Applicare TLS 1.2 per il servizio di registrazione di Microsoft Entra

Il servizio Registrazione dispositivi Microsoft Entra viene usato per connettere i dispositivi al cloud con un'identità del dispositivo. Il servizio Registrazione dispositivi Microsoft Entra supporta attualmente l'uso di Transport Layer Security (TLS) 1.2 per le comunicazioni con Azure. Per garantire la sicurezza e la crittografia ottimale, Microsoft consiglia di disabilitare TLS 1.0 e 1.1. Questo documento fornisce informazioni su come assicurarsi che i computer usati per completare la registrazione e comunicare con il servizio Registrazione dispositivi Microsoft Entra usino TLS 1.2.

Il protocollo TLS versione 1.2 è un protocollo di crittografia progettato per consentire le comunicazioni sicure. Lo scopo principale del protocollo TLS è garantire la privacy e l'integrità dei dati. TLS è stato sottoposto a numerose iterazioni con la versione 1.2 definita nell'RFC 5246 (collegamento esterno).

L'analisi corrente delle connessioni mostra poco utilizzo di TLS 1.1 e 1.0, ma vengono fornite queste informazioni in modo da poter aggiornare tutti i client o i server interessati in base alle esigenze prima che il supporto per TLS 1.1 e 1.0 termini. Se si usa un'infrastruttura locale per scenari ibridi o Active Directory Federation Services (AD FS), assicurarsi che l'infrastruttura possa supportare connessioni in ingresso e in uscita che usano TLS 1.2.

Aggiornare i server Windows

Per i server Windows che usano il servizio Registrazione dispositivi Microsoft Entra o fungono da proxy, seguire questa procedura per assicurarsi che TLS 1.2 sia abilitato:

Importante

Dopo aver aggiornato il Registro di sistema, è necessario riavviare il server Windows per applicare le modifiche.

Abilitare TLS 1.2

Verificare che le stringhe del Registro di sistema seguenti siano configurate come illustrato:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
    • "DisabledByDefault"=dword:00000000
    • "Enabled"=dword:00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
    • "DisabledByDefault"=dword:00000000
    • "Enabled"=dword:00000001
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319
    • "SchUseStrongCrypto"=dword:00000001

Aggiornare i proxy non Windows

Tutti i computer che fungono da proxy tra i dispositivi e il servizio registrazione dispositivi Microsoft Entra devono assicurarsi che TLS 1.2 sia abilitato. Seguire le indicazioni del fornitore per garantire il supporto.

Aggiornare i server AD FS

Tutti i server AD FS usati per comunicare con il servizio Registrazione dispositivi Microsoft Entra devono assicurarsi che TLS 1.2 sia abilitato. Per informazioni su come abilitare/verificare questa configurazione, vedere Gestione di protocolli SSL/TLS e pacchetti di crittografia per AD FS.

Aggiornamenti client

Poiché tutte le combinazioni client-server e browser-server devono usare TLS 1.2 per connettersi al servizio Registrazione dispositivi Microsoft Entra, potrebbe essere necessario aggiornare questi dispositivi.

I client seguenti non sono in grado di supportare TLS 1.2. Aggiornare i client per garantire l'accesso ininterrotto.

  • Android versione 4.3 e precedenti
  • Firefox versione 5.0 e precedenti
  • Internet Explorer versioni 8-10 in Windows 7 e versioni precedenti
  • Internet Explorer 10 in Windows Phone 8.0
  • Safari versione 6.0.4 in OS X 10.8.4 e versioni precedenti

Passaggi successivi

Panoramica di TLS/SSL (SSP Schannel)