Outlook 2016/2013/2010 から Exchange Online に接続する際に TLS 1.2 が利用されるようにする方法 (Windows 7/8 では作業が必要)


2018/1/12 更新  レジストリ DefaultSecureProtocols の推奨値を追記いたしました。

弊社ではセキュリティ チームのブログ記事  [IT 管理者向け] TLS 1.2 への移行を推奨しています でも説明していますように、TLS 1.2 の利用を推奨しており、Office 365 については Office 365 管理センターのメッセージセンターの MC126199 や KB4057306 で以下をご案内しています。

  • TLS 1.2 への移行が必要
  • 2018年 3 月 1 日に TLS 1.2 未満のサポートが無効化される予定

Outlook 2016/2013/2010 から Exchange Online へ接続する場合、Windows 8.1/10 では既定で TLS 1.2 が有効にされているため追加の設定は必要ありませんが、Windows 7 や 8 では 2018 年 2 月末までに以下の作業を行って TLS 1.2 が利用されるようにする必要があります。

1. Exchange アカウントを設定して利用する場合

Outlook から Exchange Online へは MAPI/HTTP で接続しており、Windows OS の WinHTTP を使用して接続が行われています。 以下の両方の作業を行い、WinHTTP から TLS 1.2 が利用されるように構成します。

  • WinHTTP で TLS 1.2 を利用できるようにするために、KB3140245 (英語 日本語機械翻訳) を適用する (Windows 7の場合のみ)。
  • WinHTTP で既定で TLS 1.2 が利用されるようにするために、以下のレジストリを作成する。
    ※ 後述の「2」のレジストリ (Enabled と DisabledByDefault) の設定は必須ではありません

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
:「Windows 64 ビット上の Office 64 ビット」または「Windows 32 ビット上の Office 32 ビット」の場合HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
:「Windows 64 ビット上に Office 32 ビット」の場合

値の名前: DefaultSecureProtocols
値の種類: REG_DWORD
推奨値: 0x00000a00 (10 進数 : 2560)
※ TLS 1.1 + TLS 1.2 を有効にした値を推奨値として設定した場合となります。他のものも有効にする場合には、下記の参考をご確認ください。
KB3140245 の Easy Fix の [Download] ボタン を押下して実行すると、上記のレジストリが自動的に作成されます。

参考:
・DefaultSecureProtocols には、以下の数値の論理和を指定します。

SSL 3.0 = 0x00000020
TLS 1.0 = 0x00000080
TLS 1.1 = 0x00000200
TLS 1.2 = 0x00000800

2. POP または IMAP アカウントを設定して利用する場合

以下の 2 つのレジストリを作成し、OS の SCHANNEL のプロバイダーに対して TLS 1.2 を有効にします。
※前述の「1」のレジストリ (DefaultSecureProtocols)  の設定は必須ではありませんが、他の Winhttp アプリケーションの利用を考慮して併せて設定することを推奨いたします。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client

値の名前: Enabled
値の種類: REG_DWORD
値のデータ: 1

値の名前: DisabledByDefault
値の種類: REG_DWORD
値のデータ: 0


参考

  • Outlook では SharePoint への接続や RSS フィードの購読には WinInet で接続が行われます。
    WinInet での接続も利用しており WinInet に対しても TLS 1.2 が利用されるようにするには、Internet Explorer のインターネット オプションの [詳細設定] タブにある [TLS 1.2 の使用] をオンに設定します。
  • Outlook on the Web (OotW/OWA) で TLS 1.2 が使用されるようにするには、Internet Explorer のインターネット オプションの [詳細設定] タブにある [TLS 1.2 の使用] をオンに設定します。
  • WinHTTP が参照するレジストリ DefaultSecureProtocols は、既定では作成されていません。
    その場合は、Windows 7/8 では SSL 3.0 と TLS 1.0 のみWindows 8.1/10 では SSL 3.0, TLS 1.0/1.1/1.2 が使用されます。
  • 現在 TLS 1.2 を使用して接続しているかを Outlookの UI から確認することはできません。Network Monitor を使用してネットワーク キャプチャを採取し、ProtocolName == "TLS" でフィルターし Version のデータから確認することができます。
  • Office のみが WinHTTP での接続時に TLS 1.2 を利用するように構成する方法として、以下の方法があります。
    Office のみで TLS 1.2 を利用する必要がある場合はこちらの方法での対応をご検討ください。
    WinHttpSecureProtocols に設定する値は前述の DefaultSecureProtocols と同じです。

    Office 2016 MSI Office のみを制御する方法はない
    C2R バージョン 1601 以降に更新し、
    HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Internet に WinHttpSecureProtocols を作成
    Office 2013 MSI 2015/9 にリリースされた KB3085480 以降を適用して Mso.dll 15.0.4753.1001 以降に更新し、
    HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\Internet に WinHttpSecureProtocols を作成
    C2R 2015/9 にリリースされた 15.0.4753.1003 以降に更新し、
    HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\Internet に WinHttpSecureProtocols を作成
    Office 2010 MSI Office のみを制御する方法はない

補足:
C2Rか MSI かを確認する方法の詳細については、こちらのブログ記事 をご覧ください。

C2R: クイック実行版とも呼ばれ、Office 365 ProPlus などを指す。Outlook の [ファイル] タブの [Office アカウント] の [Outlook のバージョン情報] ボタンの上に [更新オプション] ボタンが表示される。
MSI: ボリュームライセンスなどで提供される Office Professional Plus 2016 などを指す。Outlook の [ファイル] タブの [Office アカウント] の [Outlok のバージョン情報] ボタンの上に [更新オプション] ボタンが表示されない。

本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。


Skip to main content