為 Microsoft Entra 註冊服務強制執行 TLS 1.2
Microsoft Entra 裝置註冊服務是用來使用裝置身分識別將裝置連線到雲端。 Microsoft Entra 裝置註冊服務目前支援使用傳輸層安全性 (TLS) 1.2 來與 Azure 通訊。 為了確保安全性與最佳類別加密,Microsoft 建議停用 TLS 1.0 和 1.1。 本檔將提供有關如何確保用來完成註冊並與 Microsoft Entra 裝置註冊服務通訊的電腦使用 TLS 1.2 的相關資訊。
TLS 通訊協定 1.2 版是密碼編譯通訊協定,其設計目的是提供安全的通訊。 TLS 通訊協定主要是為了提供隱私權和資料完整性。 TLS 經過許多反復專案,版本 1.2 已在 RFC 5246 中定義 (外部連結)。
目前的連線分析顯示 TLS 1.1 和 1.0 使用量很少,但我們提供這項資訊,因此您可以在支援 TLS 1.1 和 1.0 之前視需要更新任何受影響的用戶端或伺服器。 如果您使用任何內部部署基礎結構進行混合式案例或Active Directory 同盟服務 (AD FS),請確定基礎結構可以同時支援使用 TLS 1.2 的輸入和輸出連線。
更新 Windows 伺服器
針對使用 Microsoft Entra 裝置註冊服務或做為 Proxy 的 Windows 伺服器,請使用下列步驟來確保 TLS 1.2 已啟用:
重要
更新登錄之後,您必須重新開機 Windows 伺服器,變更才會生效。
啟用 TLS 1.2
請確定已設定下列登錄字串,如下所示:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
- 「DisabledByDefault」=dword:00000000
- 「Enabled」=dword:00000001
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
- 「DisabledByDefault」=dword:00000000
- 「Enabled」=dword:00000001
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319
- 「SchUseStrongCrypto」=dword:00000001
更新非 Windows Proxy
在裝置與 Microsoft Entra 裝置註冊服務之間做為 Proxy 的任何機器,都必須確定已啟用 TLS 1.2。 請遵循廠商的指引,以確保支援。
更新 AD FS 伺服器
任何用來與 Microsoft Entra 裝置註冊服務通訊的 AD FS 伺服器都必須確定已啟用 TLS 1.2。 如需如何啟用/驗證此設定的資訊,請參閱 管理 AD FS 的 SSL/TLS 通訊協定和加密套件。
用戶端更新
由於所有用戶端-伺服器和瀏覽器伺服器組合都必須使用 TLS 1.2 來與 Microsoft Entra 裝置註冊服務連線,因此您可能需要更新這些裝置。
已知下列用戶端無法支援 TLS 1.2。 更新您的用戶端,以確保不中斷的存取。
- Android 4.3 版和更早版本
- Firefox 5.0 版和更早版本
- Windows 7 和更早版本上的 Internet Explorer 8-10 版
- Windows 電話 8.0 上的 Internet Explorer 10
- OS X 10.8.4 和更早版本上的 Safari 6.0.4 版