Поделиться через


Подготовка к TLS 1.2 в Office 365 и Office 365 GCC

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Сводка

Чтобы обеспечить лучшее в своем классе шифрование для наших клиентов, корпорация Майкрософт не рекомендует использовать протокол TLS версий 1.0 и 1.1 в Office 365 и Office 365 GCC. Мы понимаем, что безопасность ваших данных важна, и мы стремимся к прозрачности изменений, которые могут повлиять на использование службы TLS.

Внедрение Microsoft TLS 1.0 не имеет известных уязвимостей безопасности. Но из-за возможности будущих атак с понижением уровня протокола и других уязвимостей TLS мы прекратили поддержку TLS 1.0 и 1.1 в Microsoft Office 365 и Office 365 GCC.

Для получения информации о том, как удалить зависимости TLS 1.0 и 1.1, см. следующий технический документ: Решение проблемы TLS 1.0.

После обновления до TLS 1.2 убедитесь, что наборы шифров, которые вы используете, поддерживаются Azure Front Door. Microsoft 365 и Azure Front Door имеют незначительные различия в поддержке набора шифров. Дополнительные сведения см. в статье Какие наборы шифров поддерживаются Azure Front Door?.

Дополнительная информация

Мы начали устаревать TLS 1.0 и 1.1 с января 2020 г. Любые клиенты, устройства или службы, которые подключаются к Office 365 через TLS 1.0 или 1.1 в наших экземплярах DoD или GCC High, не поддерживаются. Для наших коммерческих клиентов Office 365, прекращение использования TLS 1.0 и 1.1 началось 15 октября 2020 г., а развертывание продолжалось в течение следующих недель и месяцев.

Необходимо убедиться в том, что все сочетания клиент-сервер и браузер-сервер используют протокол TLS 1.2 (или более поздней версии) для поддержки подключения к службам Office 365. Возможно, придется обновить определенные сочетания клиент-сервер и браузер-сервер.

Примечание.

Для потока входящей почты SMTP после прекращения использования TLS 1.0 и 1.1 мы будем принимать только подключение TLS 1.2. Тем не менее, мы будем продолжать принимать SMTP-подключение, которое не шифруется без каких-либо TLS. Не рекомендуется передавать электронную почту без шифрования.

Вам потребуется обновить приложения, которые вызывают API Microsoft 365 через TLS 1.0 или TLS 1.1, чтобы использовать TLS 1.2. По умолчанию .NET 4.5 используется TLS 1.1. Сведения об обновлении конфигурации .NET см . в статье Включение протокола TLS 1.2 на клиентах.

Следующие клиенты не могут использовать TLS 1.2. Обновите клиенты, чтобы обеспечить непрерывный доступ к службе.

  • Android 4.3 и более ранние версии
  • Firefox 5.0 и более ранние версии:
  • Internet Explorer 8-10 на Windows 7 и более ранние версии
  • Internet Explorer 10 на Windows Phone 8
  • Safari 6.0.4/OS X10.8.4 и более ранние версии

TLS 1.2 для Microsoft Teams Rooms и Surface Hub

Комнаты Microsoft Teams (ранее известны как Skype Room System V2 SRS V2) поддерживают TLS 1.2 с декабря 2018 года. Мы рекомендуем устройствам Rooms иметь версию приложения Microsoft Teams Rooms 4.0.64.0 или более позднюю. Дополнительные сведения см. в Заметках о выпуске. Изменения обратно и прямо совместимы.

Surface Hub выпустила поддержку TLS 1.2 в мае 2019 года.

Поддержка TLS 1.2 для продуктов Microsoft Teams Rooms и Surface Hub также требует следующих изменений кода на стороне сервера:

  • Изменения в сервере Skype для бизнеса Online были введены в действие в апреле 2019 года. Теперь Skype для бизнеса Online поддерживает подключение комнат Microsoft Teams и устройств Surface Hub с использованием TLS 1.2.

  • Клиенты Skype для бизнеса Server должны установить накопительное обновление (CU), чтобы использовать TLS 1.2 для Teams Rooms Systems и Surface Hub.

    • Для Skype для бизнеса Server 2015 CU9 уже выпущен в мае 2019 года.
    • Для Skype для бизнеса Server 2019 накопительное обновление 1 (CU1) ранее было запланировано на апрель 2019 года, но отложено до июня 2019 года.

    Примечание.

    Клиенты локальной службы Skype для бизнеса не должны отключать TLS 1.0 / 1.1 перед установкой определенных накопительных обновлений для Skype для бизнеса Server.

Если используется локальная инфраструктура для гибридных сценариев или служб федерации Active Directory, убедитесь, что инфраструктура поддерживает как входящие, так и исходящие подключения, использующие TLS 1.2.

Ссылки

Следующие ресурсы содержат руководство по использованию протокола TLS 1.2 или более поздней версии и для отключения TLS 1.0 и 1.1.