Поделиться через

Включение поддержки TLS 1.2 в вашей среде для Microsoft Entra TLS 1.1 и 1.0 нерекомендуемой

  • Статья

Чтобы повысить уровень безопасности клиента и обеспечить соответствие отраслевым стандартам, идентификатор Microsoft Entra в ближайшее время перестанет поддерживать следующие протоколы и шифры TLS:

  • TLS 1.1
  • TLS 1.0
  • Набор шифров 3DES (TLS_RSA_WITH_3DES_EDE_CBC_SHA)

Как это изменение может повлиять на работу вашей организации

Взаимодействуют ли ваши приложения с идентификатором Microsoft Entra или проходят проверку подлинности? Тогда эти приложения могут работать не так, как ожидалось, если они не могут использовать для связи стандарт TLS 1.2. Эта ситуация включает следующие варианты:

  • Microsoft Entra Connect
  • PowerShell для Microsoft Graph
  • Соединители прокси приложения Microsoft Entra
  • Агент PTA
  • Устаревшие браузеры
  • Приложения, интегрированные с идентификатором Microsoft Entra

Почему реализуется это изменение

Эти протоколы и шифры выводятся из использования по следующим причинам:

Службы шифров TLS 1.0, TLS 1.1 и 3DES не рекомендуется использовать в следующем расписании.

Тип экземпляра Дата устаревания Состояние
Экземпляры государственных организаций США 31 марта 2021 г. ЗАВЕРШЁННЫЙ
Общедоступные экземпляры 31 января 2022 г. ЗАВЕРШЁННЫЙ
Экземпляры Microsoft Entra, управляемые 21Vianet в Китае 30 ноября 2024 г. ПРОДОЛЖАЮЩИЙСЯ

Поддержка TLS 1.3 для служб Microsoft Entra

Помимо поддержки TLS 1.2, Microsoft Entra также развертывает поддержку TLS 1.3 для своих конечных точек для соответствия рекомендациям по обеспечению безопасности (NIST — SP 800-52 ред. 2). При этом изменении конечные точки Microsoft Entra поддерживают протоколы TLS 1.2 и TLS 1.3.

Включите поддержку TLS 1.2 в своей среде

Чтобы обеспечить безопасное подключение к идентификатору Microsoft Entra и службам Microsoft 365, настройте клиентские приложения и операционные системы клиента и сервера (ОС) для поддержки наборов шифров TLS 1.2 и современных наборов шифров.

Рекомендации по включению TLS 1.2 на клиентах

  • Обновите Windows и TLS, который вы используете по умолчанию для "WinHTTP".
  • Определите и по возможности устраните зависимость от клиентских приложений и операционных систем, которые не поддерживают TLS 1.2.
  • Включите TLS 1.2 для приложений и служб, взаимодействующих с идентификатором Microsoft Entra.
  • Обновите и настройте конфигурацию платформы .NET Framework, чтобы она поддерживала TLS 1.2.
  • Убедитесь, что приложения и скрипты PowerShell (с помощью Microsoft Graph и Microsoft Graph PowerShell) размещаются и выполняются на платформе, поддерживающей TLS 1.2.
  • Убедитесь, что у вашего веб-браузера установлены последние обновления. Рекомендуется использовать новый браузер Microsoft Edge (на основе Chromium). Дополнительные сведения см. в заметках о выпуске Microsoft Edge для стабильного канала.
  • Убедитесь, что ваш веб-прокси поддерживает TLS 1.2. Дополнительные сведения об обновлении прокси-сервера можно получить у поставщика вашего решения веб-прокси.

Дополнительные сведения см. в следующих статьях:

Обновите ОС Windows и TLS, который вы используете по умолчанию для WinHTTP

Эти операционные системы поддерживают TLS 1.2 для связи клиент-сервер по WinHTTP:

  • Windows 8.1, Windows 10 и более поздних версий
  • Windows Server 2012 R2, Windows Server 2016 и более поздних версий

Убедитесь, что на этих платформах TLS 1.2 не отключен в настройках.

По умолчанию более ранние версии Windows (например, Windows 8 и Windows Server 2012) не поддерживают TLS 1.2 или TLS 1.1 для безопасной связи с использованием WinHTTP. Для этих более ранних версий Windows:

  1. Установите обновление 3140245.
  2. Включите значения реестра из раздела Включить TLS 1.2 в клиентских или серверных операционных системах.

Эти значения можно настроить, чтобы добавить TLS 1.2 и TLS 1.1 в список безопасных протоколов по умолчанию для WinHTTP.

Дополнительные сведения см. в статье Как включить TLS 1.2 для клиентов.

Примечание.

По умолчанию ОС, поддерживающая ПРОТОКОЛ TLS 1.2 (например, Windows 10), также поддерживает устаревшие версии протокола TLS. Если подключение выполняется с помощью TLS 1.2 и не получает своевременного ответа или при сбросе соединения, ОС может попытаться подключиться к целевой веб-службе с помощью более старого протокола TLS (например, TLS 1.0 или 1.1). Обычно это происходит, если сеть занята или если пакет удаляется в сети. После временного возврата к устаревшей версии TLS ОС попытается сделать подключение TLS 1.2.

Что будет состояние такого резервного трафика после остановки Майкрософт поддержки устаревшего TLS? ОС по-прежнему может попытаться установить подключение TLS с помощью устаревшего протокола TLS. Но если служба Майкрософт больше не поддерживает старый протокол TLS, устаревшее подключение на основе TLS не будет выполнено. Это приведет к тому, что ОПЕРАЦИОННая система снова попытается выполнить подключение с помощью TLS 1.2.

Определение и снижение зависимости для клиентов, которые не поддерживают TLS 1.2

Обновите следующие клиенты, чтобы обеспечить непрерывный доступ:

  • Android 4.3 и более ранние версии
  • Firefox 5.0 и более ранние версии:
  • Internet Explorer 8–10 на Windows 7 и более ранние версии
  • Internet Explorer 10 на Windows Phone 8.0
  • Safari 6.0.4 на OS X 10.8.4 и более ранние версии

Дополнительные сведения см. в статье Симуляция взаимодействия для различных клиентов, подключающихся к www.microsoft.com, предоставленная SSLLabs.com.

Включение TLS 1.2 на общих ролях сервера, взаимодействующих с идентификатором Microsoft Entra

Включить TLS 1.2 в клиентских или серверных операционных системах

Строки реестра

Для Windows 2012 R2, Windows 8.1 и более поздних операционных систем протокол TLS 1.2 включен по умолчанию. Таким образом, следующие значения реестра не отображаются, если они не были заданы с разными значениями.

Чтобы вручную настроить и включить TLS 1.2 на уровне операционной системы, можно добавить следующие значения DWORD:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
    • DisabledByDefault: 0000000000
    • Enabled: 00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
    • DisabledByDefault: 0000000000
    • Enabled: 00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\. NETFramework\v4.0.30319
    • SchUseStrongCrypto: 00000001

Сведения о включении TLS 1.2 с помощью скрипта PowerShell см. в статье о принудительном применении TLS 1.2 для Microsoft Entra Connect.

Проверка используемого протокола TLS

Ниже приведены два способа проверить, какой протокол TLS используется:

  • Параметры безопасности браузера
  • Свойства Интернета в Windows

Чтобы проверить, какой протокол TLS используется с помощью свойств Интернета, выполните следующие действия.

  1. Нажмите клавишу Windows+R, чтобы открыть поле запуска.

  2. Введите inetcpl.cpl и нажмите кнопку "ОК". Затем откроется окно свойств Интернета.

  3. В окне "Свойства Интернета" выберите вкладку "Дополнительно" и прокрутите вниз, чтобы проверить параметры, связанные с TLS.

    Снимок экрана: параметры, связанные с TLS, в свойствах Интернета.

Обновление и настройка платформы .NET Framework для поддержки TLS 1.2

Управляемые интегрированные приложения Microsoft Entra и скрипты Windows PowerShell (с помощью Microsoft Graph PowerShell и Microsoft Graph) могут использовать платформа .NET Framework.

Установка обновлений .NET для обеспечения надежного шифрования

Определение версии .NET

Сначала определите установленные версии .NET.

Установите обновления .NET

Установите обновления .NET, чтобы можно было включить сильное шифрование. Некоторые версии платформы .NET Framework, возможно, придется обновить, чтобы включить сильное шифрование.

Воспользуйтесь следующими инструкциями:

Для любого компьютера, который взаимодействует по сети с системой с поддержкой TLS 1.2 или запускает такую систему, задайте следующие значения реестра типа DWORD.

  • Для 32-разрядных приложений на 32-разрядных системах или для 64-разрядных приложений на 64-разрядных системах измените следующие значения подразделов:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\. NETFramework\v2.0.50727

      • SystemDefaultTlsVersions: 00000001
      • SchUseStrongCrypto: 00000001

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\. NETFramework\v4.0.30319

      • SystemDefaultTlsVersions: 00000001
      • SchUseStrongCrypto: 00000001

  • Для 32-разрядных приложений на 64-разрядных системах измените следующие значения подразделов:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\. NETFramework\v2.0.50727
      • SystemDefaultTlsVersions: dword:00000001
      • SchUseStrongCrypto: dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\. NETFramework\v4.0.30319
      • SystemDefaultTlsVersions: dword:00000001
      • SchUseStrongCrypto: dword:00000001

Например, установите следующие значения:

  • Клиенты Configuration Manager
  • Роли системы удаленных сайтов, которые не установлены на сервере сайта
  • Сам сервер сайта

Дополнительные сведения см. в следующих статьях:

Обзор новой телеметрии в журналах входа

Чтобы узнать, какие клиенты или приложения по-прежнему используют устаревшие TLS в вашей среде, просмотрите журналы входа Microsoft Entra. Для клиентов или приложений, которые выполняют вход по устаревшей протоколу TLS, идентификатор Microsoft Entra помечает поле "Устаревшие TLS " в поле "Дополнительные сведения " с значением True. Поле Legacy TLS отображается только в том случае, если вход в систему был выполнен с устаревшим TLS. Если в журналах не отображается устаревшая версия TLS, вы можете переключиться на TLS 1.2.

Чтобы найти попытки входа, которые использовали устаревшие протоколы TLS, администратор может просмотреть журналы следующими способами:

  • Экспорт журналов в Azure Monitor и поиск в них.
  • Загрузка журналов последних семи дней в формате JavaScript Object Notation (JSON).
  • Фильтрация и экспорт журналов входа с помощью PowerShell.

Это способы описаны ниже.

Формировать запросы по журналам входа можно с помощью Azure Monitor. Azure Monitor — это мощное средство анализа журналов, мониторинга и оповещения. Используйте Azure Monitor для:

  • Журналы Microsoft Entra
  • Журналы ресурсов Azure
  • Журналы из независимых программных средств

Примечание.

Для экспорта данных отчетов в Azure Monitor требуется лицензия Microsoft Entra ID P1 или P2.

Чтобы сделать запрос на устаревшие записи TLS с помощью Azure Monitor:

  1. В интеграции журналов Microsoft Entra с журналами Azure Monitor следуйте инструкциям по доступу к журналам входа Microsoft Entra в Azure Monitor.

  2. В области определения запроса вставьте следующий запрос на языке запросов Kusto:

    // Interactive sign-ins only
SigninLogs
| where AuthenticationProcessingDetails has "Legacy TLS"
    and AuthenticationProcessingDetails has "True"
| extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
| mv-apply JsonAuthProcDetails on (
    where JsonAuthProcDetails.key startswith "Legacy TLS"
    | project HasLegacyTls=JsonAuthProcDetails.value
)
| where HasLegacyTls == true

// Non-interactive sign-ins
AADNonInteractiveUserSignInLogs
| where AuthenticationProcessingDetails has "Legacy TLS"
    and AuthenticationProcessingDetails has "True"
| extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
| mv-apply JsonAuthProcDetails on (
    where JsonAuthProcDetails.key startswith "Legacy TLS"
    | project HasLegacyTls=JsonAuthProcDetails.value
)
| where HasLegacyTls == true

// Workload Identity (service principal) sign-ins
AADServicePrincipalSignInLogs
| where AuthenticationProcessingDetails has "Legacy TLS"
    and AuthenticationProcessingDetails has "True"
| extend JsonAuthProcDetails = parse_json(AuthenticationProcessingDetails)
| mv-apply JsonAuthProcDetails on (
    where JsonAuthProcDetails.key startswith "Legacy TLS"
    | project HasLegacyTls=JsonAuthProcDetails.value
)
| where HasLegacyTls == true

  3. Выберите Выполнить для выполнения запроса. Записи журнала, которые соответствуют запросу, отображаются на вкладке Результаты под определением запроса.

  4. Чтобы узнать больше об источнике устаревшего запроса TLS, найдите следующие поля:

    • UserDisplayName
    • AppDisplayName
    • ResourceDisplayName
    • UserAgent

Просмотр сведений о записях журнала в Центре администрирования Microsoft Entra

Получив журналы, вы можете получить дополнительные сведения о устаревших записях журнала входа на основе TLS в Центре администрирования Microsoft Entra. Выполните следующие действия:

  1. В портал Azure найдите и выберите идентификатор Microsoft Entra.

  2. В меню страницы Обзор выберите Журналы входа.

  3. Выберите запись журнала входа для пользователя.

  4. Выберите вкладку Дополнительные сведения. (Если вы не видите эту вкладку, сначала нажмите многоточие (...) в правом углу, чтобы просмотреть полный список вкладок.)

  5. Проверьте, чтобы для параметра Устаревший TLS (TLS 1.0, 1.1 или 3DES), было установлено значение Истина. Если вы видите это конкретное поле и значение, попытка входа была предпринята с использованием устаревшего TLS. Если попытка входа была выполнена с помощью TLS 1.2, это поле не появится.

Дополнительные сведения см. в журналах входа в идентификаторе Microsoft Entra.

Свяжитесь с нами для получения помощи

Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.