Desabilitar o TLS 1.0 e 1.1 para o Microsoft 365
Importante
Já desabilitamos o TLS 1.0 e o 1.1 para a maioria dos serviços do Microsoft 365 no ambiente mundial. Para o Microsoft 365 operado por 21 Vianet, o TLS 1.0/1.1 foi desabilitado em 30 de junho de 2023.
A partir de 31 de outubro de 2018, os protocolos TLS (Transport Layer Security) 1.0 e 1.1 são preteridos para o serviço Microsoft 365. O efeito para os usuários finais é mínimo. Essa mudança foi divulgada há mais de dois anos, com o primeiro anúncio público feito em dezembro de 2017. Este artigo destina-se apenas a cobrir o Office 365 cliente local em relação ao serviço Office 365, mas também pode se aplicar a problemas de TLS locais com o Office e Servidor do Office Online/Office Aplicativos Web.
Para o SharePoint e o OneDrive, você precisará atualizar e configurar o .NET para dar suporte ao TLS 1.2. Para obter informações, consulte Como habilitar o TLS 1.2 em clientes.
Dica
Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.
visão geral Office 365 e TLS
O cliente do Office depende do WINHTTP (serviço Web do Windows) para enviar e receber tráfego por protocolos TLS. O cliente do Office pode usar o TLS 1.2 se o serviço Web do computador local puder usar o TLS 1.2. Todos os clientes do Office podem usar protocolos TLS, pois protocolos TLS e SSL fazem parte do sistema operacional e não são específicos para o cliente do Office.
Em versões Windows 8 e posteriores
Por padrão, os protocolos TLS 1.2 e 1.1 estarão disponíveis se nenhum dispositivo de rede estiver configurado para rejeitar o tráfego TLS 1.2.
No Windows 7
Os protocolos TLS 1.1 e 1.2 não estão disponíveis sem o KB 3140245 atualização. A atualização resolve esse problema e adiciona a seguinte sub-chave do Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
Observação
Os usuários do Windows 7 que não têm essa atualização são afetados a partir de 31 de outubro de 2018. O KB 3140245 tem detalhes sobre como alterar as configurações do WINHTTP para habilitar protocolos TLS.
Mais informações
O valor da chave de registro DefaultSecureProtocols que o artigo do KB descreve determina quais protocolos de rede podem ser usados:
Valor DefaultSecureProtocols | Protocolo habilitado |
---|---|
0x00000008 | Habilitar SSL 2.0 por padrão |
0x00000020 | Habilitar SSL 3.0 por padrão |
0x00000080 | Habilitar TLS 1.0 por padrão |
0x00000200 | Habilitar TLS 1.1 por padrão |
0x00000800 | Habilitar TLS 1.2 por padrão |
0x00002000 | Habilitar o TLS 1.3 por padrão |
Clientes do Office e chaves de registro TLS
Você pode consultar o KB 4057306 Preparação para o uso obrigatório do TLS 1.2 em Office 365. Este é um artigo geral para administradores de TI e sua documentação oficial sobre a alteração do TLS 1.2.
A tabela a seguir mostra os valores apropriados da chave do registro em Office 365 clientes após 31 de outubro de 2018.
Protocolos habilitados para Office 365 serviço após 31 de outubro de 2018 | Valor hexadecimal |
---|---|
TLS 1.0 + 1.1 + 1.2 | 0x00000A80 |
TLS 1.1 + 1.2 | 0x00000A00 |
TLS 1.0 + 1.2 | 0x00000880 |
TLS 1.2 | 0x00000800 |
Importante
Não use os protocolos SSL 2.0 e 3.0, que também podem ser definidos usando a chave DefaultSecureProtocols . O SSL 2.0 e o 3.0 são considerados protocolos desatualizados e inseguros. A melhor prática é acabar com o uso do SSL 2.0 e do SSL 3.0, embora a decisão de fazer isso dependa do que melhor atende às suas necessidades de produto. Para obter mais informações sobre vulnerabilidades do SSL 3.0, consulte KB 3009008.
Você pode usar a Calculadora do Windows padrão no modo Programador para configurar os mesmos valores de chave de registro de referência. Para obter mais informações, consulte KB 3140245 Update para habilitar o TLS 1.1 e o TLS 1.2 como protocolos seguros padrão no WinHTTP no Windows.
Independentemente de a atualização do Windows 7 (KB 3140245) estar instalada ou não, a sub-chave DefaultSecureProtocols registry não estiver presente e deve ser adicionada manualmente ou por meio de um GPO (objeto de política de grupo). Ou seja, a menos que você precise personalizar quais protocolos seguros estão habilitados ou restritos, essa chave não é necessária. Você só precisa da atualização do Windows 7 SP1 (3140245 do KB).
Atualize e configure o .NET Framework para dar suporte ao TLS 1.2
Você precisará atualizar aplicativos que chamam APIs do Microsoft 365 por TLS 1.0 ou TLS 1.1 para usar o TLS 1.2. O .NET 4.5 é padrão para o TLS 1.1. Para atualizar sua configuração do .NET, consulte Como habilitar o TLS (Transport Layer Security) 1.2 em clientes.
Mais informações
Para obter mais informações, consulte Preparação para o uso obrigatório do TLS 1.2 em Office 365.
Referências
Os recursos a seguir fornecem diretrizes para ajudar a garantir que seus clientes estejam usando o TLS 1.2 ou uma versão posterior e para desabilitar o TLS 1.0 e 1.1:
- Caso tenha clientes Windows 7 conectados ao Office 365, verifique se o TLS 1.2 é o protocolo seguro padrão do WinHTTP no Windows. Para obter mais informações, consulte KB 3140245 – Atualizar para habilitar o TLS 1.1 e o TLS 1.2 como protocolos seguros padrão no WinHTTP no Windows.
- Para resolver o uso fraco do TLS removendo as dependências do TLS 1.0 e 1.1, consulte suporte ao TLS 1.2 na Microsoft.
- A nova funcionalidade de IIS facilita a descoberta de clientes no Windows Server 2012 R2 e no Windows Server 2016 que se conectam ao serviço usando protocolos de segurança fracos.
- Obtenha mais informações sobre como resolver o problema do TLS 1.0.
- Para obter informações gerais sobre nossa abordagem de segurança, acesse a Central de Confiabilidade do Office 365.
- Preparação para o preterimento do TLS 1.0/1.1 — Skype for Business do Office 365
- Diretrizes do Exchange Server TLS, parte 1: Preparação para o TLS 1.2
- Diretrizes do Exchange Server TLS Parte 2: Habilitando o TLS 1.2 e identificando clientes que não o utilizam
- Diretrizes do Exchange Server TLS Parte 3: Desativando o TLS 1.0/1.1
- Habilitar o suporte para TLS 1.1 e TLS 1.2 no Servidor do Office Online