¿Por qué se está haciendo el cambio de TLS 1.0 y 1.1 a TLS 1.2 en servicios de Azure?

El 31 de enero de 2022, Microsoft anunció que dejará de admitir TLS 1.0 y TLS 1.1 en Azure AD. Estos protocolos y cifrados están en desuso por las siguientes razones:

• Para seguir los últimos estándares de cumplimiento para el Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP) .

• Para mejorar la seguridad cuando los usuarios interactúan con nuestros servicios en la nube.

¿Qué pasará durante la desactivación?

Es posible que las aplicaciones que se comunican o se autentican en Azure Active Directory no funcionen como se espera si NO pueden usar TLS 1.2 para comunicarse. Esta situación incluye Azure AD Connect, Azure AD PowerShell, conectores de Azure AD Application Proxy, agentes de PTA, navegadores heredados y aplicaciones integradas con Azure AD. Para mantener una conexión segura con Azure Active Directory (Azure AD) y los servicios de Microsoft 365, Microsoft ha cumplido una lista de elementos de acción para garantizar que sus aplicaciones cliente y el sistema operativo (SO) de cliente y servidor estén habilitados para TLS 1.2 y suites de cifrado modernas .

Debido a la desactivación de TLS 1.0/TLS 1.1, las conexiones a Azure DevOps Services pueden fallar si usa la compilación XAML, Visual Studio 2010, Visual Studio 2012 y Visual Studio 2013. Para Visual Studio, debe usar la versión .NET Framework 4.5.2 o superior para TLS 1.2. Recomendamos encarecidamente una actualización a la última versión de .NET Framework.

Esto puede afectar las operaciones de Git en Visual Studio 2017 contra Azure DevOps. La solución recomendada para este problema es simplemente actualizar a la última versión de Visual Studio 2017. La última versión de Visual Studio 2017 incluye las actualizaciones necesarias para los componentes que admiten la conexión a servidores TLS 1.2 Git.

Es posible que vea errores como:

fatal: Http Request Exception encountered. An error occurred while sending the request. while fetching or pushing to a Git repository.

Esto también afectará a servicios como Azure DevOps:

Ver más: https://devblogs.microsoft.com/devops/deprecating-weak-cryptographic-standards-tls-1-0-and-tls-1-1-in-azure-devops/

¿Cómo Nuvol puede apoyar?

1. ACTUALIZACIÓN DE LA SINCRONIZACIÓN DE DIRECTORIOS DE IDENTIDAD HÍBRIDA Y MEJORES PRÁCTICAS:

• Migrar de la federación a la autenticación en la nube mediante password hash sync (si es necesario)

• Crear dos nuevos servidores de AD Connect con la última versión de Azure AD Connect 2.0.

• Configuración de uno de los nuevos servidores de AD Connect como servidor provisional

• Cambiar de objectGUID a Consistency Guid como atributo Source Anchor (si es necesario)

Servicios adicionales: Esto puede ser modular al punto de arriba en caso de que se quiera en esa forma o todo empaquetado.

2. IMPLEMENTE UN INICIO DE SESIÓN ÚNICO (SSO) SIN PROBLEMAS Y UN RESTABLECIMIENTO DE CONTRASEÑA DE AUTOSERVICIO (SSPR)

• Habilite el inicio de sesión único sin interrupciones en Azure AD Connect.

• Cree un GPO con las direcciones URL necesarias para la implementación.

• Habilite la escritura diferida de contraseñas en Azure AD Connect.

3. AUTENTICACIÓN MODERNA:

• Habilite el nuevo portal de información de seguridad combinada.

• Habilite la autenticación moderna para Exchange Online.

• Habilite la autenticación moderna para SharePoint Online.

• Cree una directiva de autenticación para controlar la deshabilitación de la autenticación básica en el nivel de usuario para los servicios de Exchange Online.

• Cree una directiva de acceso condicional para controlar la deshabilitación de la autenticación básica en el nivel de inquilino para aplicaciones y servicios de Microsoft 365.

4. AUTENTICACIÓN MULTIFACTOR (MFA) Y POLÍTICAS DE LÍNEA BASE DE ACCESO CONDICIONAL:

• Convertir usuarios de MFA por usuario a MFA basado en acceso condicional (si es necesario)

• Habilite MFA con el acceso condicional de Azure AD.

• Habilitar MFA de directiva de CA para administradores

• Habilitar MFA de directiva de CA para todos los usuarios

• Habilitar la directiva de CA MFA para el acceso de invitados

• Habilitar CA Policy MFA para el Portal de administración de Azure

• Habilite la directiva de CA para permitir el acceso con MFA desde redes o ubicaciones que no sean de confianza.

• Habilite la directiva de CA para el nuevo portal de información de seguridad combinada.

• Habilitar la directiva de CA para bloquear el acceso por ubicación

Con Nuvol Cybersecurity Habilite la compatibilidad con TLS 1.2 en su entorno de Azure

Contáctenos a info@cybernuvol.com

Fuentes recomendadas:

Rechazo estándares criptográficos TLS1.0 y TLS1.1

https://devblogs.microsoft.com/devops/deprecating-weak-cryptographic-standards-tls-1-0-and-tls-1-1-in-azure-devops/

Habilite la compatibilidad con TLS 1.2

https://docs.microsoft.com/en-us/troubleshoot/azure/active-directory/enable-support-tls-environment?tabs=azure-monitor#why-this-change-is-being-made

Actualizacion Protocolos TLS 1.0 de Microsoft

https://stefanos.cloud/blog/tls-1-0-and-1-1-deprecation-in-azure-services/

#ActualizacionprotocolosTLS #AzureAD #TLSMicrosoft #ServiciodeConfiguracionTLSMicrosoft #SicronizacionDirectoriosdeIdentidad #ConfiguracionADConnect #AzureADConnect #HabilitarMFA #ServiciosMicrosoftPanama #ServiciosMicrosoftColombia #ServicioMicrosoftMexico #DirectivasdeautenticacionMicrosoft