为 Microsoft 365 禁用 TLS 1.0 和 1.1

重要

我们已经禁用了全球范围内大多数 Microsoft 365 服务的 TLS 1.0 和 1.1。 接下来的几周和几个月将继续推出。 对于由 21 Vianet 运营的 Microsoft 365,TLS 1.0/1.1 将于 2023 年 6 月 30 日禁用。

截至 2018 年 10 月 31 日,Microsoft 365 服务已弃用传输层安全 (TLS) 1.0 和 1.1 协议。 对最终用户的影响最小。 这一变化已公布两年多,2017年12月首次公开发布。 本文仅介绍与Office 365服务相关的Office 365本地客户端,但也适用于 Office 和 Office Online Server/Office Web 应用 的本地 TLS 问题。

对于 SharePoint 和 OneDrive,需要更新和配置 .NET 以支持 TLS 1.2。 有关信息,请参阅 如何在客户端上启用 TLS 1.2

提示

如果你不是 E5 客户,可以免费尝试 Microsoft Purview 中的所有高级功能。 使用为期 90 天的 Purview 解决方案试用版,探索可靠的 Purview 功能如何帮助组织管理数据安全和合规性需求。 现在从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息

Office 365和 TLS 概述

Office 客户端依赖于 Windows Web 服务 (WINHTTP) 通过 TLS 协议发送和接收流量。 如果本地计算机的 Web 服务可以使用 TLS 1.2,则 Office 客户端可以使用 TLS 1.2。 所有 Office 客户端都可以使用 TLS 协议,因为 TLS 和 SSL 协议是操作系统的一部分,而不特定于 Office 客户端。

在Windows 8及更高版本

默认情况下,如果没有网络设备配置为拒绝 TLS 1.2 流量,则 TLS 1.2 和 1.1 协议可用。

在 Windows 7 上

没有 KB 3140245更新,TLS 1.1 和 1.2 协议不可用。 更新解决了此问题,并添加了以下注册表子项:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

注意

自 2018 年 10 月 31 日起,没有此更新的 Windows 7 用户将受到影响。 KB 3140245 提供有关如何更改 WINHTTP 设置以启用 TLS 协议的详细信息。

更多信息

KB 文章描述的 DefaultSecureProtocols 注册表项的值决定了可以使用哪些网络协议:

DefaultSecureProtocols 值 已启用协议
0x00000008 默认情况下启用 SSL 2.0
0x00000020 默认情况下启用 SSL 3.0
0x00000080 默认情况下启用 TLS 1.0
0x00000200 默认情况下启用 TLS 1.1
0x00000800 默认情况下启用 TLS 1.2

Office 客户端和 TLS 注册表项

可以参阅 KB 4057306准备在 Office 365 中强制使用 TLS 1.2。 这是一篇面向 IT 管理员的一般文章,也是有关 TLS 1.2 更改的官方文档。

下表显示了 2018 年 10 月 31 日之后Office 365客户端中的相应注册表项值。

2018 年 10 月 31 日之后为Office 365服务启用的协议 十六进制值
TLS 1.0 + 1.1 + 1.2 0x00000A80
TLS 1.1 + 1.2 0x00000A00
TLS 1.0 + 1.2 0x00000880
TLS 1.2 0x00000800

重要

请勿使用 SSL 2.0 和 3.0 协议,也可以使用 DefaultSecureProtocols 密钥进行设置。 SSL 2.0 和 3.0 被视为过时且不安全的协议。 最佳做法是停止使用 SSL 2.0 和 SSL 3.0,尽管最终决定此操作取决于最能满足产品需求。 有关 SSL 3.0 漏洞的详细信息,请参阅 KB 3009008

可以在程序员模式下使用默认的 Windows 计算器来设置相同的引用注册表项值。 有关详细信息,请参阅 KB 3140245更新以在 Windows 中启用 TLS 1.1 和 TLS 1.2 作为 WinHTTP 中的默认安全协议

无论是否安装了 Windows 7 更新 (KB 3140245) ,DefaultSecureProtocols 注册表子密钥都不存在,必须手动或通过组策略对象添加, (GPO) 。 也就是说,除非必须自定义启用或限制哪些安全协议,否则不需要此密钥。 只需 Windows 7 SP1 (KB 3140245) 更新。

更新并配置.NET Framework以支持 TLS 1.2

需要更新通过 TLS 1.0 或 TLS 1.1 调用 Microsoft 365 API 的应用程序才能使用 TLS 1.2。 .NET 4.5 默认为 TLS 1.1。 若要更新 .NET 配置,请参阅 如何在客户端上启用传输层安全 (TLS) 1.2

更多信息

有关详细信息,请参阅准备在 Office 365 中强制使用 TLS 1.2

参考

以下资源提供指导,帮助确保客户端使用 TLS 1.2 或更高版本,并禁用 TLS 1.0 和 1.1: