こんなメールがやってきた
ある日のAzureからの通知メール
入院中の時だったのですが、こんなメールが来ました。
You’re receiving this email because you use Azure Active Directory.
[Microsoft Azure]
Update your machines to use TLS 1.2 for Azure AD Connect Agents
You’re receiving this email because you use Azure Active Directory.
We’re continually updating our services to ensure enhanced security and the best-in-class encryption. As a result, starting on October 31, 2019, Azure Active Directory (Azure AD) Connect agents such as the Pass-through Authentication agent and Provisioning agent will only accept TLS 1.2, and we will retire support for TLS 1.0 and 1.1 on this date.
Our records indicate that your organization has installed one of these agents and has servers connecting to Azure AD services using pre-TLS 1.2 protocols. To prepare for this change, make sure that all servers are updated to use TLS 1.2 to maintain connection to the Azure AD service.Required action
For servers with Azure AD agents installed, use the following steps to ensure TLS 1.2 is enabled by October 31, 2019:
Set these registry keys to enable TLS 1.2 on your Windows Server 2012 R2 or later:・・・・・・・(中略)・・・・・・
See TLS 1.2 in Office 365
https://support.microsoft.com/help/4057306/preparing-for-tls-1-2-in-office-365 for references and resourcesFor complete information see:
Azure AD Connect Pass-through Authentication Agent
https://docs.microsoft.com/azure/active-directory/hybrid/how-to-connect-pta-quick-start
Azure AD Connect Provisioning Agent
https://docs.microsoft.com/azure/active-directory/saas-apps/workday-inbound-tutorial#planning-deployment-of-azure-ad-connect-provisioning-agent
If you have questions, please contact usaadapfeedback@microsoft.com.
どうやら、2019年10月いっぱいでTLS1.2以外のAzure AD Connectの接続は行えなくなるようです。我が家のドメインコントローラはWindows Server 2008 R2を、Azure AD ConnectサーバにはWindows Server 2012 R2を使用していますが、システム上Windows Server 2012 R2はTLS1.1以前を使用してAzure ADとの同期をとっているように見受けられます。そこでMicrosoftから上記のようなメールがきたっぽいですね。
というわけで、この記載に従いTLS1.2を有効にし、これでAzure ADとの同期が行えるようレジストリ設定を変更することにしました。備忘録として手順をまとめます。
対象レジストリ
対象となるレジストリは以下の通りです。
操作区分 | レジストリキー | 型 | 値 |
新規作成 | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2 | キー | なし |
新規作成 | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client | キー | なし |
新規作成 | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server | キー | なし |
新規作成 | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client DisabledByDefault | DWORD | 0 |
新規作成 | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client Enabled | DWORD | 0 |
新規作成 | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server DisabledByDefault | DWORD | 1 |
新規作成 | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server Enabled | DWORD | 1 |
追加 | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft.NETFramework\v4.0.30319 SchUseStrongCrypto | DWORD | 1 |
レジストリ設定
もちろん、レジストリエディタを使用して設定します。

左記のようにレジストリキーを辿り、まずProtocols配下に「TLS 1.2」というキーを作成します。その次、TLS1.2キー配下にClient Serverのキーをそれぞれ作成します。

Client配下に2つのDWORD値を作成します。

Server配下に2つのDWORD値を作成します。

最後に.NET FrameworkのレジストリにDWORD値を追加します。
後は再起動することで反映されるようです。
Action Requiredメールには気をつけよう
AzureやOffice365を使用していると、そのユーザの利用状況に応じてこうした通知メールがMicrosoftから飛んできます。結構大規模なサービス仕様改定が行われる際、ユーザの操作が何かしら必要な場合はこうしてメール通知が行われますので、その中でも「Action Required」と明示的に書かれたメールはきちんと確認することをお勧めします。
そうしないと、知らないうちにシステムが正常に動かないだの、データが更新されないだの結構面倒なトラブルに発展することがあります。「そんなん気づけなかった!」と言われても、MSとしては通知は投げた訳なので、だだこねてもしゃーないことですので、こうしたところはちゃんとユーザがきちんと判断すべき話じゃないかなと思います。
Comments are closed