Microsoft 通过禁用 TLS 版本 1.0 和 1.1 来增强安全性,此举已在 2023 年 11 月 10 日宣布。 虽然由 Microsoft 实现的 TLS 1.0 和 TLS 1.1 版本未被发现漏洞,但 TLS 1.2 或更高版本提供了改进的安全功能,包括完美的前向保密性和更强的加密套件。 此更改有助于保护客户数据并确保符合行业标准。
Microsoft Entra 域服务支持 TLS 版本 1.0 和 1.1,但它们默认处于禁用状态。 域服务已取消禁用 仅 TLS 1.2 模式的选项。 禁用 TLS 1.2 仅模式的客户可以启用它。
可以使用 Azure 门户或 PowerShell 启用 仅 TLS 1.2 模式。
先决条件
需要Microsoft Entra ID 中的 应用程序管理员 和 组管理员 角色来更改安全设置,例如 仅 TLS 1.2 模式。
识别使用已弃用 TLS 版本的应用程序
在启用 TLS 1.2 仅模式之前,请务必确定仍使用 TLS 1.0 或 1.1 的应用程序,并更新它们或将其替换为支持 TLS 1.2 的替代项。 有关预期受影响的应用的详细信息,请参阅 Windows 中的 TLS 1.0 和 TLS 1.1 弃用。
以应用程序管理员和组管理员身份登录到 Microsoft Entra 管理中心。
搜索 域服务,然后选择域服务实例。
选择 “安全设置”。
如果 TLS 1.2 仅模式 设置为 “禁用”,则实例将启用 TLS 版本 1.0 和 1.1。 将 TLS 1.2 仅模式 设置为 “启用”,然后单击“ 保存”。
强制实施域安全更新后,此更改可能需要大约 10 分钟才能完成。
注释
在 2025 年 8 月 31 日之前,可以选择“ 禁用 ”以在更新或替换可能失败的应用时暂时允许旧版 TLS 流量。 再次选择 “启用 ”以保持合规。