteriores para oferecer suporte ao TLS 1.2 e TLS 1.1.

    Para obter mais informações, consulte Versões e dependências do .NET Framework.

  • Usa o .NET Framework 4.5.2 ou 4.5.1 no Windows 8.1 ou Windows Server 2012? Então, as atualizações e detalhes relevantes também estão disponíveis no Catálogo do Microsoft Update.

Para qualquer computador que comunique na rede e executa um sistema habilitado para TLS 1.2, defina os seguintes valores DWORD do registro.

  • Para aplicativos de 32 bits executados em SO de 32 bits e aplicativos de 64 bits executados em SO de 64 bits, atualize os seguintes valores de subchave:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727

      • SystemDefaultTlsVersions: 00000001
      • SchUseStrongCrypto: 00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

      • SystemDefaultTlsVersions: 00000001
      • SchUseStrongCrypto: 00000001
  • Para aplicativos de 32 bits executados em SO de 64 bits, atualize os seguintes valores de subchave:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727
      • SystemDefaultTlsVersions: dword:00000001
      • SchUseStrongCrypto: dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319
      • SystemDefaultTlsVersions: dword:00000001
      • SchUseStrongCrypto: dword:00000001

Por exemplo, defina esses valores em:

  • Clientes do Configuration Manager
  • Funções do sistema de site remoto que não estão instaladas no servidor do site
  • O próprio servidor do site

Para obter mais informações, consulte os seguintes artigos:

Visão geral da nova telemetria nos logs de login

Para ajudá-lo a identificar quaisquer clientes ou aplicativos que ainda usam TLS herdados em seu ambiente, consulte os logs de login do Microsoft Entra. Para clientes ou aplicativos que fazem o login através do TLS herdado, o Microsoft Entra ID marca o campo TLS herdado, em Detalhes adicionais, como Verdadeiro. O campo TLS herdado só será exibido se o login ocorreu através do TLS herdado. Se você não vir nenhum TLS herdado em seus logs, estará pronto para mudar para TLS 1.2.

Para encontrar as tentativas de login que usaram protocolos TLS herdados, um administrador pode revisar os logs ao:

  • Exportando e consultando os logs no Azure Monitor.
  • Baixando os últimos sete dias de logs no formato JSON (JavaScript Object Notation).
  • Filtrando e exportando logs de login usando o PowerShell.

Esse métodos são descritos abaixo.

Você pode consultar os logs de login usando o Azure Monitor. O Azure Monitor é uma ferramenta poderosa de análise, monitoramento e alerta de logs. Use o Azure Monitor para:

  • Logs do Microsoft Entra
  • Logs de recursos do Azure
  • Logs de ferramentas de software independentes

Observação

Você precisa de uma licença Microsoft Entra ID P1 ou P2 para exportar dados de relatório para o Azure Monitor.

Para consultar entradas TLS herdadas usando o Azure Monitor:

  1. Em Integrar logs do Microsoft Entra com logs do Azure Monitor, siga as instruções sobre como acessar os logs de login do Microsoft Entra no Azure Monitor.

  2. Na área de definição de consulta, cole a seguinte consulta Kusto Query Language:

    // Interactive sign-ins only
    SigninLogs
    | where AuthenticationProcessingDetails has "Legacy TLS"
        and AuthenticationProcessingDetails has "True"
    | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
    | mv-apply JsonAuthProcDetails on (
        where JsonAuthProcDetails.key startswith "Legacy TLS"
        | project HasLegacyTls=JsonAuthProcDetails.value
    )
    | where HasLegacyTls == true
    
    // Non-interactive sign-ins
    AADNonInteractiveUserSignInLogs
    | where AuthenticationProcessingDetails has "Legacy TLS"
        and AuthenticationProcessingDetails has "True"
    | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
    | mv-apply JsonAuthProcDetails on (
        where JsonAuthProcDetails.key startswith "Legacy TLS"
        | project HasLegacyTls=JsonAuthProcDetails.value
    )
    | where HasLegacyTls == true
    
    // Workload Identity (service principal) sign-ins
    AADServicePrincipalSignInLogs
    | where AuthenticationProcessingDetails has "Legacy TLS"
        and AuthenticationProcessingDetails has "True"
    | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
    | mv-apply JsonAuthProcDetails on (
        where JsonAuthProcDetails.key startswith "Legacy TLS"
        | project HasLegacyTls=JsonAuthProcDetails.value
    )
    | where HasLegacyTls == true
    
  3. Selecione Executar para executar a consulta. As entradas de log que corresponderem à consulta aparecem na guia Resultados abaixo da definição de consulta.

  4. Para saber mais sobre a origem da solicitação do TLS herdado, procure os seguintes campos:

    • UserDisplayName
    • AppDisplayName
    • ResourceDisplayName
    • UserAgent

Exibir detalhes sobre entradas de log no centro de administração do Microsoft Entra

Depois de obter os logs, você pode obter mais detalhes sobre entradas de log de login baseadas em TLS herdados no centro de administração do Microsoft Entra. Siga estas etapas:

  1. No portal do Azure, procure e clique em Microsoft Entra ID.

  2. Na página de menu Visão Geral, selecione Logs de login.

  3. Selecione uma entrada de log de login para um usuário.

  4. Selecione a guia Detalhes adicionais. (Se você não vir essa guia, selecione primeiro as reticências (...) no canto direito para exibir a lista completa de guias.)

  5. Verifique se há um valor TLS herdado (TLS 1.0, 1.1 ou 3DES) definido como Verdadeiro. Se você vir esse campo e o valor específicos, a tentativa de login foi feita usando o TLS herdado. Se a tentativa de entrar foi feita usando o TLS 1.2, esse campo não aparecerá.

Para obter mais informações, consulte Logs de login no Microsoft Entra ID.

Entre em contato conosco para obter ajuda

Se você tiver dúvidas ou precisar de ajuda, crie uma solicitação de suporte ou peça ajuda à comunidade de suporte do Azure. Você também pode enviar comentários sobre o produto para a comunidade de comentários do Azure.