Принудительное применение TLS 1.2 для службы регистрации Microsoft Entra
Служба регистрации устройств Microsoft Entra используется для подключения устройств к облаку с удостоверением устройства. Служба регистрации устройств Microsoft Entra в настоящее время поддерживает использование tls 1.2 для обмена данными с Azure. Чтобы обеспечить безопасность и лучшее шифрование в классе, корпорация Майкрософт рекомендует отключить TLS 1.0 и 1.1. В этом документе содержатся сведения о том, как гарантировать, что компьютеры, используемые для завершения регистрации и взаимодействия со службой регистрации устройств Microsoft Entra, используют TLS 1.2.
Протокол TLS версии 1.2 — это протокол шифрования, предназначенный для обеспечения безопасного взаимодействия. Протокол TLS предназначен в первую очередь для обеспечения конфиденциальности и целостности данных. TLS прошел много итерации с версией 1.2, определенной в RFC 5246 (внешняя ссылка).
Текущий анализ подключений показывает небольшое использование TLS 1.1 и 1.0, но мы предоставляем эти сведения, чтобы можно было обновить все затронутые клиенты или серверы, как это необходимо, прежде чем поддерживать ПРОТОКОЛ TLS 1.1 и 1.0. Если вы используете любую локальную инфраструктуру для гибридных сценариев или служб федерации Active Directory (AD FS), убедитесь, что инфраструктура может поддерживать как входящие, так и исходящие подключения, использующие TLS 1.2.
Обновление серверов Windows
Для серверов Windows, использующих службу регистрации устройств Microsoft Entra или выполняющих роль прокси-серверов, выполните следующие действия, чтобы убедиться, что протокол TLS 1.2 включен:
Важный
После обновления реестра необходимо перезапустить сервер Windows, чтобы изменения вступили в силу.
Включение TLS 1.2
Убедитесь, что следующие строки реестра настроены, как показано ниже.
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
- "DisabledByDefault"=dword:0000000000
- "Включено"=dword:00000001
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
- "DisabledByDefault"=dword:0000000000
- "Включено"=dword:00000001
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319
- "SchUseStrongCrypto"=dword:00000001
Обновление прокси-серверов, отличных от Windows
Все компьютеры, действующие в качестве прокси-серверов между устройствами и службой регистрации устройств Microsoft Entra, должны обеспечить включение TLS 1.2. Следуйте инструкциям поставщика, чтобы обеспечить поддержку.
Обновление серверов AD FS
Все серверы AD FS, используемые для взаимодействия со службой регистрации устройств Microsoft Entra, должны убедиться, что протокол TLS 1.2 включен. Сведения о включении и проверке этой конфигурации см. в управлении протоколами SSL/TLS и наборами шифров для AD F S.
Обновления клиента
Так как все сочетания клиентских серверов и браузеров должны использовать TLS 1.2 для подключения к службе регистрации устройств Microsoft Entra, может потребоваться обновить эти устройства.
Следующие клиенты, как известно, не могут поддерживать TLS 1.2. Обновите клиенты, чтобы обеспечить непрерывный доступ.
- Android версии 4.3 и более ранних версий
- Firefox версии 5.0 и более ранних версий
- Internet Explorer версии 8-10 в Windows 7 и более ранних версиях
- Internet Explorer 10 в Windows Phone 8.0
- Safari версии 6.0.4 в ОС OS X 10.8.4 и более ранних версий