Framtvinga TLS 1.2 för Microsoft Entra-registreringstjänsten
Registreringstjänsten för Microsoft Entra-enheter används för att ansluta enheter till molnet med en enhetsidentitet. Microsoft Entra Device Registration Service stöder för närvarande användning av TLS (Transport Layer Security) 1.2 för kommunikation med Azure. För att säkerställa säkerhet och förstklassig kryptering rekommenderar Microsoft att du inaktiverar TLS 1.0 och 1.1. Det här dokumentet innehåller information om hur du säkerställer att datorer som används för att slutföra registreringen och kommunicera med Microsoft Entra Device Registration Service använder TLS 1.2.
TLS-protokollet version 1.2 är ett kryptografiprotokoll som är utformat för att tillhandahålla säker kommunikation. Det främsta syftet med TLS-protokollet är att tillhandahålla sekretess och dataintegritet. TLS har gått igenom många iterationer där version 1.2 definieras i RFC 5246 (extern länk).
Den aktuella analysen av anslutningar visar liten TLS 1.1- och 1.0-användning, men vi tillhandahåller den här informationen så att du kan uppdatera alla berörda klienter eller servrar efter behov innan stödet för TLS 1.1 och 1.0 upphör. Om du använder någon lokal infrastruktur för hybridscenarier eller Active Directory Federation Services (AD FS) (AD FS) kontrollerar du att infrastrukturen har stöd för både inkommande och utgående anslutningar som använder TLS 1.2.
Uppdatera Windows-servrar
För Windows-servrar som använder Registreringstjänsten för Microsoft Entra-enheter eller fungerar som proxyservrar använder du följande steg för att säkerställa att TLS 1.2 är aktiverat:
Viktigt!
När du har uppdaterat registret måste du starta om Windows-servern för att ändringarna ska börja gälla.
Aktivera TLS 1.2
Se till att följande registersträngar är konfigurerade enligt följande:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
- "DisabledByDefault"=dword:00000000
- "Enabled"=dword:00000001
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
- "DisabledByDefault"=dword:00000000
- "Enabled"=dword:00000001
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319
- "SchUseStrongCrypto"=dword:00000001
Uppdatera proxyservrar som inte kommer från Windows
Alla datorer som fungerar som proxyservrar mellan enheter och Microsoft Entra Device Registration Service måste se till att TLS 1.2 är aktiverat. Följ leverantörens vägledning för att säkerställa support.
Uppdatera AD FS-servrar
Alla AD FS-servrar som används för att kommunicera med Microsoft Entra Device Registration Service måste se till att TLS 1.2 är aktiverat. Mer information om hur du aktiverar/verifierar den här konfigurationen finns i Hantera SSL/TLS-protokoll och chiffersviter för AD FS .
Klientuppdateringar
Eftersom alla kombinationer av klient-server och webbläsarserver måste använda TLS 1.2 för att ansluta till Microsoft Entra-enhetsregistreringstjänsten kan du behöva uppdatera dessa enheter.
Följande klienter är kända för att inte kunna stödja TLS 1.2. Uppdatera dina klienter för att säkerställa oavbruten åtkomst.
- Android version 4.3 och tidigare
- Firefox version 5.0 och tidigare
- Internet Explorer version 8-10 på Windows 7 och tidigare
- Internet Explorer 10 i Windows Telefon 8.0
- Safari version 6.0.4 på OS X 10.8.4 och tidigare