Vorbereiten von TLS 1.2 in Office 365 und Office 365 GCC

Hinweis

Microsoft 365 Compliance wird jetzt Microsoft Purview genannt, und die Lösungen im Compliancebereich wurden umbenannt. Weitere Informationen zu Microsoft Purview finden Sie in der Blog-Ankündigung.

Zusammenfassung

Um unseren Kunden die bestmögliche Verschlüsselung zu bieten, planen wir, die Unterstützung für die TLS-Versionen 1.0 und 1.1 (Transport Layer Security) in Microsoft Office 365 und Office 365 GCC bald einzustellen. Wir verstehen, dass die Sicherheit Ihrer Daten wichtig ist, und wir legen großen Wert auf Transparenz bezüglich Änderungen, die Ihre Nutzung des TLS-Dienstes beeinträchtigen könnten.

Die Implementierung von Microsoft TLS 1.0 hat keine bekannten Sicherheitsschwachstellen. Aufgrund des Potenzials für zukünftige Protokoll-Downgrade-Angriffe und andere TLS-Sicherheitsschwachstellen stellen wir aber die Unterstützung für die Verwendung von TLS 1.0 und 1.1 in Office 365 und Office 365 GCC ein.

Informationen zum Entfernen von TLS 1.0- und 1.1-Abhängigkeiten finden Sie im folgenden Whitepaper: Lösen des TLS 1.0-Problems.

Stellen Sie nach dem Upgrade auf TLS 1.2 sicher, dass die von Ihnen verwendeten Verschlüsselungssammlungen von Azure Front Door unterstützt werden. Microsoft 365 und Azure Front Door weisen geringfügige Unterschiede bei der Unterstützung der Verschlüsselungssuite auf. Weitere Informationen finden Sie unter Was sind die aktuellen Verschlüsselungssammlungen, die von Azure Front Door unterstützt werden?

Weitere Informationen

Wir haben bereits mit der Abschreibung von TLS 1.0 und 1.1 ab Januar 2020 begonnen. Clients, Geräte oder Dienste, die über TLS 1.0 oder 1.1 in unseren hohen DoD- oder GCC-Instanzen eine Verbindung zu Office 365 herstellen, werden nicht unterstützt. Für unsere gewerblichen Kunden von Office 365 beginnt die Einstellung von TLS 1.0 und 1.1 mit dem 15. Oktober 2020 und der Rollout wird in den folgenden Wochen und Monaten fortgesetzt.

Sie sollten sicherstellen, dass alle Client-Server- und Browser-Server-Kombinationen TLS 1.2 (oder höher) verwenden, um die Verbindung zu Office 365-Services aufrechtzuerhalten. Dies erfordert möglicherweise Updates für bestimmte Client-Server- bzw. Browser-Server-Kombinationen.

Hinweis

Für den SMTP-Fluss eingehender E-Mails akzeptieren wir nach dem Ende von TLS 1.0 und 1.1 nur die TLS 1.2-Verbindung. Wir akzeptieren jedoch weiterhin die SMTP-Verbindung, die ohne TLS unverschlüsselt ist. Obwohl die E-Mail-Übertragung ohne Verschlüsselung nicht empfohlen wird.

Sie müssen Anwendungen aktualisieren, die Microsoft 365 APIs über TLS 1.0 oder TLS 1.1 aufrufen, um TLS 1.2 zu verwenden. .NET 4.5 ist standardmäßig TLS 1.1. Informationen zum Aktualisieren Ihrer .NET-Konfiguration finden Sie unter Aktivieren von TLS 1.2 (Transport Layer Security) auf Clients.

Die folgenden Clients können TLS 1.2 nicht verwenden. Bitte aktualisieren Sie Ihre Clients, um einen unterbrechungsfreien Zugriff auf den Dienst sicherzustellen.

  • Android 4.3 und niedrigere Versionen
  • Firefox Version 5.0 und frühere Versionen
  • Internet Explorer 8-10 auf Windows 7 und frühere Versionen
  • Internet Explorer 10 auf Windows Phone 8
  • Safari 6.0.4/OS X10.8.4 und frühere Versionen

TLS 1.2 für Microsoft Teams Rooms und Surface Hub

Microsoft Teams Rooms (früher bekannt als Skype Room System V2 SRS V2) unterstützen TLS 1.2 seit Dezember 2018. Es wird empfohlen, dass Rooms-Geräte Microsoft Teams Rooms-App Version 4.0.64.0 oder höher installiert haben. Weitere Informationen finden Sie in den folgenden Release-Informationen. Die Änderungen sind rückwärts- und vorwärtskompatibel.

Surface Hub hat im Mai 2019 TLS 1.2-Unterstützung veröffentlicht.

Die TLS 1.2-Unterstützung für Microsoft Teams Rooms- und Surface Hub-Produkte erfordert außerdem die folgenden serverseitigen Codeänderungen:

  • Die Serveränderungen von Skype for Business Online wurden im April 2019 live vorgenommen. Skype for Business Online unterstützt jetzt die Verbindung von Microsoft Teams Rooms und Surface Hub-Geräten mithilfe von TLS 1.2.

  • Skype for Business Server-Kunden müssen ein kumulatives Update (CU) installieren, um TLS 1.2 für Teams Rooms Systems und Surface Hub verwenden zu können.

    • Für Skype for Business Server 2015 wird CU9 bereits im Mai 2019 veröffentlicht.
    • Für Skype for Business Server 2019 war CU1 ursprünglich für April 2019 geplant, verzögert sich jedoch auf Juni 2019.

    Hinweis

    Lokale Skype for Business-Kunden sollten TLS 1.0/1.1 nicht deaktivieren, bevor Sie bestimmte CUs für Skype for Business Server installieren.

Wenn Sie eine lokale Infrastruktur für Hybrid-Szenarien oder Active Directory-Verbunddienste verwenden, stellen Sie sicher, dass die Infrastruktur sowohl eingehende als auch ausgehende Verbindungen, die TLS 1.2 verwenden, unterstützen kann.

Informationsquellen

Die folgenden Ressourcen bieten Hilfe, um sicherzustellen, dass Ihre Clients TLS 1.2 oder eine höhere Version verwenden und um TLS 1.0 und 1.1 zu deaktivieren.