停用 Microsoft 365 的 TLS 1.0 和 1.1

重要事項

我們已針對全球環境中的大部分 Microsoft 365 服務停用 TLS 1.0 和 1.1。 推出會在下列幾周和幾個月繼續。 針對由 21 Vianet 營運的 Microsoft 365,TLS 1.0/1.1 將于 2023 年 6 月 30 日停用。

自 2018 年 10 月 31 日開始,Microsoft 365 服務的傳輸層安全性 (TLS) 1.0 和 1.1 通訊協定已過時。 對使用者的影響很小。 這項變更已公開兩年以上,第一次公開公告是在 2017 年 12 月。 本文僅適用于與Office 365服務相關的Office 365本機用戶端,但也適用于 Office 和 Office Online Server/Office Web Apps的內部部署 TLS 問題。

針對 SharePoint 和 OneDrive,您必須更新並設定 .NET 以支援 TLS 1.2。 如需詳細資訊,請 參閱如何在用戶端上啟用 TLS 1.2

提示

如果您不是 E5 客戶,您可以免費試用 Microsoft Purview 中的所有進階功能。 使用 90 天的 Purview 解決方案試用版,探索健全的 Purview 功能如何協助貴組織管理資料安全性與合規性需求。 立即從Microsoft Purview 合規性入口網站試用中樞開始。 瞭解 有關註冊和試用版條款的詳細資料

Office 365和 TLS 概觀

Office 用戶端依賴 Windows Web 服務 (WINHTTP) 透過 TLS 通訊協定傳送和接收流量。 如果本機電腦的 Web 服務可以使用 TLS 1.2,Office 用戶端可以使用 TLS 1.2。 所有 Office 用戶端都可以使用 TLS 通訊協定,因為 TLS 和 SSL 通訊協定是作業系統的一部分,而不是 Office 用戶端特有的。

在Windows 8和更新版本上

根據預設,如果未設定網路裝置拒絕 TLS 1.2 流量,則可使用 TLS 1.2 和 1.1 通訊協定。

在 Windows 7 上

沒有 KB 3140245更新,就無法使用 TLS 1.1 和 1.2 通訊協定。 更新可解決此問題,並新增下列登錄子機碼:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

注意事項

自 2018 年 10 月 31 日開始,沒有此更新的 Windows 7 使用者會受到影響。 KB 3140245 詳細說明如何變更 WINHTTP 設定以啟用 TLS 通訊協定。

其他資訊

KB 文章描述的 DefaultSecureProtocols 登錄 機碼值會決定可以使用哪些網路通訊協定:

DefaultSecureProtocols 值 已啟用通訊協定
0x00000008 預設啟用 SSL 2.0
0x00000020 預設啟用 SSL 3.0
0x00000080 預設啟用 TLS 1.0
0x00000200 預設啟用 TLS 1.1
0x00000800 預設啟用 TLS 1.2

Office 用戶端和 TLS 登錄機碼

您可以參考KB 4057306準備在Office 365中強制使用 TLS 1.2。 這是 IT 系統管理員的一般文章,也是有關 TLS 1.2 變更的官方檔。

下表顯示在 2018 年 10 月 31 日之後,Office 365用戶端中適當的登錄機碼值。

在 2018 年 10 月 31 日之後啟用Office 365服務的通訊協定 十六進位值
TLS 1.0 + 1.1 + 1.2 0x00000A80
TLS 1.1 + 1.2 0x00000A00
TLS 1.0 + 1.2 0x00000880
TLS 1.2 0x00000800

重要事項

請勿使用 SSL 2.0 和 3.0 通訊協定,也可以使用 DefaultSecureProtocols 金鑰來設定。 SSL 2.0 和 3.0 被視為過時且不安全的通訊協定。 最佳做法是結束使用 SSL 2.0 和 SSL 3.0,不過這樣做的決定最終取決於最符合產品需求的內容。 如需 SSL 3.0 弱點的詳細資訊,請參閱 KB 3009008

您可以在程式設計人員模式中使用預設 Windows 計算機來設定相同的參考登錄機碼值。 如需詳細資訊,請 參閱 KB 3140245 Update 以在 Windows 中的 WinHTTP 中啟用 TLS 1.1 和 TLS 1.2 作為預設安全通訊協定

不論是否已安裝 Windows 7 更新 (KB 3140245) ,DefaultSecureProtocols 登錄子機碼都不存在,且必須手動新增,或透過群組原則物件 (GPO) 。 也就是說,除非您必須自訂啟用或限制哪些安全通訊協定,否則不需要此金鑰。 您只需要 Windows 7 SP1 (KB 3140245) 更新。

更新及設定 .NET Framework 以支援 TLS 1.2

您必須更新透過 TLS 1.0 或 TLS 1.1 呼叫 Microsoft 365 API 的應用程式,以使用 TLS 1.2。 .NET 4.5 預設為 TLS 1.1。 若要更新您的 .NET 組態,請參閱 如何在用戶端上啟用傳輸層安全性 (TLS) 1.2

其他資訊

如需詳細資訊,請參閱準備在 Office 365 中強制使用 TLS 1.2

參考

下列資源提供指引,協助確保您的用戶端使用 TLS 1.2 或更新版本,並停用 TLS 1.0 和 1.1: