Erzwingen von TLS 1.2 für den Microsoft Entra Registrierungsdienst

  • Artikel

Der Microsoft Entra Device Registration-Dienst wird verwendet, um Geräte mit einer Geräteidentität mit der Cloud zu verbinden. Der Microsoft Entra Device Registration-Dienst unterstützt derzeit die Verwendung von Transport Layer Security (TLS) 1.2 für die Kommunikation mit Azure. Um die Sicherheit und eine erstklassige Verschlüsselung sicherzustellen, empfiehlt Microsoft die Deaktivierung von TLS 1.0 und 1.1. In diesem Dokument finden Sie Informationen dazu, wie Sie sicherstellen können, dass auf zum Ausführen der Registrierung und zum Kommunizieren mit dem Microsoft Entra Device Registration-Dienst verwendeten Computern TLS 1.2 verwendet wird.

Das TLS-Protokoll (Version 1.2) ist ein Kryptografieprotokoll, das auf die Bereitstellung sicherer Kommunikation ausgelegt ist. Das TLS-Protokoll zielt in erster Linie darauf ab, Datenschutz und die Datenintegrität zu gewährleisten. TLS hat schon viele Iterationen durchlaufen, wobei Version 1.2 in RFC 5246 (externer Link) definiert ist.

Aus aktuellen Verbindungsanalysen geht eine geringe Verwendung von TLS 1.1 und TLS 1.0 hervor, aber wir stellen diese Informationen bereit, damit Sie alle betroffenen Clients oder Server ggf. aktualisieren können, bevor die Unterstützung für TLS 1.1 und TLS 1.0 endet. Wenn Sie eine lokale Infrastruktur für Hybridszenarien oder Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) verwenden, müssen Sie sicherstellen, dass die Infrastruktur sowohl eingehende als auch ausgehende Verbindungen unterstützen kann, die TLS 1.2 verwenden.

Aktualisieren von Windows-Servern

Führen Sie auf Windows-Servern, die den Microsoft Entra Device Registration-Dienst verwenden oder als Proxys fungieren, die folgenden Schritte aus, um sicherzustellen, dass TLS 1.2 aktiviert ist:

Wichtig

Nachdem Sie die Registrierung aktualisiert haben, müssen Sie den Windows-Server neu starten, damit die Änderungen wirksam werden.

Aktivieren von TLS 1.2

Stellen Sie sicher, dass die folgenden Registrierungszeichenfolgen wie folgt konfiguriert sind:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
    • "DisabledByDefault"=dword:00000000
    • "Enabled"=dword:00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
    • "DisabledByDefault"=dword:00000000
    • "Enabled"=dword:00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319
    • "SchUseStrongCrypto"=dword:00000001

Aktualisieren von Nicht-Windows-Proxys

Sie müssen sicherstellen, dass TLS 1.2 auf allen Computern aktiviert ist, die als Proxys zwischen Geräten und dem Microsoft Entra Device Registration-Dienst fungieren. Folgen Sie den Anweisungen des jeweiligen Herstellers, um die Unterstützung sicherzustellen.

Aktualisieren von AD FS-Servern

Sie müssen sicherstellen, dass TLS 1.2 auf allen AD FS-Servern aktiviert ist, die für die Kommunikation mit dem Microsoft Entra Device Registration-Dienst verwendet werden. Informationen zum Aktivieren/Überprüfen dieser Konfiguration finden Sie unter Verwalten von SSL/TLS-Protokollen und Verschlüsselungssammlungen für AD FS.

Clientupdates

Da alle Client-Server- und Browser-Server-Kombinationen TLS 1.2 verwenden müssen, um eine Verbindung mit dem Microsoft Entra Device Registration-Dienst herzustellen, müssen Sie diese Geräte möglicherweise aktualisieren.

Die folgenden Clients können TLS 1.2 bekanntermaßen nicht unterstützen. Aktualisieren Sie Ihre Clients, um den unterbrechungsfreien Zugriff sicherzustellen.

  • Android, Version 4.3 und früher
  • Firefox, Version 5.0 und früher
  • Internet Explorer, Version 8-10 unter Windows 7 und früher
  • Internet Explorer 10 unter Windows Phone 8.0
  • Safari, Version 6.0.4 unter OS X 10.8.4 und früher

Nächste Schritte

Übersicht über TLS/SSL (Schannel SSP)