[重要] Office 365 の TLS 1.0/1.1 廃止に伴う Skype for Business の対応

こんにちは、 Japan Lync/Skype for Business サポートチームです。

 

メッセージセンターや下記公開情報で公開されている通り、2018 年 10 月 31 日以降、Skype for Business Online を含む Office 365 全体において TLS 1.0/1.1 のサポートが廃止されます。

Title : Office 365での TLS 1.2 の必須使用に対する準備
URL : https://support.microsoft.com/ja-jp/help/4057306

 

これに伴う  Skype for Business 関連の準備・対応については、下記 Blog にて情報を公開しています。

Title : Preparing for TLS 1.0/1.1 Deprecation - O365 Skype for Business
URL : https://techcommunity.microsoft.com/t5/Skype-for-Business-Blog/Preparing-for-TLS-1-0-1-1-Deprecation-O365-Skype-for-Business/ba-p/222247

 

Skype for Business 関連では、古いクライアントや電話機などで一部  TLS 1.0/1.1 廃止後は利用できなくなるものがあることや、バージョンアップなどの対応が必要となるケースもあります。重要な内容となりますため 、本 Blog でも詳細についてご説明したいと思いますので、ご確認のうえ準備くださいますようお願いいたします。

 

1. クライアントからの Office 365 への接続性
   • 準備が必要なケース
   • Lync/Skype for Business クライアントの対応  *重要*
   • Windows OS の対応 (Windows 7 のみ)  *重要*
   • Windows OS の対応 (共通) *念のためご確認ください*
2. オンプレミス サーバーと Office 365 との連携
   • 準備が必要なケース
   • オンプレミス Lync/Skype for Business Server の対応 *重要*
3. Skype for Business Online と連携する 3 rd Party 製品について
4. その他の考慮事項

*注意* 本記事は、クライアントやオンプレミス Lync/Skype for Business Server で TLS 1.0/1.1 を無効化する方法について説明した記事ではありません。Office 365 のおいて TLS 1.0/1.1 が廃止され TLS 1.2 が強制されることに伴い、クライアントやオンプレミス Lync/Skype for Business Server と Office 365 が 2018 年 10 月 31 日以降も TLS 1.2 で通信できるようにするための準備について説明します。

 

1. クライアントからの Office 365 への接続性

準備が必要なケース

Skype for Business Online を利用している場合はもちろんのこと、Exchange Online を利用している場合にも準備が必要となります。これは Lync/Skype for Business のクライアントには、Exchange に接続する機能があるためです。

したがって、下記表の通り、Skype for Business Online/Exchange Online の少なくとも一方を使用している場合は、TLS 1.0/1.1 廃止に伴う準備が必要となるのでご注意ください。

 

また、オンプレミス Lync/Skype for Business Server および Exchange Server を利用している場合 (上記表の "No*" の場合) であっても、外部組織とのフェデレーションに関する考慮が必要となります。Skype for Business Online を利用している組織とのフェデレーションを行っている場合にも、TLS 1.0/1.1 廃止に伴う準備が必要です。

 

Lync/Skype for Business クライアントの対応  *重要*

TLS 1.0/1.1 が廃止され TLS 1.2  必須となった Office 365 に接続するためには、次の対応するバージョン以上のクライアントをご利用ください。 この要件を満たさないクライアントからの接続はサポートされませんので、必ずアップデートを行うようお願いいたします。

＜TLS 1.2 対応のクライアント・デバイスおよび最小バージョン＞

• Lync 2013/Skype for Business 2015 デスクトップ クライアント (MSI版/C2R 形式) (Basic 版を含む) 15.0.5023.1000 以上
• Skype for Business 2016 デスクトップ クライアント (MSI 版) (Basic 版を含む) 16.0.4678.1000 以上
• Skype for Business 2016 デスクトップ クライアント (C2R 形式)   2018 年 4 月 更新版以上
  • 月次チャネル・半期チャネル (対象指定) – 16.0.9126.2152 以上
  • 半期チャネル – 16.0.8431.2242 以上
• Skype for Business on Mac 16.15 以上
• Skype for Business for iOS and Android 6.19 以上
  ※ PC クライアントのバージョン確認についての注意 (2018/08/27 追記)
  クライアントによってはヘルプから確認するバージョンが適切な値を示しません。
  正確にバージョンを確認する方法については、以下の公開情報とブログ記事をご参照ください。
  Title : How to check the version of Skype for Business 2016
  URL : https://support.microsoft.com/en-us/help/3195481/how-to-check-the-version-of-skype-for-business-2016
  Title : Lync/Skype for Business の更新プログラム(CU) 一覧
  URL : https://blogs.msdn.microsoft.com/lync_support_team_blog_japan/2018/03/19/lync-cu/

 

なお、次のクライアント アプリケーションは TLS 1.2 に完全に対応していません。そのため、上述の対応するクライアント アプリケーションへの移行をご検討ください。

＜TLS 1.2 に対応していないクライアント・デバイス＞

• Lync for Mac 2011
• Lync 2013 for Mobile (iOS, iPad, Android, Windows Phone)
• Lync "MX" Windows ストア クライアント
• すべての Lync 2010 クライアント
• Lync Phone Edition   *LPE に関するガイダンスは、こちらをご参照ください。
• Lync Room System (いわゆる SRSv1)
  • LRS のオプション - SRSv1 (LRS) から SRS v2 へのアップグレードしてください。なお、これについては、引き続き弊社開発部門において確認中のため、追加のガイダンスが公開される予定です。

 

以下のデバイスは、現時点では TLS 1.2 に対応していません。しかし、弊社開発部門において引き続き確認が進められており、追加のガイダンスが公開される予定です。最新の情報については、TechCommunity の Blog 記事をご参照いただければと思いますが、本 Blog 記事についても追ってアップデートをお伝えさせていただきます。

＜継続確認中のデバイス＞

• Skype Room System (いわゆる 'SRSv2' / Rigel)
• Surface Hub

 

Windows OS の対応 (Windows 7 のみ)  *重要*

下記表の通り、Windows 8 以上の OS では TLS 1.2 が既定で有効になっているため、OS 側での追加の対応は必要ありません。Windows 7 をご利用の場合は TLS 1.2 が無効になっており対応が必要なため、本項の内容を参考にご対応ください。

 

Windows 7 で必要な対応は次の 2 つです。

• SCHANNEL のTLS 1.2 の有効化
• WinHTTP で TLS 1.2 を既定で有効にする

 

＜SCHANNEL のTLS 1.2 の有効化＞

このための対応としては、次の 2 つのレジストリ値を追加して、TLS 1.2 を有効にしてください。

キー : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client

値の名前 : Enabled (REG_DWORD)
値のデータ : 1

値の名前 : DisabledByDefault (REG_DWORD)
値のデータ : 0

 

＜WinHTTP で TLS 1.2 を既定で有効にする＞

このために必要な対応は、次の 2 点になります。

1) 更新プログラム  KB3140245 の適用

後述のレジストリ設定により TLS 1.2 を既定で有効にするため、次の更新プログラムを適用してください。なお、Windows 7 SP1 が前提となります。

Title : WinHTTP が Windows での既定のセキュリティで保護されたプロトコルとして TLS 1.1 および TLS 1.2 を有効にする更新プログラム.
URL :
・https://support.microsoft.com/ja-jp/help/3140245 (日本語、機械翻訳)
・https://support.microsoft.com/en-us/help/3140245 (英語、原文)

2) レジストリ値 DefaultSecureProtocols の設定

次のレジストリ値 DefaultSecureProtocols を追加し、Windows 7 SP1 で TLS 1.2 を既定で有効にしてください。

キー :
・x86 OS の場合: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
・x64 OS の場合 **両方のパスに追加** :
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
- HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
値の名前 : DefaultSecureProtocols (REG_DWORD)
値のデータ :
・TLS 1.2 のみ既定で有効にする場合: 0x00000800
・TLS 1.2/1.1 を既定で有効にする場合: 0x00000A00
・TLS 1.2/1.1/1.0 を既定で有効にする場合: 0x00000A80

DefaultSecureProtocols の詳細については、上述の技術情報 KB3140245 を参照してください。
また、Easy fix を使用して DefaultSecureProtocols の設定を行うことも可能です。この場合、上述の技術情報 KB3140245 の [Download] をクリックしてください。

 

Windows OS の対応 (共通) *念のためご確認ください*

＜WinInet の TLS 1.2 の有効化＞

Internet Explorer 11 がインストールされている場合、WinInet の TLS 1.2 は既定で有効になっています。しかし、この設定は、インターネット オプションの [詳細設定] から変更可能なため、念のため TLS 1.2 が有効な状態で展開されていることをご確認ください。

インターネット オプション >[詳細設定] タブ>  [TLS 1.2 の使用]

 

 

2. オンプレミス サーバーと Office 365 との連携

準備が必要なケース

ユーザーがオンプレミス Lync/Skype for Business Server にホストされている場合であっても、ハイブリッド展開やフェデレーションなど Office 365 との連携が発生するシナリオが考えられます。Skype for Business が関連する連携のシナリオと TLS 1.0/1.1 廃止に伴う準備の要否は、次の表の通りとなります。

*1 Exchange Server TLS guidance, part 1: Getting Ready for TLS 1.2 を参照

 

オンプレミス Lync/Skype for Business Server の対応

TLS 1.0/1.1 が廃止され TLS 1.2  必須となった Office 365 との連携のためには、次のバージョンへのアップデートを行ってください。

• Skype for Business Server 2015
  •  更新プログラム: CU6 HF2 (6.0.9319.516/2018 年 3 月の更新) 以上
  • OS : Windows Server 2012*, Windows Server 2012 R2, Windows Server 2016
• インプレース アップグレードの Skype for Business Server 2015
  • 更新プログラム : CU6 HF2 (6.0.9319.516/March 2018 update) 以上
  • OS : Windows Server 2008 R2*, Windows Server 2012*, Windows Server 2012 R2
• Lync Server 2013
  • 更新プログラム : CU10 (5.0.8308.1001/2018 年 7 月の更新) 以上
  • OS : Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2

*  KB3140245 もしくはその置き換えの更新プログラムを適用済みであること

オンプレミス Lync Server 2010 のハイブリッド展開のシナリオはサポートされません。オンプレミス Lync Server 2010 を利用している場合は、上述の Skype for Business Server 2015 CU HF2 以上へのアップグレードをお勧めします。
また、Office Communication Server 2007 R2 以前のサーバーとのハイブリッド展開についても、サポートされません。

 

3. Skype for Business Online と連携する 3 rd Party 製品について

Skype for Business Online では、Skype for Business Online と連携するアプリケーション開発のための SDK/API が提供されています。これらの SDK/API を使用して実装されたアプリケーションが TLS 1.2 に完全に対応しているかは、アプリケーションの実装に依存します。

そのため、これらの SDK/API を使用して実装された 3rd Party 製のアプリケーションを利用している場合は、アプリケーションの提供元に、アプリケーションが TLS 1.2 を完全にサポートしているかをご確認ください。また、これらの SDK/API を使用したアプリケーションを開発している場合は、下記ホワイトペーパーを参照し、アプリケーションが TLS 1.2 に対応にするよう評価・改修を行ってください。

Title : Whitpaper: Solving the TLS 1.0 Problem
URL : https://www.microsoft.com/download/details.aspx?id=55266

 

4. その他の考慮事項

フェデレーション認証を構成している場合には、下記 Blog を参考に AD FS/WAP (AD FS Proxy) の対応についてもご確認ください。

Title : Office 365 の TLS 1.0/1.1 無効化に伴う AD FS / WAP (AD FS Proxy) の対応
URL : https://blogs.technet.microsoft.com/jpazureid/2018/01/10/adfs-tls12/

また、ネットワーク観点では、Office 365 への経路上の Proxy サーバーやその他ネットワーク機器・セキュリティ デバイスにおける TLS 1.2 への対応状況についてもご確認くださいますようお願いします。

 

 

参考情報

Title : Office 365での TLS 1.2 の必須使用に対する準備
URL : https://support.microsoft.com/ja-jp/help/4057306

Title : Preparing for TLS 1.0/1.1 Deprecation - O365 Skype for Business
URL : https://techcommunity.microsoft.com/t5/Skype-for-Business-Blog/Preparing-for-TLS-1-0-1-1-Deprecation-O365-Skype-for-Business/ba-p/222247

Title : Whitpaper: Solving the TLS 1.0 Problem
URL : https://www.microsoft.com/download/details.aspx?id=55266

Title : WinHTTP が Windows での既定のセキュリティで保護されたプロトコルとして TLS 1.1 および TLS 1.2 を有効にする更新プログラム.
URL :
・https://support.microsoft.com/ja-jp/help/3140245 (日本語、機械翻訳)
・https://support.microsoft.com/en-us/help/3140245 (英語、原文)

Title : Certified Skype for Business Online Phones and what this means for Microsoft Teams
URL : https://techcommunity.microsoft.com/t5/Skype-for-Business-Blog/Certified-Skype-for-Business-Online-Phones-and-what-this-means/ba-p/120035

Title : Exchange Server TLS guidance, part 1: Getting Ready for TLS 1.2
URL : https://blogs.technet.microsoft.com/exchange/2018/01/26/exchange-server-tls-guidance-part-1-getting-ready-for-tls-1-2/

Title : Office 365 の TLS 1.0/1.1 無効化に伴う AD FS / WAP (AD FS Proxy) の対応
URL : https://blogs.technet.microsoft.com/jpazureid/2018/01/10/adfs-tls12/

Title : Outlook 2016/2013/2010 から Exchange Online に接続する際に TLS 1.2 が利用されるようにする方法 (Windows 7 では作業が必要)
URL : https://blogs.technet.microsoft.com/outlooksupportjp/2018/01/05/tls/

Title : Outlook クライアント TLS 1.2 対応についてよくある質問
URL : https://blogs.technet.microsoft.com/outlooksupportjp/2018/02/14/tlsfaq/

Title: Outlook が実際に TLS 1.2 を使用した通信を行っているか確認する方法
URL : https://blogs.technet.microsoft.com/outlooksupportjp/2018/01/23/outlook_tls_check/

 

 

免責事項:
本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。