在 Office 365 和 Office 365 GCC 中準備 TLS 1.2

• 適用於:

  Office 365 Business

提示

如果您不是 E5 客戶，請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。

摘要

為了為客戶提供一流的加密，Microsoft 已在 Office 365 和 Office 365 GCC 中淘汰傳輸層安全性 (TLS) 1.0 和 1.1 版。 我們明白資料的安全性很重要，也承諾透明公開可能會影響 TLS 服務使用的變更。

Microsoft TLS 1.0 實作沒有已知的安全性弱點。 但由於未來可能會發生通訊協定降級攻擊和其他 TLS 弱點，我們已在 Microsoft Office 365 和 Office 365 GCC 中停止支援 TLS 1.0 和 1.1。

如需如何刪除 TLS 1.0 和 1.1 相依性的詳細資訊，請參閱下列白皮書：解決 TLS 1.0 問題。

升級至 TLS 1.2 之後，請確定 Azure Front Door 支援您使用的加密套件。 Microsoft 365 和 Azure Front Door 在加密套件支援方面稍有差異。 如需詳細資訊，請 參閱 Azure Front Door 目前支援哪些加密套件？。

其他相關資訊

自 2020 年 1 月起，我們已開始淘汰 TLS 1.0 和 1.1。 不支援透過 DoD 或 GCC High 執行個體中的 TLS 1.0 或 1.1 連線至 Office 365 的任何用戶端、裝置或服務。 針對 Office 365的商業客戶，從 2020 年 10 月 15 日開始淘汰 TLS 1.0 和 1.1，並持續推出數周和數個月。

為維持 Office 365 服務連線，我們推薦所有用戶端-伺服器及瀏覽器伺服器組合都使用 TLS 1.2（或更新版本）。 您可能必須更新特定的用戶端-伺服器及瀏覽器伺服器組合。

注意事項

針對 SMTP 輸入郵件流程，在 TLS 1.0 和 1.1 淘汰之後，我們只會接受 TLS 1.2 連線。 不過，我們會繼續接受未加密且沒有任何 TLS 的 SMTP 連線。 我們不建議在不進行任何加密的情況下進行電子郵件傳輸。

您必須更新透過 TLS 1.0 或 TLS 1.1 呼叫 Microsoft 365 API 的應用程式，以使用 TLS 1.2。 .NET 4.5 預設為 TLS 1.1。 若要更新您的 .NET 組態，請參閱 如何在用戶端上啟用傳輸層安全性 (TLS) 1.2。

已知下列用戶端不能使用 TLS 1.2。 請更新用戶端以確保順利存取服務。

• Android 4.3 和舊版
• Firefox 5.0 和舊版
• Windows 7 及舊版中的 Internet Explorer 8-10
• Win Phone 8 中的 Internet Explorer 10
• Safari 6.0.4/OS X10.8.4 和舊版

適用於 Microsoft Teams 會議室和 Surface Hub 的 TLS 1.2

自 2018 年 12 月開始，Microsoft Teams 會議室 (先前稱為 Skype Room System V2 SRS V2) 已經支援 TLS 1.2。 建議您在會議室裝置安裝 Microsoft Teams 會議室應用程式 4.0.64.0 版或更新版本。 如需詳細資訊，請參閱版本資訊。 變更可與舊版和新版相容。

2019 年 5 月發行的 Surface Hub 支援 TLS 1.2。

Microsoft Teams 會議室和 Surface Hub 產品還需要在伺服器端程式碼進行下列變更，才支援 TLS 1.2：

• 商務用 Skype Online 伺服器變更已於 2019 年 4 月上線。 現在，商務用 Skype Online 支援使用 TLS 1.2 來與 Microsoft Teams 會議室和 Surface Hub 裝置連線。

• 商務用 Skype Server 客戶必須安裝累積更新 (CU)，才能將 TLS 1.2 用於 Teams 會議室系統和 Surface Hub。

  • 若為商務用 Skype Server 2015，CU9 已於 2019 年 5 月發行。
  • 若為商務用 Skype Server 2019，CU1 先前規劃在 2019 年 4 月發行，但已延遲到 2019 年 6 月。

  注意事項

  商務用 Skype 內部部署客戶在為商務用 Skype Server 安裝特定 CU 之前，不應停用 TLS 1.0/1.1。

如果您要在混合情節或動態通訊錄聯合服務 (Active Directory Federation Services) 中使用內部基礎結構，請確定該裝置可以同時支援使用 TLS 1.2 的輸入和輸出連線。

參考

下列資源提供指引，協助您確定用戶端使用 TLS 1.2 或更新版本及停用 TLS 1.0 和 1.1。

• 對於連線到 Office 365 的 Windows 7 用戶端，請確認 TLS 1.2 是 Windows 中 WinHTTP 的預設安全通訊協定。 如需詳細資訊，請參閱 KB 3140245 - 更新為 Windows 中的預設安全通訊協定，以啟用 TLS 1.1 和 TLS 1.2 作為預設安全通訊協定。
• Office 365 所支援的 TLS 密碼套件
• 若要自移除 TLS 1.0 和 1.1 相依性開始改善 TLS 的使用率，請參閱 Microsoft 的 TLS 1.2 支援。
• 新的 IIS 功能 可讓您更容易使用薄弱安全性通訊協定，在 Windows Server 2012 R2 和 Windows Server 2016 上找到連線至服務的用戶端。
• 取得如何 解決 TLS 1.0 問題的詳細資訊。
• 如需關於安全性的一般資訊，請前往 Office 365信任中心。
• 若要識別 SMTP 用戶端所使用的 TLS 版本，請參閱 EAC 中的 SMTP 驗證客戶端報告。
• 準備 TLS 1.0/1.1 淘汰 – O365 商務用 Skype
• Exchange Server TLS 指南，第 1 部分：為 TLS 1.2 做好準備
• Exchange Server TLS 指南，第 2 部分：正在啟用 TLS 1.2 並辨識不使用 TLS 1.2 的用戶端
• Exchange Server TLS 指南，第 3 部分：關閉 TLS 1.0/1.1
• 啟用 Office Online Server 中的 TLS 1.1 和 TLS 1.2 支援
• 在 SharePoint 2013 啟用 TLS 和 SSL 支援
• 在 SharePoint Server 2016 啟用 TLS 1.1 和 TLS 1.2 支援
• 在 SharePoint Server 2019 啟用 TLS 1.1 和 TLS 1.2 支援