Aktivera stöd för TLS 1.2 i din miljö för Utfasning av Microsoft Entra TLS 1.1 och 1.0

För att förbättra klientorganisationens säkerhetsstatus och hålla sig i enlighet med branschstandarder kommer Microsoft Entra-ID snart att sluta stödja följande TLS-protokoll (Transport Layer Security) och chiffer:

• TLS 1.1
• TLS 1.0
• 3DES-chiffreringssvit (TLS_RSA_WITH_3DES_EDE_CBC_SHA)

Hur detta kan påverka din organisation

Kommunicerar eller autentiserar dina program mot Microsoft Entra-ID? Då kanske dessa program inte fungerar som förväntat om de inte kan använda TLS 1.2 för att kommunicera. Den här situationen omfattar:

• Microsoft Entra Connect
• Microsoft Graph PowerShell
• Anslutningsappar för Microsoft Entra-programproxy
• PTA-agenter
• Äldre webbläsare
• Program som är integrerade med Microsoft Entra-ID

Varför den här ändringen görs

Dessa protokoll och chiffreringar håller på att bli inaktuella av följande orsaker:

• Följ de senaste efterlevnadsstandarderna för FedRAMP (Federal Risk and Authorization Management Program).
• För att förbättra säkerheten när användare interagerar med våra molntjänster.

Tjänsterna TLS 1.0, TLS 1.1 och 3DES Cipher Suite är inaktuella enligt följande schema.

Instanstyp	Utfasningsdatum	Status
Amerikanska myndighetsinstanser	31 mars 2021	FULLBORDAD
Offentliga instanser	den 31 januari 2022	FULLBORDAD
Microsoft Entra-instanser som drivs av 21Vianet i Kina	den 30 november 2024	PÅGÅENDE

TLS 1.3-stöd för Microsoft Entra-tjänster

Förutom att stödja TLS 1.2 distribuerar Microsoft Entra även stöd för TLS 1.3 för sina slutpunkter för att anpassa sig till bästa praxis för säkerhet (NIST – SP 800-52 Rev. 2). Med den här ändringen stöder Microsoft Entra-slutpunkter både TLS 1.2- och TLS 1.3-protokoll.

Aktivera stöd för TLS 1.2 i din miljö

För att säkerställa en säker anslutning till Microsoft Entra-ID och Microsoft 365-tjänster konfigurerar du dina klientappar och både klient- och serveroperativsystemen (OS) för att stödja TLS 1.2 och moderna chiffersviter.

Riktlinjer för att aktivera TLS 1.2 på klienter

• Uppdatera Windows och standard-TLS som du använder för "WinHTTP".
• Identifiera och minska beroendet av klientappar och operativsystem som inte stöder TLS 1.2.
• Aktivera TLS 1.2 för program och tjänster som kommunicerar med Microsoft Entra-ID.
• Uppdatera och konfigurera din .NET Framework-installation för att stödja TLS 1.2.
• Kontrollera att program och PowerShell-skript (som använder Microsoft Graph och Microsoft Graph PowerShell) finns och körs på en plattform som stöder TLS 1.2.
• Kontrollera att webbläsaren har de senaste uppdateringarna. Vi rekommenderar att du använder den nya Microsoft Edge-webbläsaren (baserat på Chromium). Mer information finns i Viktig information för Microsoft Edge för Stable Channel.
• Kontrollera att webbproxyn stöder TLS 1.2. Mer information om hur du uppdaterar en webbproxy finns hos leverantören av din webbproxylösning.

Mer information finns i följande artiklar:

• Så här aktiverar du TLS 1.2 på klienter
• Förbereder för TLS 1.2 i Office 365 och Office 365 GCC – Microsoft 365-efterlevnad

Uppdatera Windows-operativsystemet och standard-TLS som du använder för WinHTTP

Dessa operativsystem har inbyggt stöd för TLS 1.2 för klient-serverkommunikation via WinHTTP:

• Windows 8.1, Windows 10 och senare versioner
• Windows Server 2012 R2, Windows Server 2016 och senare versioner

Kontrollera att du inte uttryckligen har inaktiverat TLS 1.2 på dessa plattformar.

Tidigare versioner av Windows (till exempel Windows 8 och Windows Server 2012) aktiverar som standard inte TLS 1.2 eller TLS 1.1 för säker kommunikation med hjälp av WinHTTP. För dessa tidigare versioner av Windows:

1. Installera Uppdatering 3140245.
2. Aktivera registervärdena från avsnittet Aktivera TLS 1.2 på klient- eller serveroperativsystem.

Du kan konfigurera dessa värden för att lägga till TLS 1.2 och TLS 1.1 i standardlistan över säkra protokoll för WinHTTP.

Mer information hittar du i Så här aktiverar du TLS 1.2 på klienter.

Kommentar

Som standard stöder ett operativsystem som stöder TLS 1.2 (till exempel Windows 10) även äldre versioner av TLS-protokollet. När en anslutning görs med hjälp av TLS 1.2 och den inte får något svar i tid, eller när anslutningen återställs, kan operativsystemet försöka ansluta till målwebbtjänsten med hjälp av ett äldre TLS-protokoll (till exempel TLS 1.0 eller 1.1). Detta inträffar vanligtvis om nätverket är upptaget eller om ett paket faller i nätverket. Efter den tillfälliga återställningen till den äldre TLS försöker operativsystemet igen att upprätta en TLS 1.2-anslutning.

Vad blir statusen för sådan reservtrafik när Microsoft slutar stödja den äldre TLS? Operativsystemet kan fortfarande försöka upprätta en TLS-anslutning med hjälp av det äldre TLS-protokollet. Men om Microsoft-tjänsten inte längre stöder det äldre TLS-protokollet lyckas inte den äldre TLS-baserade anslutningen. Detta tvingar operativsystemet att försöka ansluta igen med hjälp av TLS 1.2 i stället.

Identifiera och minska beroendet av klienter som inte stöder TLS 1.2

Uppdatera följande klienter för att ge oavbruten åtkomst:

• Android, version 4.3 och tidigare versioner
• Firefox version 5.0 och tidigare versioner
• Internet Explorer version 8–10 på Windows 7 och tidigare versioner
• Internet Explorer 10 på Windows Phone 8.0
• Safari 6.0.4 på OS X 10.8.4 och tidigare versioner

Mer information finns i Handskakningssimulering för olika klienter som ansluter till www.microsoft.com, med tillstånd från SSLLabs.com.

Aktivera TLS 1.2 på vanliga serverroller som kommunicerar med Microsoft Entra-ID

• Microsoft Entra Connect (installera den senaste versionen)

  • Vill du också aktivera TLS 1.2 mellan synkroniseringsmotorservern och en fjärransluten SQL Server? Kontrollera sedan att du har de versioner som krävs installerade för TLS 1.2-stöd för Microsoft SQL Server.

• Microsoft Entra Connect Authentication Agent (direktautentisering) (version 1.5.643.0 och senare versioner)

• Azure Application Proxy (version 1.5.1526.0 och senare versioner framtvingar TLS 1.2)

• Active Directory Federation Services (AD FS) (AD FS) för servrar som har konfigurerats för att använda Azure multifaktorautentisering (Azure MFA)

• NPS-servrar som är konfigurerade för att använda NPS-tillägget för Microsoft Entra multifaktorautentisering

• MFA Server version 8.0. x eller senare versioner

• Microsoft Entra-proxytjänst för lösenordsskydd

  Åtgärd krävs

  1. Vi rekommenderar starkt att du kör den senaste versionen av agenten, tjänsten eller anslutningen.

  2. Som standard är TLS 1.2 aktiverat på Windows Server 2012 R2 och senare versioner. I sällsynta fall kan standardkonfigurationen för operativsystemet ha ändrats för att inaktivera TLS 1.

     För att säkerställa att TLS 1.2 är aktiverat rekommenderar vi att du uttryckligen lägger till registervärdena från avsnittet Aktivera TLS 1.2 på klient- eller serveroperativsystem på servrar som kör Windows Server och som kommunicerar med Microsoft Entra-ID.

  3. De flesta av de tidigare listade tjänsterna är beroende av .NET Framework. Se till att den uppdateras enligt beskrivningen i avsnittet Uppdatera och konfigurera .NET Framework för att stödja TLS 1.2.

  Mer information finns i följande artiklar:

  • TLS 1.2-tillämpning – Framtvinga TLS 1.2 för Microsoft Entra-registreringstjänsten
  • Microsoft Entra Connect: TLS 1.2-tillämpning för Microsoft Entra Connect
  • Förstå Microsoft Entra anslutningsprogram för programproxy

Aktivera TLS 1.2 på klient- eller serveroperativsystem

Registersträngar

För Windows 2012 R2, Windows 8.1 och senare operativsystem är TLS 1.2 aktiverat som standard. Därför visas inte följande registervärden om de inte har angetts med olika värden.

Om du vill konfigurera och aktivera TLS 1.2 manuellt på operativsystemnivå kan du lägga till följande DWORD-värden:

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
  • DisabledByDefault: 000000000
  • Enabled: 00000001
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
  • DisabledByDefault: 000000000
  • Enabled: 00000001
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\. NETFramework\v4.0.30319
  • SchUseStrongCrypto: 00000001

Information om hur du aktiverar TLS 1.2 med hjälp av ett PowerShell-skript finns i TLS 1.2-tillämpning för Microsoft Entra Connect.

Så här kontrollerar du vilket TLS-protokoll som används

Här är två sätt att kontrollera vilka TLS som används:

• Säkerhetsinställningar för webbläsare
• Internetegenskaper i Windows

Följ dessa steg för att kontrollera vilket TLS-protokoll som används med hjälp av Internetegenskaper:

1. Tryck på Windows+R för att öppna rutan Kör.

2. Skriv inetcpl.cpl och välj sedan OK. Sedan öppnas fönstret Internetegenskaper.

3. I fönstret Internetegenskaper väljer du fliken Avancerat och rullar ned för att kontrollera inställningarna som är relaterade till TLS.

   

Uppdatera och konfigurera .NET Framework för att stödja TLS 1.2

Hanterade Microsoft Entra-integrerade program och Windows PowerShell-skript (med Microsoft Graph PowerShell och Microsoft Graph) kan använda .NET Framework.

Installera .NET-uppdateringar för att aktivera stark kryptografi

Fastställ .NET-versionen

Bestäm först de installerade .NET-versionerna.

• Mer information finns i Fastställ vilka versioner och Service Pack-nivåer för .NET Framework som är installerade.

Installera .NET-uppdateringar

Installera .NET-uppdateringarna så att du kan aktivera stark kryptografi. Vissa versioner av .NET Framework kan behöva uppdateras för att aktivera stark kryptografi.

Använd följande riktlinjer:

• .NET Framework 4.6.2 och senare versioner har stöd för TLS 1.2 och TLS 1.1. Kontrollera registerinställningarna. Inga andra ändringar krävs.

• .NET Framework 4.6 och tidigare versioner måste uppdateras för att få stöd för TLS 1.2 och TLS 1.1.

  Mer information finns i Versioner och beroenden för .NET Framework.

• Använder du .NET Framework 4.5.2 eller 4.5.1 på Windows 8.1 eller Windows Server 2012? Därefter är relevanta uppdateringar och information också tillgängliga från Microsoft Update Catalog.

  • Se även Microsoft Security Advisory 2960358.

Ange följande DWORD-värden för alla datorer som kommunicerar över nätverket och kör ett TLS 1.2-aktiverat system.

• För 32-bitars program som körs på ett 32-bitars operativsystem och 64-bitars program som körs på ett 64-bitars operativsystem, uppdatera följande värden för undernyckeln:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\. NETFramework\v2.0.50727

    • SystemDefaultTlsVersions: 00000001
    • SchUseStrongCrypto: 00000001

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\. NETFramework\v4.0.30319

    • SystemDefaultTlsVersions: 00000001
    • SchUseStrongCrypto: 00000001

• För 32-bitars applikationer som körs på 64-bitars operativsystem uppdaterar du följande värden för undernyckeln:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\. NETFramework\v2.0.50727
    • SystemDefaultTlsVersions: dword:00000001
    • SchUseStrongCrypto: dword:00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\. NETFramework\v4.0.30319
    • SystemDefaultTlsVersions: dword:00000001
    • SchUseStrongCrypto: dword:00000001

Ange till exempel följande värden på:

• Klienter i Konfigurationshanteraren
• Fjärrplatssystemroller som inte är installerade på platsservern
• Själva platsservern

Mer information finns i följande artiklar:

• TLS-chiffersviter som stöds av Microsoft Entra ID
• Så här aktiverar du TLS 1.2 på klienter
• Metodtips för TLS (Transport Layer Security) med .NET Framework
• Lösa TLS 1.0-problemet – säkerhetsdokumentation

Översikt över ny telemetri i inloggningsloggarna

Om du vill hjälpa dig att identifiera klienter eller appar som fortfarande använder äldre TLS i din miljö kan du visa inloggningsloggarna för Microsoft Entra. För klienter eller appar som loggar in via äldre TLS markerar Microsoft Entra-ID fältet Äldre TLS i Ytterligare information med True. Det äldre TLS-fältet visas bara om inloggningen skedde över äldre TLS. Om du inte ser någon äldre TLS i loggarna är du redo att växla till TLS 1.2.

För att hitta inloggningsförsöken som använde äldre TLS-protokoll kan en administratör granska loggarna genom att:

• Exportera och köra frågor mot loggarna i Azure Monitor.
• Laddar ned de senaste sju dagarnas loggar i JSON-format (JavaScript Object Notation).
• Filtrera och exportera inloggningsloggar med PowerShell.

Dessa metoder beskrivs nedan.

Azure Monitor

Du kan köra frågor mot inloggningsloggarna med hjälp av Azure Monitor. Azure Monitor är ett kraftfullt verktyg för logganalys, övervakning och avisering. Använd Azure Monitor för:

• Microsoft Entra-loggar
• Azure-resursloggar
• Loggar från oberoende programvaruverktyg

Kommentar

Du behöver en Microsoft Entra ID P1- eller P2-licens för att exportera rapporteringsdata till Azure Monitor.

Så här frågar du efter äldre TLS-poster med hjälp av Azure Monitor:

1. I Integrera Microsoft Entra-loggar med Azure Monitor-loggar följer du anvisningarna för hur du kommer åt Inloggningsloggarna för Microsoft Entra i Azure Monitor.

2. I frågedefinitionsområdet klistrar du in följande språkfråga i Kusto-fråga:

   // Interactive sign-ins only
   SigninLogs
   | where AuthenticationProcessingDetails has "Legacy TLS"
       and AuthenticationProcessingDetails has "True"
   | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
   | mv-apply JsonAuthProcDetails on (
       where JsonAuthProcDetails.key startswith "Legacy TLS"
       | project HasLegacyTls=JsonAuthProcDetails.value
   )
   | where HasLegacyTls == true
   
   // Non-interactive sign-ins
   AADNonInteractiveUserSignInLogs
   | where AuthenticationProcessingDetails has "Legacy TLS"
       and AuthenticationProcessingDetails has "True"
   | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
   | mv-apply JsonAuthProcDetails on (
       where JsonAuthProcDetails.key startswith "Legacy TLS"
       | project HasLegacyTls=JsonAuthProcDetails.value
   )
   | where HasLegacyTls == true
   
   // Workload Identity (service principal) sign-ins
   AADServicePrincipalSignInLogs
   | where AuthenticationProcessingDetails has "Legacy TLS"
       and AuthenticationProcessingDetails has "True"
   | extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
   | mv-apply JsonAuthProcDetails on (
       where JsonAuthProcDetails.key startswith "Legacy TLS"
       | project HasLegacyTls=JsonAuthProcDetails.value
   )
   | where HasLegacyTls == true
   

3. Välj Kör för att köra frågan. Loggposterna som matchar frågan visas på fliken Resultat under frågedefinitionen.

4. Mer information om källan till den äldre TLS-begäran finns i följande fält:

   • UserDisplayName
   • AppDisplayName
   • ResourceDisplayName
   • UserAgent

JSON

Om du vill se den äldre TLS-flaggan kan du ladda ned de senaste sju dagarnas inloggningsloggar i JSON-format.

Kommentar

1. Den äldre TLS-flaggan visas bara om äldre TLS används för att logga in med begäran.

2. Om du i stället laddar ned inloggningsloggarna i kommaavgränsat värdeformat (CSV) visas inte den äldre TLS-flaggan.

Hämta JSON-loggar

Så här hämtar du inloggningsloggar som JSON:

1. I Azure Portal söker du efter och väljer Microsoft Entra-ID.

2. På menyn Översiktssida väljer du Inloggningsloggar.

3. Rensa alla filter utom filtret Datum.

4. Ange filtret Datum till Senaste 7 dagarna.

5. Välj Hämta.

6. Välj varje kategori av loggar:

   • Interaktiv användare
   • Användaren är inte interaktiv
   • Hanterad identitet

Visa JSON-filerna

Nu kan du granska JSON-loggarna med hjälp av ett JSON-visningsprogram som du väljer.

Kommentar

Om du behöver ett JSON-visningsprogram kan du hämta Visual Studio Code.

Så här granskar du JSON-loggarna:

1. Öppna JSON-loggfilerna för JSON-visningsprogrammet.

2. Sök efter termen äldre TLS.

3. Om du hittar en loggfil med äldre TLS läser du inloggningsloggposten för att lära dig mer om källan till den äldre TLS-begäran. Leta efter följande fält:

   • UserDisplayName
   • AppDisplayName
   • ResourceDisplayName
   • UserAgent

PowerShell

Använd PowerShell för att filtrera och exportera inloggningsloggposter där äldre TLS används.

Kommentar

Du behöver en Microsoft Entra ID P1- eller P2-licens för att anropa Microsoft Graph API via PowerShell.

Så här filtrerar och exporterar du inloggningsloggposterna:

1. Med alternativet Kör som administratör öppnar du Windows PowerShell från Start-menyn.

2. Kör följande kommandon för att installera Microsoft Graph SDK:er och ange körningsprincipen:

   Install-Module Microsoft.Graph -Scope AllUsers
   Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Scope CurrentUser
   

3. Spara följande skript i en PowerShell-skriptfil (.ps1).

   $tId = "your-tenant-id"  # Add tenant ID from Azure Active Directory page on portal.
   $agoDays = 4  # Will filter the log for $agoDays from the current date and time.
   $startDate = (Get-Date).AddDays(-($agoDays)).ToString('yyyy-MM-dd')  # Get filter start date.
   $pathForExport = "./"  # The path to the local filesystem for export of the CSV file.
   
   Connect-MgGraph -Scopes "AuditLog.Read.All" -TenantId $tId  # Or use Directory.Read.All.
   Select-MgProfile "beta"  # Low TLS is available in Microsoft Graph preview endpoint.
   
   # Define the filtering strings for interactive and non-interactive sign-ins.
   $procDetailFunction = "x: x/key eq 'legacy tls (tls 1.0, 1.1, 3des)' and x/value eq '1'"
   $clauses = (
       "createdDateTime ge $startDate",
       "signInEventTypes/any(t: t eq 'nonInteractiveUser')",
       "signInEventTypes/any(t: t eq 'servicePrincipal')",
       "(authenticationProcessingDetails/any($procDetailFunction))"
   )
   
   # Get the interactive and non-interactive sign-ins based on filtering clauses.
   $signInsInteractive = Get-MgAuditLogSignIn -Filter ($clauses[0,3] -Join " and ") -All
   $signInsNonInteractive = Get-MgAuditLogSignIn -Filter ($clauses[0,1,3] -Join " and ") -All
   $signInsWorkloadIdentities = Get-MgAuditLogSignIn -Filter ($clauses[0,2,3] -Join " and ") -All
   
   $columnList = @{  # Enumerate the list of properties to be exported to the CSV files.
       Property = "CorrelationId", "createdDateTime", "userPrincipalName", "userId",
                 "UserDisplayName", "AppDisplayName", "AppId", "IPAddress", "isInteractive",
                 "ResourceDisplayName", "ResourceId", "UserAgent"
   }
   
   $columnListWorkloadId = @{ #Enumerate the list of properties for workload identities to be exported to the CSV files.
       Property = "CorrelationId", "createdDateTime", "AppDisplayName", "AppId", "IPAddress",
                 "ResourceDisplayName", "ResourceId", "ServicePrincipalId", "ServicePrincipalName"
   }
   
   $signInsInteractive | ForEach-Object {
       foreach ($authDetail in $_.AuthenticationProcessingDetails)
       {
           if (($authDetail.Key -match "Legacy TLS") -and ($authDetail.Value -eq "True"))
           {
               $_ | Select-Object @columnList
           }
       }
   } | Export-Csv -Path ($pathForExport + "Interactive_lowTls_$tId.csv") -NoTypeInformation
   
   $signInsNonInteractive | ForEach-Object {
       foreach ($authDetail in $_.AuthenticationProcessingDetails)
       {
           if (($authDetail.Key -match "Legacy TLS") -and ($authDetail.Value -eq "True"))
           {
               $_ | Select-Object @columnList
           }
       }
   } | Export-Csv -Path ($pathForExport + "NonInteractive_lowTls_$tId.csv") -NoTypeInformation
   
   $signInsWorkloadIdentities | ForEach-Object {
       foreach ($authDetail in $_.AuthenticationProcessingDetails)
       {
           if (($authDetail.Key -match "Legacy TLS") -and ($authDetail.Value -eq "True"))
           {
               $_ | Select-Object @columnListWorkloadId
           }
       }
   } | Export-Csv -Path ($pathForExport + "WorkloadIdentities_lowTls_$tId.csv") -NoTypeInformation
   

4. I Azure Portal söker du efter och väljer Microsoft Entra-ID.

5. Kopiera klientorganisations-ID-värdet från sidan Microsoft Entra-ID till den första instruktionen i PowerShell-skriptet och tilldela det till variabeln$tId.

6. Spara och kör skriptet. Om du uppmanas att göra det när skriptet körs loggar du in som global administratör. Ge sedan ditt medgivande till att Låta Microsoft Graph läsa granskningslogginformationen.

7. Om du vill veta mer om källan till den äldre TLS-begäran söker du i skriptutdatafilerna (Interactive_lowTls_<Tenant-ID>.csv och NonInteractive_lowTls_<Tenant-ID>.csv) efter följande fält:

   • UserDisplayName
   • AppDisplayName
   • ResourceDisplayName
   • UserAgent

Visa information om loggposter i administrationscentret för Microsoft Entra

När du har hämtat loggarna kan du få mer information om äldre TLS-baserade inloggningsloggposter i administrationscentret för Microsoft Entra. Följ de här stegen:

1. I Azure Portal söker du efter och väljer Microsoft Entra-ID.

2. På menyn Översiktssida väljer du Inloggningsloggar.

3. Välj en inloggningsloggpost för en användare.

4. Välj fliken Ytterligare information. (Om du inte ser den här fliken väljer du först ellipsen (...) i det högra hörnet för att visa hela listan med flikar.)

5. Sök efter ett äldre TLS-värde (TLS 1.0, 1.1 eller 3DES) som är inställt på Sant. Om du ser det specifika fältet och värdet gjordes inloggningsförsöket med äldre TLS. Om inloggningsförsöket gjordes med TLS 1.2 visas inte det fältet.

Mer information finns i Inloggningsloggar i Microsoft Entra-ID.

Kontakta oss för att få hjälp

Om du har frågor eller behöver hjälp skapar du en supportförfrågan eller frågar Azure community support. Du kan också skicka produktfeedback till Azure-feedbackcommunityn.