Azure AD Signins KQL Query für Legacy TLS

Hallo zusammen,

Im folgenden Artikel vom Azure Active Directory Identity Blog wird nochmals darauf hingewiesen, dass ab 31. Januar keine TLS 1.0 und TLS 1.1 Verbindungen mehr möglich sein werden

Act fast to secure your infrastructure by moving to TLS 1.2!


Am besten kann man das über ein KQL Query in einem Azure Log Analytics Workspace machen. Wie man so einen einrichtet habe ich bereits hier gebloggt https://blog.icewolf.ch/archive/2020/03/17/integrate-azure-ad-signins-into-azure-log-analytics-workspace.aspx

Ihr braucht folgendes KQL Query:

SigninLogs
| where TimeGenerated > ago(30d)
| extend a = parse_json(AuthenticationProcessingDetails)
| where a[0].key startswith "Legacy TLS" and a[0].value == "True"
| extend LowLTS = a[0].value
| project-away a
| summarize count() by UserPrincipalName, UserAgent, AppDisplayName
| order by count_ desc


Scheint auch bei grösseren Tenants kein grosses Problem mehr zu sein. Aber Nachsehen lohnt sich auf jeden Fall.

Weitere Infos gibt es hier:

Enable support for TLS 1.2 in your environment for Azure AD TLS 1.1 and 1.0 deprecation

Liebe Grüsse
Andres Bohren