Office Online Server での TLS 1.1 および TLS 1.2 のサポートの有効化Enable TLS 1.1 and TLS 1.2 support in Office Online Server

概要: この記事では、Office Online Server でトランスポート層セキュリティ (TLS) プロトコル バージョン 1.1 および 1.2 を有効にする方法について説明します。Summary: This article describes how to enable Transport Layer Security (TLS) protocol versions 1.1 and 1.2 in Office Online Server.

Office Online Server 環境で TLS プロトコル バージョン 1.1 および 1.2 を有効にするには、Office Online Server ファーム内の各サーバーの設定を構成する必要があります。To enable TLS protocol versions 1.1 and 1.2 in your Office Online Server environment, you need to configure settings on each server in your Office Online Server farm.

構成プロセスには、セキュリティ プロトコルを有効または無効にするために、複数のレジストリ キーを設定することが含まれます。手動で、または .reg ファイルを使用して、レジストリにこれらの更新を適用することができますが、組織全体でこれらのプロトコルを構成している場合は特に、これらの設定を管理するグループ ポリシー オブジェクトを作成することをお勧めします。The configuration process involves setting a number of registry keys to turn security protocols on or off. While you can make these updates to the registry manually or by using a .reg file, we recommend that you create group policy objects to manage these settings, particularly if you are configuring these protocols across your organization.

この記事で説明している基本的な手順は次の通りです。The basic steps covered in this article are:

  • .NET Framework での強力な暗号化の有効化Enable strong cryptography in .NET Framework

  • (省略可能) 以前のバージョンの SSL および TLS の無効化(Optional) Disable earlier versions of SSL and TLS

Office Online Server で TLS 1.1 および TLS 1.2 を使用するには、Office Online Server ファーム内の各コンピューターに対して、Windows Server で TLS 1.1 および TLS 1.2 の有効化が必要です。Windows Server 2012 R2 に対して、既定で有効になります。Note that using TLS 1.1 and TLS 1.2 with Office Online Server requires that TLS 1.1 and TLS 1.2 be enabled on Windows Server for each computer in your Office Online Server farm. They are enabled by default for Windows Server 2012 R2.

Office Online Server ファーム内の各サーバーでこれらの手順を実行します。Follow these steps on each server in your Office Online Server farm.

.NET Framework 4.5 以降での強力な暗号化の有効化Enable strong cryptography in .NET Framework 4.5 or higher

Office Online Server で TLS 1.1 および TLS 1.2 を使用するには, .NET Framework 4.5 以降での強力な暗号化が必要です。.NET Framework 4.5 以降で強力な暗号化を有効にするには、次のレジストリ キーを追加します。Using TLS 1.1 and TLS 1.2 with Office Online Server requires strong cryptography in .NET Framework 4.5 or higher. To enable strong cryptography in .NET Framework 4.5 or higher, add the following registry keys:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Wow6432Node\\Microsoft\\.NETFramework\\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

Windows Schannel での以前のバージョンの SSL および TLS の無効化Disable earlier versions of SSL and TLS in Windows Schannel

SSL および TLS のサポートを Windows Schannel 内で有効または無効にするには、Windows レジストリを編集します。SSL および TLS プロトコルのバージョンは、それぞれ独立して有効または無効にできます。1 つのプロトコル バージョンを有効または無効にするために、別のプロトコル バージョンを有効または無効にする必要はありません。SSL and TLS support are enabled or disabled in Windows Schannel by editing the Windows Registry. Each SSL and TLS protocol version can be enabled or disabled independently. You don't need to enable or disable one protocol version to enable or disable another protocol version.

Important

SSL 2.0 および SSL 3.0 のプロトコル バージョンはセキュリティ上の重大な脆弱性があるため、無効にすることをお勧めします。 > お客様は TLS 1.0 と TLS 1.1 を無効にして、プロトコルの最新バージョンのみを間違いなく使用することもできます。しかし、その場合には、最新バージョンの TLS プロトコルをサポートしていないソフトウェアとの互換性の問題が生じることがあります。お客様は、実稼働で実施する前にこのような変更内容をテストする必要があります。Microsoft recommends disabling SSL 2.0 and SSL 3.0 due to serious security vulnerabilities in those protocol versions. > Customers may also choose to disable TLS 1.0 and TLS 1.1 to ensure that only the newest protocol version is used. However, this may cause compatibility issues with software that doesn't support the newest TLS protocol version. Customers should test such a change before performing it in production.

Enabled レジストリ値は、プロトコル バージョンを使用できるかどうかを定義します。値が 0 に設定されているプロトコル バージョンは、既定で有効に設定されていようが、アプリケーションで明示的にそのプロトコル バージョンが要求されていようが、使用できません。値が 1 に設定されているプロトコル バージョンは、既定で有効に設定されている場合、またはアプリケーションで明示的にプロトコル バージョンが要求されている場合に使用できます。値が定義されていない場合は、オペレーティング システムによって決定される既定値が使用されます。The Enabled registry value defines whether the protocol version can be used. If the value is set to 0, the protocol version cannot be used, even if it is enabled by default or if the application explicitly requests that protocol version. If the value is set to 1, the protocol version can be used if enabled by default or if the application explicitly requests that protocol version. If the value is not defined, it will use a default value determined by the operating system.

DisabledByDefault レジストリ値は、プロトコル バージョンを既定で使用するかどうかを定義します。この設定は、アプリケーションが明示的にプロトコル バージョンの使用を要求していない場合にのみ適用されます。値を 0 に設定する場合、プロトコル バージョンは既定で使用されます。値を 1 に設定する場合、プロトコル バージョンは既定で使用されません。値が定義されていない場合は、オペレーティング システムによって決定される既定値が使用されます。The DisabledByDefault registry value defines whether the protocol version is used by default. This setting only applies when the application doesn't explicitly request the protocol versions to be used. If the value is set to 0, the protocol version will be used by default. If the value is set to 1, the protocol version will not be used by default. If the value is not defined, it will use a default value determined by the operating system.

Windows Schannel での SSL 2.0 サポートを無効にするには、次のレジストリ キーを追加します。To disable SSL 2.0 support in Windows Schannel, add the following registry keys:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 2.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

Windows Schannel での SSL 3.0 サポートを無効にするには、次のレジストリ キーを追加します。To disable SSL 3.0 support in Windows Schannel, add the following registry keys:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\SSL 3.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

Windows Schannel での TLS 1.0 サポートを無効にするには、次のレジストリ キーを追加します。To disable TLS 1.0 support in Windows Schannel, add the following registry keys:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.0\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

Windows Schannel での TLS 1.1 サポートを無効にするには、次のレジストリ キーを追加します。To disable TLS 1.1 support in Windows Schannel, add the following registry keys:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols\\TLS 1.1\\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000