Preparando-se para o TLS 1.2 no Office 365 e Office 365 GCC

Resumo

Para fornecer a melhor criptografia da classe aos nossos clientes, a Microsoft planeia preterir as versões Transport Layer Security (TLS) 1.0 e 1.1 do Office 365 e do Office 365 GCC. Entendemos que a segurança dos seus dados é importante e estamos comprometidos com a transparência sobre as mudanças que podem afetar o uso do serviço TLS.

A implementação do Microsoft TLS 1.0 não tem vulnerabilidades de segurança conhecidas. Mas devido ao potencial para futuros ataques de downgrade de protocolo e outras vulnerabilidades TLS, estamos a interromper o suporte para TLS 1.0 e 1.1 no Microsoft Office 365 e Office 365 GCC.

Para obter informações sobre como remover as dependências TLS 1.0 e 1.1, consulte o seguinte papel branco: Resolver o problema do TLS 1.0.

Após atualizar para o TLS 1.2, certifique-se de que os conjuntos de ações cipher que está a utilizar são suportados pelo Azure Front Door. Microsoft 365 Porta da Frente do Azure e do Azure têm algumas diferenças no suporte do conjunto de ações cipher. Para obter detalhes, consulte Quais são os conjuntos de atuais com sistema de cifras suportados pelo Azure Front Door?.

Mais informações

Já iniciamos a depreciação do TLS 1.0 e 1.1 a partir de janeiro de 2020. Quaisquer clientes, dispositivos ou serviços que se liguem ao Office 365 através do TLS 1.0 ou 1.1 nas nossas instâncias DoD ou GCC High não são suportados. Para os nossos clientes comerciais da Office 365, a despreciação do TLS 1.0 e 1.1 começará a 15 de outubro de 2020 e a mesma continuará ao longo das seguintes semanas e meses.

Recomendamos que todas as combinações cliente-servidor e navegador-servidor usem o TLS 1.2 (ou uma versão posterior) para manter a conexão com os serviços do Office 365. Pode ter que atualizar certas combinações cliente-servidor e navegador-servidor.

Nota

Para o fluxo de correio de remetido SMTP, após a preterição do TLS 1.0 e 1.1, só aceitaremos a ligação TLS 1.2. No entanto, continuaremos a aceitar o Connection SMTP, que não está encriptado sem qualquer TLS. Embora não seja recomendada a transmissão de e-mail sem encriptação.

Terá de atualizar as aplicações que chamam Microsoft 365 APIs através de TLS 1.0 ou TLS 1.1 para utilizar o TLS 1.2. O .NET 4.5 é predefinido para TLS 1.1. Para atualizar a sua configuração do .NET, consulte Como ativar o Transport Layer Security (TLS) 1.2 em clientes.

Sabe-se que os clientes seguintes não podem usar o TLS 1.2. Atualize estes clientes para garantir o acesso ininterrupto ao serviço.

  • Android 4.3 e versões anteriores
  • Firefox versão 5.0 e versões anteriores
  • Internet Explorer 8-10 no Windows 7 e versões anteriores
  • Internet Explorer 10 no Windows Phone 8
  • Safari 6.0.4/OS X10.8.4 e versões anteriores

TLS 1.2 para Salas Microsoft Teams e Surface Hub

Salas Microsoft Teams (anteriormente conhecidas como Sistema de Salas Skype V2 SRS V2) têm suportado TLS 1.2 desde dezembro de 2018. Recomendamos que os dispositivos Salas tenham a aplicação Salas Microsoft Teams versão 4.0.64.0 ou posterior instalada. Para mais informações, consulte as Notas de versão. As alterações são compatíveis com versões anteriores e posteriores.

Surface Hub lançou suporte para o TLS 1.2 em maio de 2019.

O suporte ao TLS 1.2 para Salas Microsoft Teams e produtos Surface Hub também requer as seguintes alterações de código do lado do servidor:

  • As alterações no servidor do Skype para Empresas Online foram feitas ao vivo em abril de 2019. Agora, o Skype para Empresas Online suporta ligar-se a Salas Microsoft Teams e dispositivos Surface Hub usando TLS 1.2.

  • Os clientes do Skype para Empresas Server devem instalar uma atualização cumulativa (AC) para usar o TLS 1.2 para sistemas de Salas Teams e Surface Hub.

    • Para Skype para Empresas Server 2015, CU9 já foi lançado em maio de 2019.
    • Para o Skype para Empresas Server 2019, o CU1 foi previamente planeado para abril de 2019, mas foi adiado para junho de 2019.

    Nota

    Os clientes do Skype para Empresas no local não devem desativar o TLS 1.0/1.1 antes de instalar CUs específicos para Skype para Empresas Server.

Se estiver a usar qualquer infra-estrutura local para cenários híbridos ou Serviços de Federação do Active Directory (AD FS), certifique-se de que a infra-estrutura pode suportar ambas as ligações de entrada e saída que usem TLS 1.2.

Referências

Os seguintes recursos fornecem orientação para ajudar a garantir que os seus clientes estejam a utilizar o TLS 1.2 ou uma versão posterior e desativar o TLS 1.0 e 1.1.