SharePoint Server 2019 で TLS 1.1 および TLS 1.2 のサポートを有効にする

適用対象:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365

SharePoint Server 2019では、TLS プロトコル バージョン 1.0、1.1、および 1.2 が既定でサポートされています。 ただし、SharePoint 2019 環境で TLS プロトコル バージョン 1.1 と 1.2 のエンドツーエンドサポートを有効にするには、更新プログラムをインストールするか、次の場所で構成設定を変更する必要がある場合があります。

1. SharePoint ファーム内の SharePoint サーバー

2. SharePoint ファーム内の Microsoft SQL Server

3. SharePoint サイトへのアクセスに使用するクライアント コンピューター

重要

これらの場所でそれぞれ更新しない場合、TLS 1.1 または TLS 1.2 を使用してシステムどうしが接続できないリスクがあります。 その場合、システムは前のセキュリティ プロトコルにフォールバックしますが、前のセキュリティ プロトコルが無効な場合は、システムがまったく接続できなくなる可能性があります。

例： クライアント コンピューターが SharePoint サイトに接続できない場合があります。

更新処理の概要

次の図は、SharePoint サーバー、SQL Servers、クライアント コンピューター上で TLS 1.1 および TLS 1.2 のサポートを有効にするために必要な 3 つの手順から成る処理を示しています。

手順 1:SharePoint ファーム内の SharePoint サーバーを更新する

SharePoint Server 2019では、TLS プロトコル バージョン 1.0、1.1、および 1.2 が既定でサポートされています。 TLS 1.1 または TLS 1.2 のサポートを有効にするために、ファーム内の SharePoint サーバーに変更は必要ありません。 特定の TLS プロトコル バージョンを無効にする場合は、この手順に従って SharePoint サーバーを更新します。

SharePoint Server の手順	Windows Server 2016	Windows Server 2019
以下の手順は 省略可能 です。 組織のセキュリティとコンプライアンス要件に基づき、この手順を実行することもできます。
1.0 - Windows Schannel で以前のバージョンの TLS を無効にする	省略可能	オプション

1.0 - Windows Schannel で以前のバージョンの TLS を無効にする

SSL および TLS のサポートを Windows Schannel 内で有効または無効にするには、Windows レジストリを編集します。 SSL および TLS プロトコルのバージョンは、それぞれ独立して有効または無効にできます。 1 つのプロトコル バージョンを有効または無効にするために、別のプロトコル バージョンを有効または無効にする必要はありません。

重要

SSL 2.0 および SSL 3.0 は、Windows Server 2016および Windows Server 2019 では、これらのプロトコル バージョンの重大なセキュリティの脆弱性により、既定で無効になっています。

お客様は TLS 1.0 と TLS 1.1 を無効にして、プロトコルの最新バージョンのみを間違いなく使用することもできます。 しかし、その場合には、最新バージョンの TLS プロトコルをサポートしていないソフトウェアとの互換性の問題が生じることがあります。 お客様は、実稼働で実施する前にこのような変更内容をテストする必要があります。

Enabled レジストリ値は、プロトコル バージョンを使用できるかどうかを定義します。 値が 0 に設定されているプロトコル バージョンは、既定で有効に設定されていようが、アプリケーションで明示的にそのプロトコル バージョンが要求されていようが、使用できません。 値が 1 に設定されているプロトコル バージョンは、既定で有効に設定されている場合、またはアプリケーションで明示的にプロトコル バージョンが要求されている場合に使用できます。 値が定義されていない場合は、オペレーティング システムによって決定される既定値が使用されます。

DisabledByDefault レジストリ値は、プロトコル バージョンを既定で使用するかどうかを定義します。 この設定は、アプリケーションが明示的にプロトコル バージョンの使用を要求していない場合にのみ適用されます。 値を 0 に設定する場合、プロトコル バージョンは既定で使用されます。 値を 1 に設定する場合、プロトコル バージョンは既定で使用されません。 値が定義されていない場合は、オペレーティング システムによって決定される既定値が使用されます。

Windows Schannel で TLS 1.0 のサポートを無効にするには

1. Notepad.exe から、 tls10-disable.reg という名前のテキスト ファイルを作成します。

2. 次のテキストをコピーして貼り付けます。

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   

3. tls10-disable.reg ファイルを保存します。

4. tls10-disable.reg をダブルクリックします。

5. Yes をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

6. コンピューターを再起動して、変更内容を有効にします。

Windows Schannel で TLS 1.1 のサポートを無効にするには

1. Notepad.exe から、 tls11-disable.reg という名前のテキスト ファイルを作成します。

2. 次のテキストをコピーして貼り付けます。

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   

3. tls11-disable.reg ファイルを保存します。

4. tls11-disable.reg ファイルをダブルクリックします。

5. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

6. コンピューターを再起動して、変更内容を有効にします。

手順 2:SharePoint ファーム内の Microsoft SQL Server を更新する

SQL Server 2016 および SQL Server 2017 では、Windows Server 2016 および Windows Server 2019 で TLS プロトコル バージョン 1.0、1.1、および 1.2 が既定でサポートされます。 TLS 1.1 または TLS 1.2 のサポートを有効にするために、SharePoint ファームの SQL サーバーに変更は必要ありません。 SQL Serverでの TLS サポートの詳細については、MICROSOFT SQL Serverの TLS 1.2 サポートに関する KB 記事を参照してください。

特定の TLS プロトコル バージョンを無効にする場合は、この手順に従って SharePoint ファーム内の SQL Server を更新します。

SQL Server の手順を実行します。	Windows Server 2016	Windows Server 2019
以下の手順は 省略可能 です。 組織のセキュリティとコンプライアンス要件に基づき、この手順を実行することもできます。
2.1 - Windows Schannel で以前のバージョンの TLS を無効にする	省略可能	オプション

2.1 - Windows Schannel で以前のバージョンの TLS を無効にする

SSL および TLS のサポートを Windows Schannel 内で有効または無効にするには、Windows レジストリを編集します。 SSL および TLS プロトコルのバージョンは、それぞれ独立して有効または無効にできます。 1 つのプロトコル バージョンを有効または無効にするために、別のプロトコル バージョンを有効または無効にする必要はありません。

重要

SSL 2.0 および SSL 3.0 は、Windows Server 2016および Windows Server 2019 では、これらのプロトコル バージョンの重大なセキュリティの脆弱性により、既定で無効になっています。

お客様は TLS 1.0 と TLS 1.1 を無効にして、プロトコルの最新バージョンのみを間違いなく使用することもできます。 しかし、その場合には、最新バージョンの TLS プロトコルをサポートしていないソフトウェアとの互換性の問題が生じることがあります。 お客様は、実稼働で実施する前にこのような変更内容をテストする必要があります。

Enabled レジストリ値は、プロトコル バージョンを使用できるかどうかを定義します。 値が 0 に設定されているプロトコル バージョンは、既定で有効に設定されていようが、アプリケーションで明示的にそのプロトコル バージョンが要求されていようが、使用できません。 値が 1 に設定されているプロトコル バージョンは、既定で有効に設定されている場合、またはアプリケーションで明示的にプロトコル バージョンが要求されている場合に使用できます。 値が定義されていない場合は、オペレーティング システムによって決定される既定値が使用されます。

DisabledByDefault レジストリ値は、プロトコル バージョンを既定で使用するかどうかを定義します。 この設定は、アプリケーションが明示的にプロトコル バージョンの使用を要求していない場合にのみ適用されます。 値を 0 に設定する場合、プロトコル バージョンは既定で使用されます。 値を 1 に設定する場合、プロトコル バージョンは既定で使用されません。 値が定義されていない場合は、オペレーティング システムによって決定される既定値が使用されます。

Windows Schannel で TLS 1.0 のサポートを無効にするには

1. Notepad.exe から、 tls10-disable.reg という名前のテキスト ファイルを作成します。

2. 次のテキストをコピーして貼り付けます。

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   

3. tls10-disable.reg ファイルを保存します。

4. tls10-disable.reg ファイルをダブルクリックします。

5. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

6. コンピューターを再起動して、変更内容を有効にします。

Windows Schannel で TLS 1.1 のサポートを無効にするには

1. Notepad.exe から、 tls11-disable.reg という名前のテキスト ファイルを作成します。

2. 次のテキストをコピーして貼り付けます。

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   

3. tls11-disable.reg ファイルを保存します。

4. tls11-disable.reg ファイルをダブルクリックします。

5. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

6. コンピューターを再起動して、変更内容を有効にします。

手順 3:SharePoint サイトへのアクセスに使用するクライアント コンピューターを更新する

この手順に従って、SharePoint サイトにアクセスするクライアント コンピューターを更新します。

クライアント コンピューターの手順	Windows 7	Windows 8.1	Windows 10
3.1 - Windows Schannel での TLS 1.1 および TLS 1.2 の有効化	必須	N/A	該当なし
3.2 - WinHTTP での TLS 1.1 および TLS 1.2 のサポートの有効化	必須	N/A	N/A
3.3 - Internet Explorer での TLS 1.1 および TLS 1.2 のサポートの有効化	必須	N/A	N/A
3.4 - .NET Framework 4.5 以降での強力な暗号化の有効化	必須	必須	必須
3.5 - TLS 1.1 および TLS 1.2 のサポートのための .NET Framework 3.5 更新プログラムのインストール	必須	必須	必須
以下の手順を お勧めします 。 SharePoint Server 2019では直接必要ではありませんが、脆弱な暗号化アルゴリズムの使用を制限することで、セキュリティが向上します。
3.6 - .NET Framework 3.5 での強力な暗号化の有効化	推奨	推奨	推奨
以下の手順は 省略可能 です。 組織のセキュリティとコンプライアンス要件に基づき、この手順を実行することもできます。
3.7 - Windows Schannel での以前のバージョンの SSL および TLS の無効化	省略可能	省略可能	省略可能

3.1 - Windows Schannel での TLS 1.1 および TLS 1.2 の有効化

SSL および TLS のサポートを Windows Schannel 内で有効または無効にするには、Windows レジストリを編集します。 SSL および TLS プロトコルのバージョンは、それぞれ独立して有効または無効にできます。 1 つのプロトコル バージョンを有効または無効にするために、別のプロトコル バージョンを有効または無効にする必要はありません。

Enabled レジストリ値は、プロトコル バージョンを使用できるかどうかを定義します。 値が 0 に設定されているプロトコル バージョンは、既定で有効に設定されていようが、アプリケーションで明示的にそのプロトコル バージョンが要求されていようが、使用できません。 値が 1 に設定されているプロトコル バージョンは、既定で有効に設定されている場合、またはアプリケーションで明示的にプロトコル バージョンが要求されている場合に使用できます。 値が定義されていない場合は、オペレーティング システムによって決定される既定値が使用されます。

DisabledByDefault レジストリ値は、プロトコル バージョンを既定で使用するかどうかを定義します。 この設定は、アプリケーションが明示的にプロトコル バージョンの使用を要求していない場合にのみ適用されます。 値を 0 に設定する場合、プロトコル バージョンは既定で使用されます。 値を 1 に設定する場合、プロトコル バージョンは既定で使用されません。 値が定義されていない場合は、オペレーティング システムによって決定される既定値が使用されます。

Windows Schannel で TLS 1.1 のサポートを有効にするには

1. Notepad.exe から、 tls11-enable.reg という名前のテキスト ファイルを作成します。

2. 次のテキストをコピーして貼り付けます。

   Windows Registry Editor Version 5.00 
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   

3. tls11-enable.reg ファイルを保存します。

4. tls11-enable.reg ファイルをダブルクリックします。

5. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

6. コンピューターを再起動して、変更内容を有効にします。

Windows Schannel で TLS 1.2 のサポートを有効にするには

1. Notepad.exe から、 tls12-enable.reg という名前のテキスト ファイルを作成します。

2. 次のテキストをコピーして貼り付けます。

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   

3. tls12-enable.reg ファイルを保存します。

4. tls12-enable.reg ファイルをダブルクリックします。

5. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

6. コンピューターを再起動して、変更内容を有効にします。

3.2 - WinHTTP での TLS 1.1 および TLS 1.2 のサポートの有効化

WinHTTP は、その SSL および TLS 暗号化プロトコル バージョンの既定値を Windows Schannel DisabledByDefault レジストリ値から継承しません。 WinHTTP では独自の SSL および TLS 暗号化プロトコル バージョンの既定値を使用しますが、これはオペレーティング システムごとに異なります。 既定値をオーバーライドするには、KB 更新プログラムをインストールし、Windows レジストリ キーを構成する必要があります。

WinHTTP DefaultSecureProtocols レジストリ値は複数値を受け入れるビット フィールドであり、複数の値を合計して単一の値にします。 Windows 電卓プログラム (Calc.exe) をプログラマ モードで使用して、必要に応じて次の 16 進数の値を加算します。

DefaultSecureProtocols 値	説明
0x00000008	既定で SSL 2.0 を有効にします
0x00000020	既定で SSL 3.0 を有効にします
0x00000080	既定で TLS 1.0 を有効にします
0x00000200	既定で TLS 1.1 を有効にします
0x00000800	既定で TLS 1.2 を有効にします

たとえば、既定で TLS 1.0、TLS 1.1、TLS 1.2 を有効にできます。その場合、値 0x00000080、0x00000200、0x00000800 を合計して値 0x00000A80 にします。

WinHTTP KB 更新プログラムをインストールするには、KB の記事「WinHTTP が Windows での既定のセキュリティで保護されたプロトコルとして TLS 1.1 および TLS 1.2 を有効にする更新プログラム」の手順に従います。

WinHTTP で TLS 1.0、TLS 1.1、TLS 1.2 を既定で有効にするには

1. Notepad.exe から、 winhttp-tls10-tls12-enable.reg という名前のテキスト ファイルを作成します。

2. 次のテキストをコピーして貼り付けます。

   For 64-bit operating system

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
   "DefaultSecureProtocols"=dword:00000A80
   [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
   "DefaultSecureProtocols"=dword:00000A80
   

   For 32-bit operating system

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
   "DefaultSecureProtocols"=dword:00000A80
   

3. winhttp-tls10-tls12-enable.reg ファイルを保存します。

4. winhttp-tls10-tls12-enable.reg ファイルをダブルクリックします。

5. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

6. コンピューターを再起動して、変更内容を有効にします。

3.3 - Internet Explorer での TLS 1.1 および TLS 1.2 のサポートの有効化

Internet Explorer 11 より前の Internet Explorer バージョンでは、TLS 1.1 または TLS 1.2 のサポートは既定で有効になっていません。 Internet Explorer 11 以降では、TLS 1.1 および TLS 1.2 のサポートが既定で有効です。

Internet Explorer での TLS 1.1 および TLS 1.2 のサポートを有効にするには

1. Internet Explorer で、[ツール>] [インターネット オプション][詳細設定] > の順にクリックするか、Internet Explorer > の [Internet OptionsAdvanced] を>クリックします。

2. [ Security ] セクションで、次のチェック ボックスがオンになっていることを確認します。 オンになっていない場合、次のチェック ボックスをクリックします。

• TLS 1.1 を使用する

• TLS 1.2 を使用する

3. オプションで、前のセキュリティ プロトコル バージョンのサポートを無効にする場合は、次のチェック ボックスをオフにします。

• SSL 2.0 を使用する

• SSL 3.0 を使用する

• TLS 1.0 を使用する

  注:

  TLS 1.0 を無効にすると、新しいセキュリティ プロトコル バージョンをサポートしていないサイトとの互換性の問題が発生する場合があります。 お客様は、実稼働で実施する前にこの変更内容をテストする必要があります。

4. [OK] をクリックします。

3.4 - .NET Framework 4.5 以降での強力な暗号化の有効化

.NET Framework 4.5 以降は、その SSL および TLS セキュリティ プロトコル バージョンの既定値を Windows Schannel DisabledByDefault レジストリ値から継承しません。 代わりに、独自の SSL および TLS セキュリティ プロトコル バージョンの既定値を使用します。 既定値をオーバーライドするには、Windows レジストリ キーを構成する必要があります。

SchUseStrongCrypto レジストリ値により, .NET Framework 4.5 以降のセキュリティ プロトコル バージョンの既定値が SSL 3.0 または TLS 1.0 から TLS 1.0、TLS 1.1、または TLS 1.2 に変わります。 さらに、RC4 など、強固でないと見なされる暗号化アルゴリズムを TLS と併用することが制限されます。

.NET Framework 4.6 以降のためにコンパイルされているアプリケーションは、実際にはそうでなくても、 SchUseStrongCrypto レジストリ値が 1 に設定されているものとして動作します。 すべての .NET Framework アプリケーションで強力な暗号化を間違いなく使用するには、この Windows レジストリ値を構成する必要があります。

Microsoft は、Windows レジストリ キーを自動的に構成できる .NET Framework 4.5、4.5.1、4.5.2 のオプションのセキュリティ更新プログラムをリリースしました。 .NET Framework 4.6 以降の更新プログラムはありません。 .NET Framework 4.6 以降では、Windows レジストリ キーを手動で構成する必要があります。

For Windows 7 and Windows Server 2008 R2

• Windows 7 および Windows Server 2008 R2 で.NET Framework 4.5 および 4.5.1 で強力な暗号化を有効にするには、「MS14-026: .NET Frameworkの脆弱性により、特権の昇格が許可される可能性があります:2014 年 5 月 13 日 (以前は KB 記事 2938782 として公開されました。「.NET Framework 4.5 のセキュリティ更新プログラムの説明」.NET Framework 4.5.1 on Windows 7 Service Pack 1 および Windows Server 2008 R2 Service Pack 1: 2014 年 5 月 13 日")。

• Windows 7 および Windows Server 2008 R2 上の .NET Framework 4.5.2 で強力な暗号化を有効にするには、KB 記事「Windows 7 Service Pack 1 および Windows Server 2008 R2 Service Pack 1 用の .NET Framework 4.5.2 のセキュリティ更新プログラムについて (2014 年 5 月 13 日)」をご覧ください。

For Windows Server 2012

• Windows Server 2012 上の .NET Framework 4.5、4.5.1、4.5.2 で強力な暗号化を有効にするには、KB 記事「Windows 8、Windows RT、および Windows Server 2012 上の .NET Framework 4.5, .NET Framework 4.5.1、および .NET Framework 4.5.2 のセキュリティ更新プログラムについて (2014 年 5 月 13 日)」をご覧ください。

For Windows 8.1 and Windows Server 2012 R2

• Windows 8.1 および Windows Server 2012 R2 上の .NET Framework 4.5.1 および 4.5.2 で強力な暗号化を有効にするには、KB 記事「Windows 8.1、Windows RT 8.1、および Windows Server 2012 R2 上の .NET Framework 4.5.1 および .NET Framework 4.5.2 のセキュリティ更新プログラムについて (2014 年 5 月 13 日)」をご覧ください。

.NET Framework 4.6 以降で強力な暗号化を有効にするには

1. Notepad.exe から、 net46-strong-crypto-enable.reg という名前のテキスト ファイルを作成します。

2. 次のテキストをコピーして貼り付けます。

   For 64-bit operating system

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

   For 32-bit operating system

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

3. net46-strong-crypto-enable.reg ファイルを保存します。

4. net46-strong-crypto-enable.reg ファイルをダブルクリックします。

5. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

6. コンピューターを再起動して、変更内容を有効にします。

3.5 - TLS 1.1 および TLS 1.2 のサポートのための .NET Framework 3.5 更新プログラムのインストール

.NET Framework 3.5 では、既定で TLS 1.1 または TLS 1.2 をサポートしていません。 TLS 1.1 および TLS 1.2 のサポートを追加するには、このセクションに示すそれぞれのオペレーティング システムに対して KB の更新プログラムをインストールし、Windows レジストリ キーを構成する必要があります。

SystemDefaultTlsVersions レジストリ値は, .NET Framework 3.5 で使用されるセキュリティ プロトコル バージョンの既定値を定義します。 値が 0 に設定されている場合, .NET Framework 3.5 の既定値は SSL 3.0 or TLS 1.0 に設定されます。 値が 1 に設定されている場合, .NET Framework 3.5 はその既定値を Windows Schannel DisabledByDefault レジストリ値から継承します。 値が定義されていない場合は、値が 0 に設定されているものとして動作します。

.NET Framework 3.5 が Windows Schannel から暗号化プロトコルの既定値を継承できるようにするには

For Windows 7 and Windows Server 2008 R2

1. Windows 7 および Windows Server 2008 R2 の .NET Framework 3.5.1 更新プログラムをインストールするには、KB 記事「Windows 7 SP1 および Server 2008 R2 SP1 の .NET Framework 3.5.1 に含まれる TLS システム既定バージョンのサポート」をご覧ください

2. KB の更新プログラムをインストールした後は、レジストリ キーを手動で構成します。

For Windows Server 2012

1. Windows Server 2012 の .NET Framework 3.5 更新プログラムをインストールするには、KB の記事「Windows Server 2012 の .NET Framework 3.5 に含まれる TLS システム既定バージョンのサポート」をご覧ください。

2. KB の更新プログラムをインストールした後は、レジストリ キーを手動で構成します。

For Windows 8.1 and Windows Server 2012 R2

1. Windows 8.1 および Windows Server 2012 R2 の .NET Framework 3.5 SP1 更新プログラムをインストールするには、KB 記事「Windows 8.1 および Windows Server 2012 R2 の .NET Framework 3.5 に含まれる TLS システム既定バージョンのサポート」をご覧ください

2. KB の更新プログラムをインストールした後は、レジストリ キーを手動で構成します。

For Windows 10 (Version 1507)

• この機能は Windows 10 Version 1507 では使用できません。 Windows 10 Version 1511 にアップグレードし、次に Windows 10 Version 1511 および Windows Server 2016 Technical Preview 4 用の累積的な更新プログラム (2016 年 5 月 10 日) をインストールするか、Windows 10 Version 1607 以降にアップグレードする必要があります。

For Windows 10 (Version 1511)

1. Windows 10 Version 1511 および Windows Server 2016 Technical Preview 4 用の累積的な更新プログラム (2016 年 5 月 10 日) をインストールするには、「Windows 10 Version 1511 および Windows Server 2016 Technical Preview 4 用の累積的な更新プログラム (2016 年 5 月 10 日)」をご覧ください。

2. KB の更新プログラムをインストールした後は、レジストリ キーを手動で構成します。

Windows 10 (バージョン 1607) 以降、Windows Server 2016、および Windows Server 2019

更新プログラムをインストールする必要はありません。 以下に示すように、Windows レジストリ キーを構成します。

To manually configure the registry keys, do these steps.

1. Notepad.exe から、 net35-tls12-enable.reg という名前のテキスト ファイルを作成します。

2. 次のテキストをコピーして貼り付けます。

   For 64-bit operating system

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
   "SystemDefaultTlsVersions"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
   "SystemDefaultTlsVersions"=dword:00000001
   

   For 32-bit operating system

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
   "SystemDefaultTlsVersions"=dword:00000001
   

3. net35-tls12-enable.reg ファイルを保存します。

4. net35-tls12-enable.reg ファイルをダブルクリックします。

5. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

6. コンピューターを再起動して、変更内容を有効にします。

3.6 - .NET Framework 3.5 での強力な暗号化の有効化

SchUseStrongCrypto レジストリ値は、RC4 など、強固でないと見なされる暗号化アルゴリズムを TLS と併用することを制限します。

Microsoft は、Windows レジストリ キーを自動的に構成できる、Windows 10 より前のオペレーティング システム上の .NET Framework 3.5 用のオプションのセキュリティ更新プログラムをリリースしました。 Windows 10 用の更新プログラムは入手できません。 Windows 10 では Windows レジストリ キーを手動で構成する必要があります。

For Windows 7 and Windows Server 2008 R2

Windows 7 および Windows Server 2008 R2 上の .NET Framework 3.5.1 で強力な暗号化を有効にするには、KB 記事「Windows 7 Service Pack 1 および Windows Server 2008 R2 Service Pack 1 用の .NET Framework 3.5.1 のセキュリティ更新プログラムについて (2014 年 5 月 13 日)」をご覧ください。

For Windows Server 2012

Windows Server 2012 上の .NET Framework 3.5 で強力な暗号化を有効にするには、KB 記事「Windows 8 および Windows Server 2012 用の .NET Framework 3.5 のセキュリティ更新プログラムについて (2014 年 5 月 13 日)」をご覧ください。

For Windows 8.1 and Windows Server 2012 R2

Windows 8.1 および Windows Server 2012 R2 上の .NET Framework 3.5 で強力な暗号化を有効にするには、KB 記事「Windows 8.1 および Windows Server 2012 R2 用の .NET Framework 3.5 のセキュリティ更新プログラムについて (2014 年 5 月 13 日)」をご覧ください。

To enable strong cryptography in .NET Framework 3.5 on Windows 10

1. Notepad.exe から、 net35-strong-crypto-enable.reg という名前のテキスト ファイルを作成します。

2. 次のテキストをコピーして貼り付けます。

   For 64-bit operating system

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
   "SchUseStrongCrypto"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
   "SchUseStrongCrypto"=dword:00000001
   

   For 32-bit operating system

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
   "SchUseStrongCrypto"=dword:00000001
   

3. net35-strong-crypto-enable.reg ファイルを保存します。

4. net35-strong-crypto-enable.reg ファイルをダブルクリックします。

5. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

6. コンピューターを再起動して、変更内容を有効にします。

3.7 - Windows Schannel での以前のバージョンの SSL および TLS の無効化

SSL および TLS のサポートを Windows Schannel 内で有効または無効にするには、Windows レジストリを編集します。 SSL および TLS プロトコルのバージョンは、それぞれ独立して有効または無効にできます。 1 つのプロトコル バージョンを有効または無効にするために、別のプロトコル バージョンを有効または無効にする必要はありません。

重要

SSL 2.0 および SSL 3.0 のプロトコル バージョンはセキュリティ上の重大な脆弱性があるため、無効にすることをお勧めします。

お客様は TLS 1.0 と TLS 1.1 を無効にして、プロトコルの最新バージョンのみを間違いなく使用することもできます。 しかし、その場合には、最新バージョンの TLS プロトコルをサポートしていないソフトウェアとの互換性の問題が生じることがあります。 お客様は、実稼働で実施する前にこのような変更内容をテストする必要があります。

Enabled レジストリ値は、プロトコル バージョンを使用できるかどうかを定義します。 値が 0 に設定されているプロトコル バージョンは、既定で有効に設定されていようが、アプリケーションで明示的にそのプロトコル バージョンが要求されていようが、使用できません。 値が 1 に設定されているプロトコル バージョンは、既定で有効に設定されている場合、またはアプリケーションで明示的にプロトコル バージョンが要求されている場合に使用できます。 値が定義されていない場合は、オペレーティング システムによって決定される既定値が使用されます。

DisabledByDefault レジストリ値は、プロトコル バージョンを既定で使用するかどうかを定義します。 この設定は、アプリケーションが明示的にプロトコル バージョンの使用を要求していない場合にのみ適用されます。 値を 0 に設定する場合、プロトコル バージョンは既定で使用されます。 値を 1 に設定する場合、プロトコル バージョンは既定で使用されません。 値が定義されていない場合は、オペレーティング システムによって決定される既定値が使用されます。

Windows Schannel で SSL 2.0 のサポートを無効にするには

1. Notepad.exe から、 ssl20-disable.reg という名前のテキスト ファイルを作成します。

2. 次のテキストをコピーして貼り付けます。

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   

3. ssl20-disable.reg ファイルを保存します。

4. ssl20-disable.reg ファイルをダブルクリックします。

5. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

6. コンピューターを再起動して、変更内容を有効にします。

Windows Schannel で SSL 3.0 のサポートを無効にするには

1. Notepad.exe から、 ssl30-disable.reg という名前のテキスト ファイルを作成します。

2. 次のテキストをコピーして貼り付けます。

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   

3. ssl30-disable.reg ファイルを保存します。

4. ssl30-disable.reg ファイルをダブルクリックします。

5. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

6. コンピューターを再起動して、変更内容を有効にします。

Windows Schannel で TLS 1.0 のサポートを無効にするには

1. Notepad.exe から、 tls10-disable.reg という名前のテキスト ファイルを作成します。

2. 次のテキストをコピーして貼り付けます。

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   

3. tls10-disable.reg ファイルを保存します。

4. tls10-disable.reg ファイルをダブルクリックします。

5. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

6. コンピューターを再起動して、変更内容を有効にします。

Windows Schannel で TLS 1.1 のサポートを無効にするには

1. Notepad.exe から、 tls11-disable.reg という名前のテキスト ファイルを作成します。

2. 次のテキストをコピーして貼り付けます。

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
   "DisabledByDefault"=dword:00000001
   "Enabled"=dword:00000000
   

3. tls11-disable.reg ファイルを保存します。

4. tls11-disable.reg ファイルをダブルクリックします。

5. [ Yes ] をクリックして Windows レジストリを更新し、これらの変更内容を反映させます。

6. コンピューターを再起動して、変更内容を有効にします。