停用 Microsoft 365 的 TLS 1.0 和 1.1
重要事項
我們已針對全球環境中的大部分 Microsoft 365 服務停用 TLS 1.0 和 1.1。 針對由 21 Vianet 營運的 Microsoft 365,TLS 1.0/1.1 已於 2023 年 6 月 30 日停用。
自 2018 年 10 月 31 日開始,Microsoft 365 服務的傳輸層安全性 (TLS) 1.0 和 1.1 通訊協定已過時。 對用戶的影響很小。 這項變更已公開兩年以上,第一次公開公告是在 2017 年 12 月。 本文僅適用於與 Office 365 服務相關的 Office 365 本機用戶端,但也適用於 Office 和 Office Online Server/Office Web Apps 的內部部署 TLS 問題。
針對 SharePoint 和 OneDrive,您必須更新並設定 .NET 以支援 TLS 1.2。 如需詳細資訊,請 參閱如何在用戶端上啟用 TLS 1.2。
提示
如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
Office 365 和 TLS 概觀
Office 用戶端依賴 Windows Web 服務 (WINHTTP) 透過 TLS 通訊協定傳送和接收流量。 如果本機計算機的 Web 服務可以使用 TLS 1.2,Office 用戶端可以使用 TLS 1.2。 所有 Office 用戶端都可以使用 TLS 通訊協定,因為 TLS 和 SSL 通訊協定是作業系統的一部分,而不是 Office 用戶端特有的。
在 Windows 8 和更新版本上
根據預設,如果未設定網路裝置拒絕 TLS 1.2 流量,則可使用 TLS 1.2 和 1.1 通訊協定。
在 Windows 7 上
沒有 KB 3140245更新,就無法使用 TLS 1.1 和 1.2 通訊協定。 更新可解決此問題,並新增下列登錄子機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
注意事項
自 2018 年 10 月 31 日開始,沒有此更新的 Windows 7 使用者會受到影響。 KB 3140245 詳細說明如何變更 WINHTTP 設定以啟用 TLS 通訊協定。
其他相關資訊
KB 文章描述的 DefaultSecureProtocols 登錄 機碼值會決定可以使用哪些網路協定:
DefaultSecureProtocols 值 | 已啟用通訊協定 |
---|---|
0x00000008 | 預設啟用 SSL 2.0 |
0x00000020 | 預設啟用 SSL 3.0 |
0x00000080 | 預設啟用 TLS 1.0 |
0x00000200 | 預設啟用 TLS 1.1 |
0x00000800 | 預設啟用 TLS 1.2 |
0x00002000 | 默認啟用 TLS 1.3 |
Office 用戶端和 TLS 登錄機碼
您可以參考 KB 4057306準備在 Office 365 中強制使用 TLS 1.2。 這是IT系統管理員的一般文章,也是有關TLS 1.2變更的官方檔。
下表顯示 2018 年 10 月 31 日之後 Office 365 客戶端中適當的登錄機碼值。
在 2018 年 10 月 31 日之後啟用 Office 365 服務的通訊協定 | 十六進位值 |
---|---|
TLS 1.0 + 1.1 + 1.2 | 0x00000A80 |
TLS 1.1 + 1.2 | 0x00000A00 |
TLS 1.0 + 1.2 | 0x00000880 |
TLS 1.2 | 0x00000800 |
重要事項
請勿使用 SSL 2.0 和 3.0 通訊協定,這也可以使用 DefaultSecureProtocols 密鑰來設定。 SSL 2.0 和 3.0 被視為過時且不安全的通訊協定。 最佳做法是結束使用 SSL 2.0 和 SSL 3.0,不過這樣做的決定最終取決於最符合產品需求的內容。 如需 SSL 3.0 弱點的詳細資訊,請參閱 KB 3009008。
您可以在程式設計人員模式中使用預設 Windows 計算機來設定相同的參考登錄機碼值。 如需詳細資訊,請 參閱 KB 3140245 Update 以在 Windows 中的 WinHTTP 中啟用 TLS 1.1 和 TLS 1.2 作為預設安全通訊協定。
不論是否已安裝 Windows 7 更新 (KB 3140245) ,DefaultSecureProtocols 登錄子機碼都不存在,且必須手動新增,或透過組策略物件 (GPO) 。 也就是說,除非您必須自定義啟用或限制哪些安全通訊協議,否則不需要此密鑰。 您只需要 Windows 7 SP1 (KB 3140245) 更新。
更新及設定 .NET Framework 以支援 TLS 1.2
您必須更新透過 TLS 1.0 或 TLS 1.1 呼叫 Microsoft 365 API 的應用程式,以使用 TLS 1.2。 .NET 4.5 預設為 TLS 1.1。 若要更新您的 .NET 組態,請參閱 如何在用戶端上啟用傳輸層安全性 (TLS) 1.2。
其他相關資訊
如需詳細資訊,請參閱準備在 Office 365 中強制使用 TLS 1.2。
參考資料
下列資源提供指引,協助確保您的用戶端使用 TLS 1.2 或更新版本,並停用 TLS 1.0 和 1.1:
- 對於連線到 Office 365 的 Windows 7 用戶端,請確認 TLS 1.2 是 Windows 中 WinHTTP 的預設安全通訊協定。 如需詳細資訊,請 參閱 KB 3140245 - 更新以在 Windows 中的 WinHTTP 中啟用 TLS 1.1 和 TLS 1.2 作為預設安全通訊協定。
- 若要藉由移除 TLS 1.0 和 1.1 相依性來解決弱式 TLS 使用量,請參閱 Microsoft 的 TLS 1.2 支援。
- 新的 IIS 功能 可讓您更容易使用薄弱安全性通訊協定,在 Windows Server 2012 R2 和 Windows Server 2016 上找到連線至服務的用戶端。
- 取得如何 解決 TLS 1.0 問題的詳細資訊。
- 如需關於安全性的一般資訊,請前往 Office 365信任中心。
- 準備 TLS 1.0/1.1 淘汰 – O365 商務用 Skype
- Exchange Server TLS 指南,第 1 部分:為 TLS 1.2 做好準備
- Exchange Server TLS 指南,第 2 部分:正在啟用 TLS 1.2 並辨識不使用 TLS 1.2 的用戶端
- Exchange Server TLS 指南,第 3 部分:關閉 TLS 1.0/1.1
- 啟用 Office Online Server 中的 TLS 1.1 和 TLS 1.2 支援