クライアントが TLS 1.2 をサポートしていないときに、認証エラーが発生する
概要
以前にMicrosoft 365 管理 センターで伝えられていたように (たとえば、2021 年 2 月の通信MC240160)、すべてのオンライン サービスをトランスポート層セキュリティ (TLS) 1.2 以降に移行します。 この変更は 2020 年 10 月 15 日に開始されました。 TLS 1.2 以降のサポートは、今後数か月間、すべての Microsoft 365 環境に引き続き追加されます。 この変更に備える手順を実行していない場合は、Microsoft 365 への接続が影響を受ける可能性があります。
TLS 1.2 用に構成されていない.NET Framework
現象
SharePoint にアクセスすると、次の 1 つ以上のエラーが発生します。
トークン要求が失敗しました。 >--- System.Net.WebException: リモート サーバーからエラー (401) 未承認が返されました。 at System.Net.HttpWebRequest.GetResponse()
System.Net.WebException: 基になる接続が閉じられました:送信時に予期しないエラーが発生しました。
System.IO.IOException: トランスポート接続からデータを読み取ることができません:既存の接続がリモート ホストによって強制的に閉じられました。
System.Net.Sockets.SocketException: リモート ホストによって既存の接続が強制的に閉じられました。
ビジネス データ接続メタデータ ストアは現在使用できません。
解決方法
TLS 1.2 以降を有効にするために.NET Frameworkを構成する方法の詳細については、「強力な暗号化の構成」を参照してください。
OS で TLS 1.2 が有効になっていない
現象
認証の問題は、TLS 1.2 が有効になっていない古いオペレーティング システムとブラウザー、または従来の TLS プロトコルを強制する特定のネットワーク構成とプロキシ設定で発生します。
解決方法
Windows 10
解決策 1: 暗号スイートの設定を確認する
TLS 1.2 にアップグレードした後でも、暗号スイートの設定が Azure Front Door の要件と一致していることを確認することが重要です。Microsoft 365と Azure Front Door では暗号スイートのサポートが若干異なるためです。
TLS 1.2 の場合、次の暗号スイートが Azure Front Door でサポートされています。
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
暗号スイートを追加するには、グループ ポリシーを展開するか、「グループ ポリシーを使用して TLS 暗号スイートの順序を構成する」で説明されているようにローカル グループ ポリシーを使用します。
重要
暗号スイートの順序を編集して、これら 4 つのスイートがリストの一番上 (最高の優先順位) にあることを確認します。
Alternativley では、 Enable-TlsCipherSuite コマンドレットを使用して TLS 暗号スイートを有効にすることができます。 たとえば、次のコマンドを実行して、暗号スイートを最高の優先順位として有効にします。
Enable-TlsCipherSuite -Name "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384" -Position 0
このコマンドでは、TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 暗号スイートを、最高の優先順位である位置 0 の TLS 暗号スイート リストに追加します。
重要
Enable-TlsCipherSuite を実行した後、Get-TlsCipherSuite を実行して、暗号スイートの順序を確認できます。 順序に変更が反映されていない場合は、SSL 暗号スイートの順序グループ ポリシー設定で既定の TLS 暗号スイートの順序が構成されているかどうかを確認してください。
詳細については、「Azure Front Door でサポートされている現行の暗号スイートは何ですか?」を参照してください。
Windows 8、Windows 7 または Windows Server 2012/2008 R2 (SP1)
Windows 8、Windows 7 Service Pack 1 (SP1)、Windows Server 2012、または Windows Server 2008 R2 SP1 を使用している場合は、次の解決策を参照してください。
- Easy Fix ツールでは、TLS 1.1 と TLS 1.2 のセキュア プロトコル レジストリ キーを自動的に追加できます。 詳細については、「Windows の WinHTTP で TLS 1.1 および TLS 1.2 を既定のセキュリティで保護されたプロトコルとして有効にするための更新プログラム」を参照してください。
- Windows 8 の場合、KB 3140245 をインストールし、対応するレジストリ値を作成します。
- Windows Server 2012 の場合、Easy Fix ツール では、TLS 1.1 と TLS 1.2 のセキュア プロトコル レジストリ キーを自動的に追加できます。 Easy Fix ツールを実行した後も断続的な接続エラーが発生する場合は、DHE 暗号スイートを無効にすることを検討してください。 詳細については、「Windows で SQL Server に接続すると、アプリケーションで TLS 接続エラーが強制的に閉じられる」を参照してください。
SharePoint ライブラリにマップされたネットワーク ドライブ
現象
認証の問題または失敗は、SharePoint ライブラリにマップされているネットワーク ドライブを使用しようとすると発生します。
解決方法
この問題は、使用中のオペレーティング システムと、Web クライアントが TLS 1.2 をサポートしているかどうかが原因で発生する可能性があります。 TLS 1.2 のサポートは次のとおりです。
- KB 3140245をインストールし、対応するレジストリ値を作成した後、Windows 8と Windows 7 では TLS 1.2 がサポートされます。 詳細については、「Windows の WinHTTP で TLS 1.2 を既定のセキュリティで保護されたプロトコルとして有効にする更新プログラム」を参照してください。
- Windows 8.1は、2021 年第 3 四半期に予定されている更新プログラムの後に TLS 1.2 をサポートします。
- Windows 10は既に TLS 1.2 をサポートしています。
ブラウザーは TLS 1.2 をサポートしていません
現象
TLS 1.2 以降をサポートしていない既知のアプリから SharePoint にアクセスするための認証の問題または失敗が発生します。 次のブラウザーでは、TLS 1.2 はサポートされていません。
- Android 4.3 およびそれ以前のバージョン
- Firefox 5.0 およびそれ以前のバージョン
- Windows 7 以前のインターネット エクスプローラー 8-10
- Windows Phone 8 上の Internet Explorer 10
- Safari 6.0.4/OS X10.8.4 およびそれ以前のバージョン
解決方法
ブラウザーの新しいバージョンにアップグレードします。
最新バージョンの TLS と.NET Frameworkを使用しないAzure App Service
現象
Azure App Serviceを使用するときの認証の問題。
解決方法
- App Service インスタンスの最小 TLS バージョンを TLS 1.2 に設定します。 詳細については、「 TLS バージョンを適用する」を参照してください。
- 最新バージョンの.NET Frameworkを使用していることを確認します。
ハイブリッド検索がクロールに失敗するか、結果を返す
現象
Microsoft 365 で SharePoint でハイブリッド検索を使用すると、次の 1 つ以上の問題が発生します。
- クロールは失敗します。
- 結果は返されません。
- "既存の接続が強制的に閉じられた" などのエラー メッセージが表示されます。
解決方法
問題を解決するには、「 ハイブリッド検索がクロールに失敗するか、結果を返す」を参照してください。