Des erreurs d’authentification se produisent lorsque le client ne prend pas en charge TLS 1.2
Résumé
Comme indiqué précédemment dans le centre Administration Microsoft 365 (par exemple, communication MC240160 en février 2021), nous allons déplacer tous les services en ligne vers TLS (Transport Layer Security) 1.2+. Cette modification a commencé le 15 octobre 2020. La prise en charge de TLS 1.2+ continuera d’être ajoutée à tous les environnements Microsoft 365 au cours des prochains mois. Si vous n’avez pas pris les mesures nécessaires pour vous préparer à ce changement, votre connectivité à Microsoft 365 risque d’être affectée.
.NET Framework n’est pas configuré pour TLS 1.2
Symptôme
Vous pouvez faire face à une ou plusieurs des erreurs suivantes lorsque vous accédez à SharePoint :
Échec de la demande de jeton. ---> System.Net.WebException : le serveur distant a renvoyé une erreur : (401) Non autorisé. at System.Net.HttpWebRequest.GetResponse()
System.Net.WebException : la connexion sous-jacente a été fermée : une erreur inattendue s’est produite lors d’un envoi.
System.IO.IOException : Impossible de lire les données à partir de la connexion de transport : une connexion existante a été fermée de force par l’hôte distant.
System.Net.Sockets.SocketException : une connexion existante a été fermée de force par l’hôte distant.
Le magasin de métadonnées Business Data Connectivity n’est actuellement pas disponible.
Résolution
Pour plus d’informations sur la configuration .NET Framework pour activer TLS 1.2+, voir Configure for strong cryptography.
Le système d’exploitation n’a pas activé TLS 1.2
Symptôme
Les problèmes d’authentification se produisent dans les anciens systèmes d’exploitation et navigateurs qui n’ont pas TLS 1.2 activé, ou dans des configurations réseau et des paramètres proxy spécifiques qui forcent les protocoles TLS hérités.
Résolution
Windows 10
Solution 1 : vérifier les paramètres des suites de chiffrement
Même après la mise à niveau vers TLS 1.2, il est important de s’assurer que les paramètres des suites de chiffrement correspondent aux exigences d’Azure Front Door, car Microsoft 365 et Azure Front Door offrent une prise en charge légèrement différente pour les suites de chiffrement.
Pour TLS 1.2, les suites de chiffrement suivantes sont pris en charge par Azure Front Door :
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
Pour ajouter des suites de chiffrement, déployez une stratégie de groupe ou utilisez une stratégie de groupe locale comme décrit dans La configuration de l’ordre de suite de chiffrement TLSà l’aide de la stratégie de groupe.
Important
Modifiez l’ordre des suites de chiffrement pour vous assurer que ces quatre suites sont en haut de la liste (la priorité la plus élevée).
Alternateivley, vous pouvez utiliser la cmdlet Enable-TlsCipherSuite pour activer les suites de chiffrement TLS. Par exemple, exécutez la commande suivante pour activer une suite de chiffrement comme priorité la plus élevée :
Enable-TlsCipherSuite -Name "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384" -Position 0
Cette commande ajoute la suite TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 chiffrement à la liste des suites de chiffrement TLS à la position 0, qui est la priorité la plus élevée.
Important
Après avoir exécuté Enable-TlsCipherSuite, vous pouvez vérifier l’ordre des suites de chiffrement en exécutant Get-TlsCipherSuite. Si la commande ne reflète pas la modification, vérifiez si le paramètre de stratégie de groupe Ordre de la suite de chiffrement SSL configure l’ordre de suite de chiffrement TLS par défaut.
Pour plus d’informations, voir Quelles sontles suites de chiffrement actuelles pris en charge par Azure Front Door ?
Windows 8, Windows 7 ou Windows Server 2012/2008 R2(SP1)
Si vous utilisez Windows 8, Windows 7 Service Pack 1 (SP1), Windows Server 2012 ou Windows Server 2008 R2 SP1, consultez les solutions suivantes.
- L’outil Easy Fix peut ajouter automatiquement les clés de Registre TLS 1.1 et TLS 1.2 Secure Protocol. Pour plus d’informations, consultez Mise à jour pour activer TLS 1.1 et TLS 1.2 comme protocoles sécurisés par défaut dans WinHTTP dans Windows.
- Pour Windows 8, installez la base de 3140245et créez une valeur de Registre correspondante.
- Pour Windows Server 2012, l’outil Easy Fix peut ajouter automatiquement des clés de Registre TLS 1.1 et TLS 1.2 Secure Protocol. Si vous recevez toujours des erreurs de connectivité intermittentes après avoir exécuté l’outil De correction simple, envisagez de désactiver les suites de chiffrement DHE. Pour plus d’informations, consultez Applications expérience de fermeture forcée des erreurs de connexion TLSlors de la connexion SQL serveurs dans Windows .
Lecteur réseau mappé à une bibliothèque SharePoint réseau
Symptôme
Des problèmes ou des échecs d’authentification se produisent lorsque vous essayez d’utiliser un lecteur réseau qui est SharePoint bibliothèque.
Résolution
Le problème peut se produire en raison du système d’exploitation en cours d’utilisation et du fait que le client web prend en charge TLS 1.2. La prise en charge de TLS 1.2 est la suivante :
- Windows 8 et Windows 7 prendra en charge TLS 1.2 après avoir installé la base de 3140245 et créé une valeur de Registre correspondante. Pour plus d’informations, voir Mise à jour pour activer TLS 1.2en tant que protocoles sécurisés par défaut dans WinHTTP dans Windows .
- Windows 8.1 la prise en charge de TLS 1.2 après une mise à jour prévue pour le troisième trimestre 2021.
- Windows 10 prend déjà en charge TLS 1.2.
Le navigateur ne prend pas en charge TLS 1.2
Symptôme
Des problèmes d’authentification ou des échecs d’accès SharePoint à partir d’applications connues qui ne permettent pas de prendre en charge TLS 1.2+ se produisent. Les navigateurs suivants ne supportent pas TLS 1.2 :
- Android 4.3 et versions antérieures
- Firefox 5.0 et versions antérieures
- Internet Explorer 8-10 sur Windows 7 et les antérieures
- Internet Explorer 10 sur Windows Phone 8
- Safari 6.0.4/OS X10.8.4 et versions antérieures
Résolution
Mettre à niveau vers une version ultérieure du navigateur.
Azure App Service n’utilise pas la dernière version de TLS et .NET Framework
Symptôme
Problèmes d’authentification lorsque vous utilisez Azure App Service.
Résolution
- Définissez la version TLS minimale de votre instance de service d’application sur TLS 1.2. Pour plus d’informations, voir Appliquer les versions TLS.
- Assurez-vous que vous utilisez la dernière version de .NET Framework.
La recherche hybride ne parvient pas à analyser ou renvoyer des résultats
Symptôme
Vous devez faire face à un ou plusieurs des problèmes suivants lorsque vous utilisez la recherche hybride dans SharePoint dans Microsoft 365 :
- L’analyse échoue.
- Aucun résultat n’est renvoyé.
- Vous recevez un message d’erreur, tel que « Une connexion existante a été fermée de force ».
Résolution
Pour résoudre les problèmes, consultez la recherche hybride qui ne parvient pas à analyser ou renvoyer des résultats.