Outlook 2016/2013/2010 から Exchange Online に接続する際に TLS 1.2 が利用されるようにする方法 (Windows 7 では作業が必要)


Update
TLS 1.1/1.0 の無効化は 2018 年 10 月 31 日に延期しました。MC128929 と KB4057306 で通知しております。
対策する内容は変わりませんので、できる限り早めの対応をお願いいたします。

弊社ではセキュリティ チームのブログ記事  [IT 管理者向け] TLS 1.2 への移行を推奨しています でも説明していますように TLS 1.2 の利用を推奨しており、Office 365 については Office 365 管理センターのメッセージセンターの MC128929KB4057306 で以下をご案内しています。

  • TLS 1.2 への移行が必要
  • 2018年 10 月 31 日に TLS 1.2 未満が無効化される予定 (※)

Outlook 2016/2013/2010 から Exchange Online へ接続する場合、Windows 8.1/10 では既定では OS で TLS 1.2 が有効であり WinHTTP でも有効にされているため追加の設定は必要ありませんが、Windows 7 では OS では TLS 1.2 が有効ですが WinHTTP では無効であるため、2018 年 10 月 31 日までに以下の作業を行って Outlook から WinHTTP で接続する際に TLS 1.2 が利用されるようにする必要があります。
対応を行わない場合は 10 月 31 日以降順次 TLS 1.2 未満が無効化され接続できなくなりますので、お早めの対応をお願いいたします。

(※) Office 365 のサービスでは 2018 年 10 月 31 日 より TLS 1.2 未満の無効化が順次開始されますが、一斉に TLS 1.2 未満の通信ができなくなるものではなく、作業が完了したものから順次接続もできなくなるものとなります。
なお、サポート ポリシーとしましては、10 月 31 日より TLS 1.2 未満を使用する構成はサポート外となります。

Outlook が実際に TLS 1.2 による通信を行っているか確認する方法については こちら の別記事でご紹介しています。
また、TLS 1.2への対応についてのよくある質問は こちら の記事でご紹介していますのでご確認ください。

この記事では、Windows 7 の場合に必要な作業をご紹介いたします。

 

1. Exchange アカウントを設定して利用する場合

Outlook から Exchange Online へは MAPI/HTTP で接続しており、Windows OS の WinHTTP を使用して接続が行われています。 以下の両方の作業を行い、WinHTTP から TLS 1.2 が利用されるように構成します。

  • WinHTTP で TLS 1.2 を利用できるようにするために、KB3140245 (英語 日本語機械翻訳) を適用する (Windows 7 SP1 必須)。
  • WinHTTP で既定で TLS 1.2 が利用されるようにするために、以下のレジストリを作成する。
    ※ 後述の「2」のレジストリ (Enabled と DisabledByDefault) の設定は必須ではありません。ただし、Enabled を意図的に 0 に設定している場合は TLS 1.2 を利用できません。
    ※ 両方のキーに値を作成すると、環境に応じたキーの値のみが読み込まれるため、両方作成しても問題ありません。
    ※ KB3140245 の適用とレジストリの作成は、どちらが先でも構いません。

Windows OS が 32 ビットの場合
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

Windows OS が 64 ビットの場合 (双方を追加)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

値の名前: DefaultSecureProtocols
値の種類: REG_DWORD
推奨値: 0x00000a00 (10 進数 : 2560)
※ TLS 1.1 + TLS 1.2 を有効にした値を推奨値として設定した場合となります。他のものも有効にする場合には、下記の参考をご確認ください。
KB3140245 の [Download] ボタンを押下して実行すると、上記のレジストリ設定が行われます。更新プログラムの適用は行われませんのでご注意ください。
※ 社内システムなどで WinHTTP による TLS 1.0 での接続が必要なサーバーがある場合、下記参考情報を元に値を 0x00000a80 に設定ください。

参考:
DefaultSecureProtocols には、以下の数値の論理和を指定します。
たとえば TLS 1.0+TLS 1.1+TLS 1.2 を設定したい場合は 0x00000a80 を設定します。

SSL 3.0 = 0x00000020
TLS 1.0 = 0x00000080
TLS 1.1 = 0x00000200
TLS 1.2 = 0x00000800

 

2. POP または IMAP アカウントを設定して利用する場合

以下の 2 つのレジストリを作成し、OS の SCHANNEL のプロバイダーに対して TLS 1.2 を有効にします。
※前述の「1」のレジストリ (DefaultSecureProtocols)  の設定は必須ではありませんが、他の WinHTTP アプリケーションの利用を考慮してあわせて設定することを推奨いたします。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client

値の名前: Enabled
値の種類: REG_DWORD
値のデータ: 1

値の名前: DisabledByDefault
値の種類: REG_DWORD
値のデータ: 0


参考

  • レジストリはグループ ポリシーの [コンピューターの構成]-[基本設定]-[Windows の設定]-[レジストリ] に設定することで展開することができます。設定方法については こちらの記事 をご覧ください。
  • Outlook では Office 共通の動作や先進認証、SharePoint への接続や RSS フィードの購読など一部の動作では WinINet での接続を行います。WinINet で TLS 1.2 が利用されるようにするには、Internet Explorer のインターネット オプションの [詳細設定] タブにある [TLS 1.2 の使用] をオンに設定します。Internet Explorer 11 では既定では [TLS 1.2 の使用] はオンに設定されています。
  • Outlook on the Web (OotW/OWA) で TLS 1.2 が使用されるようにするには、Internet Explorer のインターネット オプションの [詳細設定] タブにある [TLS 1.2 の使用] をオンに設定します。
  • Outlook for iOSOutlook for Android は、今回の TLS 1.2 未満の無効化の影響は受けません。
    既定のメール アプリは OS のバージョンなどに依存するため、製造元までご相談ください。
  • WinHTTP が参照するレジストリ DefaultSecureProtocols は、既定では作成されていません。
    その場合は、Windows 7/8 では SSL 3.0 と TLS 1.0 のみ、Windows 8.1/10 では SSL 3.0/TLS 1.0/1.1/1.2   が使用されます。
  • 現在 TLS 1.2 を使用して接続しているかを Outlookの UI  やコマンドを使用して確認することはできません。Network Monitor を使用してネットワーク キャプチャを採取して確認することができます。確認方法の例を こちらのブログ  でご紹介しています。
    こちらのブログ こちらのブログ で紹介している Qualys SSL Labs のサイトを使用する方法は WinINet 接続の TLS のバージョンをチェックする方法です。WinHTTP 接続の TLS のバージョンをチェックすることはできません。
  • Office のみが WinHTTP での接続時に TLS 1.2 を利用するように構成する方法として、以下の方法があります。
    Office のみで TLS 1.2 を利用する必要がある場合はこちらの方法での対応をご検討ください。
    WinHttpSecureProtocols に設定する値は前述の DefaultSecureProtocols と同じです。

    Office 2016 MSI Office のみを制御する方法はない
    C2R バージョン 1601 以降に更新し、
    HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Internet に WinHttpSecureProtocols を作成
    Office 2013 MSI 2015/9 にリリースされた KB3085480 以降を適用して Mso.dll 15.0.4753.1001 以降に更新し、
    HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\Internet に WinHttpSecureProtocols を作成
    C2R 2015/9 にリリースされた 15.0.4753.1003 以降に更新し、
    HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\Internet に WinHttpSecureProtocols を作成
    Office 2010 MSI Office のみを制御する方法はない

※ 上記 WinHTTPSecureProtocols ではオフライン アドレス帳ダウンロードに使用される Windows OS の BITS の動作は変更されません。そのため、キャッシュ モードをご利用の場合は  DefaultSecureProtocols での制御をご検討ください。

補足:
C2Rか MSI かを確認する方法の詳細については、こちらのブログ をご覧ください。

C2R: クイック実行版とも呼ばれ、Office 365 ProPlus などを指す。Outlook の [ファイル] タブの [Office アカウント] の [Outlook のバージョン情報] ボタンの上に [更新オプション] ボタンが表示される。
MSI: ボリュームライセンスなどで提供される Office Professional Plus 2016 などを指す。Outlook の [ファイル] タブの [Office アカウント] の [Outlok のバージョン情報] ボタンの上に [更新オプション] ボタンが表示されない。


- 更新履歴
2018/1/12 更新: レジストリ DefaultSecureProtocols の推奨値を追記
2018/1/19 更新 : Windows 8 はサポートが終了している製品であるため、記載を削除 (Windows 8.1 以上にアップグレードしてご対応ください)
Windows 7 では OS では既定で TLS 1.2 が有効だが WinHTTP では無効であるため対応が必要であることがわかるように説明を追記。
2018/1/25 更新: Outlook for iOS/Outlook for Android は今回の TLS 1.2 未満の無効化の影響は受けないこと、既定のメール アプリは影響を受けることを追記。
2018/1/26 更新: Office 365 サービスの無効化は順次作業を行うため、一斉に通信ができなくなるものではないことを補足。
2018/1/31 更新: WinHTTP の DefaultSecureProtocols 追加が必要なレジストリに関する条件 (32 ビット OS/64 ビット OS) を変更


本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。

Skip to main content