在 Office 365 和 Office 365 GCC 中準備 TLS 1.2
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
摘要
為了為客戶提供一流的加密,Microsoft在 Office 365 和 Office 365 GCC 中已淘汰傳輸層安全性 (TLS) 1.0 和 1.1 版。 我們明白資料的安全性很重要,也承諾透明公開可能會影響 TLS 服務使用的變更。
Microsoft TLS 1.0 實作沒有已知的安全性弱點。 但由於未來可能會發生通訊協定降級攻擊和其他 TLS 弱點,我們已停止在 Microsoft Office 365 和 Office 365 GCC 中支援 TLS 1.0 和 1.1。
如需如何刪除 TLS 1.0 和 1.1 相依性的詳細資訊,請參閱下列白皮書:解決 TLS 1.0 問題。
升級至 TLS 1.2 之後,請確定 Azure Front Door 支援您使用的加密套件。 Microsoft 365 和 Azure Front Door 在加密套件支援方面稍有差異。 如需詳細資訊,請 參閱 Azure Front Door 目前支援哪些加密套件?。
其他相關資訊
自 2020 年 1 月起,我們已開始淘汰 TLS 1.0 和 1.1。 不支援透過 DoD 或 GCC High 執行個體中的 TLS 1.0 或 1.1 連線至 Office 365 的任何用戶端、裝置或服務。 針對 Office 365的商業客戶,從 2020 年 10 月 15 日開始淘汰 TLS 1.0 和 1.1,並持續推出數周和數個月。
為維持 Office 365 服務連線,我們推薦所有用戶端-伺服器及瀏覽器伺服器組合都使用 TLS 1.2(或更新版本)。 您可能必須更新特定的用戶端-伺服器及瀏覽器伺服器組合。
注意事項
針對 SMTP 輸入郵件流程,在 TLS 1.0 和 1.1 淘汰之後,我們只會接受 TLS 1.2 連線。 不過,我們會繼續接受未加密且沒有任何 TLS 的 SMTP 連線。 我們不建議在不進行任何加密的情況下進行電子郵件傳輸。
您必須更新透過 TLS 1.0 或 TLS 1.1 呼叫 Microsoft 365 API 的應用程式,以使用 TLS 1.2。 .NET 4.5 預設為 TLS 1.1。 若要更新您的 .NET 組態,請參閱 如何在用戶端上啟用傳輸層安全性 (TLS) 1.2。
已知下列用戶端不能使用 TLS 1.2。 請更新用戶端以確保順利存取服務。
- Android 4.3 和舊版
- Firefox 5.0 和舊版
- Windows 7 及舊版中的 Internet Explorer 8-10
- Win Phone 8 中的 Internet Explorer 10
- Safari 6.0.4/OS X10.8.4 和舊版
適用於 Microsoft Teams 會議室和 Surface Hub 的 TLS 1.2
自 2018 年 12 月開始,Microsoft Teams 會議室 (先前稱為 Skype Room System V2 SRS V2) 已經支援 TLS 1.2。 建議您在會議室裝置安裝 Microsoft Teams 會議室應用程式 4.0.64.0 版或更新版本。 如需詳細資訊,請參閱版本資訊。 變更可與舊版和新版相容。
2019 年 5 月發行的 Surface Hub 支援 TLS 1.2。
Microsoft Teams 會議室和 Surface Hub 產品還需要在伺服器端程式碼進行下列變更,才支援 TLS 1.2:
商務用 Skype Online 伺服器變更已於 2019 年 4 月上線。 現在,商務用 Skype Online 支援使用 TLS 1.2 來與 Microsoft Teams 會議室和 Surface Hub 裝置連線。
商務用 Skype Server 客戶必須安裝累積更新 (CU),才能將 TLS 1.2 用於 Teams 會議室系統和 Surface Hub。
- 若為商務用 Skype Server 2015,CU9 已於 2019 年 5 月發行。
- 若為商務用 Skype Server 2019,CU1 先前規劃在 2019 年 4 月發行,但已延遲到 2019 年 6 月。
注意事項
商務用 Skype 內部部署客戶在為商務用 Skype Server 安裝特定 CU 之前,不應停用 TLS 1.0/1.1。
如果您要在混合情節或動態通訊錄聯合服務 (Active Directory Federation Services) 中使用內部基礎結構,請確定該裝置可以同時支援使用 TLS 1.2 的輸入和輸出連線。
參考
下列資源提供指引,協助您確定用戶端使用 TLS 1.2 或更新版本及停用 TLS 1.0 和 1.1。
- 對於連線到 Office 365 的 Windows 7 用戶端,請確認 TLS 1.2 是 Windows 中 WinHTTP 的預設安全通訊協定。 如需詳細資訊,請參閱 KB 3140245 - 更新為 Windows 中的預設安全通訊協定,以啟用 TLS 1.1 和 TLS 1.2 作為預設安全通訊協定。
- Office 365 所支援的 TLS 密碼套件
- 若要自移除 TLS 1.0 和 1.1 相依性開始改善 TLS 的使用率,請參閱 Microsoft 的 TLS 1.2 支援。
- 新的 IIS 功能 可讓您更容易使用薄弱安全性通訊協定,在 Windows Server 2012 R2 和 Windows Server 2016 上找到連線至服務的用戶端。
- 取得如何 解決 TLS 1.0 問題的詳細資訊。
- 如需關於安全性的一般資訊,請前往 Office 365信任中心。
- 若要識別 SMTP 用戶端所使用的 TLS 版本,請參閱 EAC 中的 SMTP 驗證客戶端報告。
- 準備 TLS 1.0/1.1 淘汰 – O365 商務用 Skype
- Exchange Server TLS 指南,第 1 部分:為 TLS 1.2 做好準備
- Exchange Server TLS 指南,第 2 部分:正在啟用 TLS 1.2 並辨識不使用 TLS 1.2 的用戶端
- Exchange Server TLS 指南,第 3 部分:關閉 TLS 1.0/1.1
- 啟用 Office Online Server 中的 TLS 1.1 和 TLS 1.2 支援
- 在 SharePoint 2013 啟用 TLS 和 SSL 支援
- 在 SharePoint Server 2016 啟用 TLS 1.1 和 TLS 1.2 支援
- 在 SharePoint Server 2019 啟用 TLS 1.1 和 TLS 1.2 支援