Azure AD Connect unterstützt die nachfolgenden Protokolle nicht mehr, da diese seit einiger Zeit als unsicher gelten.

  • TLS 1.0
  • TLS 1.1
  • 3DES (TLS_RSA_WITH_3DES_EDE_CBC_SHA)

Von der Deaktivierung der Protokolle können unter anderem die folgenden Services betroffen sein:

  • Azure AD Connect
  • Azure AD-PowerShell
  • Passthrough Authentication Agents (PTA)
  • Anwendungen mit Azure AD-Integration

Mit TLS 1.2 bleibt Azure AD Connect weiterhin lauffähig.

Azure AD Connect ab Version 2.0 setzt TLS 1.2 bereits voraus und ist von der Deaktivierung der veralteten Protokolle nicht betroffen.

Alle Versionen von Windows Server, die für Azure AD Connect V2.0 unterstützt werden, verwenden standardmäßig TLS 1.2. Wenn TLS 1.2 auf Ihrem Server nicht aktiviert ist, müssen Sie dieses Protokoll aktivieren, bevor Sie Azure AD Connect V2.0 bereitstellen können.

Azure AD Connect: TLS 1.2 enforcement for Azure Active Directory Connect | Microsoft Docs

Azure AD Connect: Prüfen der vorhanden Installation

Software Version

Die verwendete Version wird in MS365 Admin Center (https://admin.microsoft.com) unter Health > Directory sync status angezeigt:

Die aktuellste Version von Azure AD Connect kann unter folgenden Links heruntergeladen werden:

bis Windows Server 2012 R2:
Aktuellste Client Version 1.x
https://www.microsoft.com/en-us/download/details.aspx?id=103336

Ab Windows Server 2016
Aktuellste Client Version 2.x
https://www.microsoft.com/en-us/download/details.aspx?id=47594

Welche TLS Version verwendet Azure AD Connect?

Welche TLS Version verwendet die Azure AD Connect Installation nun wirklich für die Kommunikation?
Um dies herauszufinden, wird der Netzwerkverkehr ausgewertet. Mit einem Network Sniffer Tool wie z.B. Whireshark, wird die Kommunikation von Azure AD Connect aufgezeichnet und kann danach ausgewertet werden.

Es gibt viele Möglichkeiten, den Netzwerkverkehr aufzuzeichnen. Wir verwenden in unserem Beispiel die Möglichkeit der «Packet Caputre» Funktion von Fortigate und erstellen dafür den folgenden Filter:

Nun wird der Sniffer für die Aufzeichnung gestartet und mit PowerShell einen Azure AD Full Sync initiiert. Dadurch entfällt die Wartezeit bis zur nächsten regulären Synchronisation:

Die Netzwerkaufzeichnung wird nach der Azure AD Connect Synchronisation gestoppt und die Datei in Whireshark geöffnet.

  1. Filter frame contains «microsoftonline.com» setzen
    Azure AD Connect stellt für die Synchronisation eine Verbindung zu einer der folgenden Webadressen her (siehe (3) in Screenshot):
    https://login.microsoftonline.com
    https://adminwebservice.microsoftonline.com
  2. Steht in der Spalte «Protocol» etwas anderes als «TLSv1.2», so kann mit den nachfolgenden Schritten weitergefahren werden.

TLS 1.2

Notwendige Registry Einträge prüfen

Das nachfolgende PowerShell Script prüft, ob die notwendigen Einträge in der Registry gesetzt sind. Dadurch wird die Kommunikation mit TLS 1.2 erzwungen.
(Quelle: microsoft.com)

Wenn die PowerShell Abfrage die folgenden Werte aus der Registry ausgibt, ist TLS 1.2 aktiviert und es benötigt keine weiteren Anpassungen mehr.

HKLM:\SOFTWARE\WOW6432Node\Microsoft.NETFramework\v4.0.30319
– SystemDefaultTlsVersions=1
– SchUseStrongCrypto=1

HKLM:\SOFTWARE\Microsoft.NETFramework\v4.0.30319
– SystemDefaultTlsVersions=1
– SchUseStrongCrypto=1

HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
– Enabled=1
– DisabledByDefault=0

HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
– Enabled=1
– DisabledByDefault=0

Zum Abschluss muss noch geprüft werden, dass Azure AD Connect tatsächlich TLS 1.2 verwendet: Welche TLS Version verwendet Azure AD Connect?

TLS 1.2 mit PowerShell erzwingen

Die notwendigen Einträge in der Registry werden mit nachfolgendem PowerShell Script erstellt.
(Quelle: microsoft.com)

Nach Ausführung des PowerShell Scripts muss der Server neu gestartet werden.

Zum Abschluss muss noch geprüft werden, dass Azure AD Connect tatsächlich TLS 1.2 verwendet: Welche TLS Version verwendet Azure AD Connect?


Folge mir auf LinkedIn, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.

Auf LinkedIn folgen