Deaktivieren von TLS 1.0 und 1.1 für Microsoft 365

Wichtig

Wir haben die Deaktivierung von TLS 1.0 und 1.1 für gewerbliche Kunden aufgrund von COVID-19 vorübergehend ausgesetzt. Da sich die Lieferketten angepasst haben und bestimmte Länder wieder geöffnet sind, haben wir am 15. Oktober 2020 das TlS 1.2-Durchsetzungsrollout neu gestartet. Der Rollout wird in den folgenden Wochen und Monaten fortgesetzt.

Seit dem 31. Oktober 2018 sind die Protokolle Transport Layer Security (TLS) 1.0 und 1.1 für den Microsoft 365-Dienst veraltet. Der Effekt für Endbenutzer ist minimal. Diese Änderung wurde seit über zwei Jahren veröffentlicht, mit der ersten öffentlichen Ankündigung im Dezember 2017. Dieser Artikel soll nur die Office 365 lokalen Clients in Bezug auf den Office 365-Dienst behandeln, kann aber auch auf lokale TLS-Probleme mit Office und Office Online Server/Office Web-Apps angewendet werden.

Für SharePoint und OneDrive müssen Sie .NET aktualisieren und konfigurieren, um TLS 1.2 zu unterstützen. Weitere Informationen finden Sie unter Aktivieren von TLS 1.2 auf Clients.

übersicht über Office 365 und TLS

Der Office-Client basiert auf dem Windows-Webdienst (WINHTTP), um Datenverkehr über TLS-Protokolle zu senden und zu empfangen. Der Office-Client kann TLS 1.2 verwenden, wenn der Webdienst des lokalen Computers TLS 1.2 verwenden kann. Alle Office-Clients können TLS-Protokolle verwenden, da TLS- und SSL-Protokolle Teil des Betriebssystems und nicht spezifisch für den Office-Client sind.

Unter Windows 8 und höheren Versionen

Standardmäßig sind die TLS 1.2- und 1.1-Protokolle verfügbar, wenn keine Netzwerkgeräte so konfiguriert sind, dass TLS 1.2-Datenverkehr abgelehnt wird.

Unter Windows 7

TLS 1.1- und 1.2-Protokolle sind ohne das KB 3140245 Update nicht verfügbar. Das Update behebt dieses Problem und fügt den folgenden Registrierungsunterschlüssel hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

Hinweis

Windows 7-Benutzer, die nicht über dieses Update verfügen, sind ab dem 31. Oktober 2018 betroffen. KB 3140245 enthält Details zum Ändern von WINHTTP-Einstellungen zum Aktivieren von TLS-Protokollen.

Weitere Informationen

Der Wert des Registrierungsschlüssels DefaultSecureProtocols , den der KB-Artikel beschreibt, bestimmt, welche Netzwerkprotokolle verwendet werden können:

DefaultSecureProtocols-Wert Protokoll aktiviert
0x00000008 SSL 2.0 standardmäßig aktivieren
0x00000020 SSL 3.0 standardmäßig aktivieren
0x00000080 TLS 1.0 standardmäßig aktivieren
0x00000200 TLS 1.1 standardmäßig aktivieren
0x00000800 TLS 1.2 standardmäßig aktivieren

Office-Clients und TLS-Registrierungsschlüssel

Sie können sich in Office 365 auf KB 4057306 Vorbereiten der obligatorischen Verwendung von TLS 1.2 beziehen. Dies ist ein allgemeiner Artikel für IT-Administratoren und es ist eine offizielle Dokumentation zur TLS 1.2-Änderung.

Die folgende Tabelle zeigt die entsprechenden Registrierungsschlüsselwerte in Office 365 Clients nach dem 31. Oktober 2018.

Aktivierte Protokolle für Office 365 Dienst nach dem 31. Oktober 2018 Hexadezimalwert
TLS 1.0 + 1.1 + 1.2 0x00000A80
TLS 1.1 + 1.2 0x00000A00
TLS 1.0 + 1.2 0x00000880
TLS 1.2 0x00000800

Wichtig

Verwenden Sie nicht die SSL 2.0- und 3.0-Protokolle, die auch mithilfe des DefaultSecureProtocols-Schlüssels festgelegt werden können. SSL 2.0 und 3.0 gelten als veraltete und unsichere Protokolle. Die bewährte Methode besteht darin, die Verwendung von SSL 2.0 und SSL 3.0 zu beenden, obwohl die Entscheidung, dies zu tun, letztendlich davon abhängt, was Ihre Produktanforderungen am besten erfüllt. Weitere Informationen zu SSL 3.0-Sicherheitsrisiken finden Sie unter KB 3009008.

Sie können den standardmäßigen Windows-Rechner im Programmiermodus verwenden, um dieselben Referenzregistrierungsschlüsselwerte einzurichten. Weitere Informationen finden Sie unter KB 3140245 Update, um TLS 1.1 und TLS 1.2 als sichere Standardprotokolle in WinHTTP unter Windows zu aktivieren.

Unabhängig davon, ob das Windows 7-Update (KB 3140245) installiert ist oder nicht, ist der Registrierungsunterschlüssel "DefaultSecureProtocols" nicht vorhanden und muss manuell oder über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) hinzugefügt werden. Das heißt, wenn Sie nicht anpassen müssen, welche sicheren Protokolle aktiviert oder eingeschränkt sind, ist dieser Schlüssel nicht erforderlich. Sie benötigen nur das Windows 7 SP1 (KB 3140245)-Update.

.NET Framework zur Unterstützung von TLS 1.2 aktualisieren und konfigurieren

Sie müssen Anwendungen aktualisieren, die Microsoft 365 APIs über TLS 1.0 oder TLS 1.1 aufrufen, um TLS 1.2 zu verwenden. .NET 4.5 ist standardmäßig TLS 1.1. Informationen zum Aktualisieren Ihrer .NET-Konfiguration finden Sie unter Aktivieren von TLS 1.2 (Transport Layer Security) auf Clients.

Weitere Informationen

Weitere Informationen finden Sie unter Vorbereiten der obligatorischen Verwendung von TLS 1.2 in Office 365.

References

Die folgenden Ressourcen enthalten Anleitungen, um sicherzustellen, dass Ihre Clients TLS 1.2 oder eine höhere Version verwenden und TLS 1.0 und 1.1 zu deaktivieren: