[Azure][Active Directory] Azure AD Connectの暗号化プロトコルをTLS1.2へ強制する

こんなメールがやってきた

ある日のAzureからの通知メール

入院中の時だったのですが、こんなメールが来ました。

You’re receiving this email because you use Azure Active Directory.


[Microsoft Azure]
Update your machines to use TLS 1.2 for Azure AD Connect Agents
You’re receiving this email because you use Azure Active Directory.
We’re continually updating our services to ensure enhanced security and the best-in-class encryption. As a result, starting on October 31, 2019, Azure Active Directory (Azure AD) Connect agents such as the Pass-through Authentication agent and Provisioning agent will only accept TLS 1.2, and we will retire support for TLS 1.0 and 1.1 on this date.
Our records indicate that your organization has installed one of these agents and has servers connecting to Azure AD services using pre-TLS 1.2 protocols. To prepare for this change, make sure that all servers are updated to use TLS 1.2 to maintain connection to the Azure AD service.

Required action
For servers with Azure AD agents installed, use the following steps to ensure TLS 1.2 is enabled by October 31, 2019:
Set these registry keys to enable TLS 1.2 on your Windows Server 2012 R2 or later:

・・・・・・・(中略)・・・・・・

See TLS 1.2 in Office 365
https://support.microsoft.com/help/4057306/preparing-for-tls-1-2-in-office-365 for references and resources

For complete information see:
Azure AD Connect Pass-through Authentication Agent
https://docs.microsoft.com/azure/active-directory/hybrid/how-to-connect-pta-quick-start
Azure AD Connect Provisioning Agent
https://docs.microsoft.com/azure/active-directory/saas-apps/workday-inbound-tutorial#planning-deployment-of-azure-ad-connect-provisioning-agent
If you have questions, please contact usaadapfeedback@microsoft.com.

どうやら、2019年10月いっぱいでTLS1.2以外のAzure AD Connectの接続は行えなくなるようです。我が家のドメインコントローラはWindows Server 2008 R2を、Azure AD ConnectサーバにはWindows Server 2012 R2を使用していますが、システム上Windows Server 2012 R2はTLS1.1以前を使用してAzure ADとの同期をとっているように見受けられます。そこでMicrosoftから上記のようなメールがきたっぽいですね。
というわけで、この記載に従いTLS1.2を有効にし、これでAzure ADとの同期が行えるようレジストリ設定を変更することにしました。備忘録として手順をまとめます。

対象レジストリ

対象となるレジストリは以下の通りです。

操作区分レジストリキー
新規作成HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2キーなし
新規作成HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client キーなし
新規作成HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server キーなし
新規作成HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
DisabledByDefault
DWORD0
新規作成HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
Enabled
DWORD0
新規作成HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
DisabledByDefault
DWORD1
新規作成HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
Enabled
DWORD1
追加HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319
SchUseStrongCrypto
DWORD1

レジストリ設定

もちろん、レジストリエディタを使用して設定します。

左記のようにレジストリキーを辿り、まずProtocols配下に「TLS 1.2」というキーを作成します。その次、TLS1.2キー配下にClient Serverのキーをそれぞれ作成します。

Client配下に2つのDWORD値を作成します。

Server配下に2つのDWORD値を作成します。

最後に.NET FrameworkのレジストリにDWORD値を追加します。

後は再起動することで反映されるようです。

Action Requiredメールには気をつけよう

AzureやOffice365を使用していると、そのユーザの利用状況に応じてこうした通知メールがMicrosoftから飛んできます。結構大規模なサービス仕様改定が行われる際、ユーザの操作が何かしら必要な場合はこうしてメール通知が行われますので、その中でも「Action Required」と明示的に書かれたメールはきちんと確認することをお勧めします。

そうしないと、知らないうちにシステムが正常に動かないだの、データが更新されないだの結構面倒なトラブルに発展することがあります。「そんなん気づけなかった!」と言われても、MSとしては通知は投げた訳なので、だだこねてもしゃーないことですので、こうしたところはちゃんとユーザがきちんと判断すべき話じゃないかなと思います。