Outlook クライアント TLS 1.2 対応についてよくある質問


Office 365 では 2018/10/31 から TLS 1.2 未満 (TLS 1.0/1.1) が無効化されるため、TLS 1.2 が有効に設定されていない Windows では TLS 1.2 を有効にする必要があります。Outlook クライアントでの TLS 1.2 への対応についてよくある質問を FAQ としてまとめましたのでご確認ください。
なお、具体的な作業は こちらのブログ記事 で紹介しています。

────────────────────────────────────────────────
目次
Q1. TLS 1.2 を利用できるように対策していないと、2018/10/31 から急に Office 365 に接続できなくなってしまうのですか?
Q2. Windows 7 (SP1 未適用) 、8 (8.1 未満)、Windows Server 2008 (R2 未満) では TLS 1.2 に対応できないのですか?
Q3. レジストリ DefaultSecureProtocols  はどのようなレジストリですか?
Q4. レジストリ DefaultSecureProtocols にはどの値を設定すればいいですか?
Q5. レジストリ DefaultSecureProtocols を変更した場合は、どのような影響がありますか?
Q6. レジストリ DefaultSecureProtocols はどこに作成すればいいですか? 両方作成しても構いませんか?
Q7. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp のキーは「Windows OS 64 ビット/Office 32 ビット」の組み合わせの場合は必要ないのでは?
Q8. SCHANNEL のレジストリを設定すると、どのような影響がありますか?
Q9. 毎月 WSUS を使用して重要な更新を適用している場合は、KB3140245 は既に適用されていますか?
Q10. 毎月 Windows Updateを使用して重要な更新を適用している場合は、KB3140245 は既に適用されていますか?
Q11. KB3140245 のサポート技術情報の [Download] ボタンをクリックしても、KB3140245 が適用されないのですが?
Q12. KB3140245 を含むロールアップはないのですか?
Q13. KB3140245 が適用されているかは、どのように確認すればよいですか?
Q14. レジストリを配布するには、どのような方法で行えばいいですか?
Q15. レジストリ DefaultSecureProtocols は、KB3140245 適用前に作成してもよいですか? 適用後に作成した方がいいですか?
Q16. Outlook が実際に TLS 1.2 で通信しているかは、どのように確認すればよいですか?
Q17. Internet Explorer の [インターネット オプション]-[詳細設定] で [TLS 1.2 の使用] をオンにする必要はないのですか?
Q18. Outlook 2016 for Mac では対応は必要ですか?
Q19. Outlook for iOS や Outlook for Android では対応は必要ですか?
Q20. Outlook on the Web (OotW/OWA) では対応は必要ですか?
Q21. iOS (iPhone/iPad) や Android の標準のメールでは対応は必要ですか?
Q22. Windows 10 Mobile の Outlook アプリでは対応は必要ですか?
Q23. 参考資料にはどういうものがありますか?
────────────────────────────────────────────────

 

Q1. TLS 1.2 を利用できるように対策していないと、2018/10/31 から急に Office 365 に接続できなくなってしまうのですか?

2018/10/31 から順次 TLS 1.2 未満の無効化が行われます。10/31 に一斉に接続できなくわけではなく、無効化を行ったサーバーに対して順次接続できなくなります。

Q2. Windows 7 (SP1 未適用) 、8 (8.1 未満)、Windows Server 2008 (R2 未満) では TLS 1.2 に対応できないのですか?

Windows 7 (SP1 未適用) と Windows 8 (8.1 未満) はサポートが終了している製品であり、Windows 7 SP1 またはWindows 8.1 以降への移行が必要です。Windows 7 (SP1 未適用) と Windows 8 (8.1 未満) には WinHTTP で TLS 1.2 を利用する機能を追加する KB3140245  (英語 日本語) を適用できないため、TLS 1.2 に対応することができません。

また、Windows Server 2008 (R2 未満)  は Windows Server 2008 R2 以降への移行が必要です。Windows Server 2008 (R2 未満) には WinHTTP で TLS 1.2 を利用する機能を追加する KB3140245 を適用できないため、WinHTTP で TLS 1.2 に対応することができません。
(KB4019276 (英語 日本語) は SCHANNEL が TLS 1.2 に対応するための更新プログラムであり、WinHTTP では TLS 1.2 に対応しません)

Q3. レジストリ DefaultSecureProtocols  はどのようなレジストリですか?

WinHTTP の通信が既定で利用できる TLS/SSL のバージョンを、以下の値の論理和で設定しておくためのレジストリです。

SSL 3.0 = 0x00000020
TLS 1.0 = 0x00000080
TLS 1.1 = 0x00000200
TLS 1.2 = 0x00000800

既定では作成されておらず、作成されていない場合は既定値の以下が利用されます。

Windows 7 SP1/8: SSL 3.0/TLS 1.0
Windows 8.1/10: SSL 3.0/TLS 1.0/1.1/1.2

Q4. レジストリ DefaultSecureProtocols にはどの値を設定すればいいですか?

マイクロソフトでは、セキュリティを考慮し以下の値を推奨しています。

0x00000a00 (TLS 1.1+1.2)

WinHTTP を使用して TLS 1.0 へ接続している可能性があり互換性を重視する場合は以下の値を設定します。

0x00000a80 (TLS 1.0+1.1+1.2)

ただし、SSL 3.0 については POODLE の脆弱性 も確認されていることから無効化することを強く推奨します。

Q5. レジストリ DefaultSecureProtocols を変更した場合は、どのような影響がありますか?

クライアントの DefaultSecureProtocols に設定されているTLS のバージョンと WinHTTP で接続したサーバーが利用できる TLS のバージョンを使用してネゴシエーションを行い、共通で利用できるもっとも高いバージョンが使用される動作になっています。
Windows 7 では既定では DefaultSecureProtocols として SSL 3.0+TLS 1.0 が使用されています。DefaultSecureProtocols に 0x00000a00 (TLS 1.1+1.2) を設定した場合は WinHTTP を使用して SSL 3.0 や TLS 1.0 を使用して接続する必要がある場合は接続ができなくなります。

たとえば、Windows 7  SP1 でまだ DefaultSecureProtocols を設定していない場合は、SSL 3.0+TLS 1.0 として扱われるため以下の動作となります。

・Exchange Online     : 現在は TLS 1.0 を使用して接続 (Office 365 で TLS 1.2 未満が無効化されると接続できなくなる)
・WinHTTP を使用して TLS 1.2 で接続する必要があるサーバー : 接続が失敗
・WinHTTP を使用して TLS 1.1 で接続する必要があるサーバー : 接続が失敗
・WinHTTP を使用して TLS 1.0 で接続する必要があるサーバー : TLS 1.0 を使用して接続

この環境に、KB3140245 を適用し DefaultSecureProtocols に 0x00000a00 (TLS 1.1+1.2) を設定した場合は以下の動作となり、TLS 1.0では接続することができなくなります。

・Exchange Online     : TLS 1.2 を使用して接続
・WinHTTP を使用して TLS 1.2 で接続する必要があるサーバー : TLS 1.2 を使用して接続
・WinHTTP を使用して TLS 1.1 で接続する必要があるサーバー : TLS 1.1 を使用して接続
・WinHTTP を使用して TLS 1.0 で接続する必要があるサーバー : 接続が失敗

WinHTTP を使用して TLS 1.0 で接続する必要がある場合や接続する可能性があることが懸念される場合は、0x00000a80 (TLS 1.0+1.1+1.2) を設定してください。
その場合は以下の動作となり、TLS 1.0でも接続することができます。

・Exchange Online    : TLS 1.2 を使用して接続
・WinHTTP を使用して TLS 1.2 で接続する必要があるサーバー : TLS 1.2 を使用して接続
・WinHTTP を使用して TLS 1.1 で接続する必要があるサーバー : TLS 1.1 を使用して接続
・WinHTTP を使用して TLS 1.0 で接続する必要があるサーバー : TLS 1.0 を使用して接続

Q6. レジストリ DefaultSecureProtocols はどこに作成すればいいですか? 両方作成しても構いませんか?

以下の場所に作成してください。
実際の環境に必要なキーからのみレジストリが読み込まれる動作となっておりWindows OS 32 ビットに両方のキーを作成しても問題ないため、Windows 64 ビットと 32 ビットが混在している場合は両方のキーを配布してください。

Windows OS 32 ビット:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

Windows OS 64 ビット:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp (64 ビット アプリ/64 ビット サービス用)
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp (32 ビット アプリ/32 ビット サービス用)

Q7. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp のキーは「Windows OS 64 ビット/Office 32 ビット」の組み合わせの場合は必要ないのでは?

Office 32 ビット自体は必要ありませんが、キャッシュモードの Outlook はオフライン アドレス帳のダウンロードを BITS という 64 ビットのサービスを使用して行っており、BITS も WinHTTP を使用するため設定が必要です。
BITS は Windows Updateにも使用されるサービスです。

Q8. SCHANNEL のレジストリを設定すると、どのような影響がありますか?

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client に以下のレジストリを作成した場合の意味は以下の通りです。

Enabled : 1 = 有効、0=無効 (該当の TLS のバージョンをクライアントとして有効にするかを指定する)
DisabledByDefault: 1=ネゴシエーションに使用しない、0=ネゴシエーションに使用する (アプリケーションが TLS のバージョンを明示的に指定せずに通信を開始した時に、該当のバージョンをクライアントとして通信を開始する際のネゴシエーションに使用するかを指定する)

Windows 7 SP1/2008/2008 R2 では、既定で DisabledByDefault は作成されていませんが  1 として扱われます。0 に変更した場合は、アプリケーションが TLS のバージョンを明示的に指定せずに通信を開始した時に、TLS 1.2 をネゴシエーションに使用する動作になります。
Enabled はどのバージョンの OS でも 1 であるため、1 を指定しても影響はありません。

Q9. 毎月 WSUS を使用して重要な更新を適用している場合は、KB3140245 は既に適用されていますか?

KB3140245 は WSUS の [分類] の [更新] に含まれる更新プログラムであるため、[分類] の [重要な更新] を配信対象にしていても [更新] を配信対象にしていない場合は、配信されません。
Microsoft Update カタログの活用法について の [A. 特定の更新プログラムのみ WSUS へインポートしたい] の手順に従って KB3140245 をインポートし、配信する必要があります。

Q10. 毎月 Windows Updateを使用して重要な更新を適用している場合は、KB3140245 は既に適用されていますか?

KB3140245 は [推奨される更新プログラム] であるため、Windows Update で重要な更新プログラムを自動インストールするように設定し [推奨される更新プログラムについても重要な更新プログラムと同様に通知する] がオンになっている場合は適用されています。
[推奨される更新プログラムについても重要な更新プログラムと同様に通知する] がオフになっている場合は適用されていないため、適用する必要があります。

↓[コントロール パネル]-[システムとセキュリティ]-[Windows Update]-[設定の変更]

Q11. KB3140245 のサポート技術情報の [Download] ボタンをクリックしても、KB3140245 が適用されないのですが?

KB3140245 (日本語  英語) の [Download] ボタンは、レジストリを作成するための Easy Fix というツールをダウンロードするためのボタンです。実行するとレジストリが作成されますが、KB3140245 の適用は行われません。

KB3140245 の適用は、以下のいずれかの方法で行ってください。
・Windows Update  から適用
Microsoft Update カタログ からダウンロード

Q12. KB3140245 を含むロールアップはないのですか?

KB3140245 には以下のファイルが含まれています。
以下のファイルより新しいファイルを2 つとも含む更新プログラムは、2018/2/14 時点ではありません。

Webio.dll (6.1.7601.23375)
Winhttp.dll (6.1.7601.23375)

Q13. KB3140245 が適用されているかは、どのように確認すればよいですか?

以下のファイル バージョンを確認し、両方または片方のファイルが 6.1.7601.23375 よりも古い場合は KB3140245 が適用されていないため、適用してください。

C:\Windows\System32\Webio.dll (6.1.7601.23375)
C:\Windows\System32\Winhttp.dll (6.1.7601.23375)

参考:
[重要な更新] だけ適用し [推奨される更新プログラム] は適用されていない環境では Webio.dll は古いままであるため、KB3140245 を適用する必要があります。

Q14. レジストリを配布するには、どのような方法で行えばいいですか?

たとえば、Microsoft System Center Configuration Management (SCCM) のようなレジストリを配布する製品をお持ちの場合をお持ちの場合は、その製品を使用して配布してください。
レジストリを配信するツールを持っていない場合は、以下の手順に従ってグループ ポリシーの [基本設定] の機能を使用してレジストリを配布することができます。

例:
1. グループ ポリシー管理エディターを起動します。
2. [コンピューターの構成]-[基本設定]-[Windows の設定]-[レジストリ] を選択します。
3. 同コンソールの [操作(A)] - [新規作成(N)] - [レジストリ項目] メニューを実行します。
4. [新しいレジストリのプロパティ] ダイアログの [全般] タブにおいて、各項目の値を以下の様に選択、あるいは入力して [OK] をクリックします。

アクション: 更新
ハイブ: HKEY_LOCAL_MACHINE (既定のまま)
キーのパス: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
値の名前: DefaultSecureProtocols
値の種類: REG_DWORD
値: 0x00000a00 (10 進数 : 2560)

5. 同様に、以下の項目も必要に応じて作成します。

アクション: 更新
ハイブ: HKEY_LOCAL_MACHINE (既定のまま)
キーのパス: SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
値の名前: DefaultSecureProtocols
値の種類: REG_DWORD
値: 0x00000a00 (10 進数 : 2560)

設定後にクライアント側でグループ ポリシーを即時反映させたい場合はコマンド プロンプトから gpupdate /force を実行ください。

(参考: アクションの説明)
作成 : 新しいレジストリ値、キーを作成します。
置換 : レジストリ値、またはキーを削除して再作成します。
更新 : レジストリ値、またはキーを変更し、レジストリ値、またはキーが存在しない場合には新しく作成します。
削除 : レジストリ値、およびキーとそれらのサブフォルダーをすべて削除します。

Q15. レジストリ DefaultSecureProtocols は、KB3140245 適用前に作成してもよいですか? 適用後に作成した方がいいですか?

レジストリ DefaultSecureProtocols の作成と KB3140245 の適用は、どちらが先でも構いません。
レジストリ DefaultSecureProtocols に TLS 1.2 を含む値が設定され、かつ KB3140245 が適用されていると、TLS 1.2 を含む値が正しく機能します。

Q16. Outlook が実際に TLS 1.2 で通信しているかは、どのように確認すればよいですか?

管理者が管理センターなどから一括で確認する方法はなく、クライアントで単純にコマンドなどで確認する方法はないため、Outlook が実際に TLS 1.2 を使用した通信を行っているか確認する方法  の記事の手順に従ってネットワーク キャプチャを採取して確認する必要があります。

Q17. Internet Explorer の [インターネット オプション]-[詳細設定] で [TLS 1.2 の使用] をオンにする必要はないのですか?

Internet Explorer の [インターネット オプション]-[詳細設定] にある [TLS 1.2 の使用]WinINet と呼ばれる通信に対する設定です。
Outlook は Office 共通の動作、先進認証、SharePoint への接続、RSSフィードの購読などに WinINet を利用しているためこの設定も必要です。
ただし、Internet Explorer 11 の既定ではWinINet で TLS 1.0+1.1+1.2 を利用するように設定されており [インターネット オプション]-[詳細設定] タブにある [TLS 1.2 の使用] がオンであるため、意図的に変更していない場合は作業は必要ありません。

Q18. Outlook 2016 for Mac では対応は必要ですか?

Exchange Online への通信に TLS 1.2 が使用されるのは、以下の両方の要件を満たす場合です。
これらの要件を満たしていない場合は、更新を行う必要があります。弊社では最新のバージョンに更新することを推奨いたします。

・Mac OS X v10.9 以降
・Outlook 2016 for Mac 15.15 以降

Q19. Outlook for iOS や Outlook for Android では対応は必要ですか?

Outlook for iOS や Outlook for Android は Outlook クラウド サービスに接続し Exchange Online に接続しています。
Outlook クラウド サービスは今回 TLS 1.2 未満無効化を行わないため、対応は必要ありません。

Q20. Outlook on the Web (OotW/OWA) では対応は必要ですか?

Internet Explorer 11 の既定では、WinINet で TLS 1.0+1.1+1.2 を利用するように設定されています。
既定で [インターネット オプション]-[詳細設定] タブにある [TLS 1.2 の使用] がオンであり、WinINet の通信の際に TLS 1.2 を利用できるため、対応は必要ありません。

Q21. iOS (iPhone/iPad) や Android の標準のメールでは対応は必要ですか?

OS のバージョンやメール アプリが使用する API によって異なるため、各製造元までご相談ください。

Q22. Windows 10 Mobile の Outlook アプリでは対応は必要ですか?

Windows 10 Mobile では Windows 10 と同じ実装であり、Windows 10 と同様に既に既定値で TLS 1.2 が利用できるため、対応は必要ありません。

Q23. 参考資料にはどういうものがありますか?

Outlook 2016/2013/2010 から Exchange Online に接続する際に TLS 1.2 が利用されるようにする方法 (Windows 7 では作業が必要)
Outlook が実際に TLS 1.2 を使用した通信を行っているか確認する方法
[IT 管理者向け] TLS 1.2 への移行を推奨しています
Preparing for the mandatory use of TLS 1.2 in Office 365 (KB4057306)
Office 365 の TLS 1.0/1.1 無効化に伴う AD FS / WAP (AD FS Proxy) の対応


本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。

Skip to main content