Des erreurs d’authentification se produisent lorsque le client ne prend pas en charge TLS 1.2

Résumé

Comme indiqué précédemment dans le centre Administration Microsoft 365 (par exemple, communication MC240160 en février 2021), nous allons déplacer tous les services en ligne vers TLS (Transport Layer Security) 1.2+. Cette modification a commencé le 15 octobre 2020. La prise en charge de TLS 1.2+ continuera d’être ajoutée à tous les environnements Microsoft 365 au cours des prochains mois. Si vous n’avez pas pris les mesures nécessaires pour vous préparer à ce changement, votre connectivité à Microsoft 365 risque d’être affectée.

.NET Framework n’est pas configuré pour TLS 1.2

Symptôme

Vous pouvez faire face à une ou plusieurs des erreurs suivantes lorsque vous accédez à SharePoint :

Échec de la demande de jeton. ---> System.Net.WebException : le serveur distant a renvoyé une erreur : (401) Non autorisé. at System.Net.HttpWebRequest.GetResponse()

System.Net.WebException : la connexion sous-jacente a été fermée : une erreur inattendue s’est produite lors d’un envoi.

System.IO.IOException : Impossible de lire les données à partir de la connexion de transport : une connexion existante a été fermée de force par l’hôte distant.

System.Net.Sockets.SocketException : une connexion existante a été fermée de force par l’hôte distant.

Le magasin de métadonnées Business Data Connectivity n’est actuellement pas disponible.

Résolution

Pour plus d’informations sur la configuration .NET Framework pour activer TLS 1.2+, voir Configure for strong cryptography.

Le système d’exploitation n’a pas activé TLS 1.2

Symptôme

Les problèmes d’authentification se produisent dans les anciens systèmes d’exploitation et navigateurs qui n’ont pas TLS 1.2 activé, ou dans des configurations réseau et des paramètres proxy spécifiques qui forcent les protocoles TLS hérités.

Résolution

Windows 10

Solution 1 : vérifier les paramètres des suites de chiffrement

Même après la mise à niveau vers TLS 1.2, il est important de s’assurer que les paramètres des suites de chiffrement correspondent aux exigences d’Azure Front Door, car Microsoft 365 et Azure Front Door offrent une prise en charge légèrement différente pour les suites de chiffrement.

Pour TLS 1.2, les suites de chiffrement suivantes sont pris en charge par Azure Front Door :

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

Pour ajouter des suites de chiffrement, déployez une stratégie de groupe ou utilisez une stratégie de groupe locale comme décrit dans La configuration de l’ordre de suite de chiffrement TLSà l’aide de la stratégie de groupe.

Important

Modifiez l’ordre des suites de chiffrement pour vous assurer que ces quatre suites sont en haut de la liste (la priorité la plus élevée).

Alternateivley, vous pouvez utiliser la cmdlet Enable-TlsCipherSuite pour activer les suites de chiffrement TLS. Par exemple, exécutez la commande suivante pour activer une suite de chiffrement comme priorité la plus élevée :

Enable-TlsCipherSuite -Name "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384" -Position 0

Cette commande ajoute la suite TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 chiffrement à la liste des suites de chiffrement TLS à la position 0, qui est la priorité la plus élevée.

Important

Après avoir exécuté Enable-TlsCipherSuite, vous pouvez vérifier l’ordre des suites de chiffrement en exécutant Get-TlsCipherSuite. Si la commande ne reflète pas la modification, vérifiez si le paramètre de stratégie de groupe Ordre de la suite de chiffrement SSL configure l’ordre de suite de chiffrement TLS par défaut.

Pour plus d’informations, voir Quelles sontles suites de chiffrement actuelles pris en charge par Azure Front Door ?

Windows 8, Windows 7 ou Windows Server 2012/2008 R2(SP1)

Si vous utilisez Windows 8, Windows 7 Service Pack 1 (SP1), Windows Server 2012 ou Windows Server 2008 R2 SP1, consultez les solutions suivantes.

Lecteur réseau mappé à une bibliothèque SharePoint réseau

Symptôme

Des problèmes ou des échecs d’authentification se produisent lorsque vous essayez d’utiliser un lecteur réseau qui est SharePoint bibliothèque.

Résolution

Le problème peut se produire en raison du système d’exploitation en cours d’utilisation et du fait que le client web prend en charge TLS 1.2. La prise en charge de TLS 1.2 est la suivante :

  • Windows 8 et Windows 7 prendra en charge TLS 1.2 après avoir installé la base de 3140245 et créé une valeur de Registre correspondante. Pour plus d’informations, voir Mise à jour pour activer TLS 1.2en tant que protocoles sécurisés par défaut dans WinHTTP dans Windows .
  • Windows 8.1 la prise en charge de TLS 1.2 après une mise à jour prévue pour le troisième trimestre 2021.
  • Windows 10 prend déjà en charge TLS 1.2.

Le navigateur ne prend pas en charge TLS 1.2

Symptôme

Des problèmes d’authentification ou des échecs d’accès SharePoint à partir d’applications connues qui ne permettent pas de prendre en charge TLS 1.2+ se produisent. Les navigateurs suivants ne supportent pas TLS 1.2 :

  • Android 4.3 et versions antérieures
  • Firefox 5.0 et versions antérieures
  • Internet Explorer 8-10 sur Windows 7 et les antérieures
  • Internet Explorer 10 sur Windows Phone 8
  • Safari 6.0.4/OS X10.8.4 et versions antérieures

Résolution

Mettre à niveau vers une version ultérieure du navigateur.

Azure App Service n’utilise pas la dernière version de TLS et .NET Framework

Symptôme

Problèmes d’authentification lorsque vous utilisez Azure App Service.

Résolution

  1. Définissez la version TLS minimale de votre instance de service d’application sur TLS 1.2. Pour plus d’informations, voir Appliquer les versions TLS.
  2. Assurez-vous que vous utilisez la dernière version de .NET Framework.

La recherche hybride ne parvient pas à analyser ou renvoyer des résultats

Symptôme

Vous devez faire face à un ou plusieurs des problèmes suivants lorsque vous utilisez la recherche hybride dans SharePoint dans Microsoft 365 :

  • L’analyse échoue.
  • Aucun résultat n’est renvoyé.
  • Vous recevez un message d’erreur, tel que « Une connexion existante a été fermée de force ».

Résolution

Pour résoudre les problèmes, consultez la recherche hybride qui ne parvient pas à analyser ou renvoyer des résultats.

References