為 Microsoft Entra Registration Service 強制執行 TLS 1.2
Microsoft Entra 裝置註冊服務是用來使用裝置身分識別將裝置連線到雲端。 Microsoft Entra 裝置註冊服務目前支援使用傳輸層安全性 (TLS) 1.2 與 Azure 通訊。 為了確保安全性和類別中最佳的加密,Microsoft建議停用 TLS 1.0 和 1.1。 本檔將提供有關如何確保計算機用來完成註冊,並與Microsoft Entra Device Registration Service 使用 TLS 1.2 進行通訊的相關信息。
TLS 通訊協定 1.2 版是密碼編譯通訊協定,其設計目的是提供安全的通訊。 TLS 通訊協定主要是為了提供隱私權和數據完整性。 TLS 經過許多反覆專案,版本 1.2 已在 RFC 5246 (外部連結)中定義。
目前的連線分析顯示 TLS 1.1 和 1.0 使用量很少,但我們提供這項資訊,因此您可以在支援 TLS 1.1 和 1.0 之前視需要更新任何受影響的用戶端或伺服器。 如果您針對混合式案例或 Active Directory 同盟服務(AD FS)使用任何內部部署基礎結構,請確定基礎結構可以支援使用 TLS 1.2 的輸入和輸出連線。
更新 Windows 伺服器
針對使用 Microsoft Entra Device Registration Service 或做為 Proxy 的 Windows 伺服器,請使用下列步驟來確保 TLS 1.2 已啟用:
重要
更新登錄之後,您必須重新啟動 Windows 伺服器,變更才會生效。
啟用 TLS 1.2
請確定已設定下列登入字串,如下所示:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
- “DisabledByDefault”=dword:00000000
- “Enabled”=dword:00000001
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
- “DisabledByDefault”=dword:00000000
- “Enabled”=dword:00000001
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319
- “SchUseStrongCrypto”=dword:00000001
更新非 Windows Proxy
在裝置與 Microsoft Entra Device Registration Service 之間做為 Proxy 的任何機器,都必須確定已啟用 TLS 1.2。 請遵循廠商的指引,以確保支援。
更新AD FS 伺服器
任何用來與 Microsoft Entra 裝置註冊服務通訊的 AD FS 伺服器,都必須確定已啟用 TLS 1.2。 如需如何啟用/驗證此設定的相關信息,請參閱 管理 AD FS 的 SSL/TLS 通訊協定和加密套件。
用戶端更新
由於所有用戶端-伺服器和瀏覽器伺服器組合都必須使用 TLS 1.2 來與 Microsoft Entra 裝置註冊服務連線,因此您可能需要更新這些裝置。
已知下列客戶端無法支援 TLS 1.2。 更新您的用戶端,以確保不中斷的存取。
- Android 4.3 版和更早版本
- Firefox 5.0 版和更早版本
- Windows 7 和更早版本上的 Internet Explorer 8-10 版
- Windows Phone 8.0 上的 Internet Explorer 10
- OS X 10.8.4 和更早版本上的Safari 6.0.4版