Desativar o TLS 1.0 e 1.1 para o Microsoft 365
Importante
Já desativamos o TLS 1.0 e 1.1 para a maioria dos serviços do Microsoft 365 em todo o mundo. Para o Microsoft 365 operado pela 21 Vianet, o TLS 1.0/1.1 foi desativado a 30 de junho de 2023.
A partir de 31 de outubro de 2018, os protocolos Transport Layer Security (TLS) 1.0 e 1.1 são preteridos para o serviço Microsoft 365. O efeito para os utilizadores finais é mínimo. Esta mudança foi publicada há mais de dois anos, com o primeiro anúncio público feito em dezembro de 2017. Este artigo destina-se apenas a abranger o Office 365 cliente local em relação ao serviço Office 365, mas também pode aplicar-se a problemas do TLS no local com o Office e o Servidor do Office Online/Office Aplicativos Web.
Para o SharePoint e o OneDrive, terá de atualizar e configurar o .NET para suportar o TLS 1.2. Para obter informações, veja Como ativar o TLS 1.2 em clientes.
Dica
Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.
descrição geral do Office 365 e do TLS
O cliente do Office depende do serviço Web do Windows (WINHTTP) para enviar e receber tráfego através de protocolos TLS. O cliente do Office pode utilizar o TLS 1.2 se o serviço Web do computador local puder utilizar o TLS 1.2. Todos os clientes do Office podem utilizar protocolos TLS, uma vez que os protocolos TLS e SSL fazem parte do sistema operativo e não são específicos do cliente do Office.
No Windows 8 e versões posteriores
Por predefinição, os protocolos TLS 1.2 e 1.1 estão disponíveis se não estiverem configurados dispositivos de rede para rejeitar o tráfego TLS 1.2.
No Windows 7
Os protocolos TLS 1.1 e 1.2 não estão disponíveis sem a atualização de 3140245 KB . A atualização resolve este problema e adiciona a seguinte subchave de registo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
Observação
Os utilizadores do Windows 7 que não tenham esta atualização são afetados a partir de 31 de outubro de 2018. A 3140245 KB tem detalhes sobre como alterar as definições WINHTTP para ativar os protocolos TLS.
Mais informações
O valor da chave de registo DefaultSecureProtocols que o artigo da BDC descreve determina quais os protocolos de rede que podem ser utilizados:
| Valor DefaultSecureProtocols | Protocolo ativado |
|---|---|
| 0x00000008 | Habilitar SSL 2.0 por padrão |
| 0x00000020 | Habilitar SSL 3.0 por padrão |
| 0x00000080 | Habilitar TLS 1.0 por padrão |
| 0x00000200 | Habilitar TLS 1.1 por padrão |
| 0x00000800 | Habilitar TLS 1.2 por padrão |
| 0x00002000 | Ativar o TLS 1.3 por predefinição |
Clientes do Office e chaves de registo TLS
Pode consultar KB 4057306 Preparar para a utilização obrigatória do TLS 1.2 no Office 365. Este é um artigo geral para administradores de TI e é documentação oficial sobre a alteração do TLS 1.2.
A tabela seguinte mostra os valores de chave de registo adequados em clientes Office 365 após 31 de outubro de 2018.
| Protocolos ativados para Office 365 serviço após 31 de outubro de 2018 | Valor hexadecimal |
|---|---|
| TLS 1.0 + 1.1 + 1.2 | 0x00000A80 |
| TLS 1.1 + 1.2 | 0x00000A00 |
| TLS 1.0 + 1.2 | 0x00000880 |
| TLS 1.2 | 0x00000800 |
Importante
Não utilize os protocolos SSL 2.0 e 3.0, que também podem ser definidos com a chave DefaultSecureProtocols . Os protocolos SSL 2.0 e 3.0 são considerados protocolos desatualizados e inseguros. A melhor prática é acabar com a utilização do SSL 2.0 e do SSL 3.0, embora a decisão de o fazer dependa, em última análise, do que melhor satisfaz as necessidades do produto. Para obter mais informações sobre as vulnerabilidades do SSL 3.0, veja KB 3009008.
Pode utilizar a Calculadora do Windows predefinida no modo de Programador para configurar os mesmos valores de chave de registo de referência. Para obter mais informações, consulte KB 3140245 Update para ativar o TLS 1.1 e o TLS 1.2 como protocolos seguros predefinidos no WinHTTP no Windows.
Independentemente de a atualização do Windows 7 (KB 3140245) estar instalada ou não, a subchave do registo DefaultSecureProtocols não está presente e tem de ser adicionada manualmente ou através de um objeto de política de grupo (GPO). Ou seja, a menos que tenha de personalizar os protocolos seguros que estão ativados ou restritos, esta chave não é necessária. Só precisa da atualização do Windows 7 SP1 (KB 3140245).
Atualize e configure o .NET Framework para dar suporte ao TLS 1.2
Terá de atualizar as aplicações que chamam as APIs do Microsoft 365 através do TLS 1.0 ou TLS 1.1 para utilizar o TLS 1.2. O .NET 4.5 é predefinido como TLS 1.1. Para atualizar a configuração do .NET, veja Como ativar o Transport Layer Security (TLS) 1.2 nos clientes.
Mais informações
Para obter mais informações, consulte Preparar a utilização obrigatória do TLS 1.2 no Office 365.
Referências
Os seguintes recursos fornecem orientações para ajudar a garantir que os seus clientes estão a utilizar o TLS 1.2 ou uma versão posterior e para desativar o TLS 1.0 e 1.1:
- Caso tenha clientes Windows 7 conectados ao Office 365, verifique se o TLS 1.2 é o protocolo seguro padrão do WinHTTP no Windows. Para obter mais informações, consulte KB 3140245 – Atualização para ativar o TLS 1.1 e o TLS 1.2 como protocolos seguros predefinidos no WinHTTP no Windows.
- Para resolver a fraca utilização do TLS ao remover dependências TLS 1.0 e 1.1, veja Suporte do TLS 1.2 na Microsoft.
- A nova funcionalidade de IIS facilita a descoberta de clientes no Windows Server 2012 R2 e no Windows Server 2016 que se conectam ao serviço usando protocolos de segurança fracos.
- Obtenha mais informações sobre como resolver o problema do TLS 1.0.
- Para obter informações gerais sobre nossa abordagem de segurança, acesse a Central de Confiabilidade do Office 365.
- Preparação para o preterimento do TLS 1.0/1.1 — Skype for Business do Office 365
- Diretrizes do Exchange Server TLS, parte 1: Preparação para o TLS 1.2
- Diretrizes do Exchange Server TLS Parte 2: Habilitando o TLS 1.2 e identificando clientes que não o utilizam
- Diretrizes do Exchange Server TLS Parte 3: Desativando o TLS 1.0/1.1
- Habilitar o suporte para TLS 1.1 e TLS 1.2 no Servidor do Office Online