こんにちは、Azure Identity チームです。
弊社サポート チームでは、Microsoft Entra Domain Services (以下、Entra DS) をご利用されている環境において、AADDS600 アラートが表示される状況について、お問い合わせをいただいております。本記事では、このアラートの内容と対処方法をご紹介します。
アラート内容
名前: The managed domain has detected usage of a deprecated TLS version, which is scheduled for retirement.
重要度: 重大
ID: AADDS600
発生日時: -
最終検出日時: -
レプリカ セット: -
イシュー: We have identified that this domain is using TLS 1.0 or 1.1, which is currently deprecated and scheduled for retirement on August 31, 2025. You are required to migrate to TLS 1.2 to avoid service interruption.
アラート内容の説明
アラート AADDS600 は、ご利用の Microsoft Entra Domain Services の環境で、現在非推奨の TLS 1.0 または TLS 1.1 の使用が許可されている状態となっていることを注意喚起するものです。Microsoft Entra Domain Services では 2025 年 8 月 31 日をもって TLS 1.0 および 1.1 の使用が廃止される予定です。そのため、TLS 1.0 または TLS 1.1 の使用が許可されている設定の環境において、このアラートが表示されます。
これは、Microsoft Entra Domain Services へのアクセスで実際に TLS 1.0 や TLS 1.1 が使用されたかではなく、その環境で TLS 1.0 または TLS 1.1 の使用が許可されている設定となっていることを示しています。そのため、Entra DS 環境で TLS 1.2 およびそれ以上の TLS バージョンのみが使用されるように設定することで、本アラートは解消します。
対応方法
Microsoft Azure ポータルから、Entra DS で [TLS 1.2 専用モード] を有効に設定することで、AADDS600 の通知が解消します。
Microsoft Azure ポータル (portal.azure.com) から、構成済みの Entra DS インスタンスを開きます。
画面左部のナビゲーション メニューから [セキュリティ設定] を選択します。
[TLS 1.2 専用モード] 項の設定を確認します。
・無効化: TLS 1.0 または TLS 1.1 の使用も許可されている設定
・有効にする: TLS 1.2 およびそれ以上の TLS バージョンのみが使用される設定[TLS 1.2 専用モード] 項で [有効にする] を設定し、画面上部の [保存] ボタンを押下します。
以下の公開情報には、この対応方法および PowerShell による [TLS 1.2 専用モード] を有効に設定する手順を案内していますので、併せてご参照ください。
Microsoft Entra Domain Services のトランスポート層セキュリティ (TLS) 1.2 の適用
対応方法における影響
Microsoft Entra Domain Services へドメイン参加を行う現行の OS (Windows 10 以降、Windows Server 2016 以降) は、既定で TLS 1.2 をサポートしています。「対応方法」を実施し Microsoft Entra Domain Services で [TLS 1.2 専用モード] を有効に設定しても、標準的な Microsoft Entra Domain Services の利用シナリオとしてのドメイン参加における影響はありません。
影響が想定される例として、Microsoft Entra Domain Services へ Secure LDAP による接続を行っており、 Secure LDAP の送信元プラットフォームやアプリケーションが TLS 1.0 や TLS 1.1 のみ使用するようになっている際には、[TLS 1.2 専用モード] を有効に設定することで、Secure LDAP による接続が行えなくなります。その場合は、Secure LDAP の送信元にて TLS 1.2 以降が使用されるよう設定をご確認ください。Microsoft Entra Domain Services への Secure LDAP による接続に関する参考情報は以下のとおりです。
https://learn.microsoft.com/ja-jp/entra/identity/domain-services/tutorial-configure-ldaps
よくある質問
Q. AADDS600 アラートに対して対応をしなくても問題ありませんか?
A. AADDS600 アラートは TLS 1.0 または TLS 1.1 の使用が許可されている設定となっていることの注意喚起のため、対応を行わなくても影響はなく問題はありません。
しかし、2025 年 8 月 31 日をもって TLS 1.0 および 1.1 の使用が廃止され、TLS 1.2 以降の使用が必要となりますので、事前に検証期間を設けるため TLS 1.2 以降のみを使用する (上記、対応方法) 対応を実施いただくことをお勧めします。
Q. [TLS 1.2 専用モード] を [有効にする] と設定した後に [無効化] に設定することはできますか?
A. [TLS 1.2 専用モード] を [有効にする] と設定した場合、Azure ポータル上の [TLS 1.2 専用モード] の設定箇所はグレーアウトされ、[無効化] に設定することはできません。
PowerShell “Update-AzADDomainService” コマンドレットを使用することで、[TLS 1.2 専用モード] を [無効化] に設定することができます。PowerShell を使用して [TLS 1.2 専用モード] を [無効化] に設定する方法は以下のとおりです。
Az.ADDomainServices モジュールをインストールします。
Install-Module -Name Az.ADDomainServices
Azure サブスクリプションに接続します。
Connect-AzAccount -Subscription <Azure サブスクリプション ID>
[TLS 1.2 専用モード] の設定を確認します。
Get-AzADDomainService
表示結果から “DomainSecuritySettingTlsV1” の値を確認します。”DomainSecuritySettingTlsV1” の値は、TLS 1.0 または TLS 1.1 での接続が許可されているかの設定を表示します。そのため、[TLS 1.2 専用モード] が [有効にする] に設定されている場合には “Disabled” と表示されます。
・Disabled: [TLS 1.2 専用モード] は [有効にする] に設定されています
・Enabled: [TLS 1.2 専用モード] は [無効化] に設定されています[TLS 1.2 専用モード] を [無効化] に設定します。
Update-AzADDomainService -Name “<Entra DS インスタンス名>” -ResourceGroupName “<リソース グループ名>” -DomainSecuritySettingTlsV1 Enabled
以下の公開情報では、PowerShell を使用して [TLS 1.2 専用モード] を [有効化] に設定する方法が案内されています。
Domain Services で TLS 1.2 のみのモードに移行する方法
Q. Microsoft Entra Domain Services へ TLS 1.0 または TLS 1.1 を使用した通信があるか確認できますか?
A. Microsoft Entra Domain Services には、TLS 1.0 または TLS 1.1 を使用した通信があるか確認する機能はありません。そのため、Secure LDAP による接続など、ドメイン参加の用途以外で Microsoft Entra Domain Services へ通信している場合には、送信元にてご利用の TLS バージョンをご確認ください。
上記内容が皆様の参考となりますと幸いです。ご不明な点等がありましたら、ぜひ弊社サポート サービスをご利用ください。
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。