Office 365 および Office 365 GCC での TLS 1.2 の準備
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview 試用版ハブから開始します。 サインアップと試用期間の詳細については、こちらをご覧ください。
概要
Microsoft は、お客様にクラス最高の暗号化を提供するために、Office 365および GCC Office 365でトランスポート層セキュリティ (TLS) バージョン 1.0 および 1.1 を非推奨にしました。 お客様のデータに対するセキュリティの重要性を理解すると共に、お客様が利用しているサービスに影響を及ぼす可能性のある変更については、その情報を公開することをお約束いたします。
Microsoft TLS 1.0 実装においては、セキュリティに関する既知の脆弱性はありません。 ただし、将来のプロトコル ダウングレード攻撃やその他の TLS の脆弱性の可能性があるため、Microsoft Office 365と GCC Office 365で TLS 1.0 と 1.1 のサポートを中止しました。
TLS 1.0 および 1.1 の依存関係を削除する方法については、次のホワイト ペーパーを参照してください。TLS 1.0 の問題の解決。
TLS 1.2 にアップグレードした後、使用している暗号スイートが Azure Front Door でサポートされていることを確かめて下さい。 Microsoft 365 と Azure Front Door には、暗号スイートのサポートに軽微な違いがあります。 詳細については、Azure Front Door でサポートされている現行の暗号スイートは何ですか?を参照してください。
詳細
2020 年 1 月の時点で TLS 1.0 と 1.1 の廃止が開始されました。 DoD または GCC High インスタンスで TLS 1.0 または 1.1 を介して Office 365 に接続するクライアント、デバイス、またはサービスはサポートされていません。 Office 365の商用のお客様の場合、TLS 1.0 と 1.1 の廃止は 2020 年 10 月 15 日に開始され、ロールアウトは次の数週間から数か月間続きました。
Office 365 サービスへの接続を維持するためには、クライアントとサーバー間、ブラウザーとサーバー間のすべての組み合わせで TLS バージョン 1.2 (またはそれ以降のバージョン) を使用することをお勧めします。 クライアントとサーバー間、ブラウザーとサーバー間の特定の組み合わせについては、更新が必要になる場合があります。
注:
SMTP 受信メール フローの場合、TLS 1.0 と 1.1 の廃止後、TLS 1.2 接続のみを受け入れます。 ただし、TLS なしで暗号化もされていない SMTP 接続は引き続き受け入れます。 暗号化なしで電子メールを送信することはお勧めしません。
TLS 1.0 または TLS 1.1 経由で Microsoft 365 API を呼び出すアプリケーションを更新して、TLS 1.2 を使用する必要があります。 .NET 4.5 の既定値は TLS 1.1 になります。 .NET 構成を更新するには、「クライアントでトランスポート層セキュリティ (TLS) 1.2 を有効にする方法」を参照してください。
次のクライアントは、TLS 1.2を使用できません。 サービスに継続的にアクセスするために、クライアントを更新してください。
- Android 4.3 およびそれ以前のバージョン
- Firefox 5.0 およびそれ以前のバージョン
- Windows 7 上の Internet Explorer 8 ~ 10 およびそれ以前のバージョン
- Windows Phone 8 上の Internet Explorer 10
- Safari 6.0.4/OS X10.8.4 およびそれ以前のバージョン
Microsoft Teams ルームと Surface Hub 用 TLS 1.2
Microsoft Teams ルーム (以前は Skype Room System V2 SRS V2) は 2018 年 12 月から TLS 1.2 をサポートしています。 ルーム デバイスには、Microsoft Teams ルームのアプリのバージョン 4.0.64.0 またはそれ以降がインストールされていることをお勧めします。 詳細については、リリース ノートを参照してください。 変更は下位互換性と上位互換性があります。
Surface Hub は 2019 年 5 月に TLS 1.2 サポートをリリースしました。
Microsoft Teams ルームと Surface Hub 製品の TLS 1.2 のサポートも、次のサーバー側のコードを変更する必要があります。
Skype for Business Online サーバーの変更は、2019 年 4 月にライブで行われました。 今、Skype for Business Online は、TLS 1.2 を使用してMicrosoft Teams ルームと Surface Hub デバイスを接続をサポートしています。
Skype for Business サーバーの顧客は、Teams ルームのシステムと Surface Hub の TLS 1.2 を使用する累積的な更新プログラム (CU) をインストールする必要があります。
- Skype for Business 2015 の場合、CU9 は 2019 年 5 月にリリース済みです。
- Skype for Business Server 2019 の場合、CU1 は以前は 2019 年 4 月に計画されていましたが、2019 年 6 月に延期されます。
注:
Skype for Business オンプレミスのお客様は、Skype for Business Server に特定の CU をインストールする前に TLS 1.0/1.1 を無効にしないでください。
ハイブリッド環境または Active Directory フェデレーション サービス (AD FS) でオンプレミスのインフラストラクチャを使用している場合は、これらのインフラストラクチャで TLS 1.2 による送受信両方の接続を有効化してください。
関連情報
以下の資料は、クライアントで TLS 1.2 以降のバージョンを確実に使用するために役立つガイダンスや、TLS 1.0 および 1.1 の無効化に関するガイダンスです。
- Office 365 に接続する Windows 7 クライアントの場合、TLS 1.2 が Windows の WinHTTP の既定の安全なプロトコルであることを確認してください。 詳細については、「 KB 3140245-Update to enable TLS 1.1」および「TLS 1.2 as a default secure protocol in Windows」を参照してください。
- Office 365 でサポートされている TLS 暗号スイート
- TLS 1.0 および 1.1 の依存関係を削除することで脆弱な TLS への対処を開始するには、「マイクロソフトにおける TLS 1.2 のサポート (英語)」をご参照ください。
- IIS の新機能を使用すると、脆弱なセキュリティ プロトコルを使用してサービスに接続している Windows Server 2012 R2 や Windows Server 2016 のクライアントを容易に確認できます。
- TLS 1.0 の問題に関する詳細については、「TLS 1.0 の問題の解決」を参照してください。
- セキュリティに対するマイクロソフトのアプローチについての公開情報をご覧になるには、Office 365 セキュリティ センターへアクセスしてください。
- SMTP クライアントで使用される TLS バージョンを特定するには、「 EAC の SMTP 認証クライアント レポート」を参照してください。
- TLS 1.0/1.1 の廃止の準備 - Office 365 Skype for Business
- Exchange サーバー TLS ガイダンス、パート 1: TLS 1.2 の準備
- Exchange サーバー TLS ガイダンス パート 2: TLS 1.2 を有効にして、クライアントがそれを使用していない特定
- Exchange サーバー TLS ガイダンス パート 3: TLS 1.0/1.1 をオフにする
- Office Online Server での TLS 1.1 および TLS 1.2 のサポートの有効化
- SharePoint 2013 で TLS と SSL のサポートを有効にする
- SharePoint Server 2016 で TLS 1.1 および TLS 1.2 のサポートを有効にする
- SharePoint Server 2019 で TLS 1.1 および TLS 1.2 のサポートを有効にする