共用方式為


停用 Microsoft 365 的 TLS 1.0 和 1.1

重要事項

我們已針對全球環境中大部分的Microsoft 365 服務停用 TLS 1.0 和 1.1。 針對由 21 Vianet 營運的 Microsoft 365,TLS 1.0/1.1 已於 2023 年 6 月 30 日停用。

自 2018 年 10 月 31 日開始,Microsoft 365 服務的傳輸層安全性 (TLS) 1.0 和 1.1 通訊協定已被取代。 對用戶的影響很小。 這項變更已公開兩年以上,第一次公開公告是在 2017 年 12 月。 本文僅適用於與 Office 365 服務相關的 Office 365 本機用戶端,但也適用於 Office 和 Office Online Server/Office Web Apps 的內部部署 TLS 問題。

針對 SharePoint 和 OneDrive,您必須更新並設定 .NET 以支援 TLS 1.2。 如需詳細資訊,請 參閱如何在用戶端上啟用 TLS 1.2

提示

如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

Office 365 和 TLS 概觀

Office 用戶端依賴 Windows Web 服務 (WINHTTP) 透過 TLS 通訊協定傳送和接收流量。 如果本機計算機的 Web 服務可以使用 TLS 1.2,Office 用戶端可以使用 TLS 1.2。 所有 Office 用戶端都可以使用 TLS 通訊協定,因為 TLS 和 SSL 通訊協定是作業系統的一部分,而不是 Office 用戶端特有的。

在 Windows 8 和更新版本上

根據預設,如果未設定網路裝置拒絕 TLS 1.2 流量,則可使用 TLS 1.2 和 1.1 通訊協定。

在 Windows 7 上

沒有 KB 3140245更新,就無法使用 TLS 1.1 和 1.2 通訊協定。 更新可解決此問題,並新增下列登錄子機碼:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

注意事項

自 2018 年 10 月 31 日開始,沒有此更新的 Windows 7 使用者會受到影響。 KB 3140245 詳細說明如何變更 WINHTTP 設定以啟用 TLS 通訊協定。

其他相關資訊

KB 文章描述的 DefaultSecureProtocols 登錄 機碼值會決定可以使用哪些網路協定:

DefaultSecureProtocols 值 已啟用通訊協定
0x00000008 預設啟用 SSL 2.0
0x00000020 預設啟用 SSL 3.0
0x00000080 預設啟用 TLS 1.0
0x00000200 預設啟用 TLS 1.1
0x00000800 預設啟用 TLS 1.2
0x00002000 默認啟用 TLS 1.3

Office 用戶端和 TLS 登錄機碼

您可以參考 KB 4057306準備在 Office 365 中強制使用 TLS 1.2。 這是IT系統管理員的一般文章,也是有關TLS 1.2變更的官方檔。

下表顯示在 2018 年 10 月 31 日之後,Office 365 客戶端中適當的登錄機碼值。

在 2018 年 10 月 31 日之後啟用 Office 365 服務的通訊協定 十六進位值
TLS 1.0 + 1.1 + 1.2 0x00000A80
TLS 1.1 + 1.2 0x00000A00
TLS 1.0 + 1.2 0x00000880
TLS 1.2 0x00000800

重要事項

請勿使用 SSL 2.0 和 3.0 通訊協定,這也可以使用 DefaultSecureProtocols 密鑰來設定。 SSL 2.0 和 3.0 被視為過時且不安全的通訊協定。 最佳做法是結束使用 SSL 2.0 和 SSL 3.0,不過這樣做的決定最終取決於最符合產品需求的內容。 如需 SSL 3.0 弱點的詳細資訊,請參閱 KB 3009008

您可以在程式設計人員模式中使用預設 Windows 計算機來設定相同的參考登錄機碼值。 如需詳細資訊,請 參閱 KB 3140245 Update 以在 Windows 中的 WinHTTP 中啟用 TLS 1.1 和 TLS 1.2 作為預設安全通訊協定

不論是否已安裝 Windows 7 更新 (KB 3140245) ,DefaultSecureProtocols 登錄子機碼都不存在,且必須手動新增,或透過組策略物件 (GPO) 。 也就是說,除非您必須自定義啟用或限制哪些安全通訊協議,否則不需要此密鑰。 您只需要 Windows 7 SP1 (KB 3140245) 更新。

更新及設定 .NET Framework 以支援 TLS 1.2

您必須更新透過 TLS 1.0 或 TLS 1.1 呼叫 Microsoft 365 API 的應用程式,以使用 TLS 1.2。 .NET 4.5 預設為 TLS 1.1。 若要更新您的 .NET 組態,請參閱 如何在用戶端上啟用傳輸層安全性 (TLS) 1.2

其他相關資訊

如需詳細資訊,請參閱準備在 Office 365 中強制使用 TLS 1.2

參考

下列資源提供指引,協助確保您的用戶端使用 TLS 1.2 或更新版本,並停用 TLS 1.0 和 1.1: