Vorbereiten von TLS 1.2 in Office 365 und Office 365 GCC
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Zusammenfassung
Um unseren Kunden die bestmögliche Verschlüsselung zu bieten, hat Microsoft die TLS-Versionen 1.0 und 1.1 (Transport Layer Security) in Office 365 und Office 365 GCC als veraltet eingestuft. Wir verstehen, dass die Sicherheit Ihrer Daten wichtig ist, und wir legen großen Wert auf Transparenz bezüglich Änderungen, die Ihre Nutzung des TLS-Dienstes beeinträchtigen könnten.
Die Implementierung von Microsoft TLS 1.0 hat keine bekannten Sicherheitsschwachstellen. Aufgrund des Potenzials für zukünftige Protokoll downgrade-Angriffe und andere TLS-Sicherheitsrisiken haben wir die Unterstützung für TLS 1.0 und 1.1 in Microsoft Office 365 und Office 365 GCC eingestellt.
Informationen zum Entfernen von TLS 1.0- und 1.1-Abhängigkeiten finden Sie im folgenden Whitepaper: Lösen des TLS 1.0-Problems.
Stellen Sie nach dem Upgrade auf TLS 1.2 sicher, dass die verwendeten Verschlüsselungssammlungen von Azure Front Door unterstützt werden. Microsoft 365 und Azure Front Door weisen geringfügige Unterschiede bei der Unterstützung von Verschlüsselungssammlungen auf. Weitere Informationen finden Sie unter Welche aktuellen Verschlüsselungssammlungen werden von Azure Front Door unterstützt?.
Weitere Informationen
Die Einstellung von TLS 1.0 und 1.1 wurde ab Januar 2020 eingestellt. Clients, Geräte oder Dienste, die über TLS 1.0 oder 1.1 in unseren hohen DoD- oder GCC-Instanzen eine Verbindung zu Office 365 herstellen, werden nicht unterstützt. Für unsere kommerziellen Kunden von Office 365 begann die Einstellung von TLS 1.0 und 1.1 am 15. Oktober 2020, und der Rollout wurde in den folgenden Wochen und Monaten fortgesetzt.
Sie sollten sicherstellen, dass alle Client-Server- und Browser-Server-Kombinationen TLS 1.2 (oder höher) verwenden, um die Verbindung zu Office 365-Services aufrechtzuerhalten. Dies erfordert möglicherweise Updates für bestimmte Client-Server- bzw. Browser-Server-Kombinationen.
Hinweis
Für eingehenden SMTP-Nachrichtenfluss akzeptieren wir nach der Einstellung von TLS 1.0 und 1.1 nur die TLS 1.2-Verbindung. Wir akzeptieren jedoch weiterhin die SMTP-Verbindung, die ohne TLS unverschlüsselt ist. Wir empfehlen keine E-Mail-Übertragung ohne Verschlüsselung.
Sie müssen Anwendungen aktualisieren, die Microsoft 365-APIs über TLS 1.0 oder TLS 1.1 aufrufen, um TLS 1.2 zu verwenden. .NET 4.5 verwendet standardmäßig TLS 1.1. Informationen zum Aktualisieren Ihrer .NET-Konfiguration finden Sie unter Aktivieren von Transport Layer Security (TLS) 1.2 auf Clients.
Die folgenden Clients können TLS 1.2 nicht verwenden. Bitte aktualisieren Sie Ihre Clients, um einen unterbrechungsfreien Zugriff auf den Dienst sicherzustellen.
- Android 4.3 und niedrigere Versionen
- Firefox Version 5.0 und frühere Versionen
- Internet Explorer 8-10 auf Windows 7 und frühere Versionen
- Internet Explorer 10 auf Windows Phone 8
- Safari 6.0.4/OS X10.8.4 und frühere Versionen
TLS 1.2 für Microsoft Teams Rooms und Surface Hub
Microsoft Teams Rooms (früher bekannt als Skype Room System V2 SRS V2) unterstützen TLS 1.2 seit Dezember 2018. Es wird empfohlen, dass Rooms-Geräte Microsoft Teams Rooms-App Version 4.0.64.0 oder höher installiert haben. Weitere Informationen finden Sie in den folgenden Release-Informationen. Die Änderungen sind rückwärts- und vorwärtskompatibel.
Surface Hub hat im Mai 2019 TLS 1.2-Unterstützung veröffentlicht.
Die TLS 1.2-Unterstützung für Microsoft Teams Rooms- und Surface Hub-Produkte erfordert außerdem die folgenden serverseitigen Codeänderungen:
Die Serveränderungen von Skype for Business Online wurden im April 2019 live vorgenommen. Skype for Business Online unterstützt jetzt die Verbindung von Microsoft Teams Rooms und Surface Hub-Geräten mithilfe von TLS 1.2.
Skype for Business Server-Kunden müssen ein kumulatives Update (CU) installieren, um TLS 1.2 für Teams Rooms Systems und Surface Hub verwenden zu können.
- Für Skype for Business Server 2015 wird CU9 bereits im Mai 2019 veröffentlicht.
- Für Skype for Business Server 2019 war CU1 ursprünglich für April 2019 geplant, verzögert sich jedoch auf Juni 2019.
Hinweis
Lokale Skype for Business-Kunden sollten TLS 1.0/1.1 nicht deaktivieren, bevor Sie bestimmte CUs für Skype for Business Server installieren.
Wenn Sie eine lokale Infrastruktur für Hybrid-Szenarien oder Active Directory-Verbunddienste verwenden, stellen Sie sicher, dass die Infrastruktur sowohl eingehende als auch ausgehende Verbindungen, die TLS 1.2 verwenden, unterstützen kann.
Informationsquellen
Die folgenden Ressourcen bieten Hilfe, um sicherzustellen, dass Ihre Clients TLS 1.2 oder eine höhere Version verwenden und um TLS 1.0 und 1.1 zu deaktivieren.
- Wenn Sie Windows-7-Clients haben, die mit Office 365 verbunden sind, stellen Sie sicher, dass TLS 1.2 die standardmäßigen sicheren Protokolle in WinHTTP in Windows sind. Weitere Informationen finden Sie unter KB 3140245 - Update für die Aktivierung von TLS 1.1 und TLS 1.2 als standardmäßige sichere Protokolle in WinHTTP unter Windows.
- Von Office 365 unterstützte TLS-Verschlüsselungssammlungen
- Informationen zum Umgang mit schwacher TLS-Nutzung durch das Entfernen der Abhängigkeiten von TLS 1.0 und 1.1 finden Sie unter TLS 1.2-Support bei Microsoft.
- Die neue IIS-Funktionalität erleichtert die Suche nach Clients unter Windows Server 2012 R2 und Windows Server 2016, die unter Verwendung von schwachen Sicherheitsprotokollen eine Verbindung mit dem Dienst herstellen.
- Weitere Informationen zum Beheben des TLS 1.0-Problems finden Sie hier.
- Allgemeine Informationen zu unserem Sicherheits-Ansatz finden Sie im Office 365 Trust Center.
- Informationen zum Identifizieren der TLS-Version, die von SMTP-Clients verwendet wird, finden Sie im Bericht smtp-Authentifizierungsclients im EAC.
- Vorbereiten auf die Einstellung von TLS 1.0/1.1 – Office 365 Skype for Business
- Exchange Server TLS guidance, part 1: Getting Ready for TLS 1.2
- Exchange Server TLS-Leitfaden Teil 2: Enabling TLS 1.2 and Identifying Clients Not Using It
- Exchange Server TLS-Leitfaden Teil 3: TLS 1.0/1.1 abschalten
- Aktivieren des TLS 1.1- und TLS 1.2-Supports in Office Online-Server
- Aktivieren der TLS- und SSL-Unterstützung in SharePoint 2013
- Aktivieren der TLS 1.1- und TLS 1.2-Unterstützung in SharePoint Server 2016
- Aktivieren der TLS 1.1- und TLS 1.2-Unterstützung in SharePoint Server 2019