在 Office 365 和 Office 365 GCC 中准备 TLS 1.2
提示
如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。
摘要
为了为客户提供一流的加密,Microsoft 在 Office 365 和 GCC Office 365 中弃用了传输层安全性 (TLS) 版本 1.0 和 1.1。 我们知道您的数据的安全性非常重要,并且我们承诺对可能影响使用 TLS 服务的更改保持透明公开。
Microsoft TLS 1.0 实现没有已知安全漏洞。 但由于将来可能会发生协议降级攻击和其他 TLS 漏洞,我们在 Microsoft Office 365 和 Office 365 GCC 中停止了对 TLS 1.0 和 1.1 的支持。
有关如何删除 TLS 1.0 和 1.1 依赖项的信息,请参阅以下白皮书:解决 TLS 1.0 问题。
升级到 TLS 1.2 后,请确保 Azure Front Door 支持你使用的密码套件。 Microsoft 365 和 Azure Front Door 在密码套件支持方面略有不同。 有关详细信息,请参阅 Azure Front Door 当前支持哪些密码套件?。
更多信息
从 2020 年 1 月开始弃用 TLS 1.0 和 1.1。 不支持通过 TLS 1.0 或 1.1 在我们的 DoD 或 GCC High 实例中连接到 Office 365 的任何客户端、设备或服务。 对于Office 365的商业客户,TLS 1.0 和 1.1 的弃用从 2020 年 10 月 15 日开始,并在接下来的几周和几个月内继续推出。
我们建议所有客户端-服务器和浏览器-服务器组合使用 TLS1.2(或更高版本)以保持与 Office 365 服务的连接。 你可能必须更新某些客户端-服务器和浏览器-服务器组合。
注意
对于 SMTP 入站邮件流,在弃用 TLS 1.0 和 1.1 后,我们将仅接受 TLS 1.2 连接。 但是,我们将继续接受未加密且没有任何 TLS 的 SMTP 连接。 建议不要在没有任何加密的情况下传输电子邮件。
需要更新通过 TLS 1.0 或 TLS 1.1 调用 Microsoft 365 API 的应用程序,以使用 TLS 1.2。 .NET 4.5 默认为 TLS 1.1。 若要更新 .NET 配置,请参阅 如何在客户端上启用传输层安全性 (TLS) 1.2。
以下是已知的无法使用 TLS 1.2 的客户端。 更新这些客户端以确保对服务的访问不会间断。
- Android 4.3 和更低的版本
- Firefox 版本 5.0 及更低版本
- Windows 7 上的 Internet Explorer 8-10 及更早版本
- Windows Phone 8 上的 Internet Explorer 10
- Safari 6.0.4/OS X10.8.4 及更早版本
适用于 Microsoft Teams Rooms 和 Surface Hub 的 TLS 1.2
自 2018 年 12 月以来,Microsoft Teams Room(以前称为 Skype Room System V2 SRS V2)就一直支持 TLS 1.2。 我们建议 Room 设备安装 Microsoft Teams Rooms 应用版本 4.0.64.0 或更高版本。 有关更多信息,请参阅发行说明。 更改是向后和向前兼容的。
2019 年 5 月,Surface Hub 发布了 TLS 1.2 支持。
对 Microsoft Teams Rooms 和 Surface Hub 产品的 TLS 1.2 支持还要求更改以下服务器端代码:
Skype for Business Online 服务器更改已于 2019 年 4 月上线。 现在,Skype for Business Online 支持使用 TLS 1.2 连接 Microsoft Teams Room 和 Surface Hub 设备。
Skype for Business Server 客户必须安装累积更新 (CU) 才能对 Teams Rooms Systems 和 Surface Hub 使用 TLS 1.2。
- 对于 Skype for Business Server 2015,CU9 已于 2019 年 5 月发布。
- 对于 Skype for Business Server 2019,CU1 先前计划于 2019 年 4 月发布,但推迟到 2019 年 6 月。
注意
在为 Skype for Business Server 安装特定的 CU 之前,Skype for Business 本地客户不应禁用 TLS 1.0 / 1.1。
如果您正在使用混合式场景的本地基础架构或 Active Directory 联合身份验证服务,确保该基础架构同时支持使用 TLS 1.2 的进站和出站连接。
参考
以下资源提供帮助确保客户端正在使用 TLS 1.2 或更高版本及禁用 TLS 1.0 和 1.1 的指导。
- 对于连接到 Office 365 的 Windows 7 客户端,请确保 TLS 1.2 是 Windows WinHTTP 中的默认安全协议。 有关更多信息,请参阅 KB 3140245 - 更新以在 Windows 的 WinHTTP 中启用 TLS 1.1 和 TLS 1.2 作为默认安全协议。
- Office 365 支持的 TLS 密码套件
- 要通过删除 TLS 1.0 和 1.1 依赖项解决 TLS 使用弱点问题,请参阅 Microsoft TLS 1.2 支持。
- 新的 IIS 功能可更加方便地在 Windows Server 2012 R2 和 Windows Server 2016 上查找通过使用弱安全协议连接服务的客户端。
- 获取有关如何 解决 TLS 1.0 问题的详细信息。
- 有关安全性方法的一般信息,请转到Office 365 信任中心。
- 若要标识 SMTP 客户端使用的 TLS 版本,请参阅 EAC 中的 SMTP 身份验证客户端报告。
- 准备 TLS 1.0/1.1 弃用 - Office 365 Skype for Business
- Exchange Server TLS 指南,第 1 部分:为 TLS 1.2 做好准备
- Exchange Server TLS 指南,第 2 部分:启用 TLS 1.2 并识别不使用它的客户端
- Exchange Server TLS 指南,第 3 部分:关闭 TLS 1.0/1.1
- 在 Office Online Server 中启用 TLS 1.1 和 TLS 1.2 支持
- 启用 SharePoint 2013 中的 TLS 和 SSL 支持
- 在 SharePoint Server 2016 中启用 TLS 1.1 和 TLS 1.2 支持
- 在 SharePoint Server 2019 中启用 TLS 1.1 和 TLS 1.2 支持