當客戶端沒有 TLS 1.2 支援時，就會發生驗證錯誤

• 適用於:

  SharePoint Online, Microsoft 365

摘要

如同先前在 Microsoft 365 系統管理 Center (中所述，通訊MC240160在 2021 年 2 月) ，我們會將所有 線上服務 移至傳輸層安全性 (TLS) 1.2+。 這項變更從 2020 年 10 月 15 日開始。 未來幾個月，TLS 1.2+ 的支援將繼續新增至所有 Microsoft 365 環境。 如果您尚未採取步驟來準備這項變更，您與 Microsoft 365 的連線可能會受到影響。

未針對TLS 1.2 設定 .NET Framework

徵兆

當您存取 SharePoint 時，會遇到下列一或多個錯誤：

令牌要求失敗。 >--- System.Net.WebException：遠端伺服器傳回錯誤： (401) 未經授權。 在 System.Net.HttpWebRequest.GetResponse ()

System.Net.WebException：基礎連線已關閉：傳送時發生非預期的錯誤。

System.IO.IOException：無法從傳輸連線讀取數據：遠端主機已強制關閉現有的連線。

System.Net.Sockets.SocketException：遠端主機已強制關閉現有的連線。

目前無法使用 Business Data Connectivity 元數據存放區。

解決方案

如需如何設定 .NET Framework 以啟用 TLS 1.2+ 的詳細資訊，請參閱設定強式密碼編譯。

OS 未啟用 TLS 1.2

徵兆

驗證問題發生在未啟用 TLS 1.2 的舊版作業系統和瀏覽器，或強制執行舊版 TLS 通訊協定的特定網路組態和 Proxy 設定中。

解決方案

Windows 10

解決方案 1：檢查密碼套件設定

即使在升級至 TLS 1.2 之後，請務必確定密碼套件設定符合 Azure Front Door 需求，因為 Microsoft 365 和 Azure Front Door 為密碼套件提供稍微不同的支援。

針對 TLS 1.2，Azure Front Door 支援下列密碼套件：

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

若要新增密碼套件，請部署群組原則或使用本機群組策略，如使用群組原則設定 TLS 密碼套件訂單中所述。

重要事項

編輯密碼套件的順序，以確保這四個套件位於清單頂端 (最高優先順序) 。

Alternativley，您可以使用 Enable-TlsCipherSuite Cmdlet 來啟用 TLS 加密套件。 例如，執行下列命令，以最高優先順序啟用密碼套件：

Enable-TlsCipherSuite -Name "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384" -Position 0

此命令會將 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 密碼套件新增至位置 0 的 TLS 密碼套件清單，這是最高優先順序。

重要事項

執行 Enable-TlsCipherSuite 之後，您可以執行 Get-TlsCipherSuite 來驗證密碼套件的順序。 如果訂單未反映變更，請檢查 SSL 密碼套件訂單群組原則設定是否設定預設的 TLS 密碼套件順序。

如需詳細資訊，請參閱 Azure Front Door 目前支援哪些密碼套件？。

Windows 8, Windows 7 或 Windows Server 2012/2008 R2 (SP1)

如果您使用 Windows 8，Windows 7 Service Pack 1 (SP1) 、Windows Server 2012或 Windows Server 2008 R2 SP1，請參閱下列解決方案。

• 簡單修正工具可以自動新增 TLS 1.1 和 TLS 1.2 安全通訊協定登錄機碼。 如需詳細資訊，請參閱 更新以在 Windows 版 WinHTTP 中啟用 TLS 1.1 和 TLS 1.2 做為預設安全通訊協定。
• 針對 Windows 8，請安裝 KB 3140245，並建立對應的登錄值。
• 針對 Windows Server 2012，簡單修正工具可以自動新增 TLS 1.1 和 TLS 1.2 安全通訊協定登錄機碼。 如果您在執行簡易修正工具之後仍然收到間歇性連線錯誤，請考慮 停用 DHE 密碼套件。 如需詳細資訊，請參閱 Windows 中連線 SQL 伺服器時，應用程式遇到強制關閉的 TLS 連線錯誤。

對應至 SharePoint 文件庫的網路驅動器機

徵兆

當您嘗試使用對應至 SharePoint 文件庫的網路驅動器機時，就會發生驗證問題或失敗。

解決方案

發生此問題的原因是使用中的操作系統，以及 Web 用戶端是否支援 TLS 1.2。 TLS 1.2 的支援如下：

• 安裝 KB 3140245並建立對應的登錄值之後，Windows 8 和 Windows 7 將支援 TLS 1.2。 如需詳細資訊，請參閱 Update to enable TLS 1.2 as default secure protocols in WinHTTP in Windows。
• Windows 8.1 會在排定在 2021 年第三季的更新之後支援 TLS 1.2。
• Windows 10 已支援 TLS 1.2。

瀏覽器不支援 TLS 1.2

徵兆

從不支援 TLS 1.2+ 的已知應用程式存取 SharePoint 時發生驗證問題或失敗。 下列瀏覽器不支援 TLS 1.2：

• Android 4.3 和舊版
• Firefox 5.0 和舊版
• Windows 7 和更早版本上的 Internet Explorer 8-10
• Win Phone 8 中的 Internet Explorer 10
• Safari 6.0.4/OS X10.8.4 和舊版

解決方案

升級至較新版本的瀏覽器。

Azure App 服務 不會使用最新版的 TLS 和 .NET Framework

徵兆

使用 Azure App 服務 時發生驗證問題。

解決方案

1. 將 App Service 實例的最低 TLS 版本設定為 TLS 1.2。 如需詳細資訊，請 參閱強制執行 TLS 版本。
2. 請確定您使用的是最新版的 .NET Framework。

混合式搜尋無法編目或傳回結果

徵兆

當您在 Microsoft 365 中的 SharePoint 中使用混合式搜尋時，會遇到下列一或多個問題：

• 編目失敗。
• 不會傳回任何結果。
• 您會收到錯誤訊息，例如「已強制關閉現有的連線」。

解決方案

若要修正問題，請參閱 混合式搜尋無法編目或傳回結果。

參考

• Microsoft 365 所支援的 TLS 密碼套件
• 在 Office 365 和 Office 365 GCC 中準備 TLS 1.2
• 啟用 TLS 加密套件