treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

Windows7でOffice365ユーザは要注意の2018年3月1日

トラブルシューティング ネットワーク セキュリティ

Windows 7をその終焉まで使い倒す決意をしたユーザで、なおかつOffice365を使っている場合には注意が必要なことが3月1日以降に発生します。
それがExchange Onlineへの接続にTLS 1.2未満が順次廃止されるという仕様変更についてです。このことをご報告します。

3月1日以降に起こること

詳しくはこのTechNetブログに記載されています。

Outlook 2016/2013/2010 から Exchange Online に接続する際に TLS 1.2 が利用されるようにする方法 (Windows 7 では作業が必要) – Outlook Support Team Blog JAPAN

このブログによれば、2018年3月1日(以降)に順次TLS 1.2未満が無効化され接続できなくなる、とのこと。

-------------------------------------------------------
追記(2018-2-15):
コメント欄で情報提供いただきましたが、この内容は「2018 年 10 月 31 日に延期」となったようです。対処自体が必要なことには変わりませんが、時間的な猶予ができたようです。
参考URL:
https://support.microsoft.com/en-us/help/4057306/preparing-for-tls-1-2-in-office-365
以上、追記ここまで
-------------------------------------------------------

Exchange Onlineへの接続にはTLSが利用されているのですが、Windowsによってそのバージョンが違う、というのがポイントになります。
Windows8.1やWindows10であれば既定でTLS 1.2が有効でかつWinHTTPでも有効化されているため追加の設定が必要ない、とされています。
しかしWindows 7ではTLS 1.2が有効ではあるが、WinHTTPでは無効化されているため、3月1日以降に順次実施されるTLS 1.2未満の通信無効化(廃止)の影響を受けてExchange Onlineへの接続が出来なくなってしまう、という。

そこで2018年2月中には作業を実施して、OutlookによるWinHTTP接続をTLS 1.2が利用されるように設定する必要がある、というものです。

3月に入ってから、ある日突然「Office365、繋がらない…。」と困ることになるもしれませんね。
その前に、あらかじめ準備しておくのがよさそうです。

これ以降は自分で作業するときのためにメモ。

必要な対処

何をすればいいかというと、
1)Microsoft提供のKB3140245をダウンロードし、適用をする
2)WinHTTPが既定でTLS 1.2を利用するようレジストリ設定を実施

KB3140245についてはMicrosoft Update Catalogからダウンロードできます。

https://www.catalog.update.microsoft.com/search.aspx?q=kb3140245

※まじめにWindows Updateの適用を毎月実行しているのなら、特段個別に手動適用する必要はないようですね。最終更新日時が「2016/06/14 」と記載があるので2016年の6月のWindows Updateに含まれているようです。

KB3140245についての詳しい解説は以下URLから

https://support.microsoft.com/ja-jp/help/3140245/update-to-enable-tls-1-1-and-tls-1-2-as-a-default-secure-protocols-in

レジストリ編集の場所は

  • 32ビットOS:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
  • 64ビットOS(2箇所存在):HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

ここに「DefaultSecureProtocols」というキーを「REG_DWORD」で作成し、値を入力する。入力する値は「0x00000a00」10進数で指定する場合には「2560」で作成する。

※なお、<https://support.microsoft.com/ja-jp/help/3140245/update-to-enable-tls-1-1-and-tls-1-2-as-a-default-secure-protocols-in>の記事内にある「簡単な解決策」の箇所にある「Download」ボタンをクリックすることによって、Fixitの実行がされ、必要なレジストリ設定が自動実行できるようです。regeditを使った作業が手間な場合はFixItに頼った方がいいかもしれませんね。

ブラウザ経由の接続

OWAを利用している場合、ブラウザがTLS 1.2対応であることが必要なので、インターネットオプション(inetcpl.cpl)を起動して、「詳細設定」タブ、

f:id:treedown:20180209170058p:plain
この画面の「TLS 1.2の使用」という箇所にチェックが入っていればOK、ただこれはIEの既定の設定らしいので、特に気にしなくてもOWAは使えるってことになりますね。

結論

ここまでで気づいたのですが、毎月マジメにWindows Updateを適用できている人なら、残るはレジストリ設定なんですが、それすら、

https://support.microsoft.com/ja-jp/help/3140245/update-to-enable-tls-1-1-and-tls-1-2-as-a-default-secure-protocols-in

このURLに記載の「Download」ボタンをクリック一つでFixItを実行するだけでOK、

という簡単対応です。つまりやることはただ一つ、上記URLを開いてワンクリックってことですね。

Windows 7は既に過去のOSという扱いを受けているとはいえ、まだ2年使い倒したいユーザにとっては大事な環境ですから、手を掛けても延命したいですね。