Disabilitazione di TLS 1.0 e 1.1 per Microsoft 365
Importante
TLS 1.0 e 1.1 sono già stati disabilitati per la maggior parte dei servizi Microsoft 365 nell'ambiente globale. Per Microsoft 365 gestito da 21 Vianet, TLS 1.0/1.1 è stato disabilitato il 30 giugno 2023.
A partire dal 31 ottobre 2018, i protocolli Transport Layer Security (TLS) 1.0 e 1.1 sono deprecati per il servizio Microsoft 365. L'effetto per gli utenti finali è minimo. Questo cambiamento è stato pubblicizzato per oltre due anni, con il primo annuncio pubblico fatto nel dicembre 2017. Questo articolo è destinato solo a coprire il client locale Office 365 in relazione al servizio Office 365, ma può anche essere applicato ai problemi di TLS locali con Office e Office Online Server/Office App Web.
Per SharePoint e OneDrive, è necessario aggiornare e configurare .NET per supportare TLS 1.2. Per informazioni, vedere Come abilitare TLS 1.2 nei client.
Consiglio
Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.
Panoramica di Office 365 e TLS
Il client di Office si basa sul servizio Web Windows (WINHTTP) per inviare e ricevere traffico tramite protocolli TLS. Il client di Office può usare TLS 1.2 se il servizio Web del computer locale può usare TLS 1.2. Tutti i client di Office possono usare i protocolli TLS, in quanto i protocolli TLS e SSL fanno parte del sistema operativo e non sono specifici del client di Office.
In Windows 8 e versioni successive
Per impostazione predefinita, i protocolli TLS 1.2 e 1.1 sono disponibili se non sono configurati dispositivi di rete per rifiutare il traffico TLS 1.2.
In Windows 7
I protocolli TLS 1.1 e 1.2 non sono disponibili senza l'aggiornamento 3140245 KB . L'aggiornamento risolve questo problema e aggiunge la seguente sottochiava del Registro di sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
Nota
Gli utenti di Windows 7 che non dispongono di questo aggiornamento sono interessati a partire dal 31 ottobre 2018. KB 3140245 contiene informazioni dettagliate su come modificare le impostazioni WINHTTP per abilitare i protocolli TLS.
Ulteriori informazioni
Il valore della chiave del Registro di sistema DefaultSecureProtocols descritto nell'articolo della Knowledge Base determina quali protocolli di rete possono essere usati:
| Valore DefaultSecureProtocols | Protocollo abilitato |
|---|---|
| 0x00000008 | Consente di abilitare SSL 2.0 per impostazione predefinita |
| 0x00000020 | Consente di abilitare SSL 3.0 per impostazione predefinita |
| 0x00000080 | Consente di abilitare TLS 1.0 per impostazione predefinita |
| 0x00000200 | Consente di abilitare TLS 1.1 per impostazione predefinita |
| 0x00000800 | Consente di abilitare TLS 1.2 per impostazione predefinita |
| 0x00002000 | Abilitare TLS 1.3 per impostazione predefinita |
Client di Office e chiavi del Registro di sistema TLS
È possibile fare riferimento a KB 4057306 Preparazione per l'uso obbligatorio di TLS 1.2 in Office 365. Questo è un articolo generale per gli amministratori IT ed è la documentazione ufficiale sulla modifica di TLS 1.2.
La tabella seguente mostra i valori appropriati della chiave del Registro di sistema nei client Office 365 dopo il 31 ottobre 2018.
| Protocolli abilitati per il servizio Office 365 dopo il 31 ottobre 2018 | Valore esadecimale |
|---|---|
| TLS 1.0 + 1.1 + 1.2 | 0x00000A80 |
| TLS 1.1 + 1.2 | 0x00000A00 |
| TLS 1.0 + 1.2 | 0x00000880 |
| TLS 1.2 | 0x00000800 |
Importante
Non usare i protocolli SSL 2.0 e 3.0, che possono essere impostati anche usando la chiave DefaultSecureProtocols . SSL 2.0 e 3.0 sono considerati protocolli obsoleti e non sicuri. La procedura consigliata consiste nel terminare l'uso di SSL 2.0 e SSL 3.0, anche se la decisione di eseguire questa operazione dipende in definitiva da ciò che meglio soddisfa le esigenze del prodotto. Per altre informazioni sulle vulnerabilità SSL 3.0, vedere kb 3009008.
Puoi usare il calcolatore di Windows predefinito in modalità Programmatore per configurare gli stessi valori di chiave del Registro di sistema di riferimento. Per altre informazioni, vedere KB 3140245 Update per abilitare TLS 1.1 e TLS 1.2 come protocolli sicuri predefiniti in WinHTTP in Windows.
Indipendentemente dal fatto che l'aggiornamento di Windows 7 (KB 3140245) sia installato o meno, la sottochiava del Registro di sistema DefaultSecureProtocols non è presente e deve essere aggiunta manualmente o tramite un oggetto Criteri di gruppo. Ovvero, a meno che non sia necessario personalizzare i protocolli sicuri abilitati o limitati, questa chiave non è necessaria. È necessario solo l'aggiornamento di Windows 7 SP1 (KB 3140245).
Aggiornare e configurare il .NET Framework per supportare TLS 1.2
È necessario aggiornare le applicazioni che chiamano le API di Microsoft 365 tramite TLS 1.0 o TLS 1.1 per usare TLS 1.2. .NET 4.5 per impostazione predefinita è TLS 1.1. Per aggiornare la configurazione di .NET, vedere Come abilitare Transport Layer Security (TLS) 1.2 nei client.
Ulteriori informazioni
Per altre informazioni, vedere Preparazione per l'uso obbligatorio di TLS 1.2 in Office 365.
Riferimenti
Le risorse seguenti forniscono indicazioni per assicurarsi che i client usno TLS 1.2 o versione successiva e per disabilitare TLS 1.0 e 1.1:
- Per client Windows 7 connessi a Office 365, verificare che TLS 1.2 sia impostato come protocollo di sicurezza predefinito nel servizio WinHTTP di Windows. Per altre informazioni, vedere KB 3140245 - Update per abilitare TLS 1.1 e TLS 1.2 come protocolli sicuri predefiniti in WinHTTP in Windows.
- Per gestire l'utilizzo di TLS debole rimuovendo le dipendenze TLS 1.0 e 1.1, vedere Supporto di TLS 1.2 in Microsoft.
- Le nuove funzionalità di IIS semplificano l'individuazione dei client nei sistemi Windows Server 2012 R2 e Windows Server 2016 che si connettono al servizio utilizzando protocolli di sicurezza inefficaci.
- Ottenere altre informazioni su come risolvere il problema di TLS 1.0.
- Per informazioni generali sull'approccio di Microsoft alla sicurezza, visitare il Centro protezione di Office 365.
- Preparazione alla deprecazione di TLS 1.0/1.1 - Office 365 Skype for Business
- Linee guida TLS di Exchange Server, parte 1: Prepararsi per TLS 1.2
- Linee guida TLS di Exchange Server Parte 2: Abilitazione di TLS 1.2 e identificazione dei client che non lo utilizzano
- Linee guida TLS di Exchange Server Parte 3: Disattivazione di TLS 1.0/1.1
- Abilitare il supporto per TLS 1.1 e TLS 1.2 in Office Online Server
Commenti e suggerimenti
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere: https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per