Preparando-se para o TLS 1.2 no Office 365 e Office 365 GCC
Resumo
Para fornecer a melhor criptografia da classe aos nossos clientes, a Microsoft planeia preterir as versões Transport Layer Security (TLS) 1.0 e 1.1 do Office 365 e do Office 365 GCC. Entendemos que a segurança dos seus dados é importante e estamos comprometidos com a transparência sobre as mudanças que podem afetar o uso do serviço TLS.
A implementação do Microsoft TLS 1.0 não tem vulnerabilidades de segurança conhecidas. Mas devido ao potencial para futuros ataques de downgrade de protocolo e outras vulnerabilidades TLS, estamos a interromper o suporte para TLS 1.0 e 1.1 no Microsoft Office 365 e Office 365 GCC.
Para obter informações sobre como remover as dependências TLS 1.0 e 1.1, consulte o seguinte papel branco: Resolver o problema do TLS 1.0.
Após atualizar para o TLS 1.2, certifique-se de que os conjuntos de ações cipher que está a utilizar são suportados pelo Azure Front Door. Microsoft 365 Porta da Frente do Azure e do Azure têm algumas diferenças no suporte do conjunto de ações cipher. Para obter detalhes, consulte Quais são os conjuntos de atuais com sistema de cifras suportados pelo Azure Front Door?.
Mais informações
Já iniciamos a depreciação do TLS 1.0 e 1.1 a partir de janeiro de 2020. Quaisquer clientes, dispositivos ou serviços que se liguem ao Office 365 através do TLS 1.0 ou 1.1 nas nossas instâncias DoD ou GCC High não são suportados. Para os nossos clientes comerciais da Office 365, a despreciação do TLS 1.0 e 1.1 começará a 15 de outubro de 2020 e a mesma continuará ao longo das seguintes semanas e meses.
Recomendamos que todas as combinações cliente-servidor e navegador-servidor usem o TLS 1.2 (ou uma versão posterior) para manter a conexão com os serviços do Office 365. Pode ter que atualizar certas combinações cliente-servidor e navegador-servidor.
Nota
Para o fluxo de correio de remetido SMTP, após a preterição do TLS 1.0 e 1.1, só aceitaremos a ligação TLS 1.2. No entanto, continuaremos a aceitar o Connection SMTP, que não está encriptado sem qualquer TLS. Embora não seja recomendada a transmissão de e-mail sem encriptação.
Terá de atualizar as aplicações que chamam Microsoft 365 APIs através de TLS 1.0 ou TLS 1.1 para utilizar o TLS 1.2. O .NET 4.5 é predefinido para TLS 1.1. Para atualizar a sua configuração do .NET, consulte Como ativar o Transport Layer Security (TLS) 1.2 em clientes.
Sabe-se que os clientes seguintes não podem usar o TLS 1.2. Atualize estes clientes para garantir o acesso ininterrupto ao serviço.
- Android 4.3 e versões anteriores
- Firefox versão 5.0 e versões anteriores
- Internet Explorer 8-10 no Windows 7 e versões anteriores
- Internet Explorer 10 no Windows Phone 8
- Safari 6.0.4/OS X10.8.4 e versões anteriores
TLS 1.2 para Salas Microsoft Teams e Surface Hub
Salas Microsoft Teams (anteriormente conhecidas como Sistema de Salas Skype V2 SRS V2) têm suportado TLS 1.2 desde dezembro de 2018. Recomendamos que os dispositivos Salas tenham a aplicação Salas Microsoft Teams versão 4.0.64.0 ou posterior instalada. Para mais informações, consulte as Notas de versão. As alterações são compatíveis com versões anteriores e posteriores.
Surface Hub lançou suporte para o TLS 1.2 em maio de 2019.
O suporte ao TLS 1.2 para Salas Microsoft Teams e produtos Surface Hub também requer as seguintes alterações de código do lado do servidor:
As alterações no servidor do Skype para Empresas Online foram feitas ao vivo em abril de 2019. Agora, o Skype para Empresas Online suporta ligar-se a Salas Microsoft Teams e dispositivos Surface Hub usando TLS 1.2.
Os clientes do Skype para Empresas Server devem instalar uma atualização cumulativa (AC) para usar o TLS 1.2 para sistemas de Salas Teams e Surface Hub.
- Para Skype para Empresas Server 2015, CU9 já foi lançado em maio de 2019.
- Para o Skype para Empresas Server 2019, o CU1 foi previamente planeado para abril de 2019, mas foi adiado para junho de 2019.
Nota
Os clientes do Skype para Empresas no local não devem desativar o TLS 1.0/1.1 antes de instalar CUs específicos para Skype para Empresas Server.
Se estiver a usar qualquer infra-estrutura local para cenários híbridos ou Serviços de Federação do Active Directory (AD FS), certifique-se de que a infra-estrutura pode suportar ambas as ligações de entrada e saída que usem TLS 1.2.
Referências
Os seguintes recursos fornecem orientação para ajudar a garantir que os seus clientes estejam a utilizar o TLS 1.2 ou uma versão posterior e desativar o TLS 1.0 e 1.1.
- Para clientes Windows 7 que se ligam ao Office 365, certifique-se de que o TLS 1.2 é o protocolo seguro padrão no WinHTTP no Windows. Para obter mais informações, consulte KB 3140245 - Atualização para ativar o TLS 1.1 e o TLS 1.2 como protocolos seguros padrão no WinHTTP no Windows.
- Os conjuntos de ações cipher do TLS suportados pelo Office 365
- Para começar a lidar com o uso fraco do TLS removendo as dependências TLS 1.0 e 1.1, consulte suporte ao TLS 1.2 na Microsoft.
- A nova funcionalidade IIS facilita a localização de clientes no Windows Server 2012 R2 e no Windows Server 2016 que se ligam ao serviço usando protocolos de segurança fracos.
- Obter mais informações sobre como resolver o problema TLS 1.0.
- Para obter informações gerais sobre a nossa abordagem à segurança, aceda ao Centro de Confiança do Office 365.
- Para identificar a versão TLS utilizada pelos clientes SMTP, consulte Informações e relatórios dos clientes SMTP no Centro de Conformidade e & segurança.
- Preparar para a Depreciação do TLS 1.0/1.1 - Office 365 Skype para Empresas
- Orientação TLS do Exchange Server, parte 1: Preparação para o TLS 1.2
- Orientação TLS do Exchange Server Parte 2: Ativar o TLS 1.2 e Identificar Clientes Que Não o Utilizam
- Orientação TLS do Exchange Server Parte 3: Desligar o TLS 1.0/1.1
- Ative o suporte ao TLS 1.1 e TLS 1.2 no Office Online Server
- Ative o suporte ao TLS e SSL no SharePoint 2013
- Ativar suporte ao TLS 1.1 e TLS 1.2 no SharePoint Server 2016
- Ativar o suporte TLS 1.1 e TLS 1.2 no SharePoint Server 2019