トランスポート層セキュリティ (TLS) 1.3 サポート

適用対象:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365

TLS 1.3 は、TLS 暗号化プロトコルの最新バージョンです。 SharePoint Server サブスクリプション エディション既定では、Microsoft サーバー オペレーティング システム x64 (KB5003529) の.NET Framework 3.5 および 4.8 用の Windows Server 2022 および 2021-06 の累積的な更新プログラムで展開された場合、TLS 1.3 がサポートされます。

バージョン 25H1 以降では、SharePoint Server サブスクリプション エディションはデータベース接続層に Microsoft.Data.SqlClient を使用します。
Microsoft.Data.SqlClient データベース接続レイヤーでは、表形式データ Stream (TDS) バージョン 8.0 や TLS バージョン 1.3 などの高度なセキュリティ機能がサポートされています。

TDS 8.0 のサポート

SharePoint Server サブスクリプション エディションでは TDS 8.0 がサポートされますが、TDS 8.0 をサポートしていない以前のバージョンのSQL Serverとの下位互換性も維持されます。 TDS 8.0 は現在、SQL Server 2022、Azure SQL Database、Azure SQL Managed Instanceでサポートされています。

TDS 8.0 では、以前のバージョンの TLS との互換性を維持しながら、以前のバージョンの TDS ではサポートできない TLS 1.3 などの新しい暗号化プロトコルがサポートされています。

TLS 1.3 のサポート

SharePoint Server サブスクリプション エディションでは、TLS 1.3 接続暗号化を使用した SQL データベースへの接続のサポートが追加されますが、TLS 1.3 接続暗号化をサポートしていない以前のバージョンのSQL Serverとの下位互換性も維持されます。 TLS 1.3 は現在、SQL Server 2022 でサポートされています。 TLS 1.3 を使用するには、SQL Server 2022 およびそれに接続する Windows ベースのアプリケーションがWindows 11または Windows Server 2022 (またはそれ以降) で実行されている必要があります。

データベース設定

データベース接続レイヤーには、SharePoint データベース (Microsoft.SharePoint.Administration.SPDatabase) ごとに次のプロパティがあります。

1. Encrypt (Microsoft.Data.SqlClient.SqlConnectionEncryptOption)

   1. 省略可能: 接続暗号化は、SQL Serverで必要な場合に使用できます。 ただし、SQL Serverで暗号化が必要ない場合は、接続暗号化は使用されません。 接続は TDS 7.4 の使用に制限されています。

   2. 必須: SQL Serverで接続暗号化を確立する必要があります。 接続暗号化を確立できない場合、接続はブロックされます。 接続は TDS 7.4 の使用に制限されています。

   3. 厳密: SQL Serverで接続暗号化を確立し、接続で TDS 8.0 以上を使用する必要があります。 TDS 8.0 以上を使用した接続暗号化を確立できない場合、接続はブロックされます。

2. HostnameInCert (String): SQL Serverの SSL/TLS サーバー証明書のホスト名を指定します。 SharePoint ファーム管理者は、証明書のホスト名が SharePoint が接続するホスト名と一致しない場合は、このプロパティを指定する必要があります。

既存のデータベースを使用してファームをアップグレードするときの動作

SharePoint ファームの一部であるデータベースは、既定で オプション の暗号化を使用するように構成されます。 これは、SharePoint ファームが新しい TDS 8.0 および TLS 1.3 プロトコルをサポートしていない場合に備えて、ファーム内の既存の SQL Server との互換性を維持するためです。 つまり、SharePoint は、これらのデータベースに接続するときに TDS 7.4 を引き続き使用します。 接続暗号化を使用してこれらのデータベースに接続する場合、TLS 1.2 以下に基づいています。

データベースをファームに追加するときの動作

すべてのデータベースの設定は、構成データベースの設定に基づいています。 ファームに追加された新しく作成されたデータベースは、ファーム構成データベースと同じ暗号化設定を使用するように構成されます。 たとえば、構成データベースで必須暗号化が使用されている場合、すべてのデータベースで必須暗号化も使用されます。

PSConfig 中に暗号化設定を指定する

新しいファームの作成

• 新しいファームを作成するには、PowerShell で次の省略可能なパラメーターを New-SPConfigurationDatabase コマンドレットに追加します。

  -DatabaseConnectionEncryption {Mandatory | Optional | Strict} 
  -DatabaseServerCertificateHostName <String>
  

  注:

  DatabaseConnectionEncryption を指定しない場合は、既定で 必須 です。

  例:

  New-SPConfigurationDatabase -DatabaseName "SharePointConfigDB1" -DatabaseServer "SQL-01" -DatabaseConnectionEncryption "Mandatory" -DatabaseServerCertificateHostName "SQL-01.internal.contoso.com" -Passphrase (ConvertTo-SecureString "MyPassword" -AsPlainText -force) -FarmCredentials (Get-Credential) -LocalServerRole "Application" 
  

• PSConfig.exe で、configdb 操作に次の省略可能なパラメーターを追加します。

  -dbencryption {Mandatory | Optional | Strict} 
  -dbcerthostname <String>
  

  注:

  指定しない場合、dbencryption は既定で 必須 です。

  例:

  psconfig.exe -cmd configdb -create -database "SharePointConfigDB1" -server "SQL-01" -dbencryption "Mandatory" -dbcerthostname "SQL01.internal.contoso.com" -passphrase "the_passphrase" -user "DOMAIN\username" -password "the_password" -localserverrole "Application" 
  

• SharePoint 製品構成ウィザード (PSConfigUI.exe) で、構成データベース フォームの [データベース接続の暗号化 ] フィールドと [ データベース サーバー証明書ホスト名 ] フィールドで設定を指定します。

  

既存のファームへの参加

既存のファームに参加するには、既存のファームが使用している暗号化設定を次のように指定する必要があります。

1. 構成 データベース が必須暗号化の場合は、[データベース接続の暗号化] を [ 必須 ] として選択します。

2. データベース サーバー証明書のホスト名を入力し、[データベース名の取得] をクリックします。

3. 次に、2 番目のサーバーを参加させるファームを選択できます。

   

また、次の PowerShell コマンドを実行してファームに参加します。

Connect-SPConfigurationDatabase -DatabaseServer "SQL-01" -DatabaseName "SharePointConfigDB1" -DatabaseConnectionEncryption Mandatory -DatabaseServerCertificateHostName "SQL-01.internal.contoso.com" -Passphrase (ConvertTo-SecureString "****" -AsPlainText -Force) -LocalServerRole "Application"