Förbereda för TLS 1.2 i Office 365 och Office 365 GCC

Sammanfattning

För att tillhandahålla kryptering som är bäst i sin klass till våra kunder planerar Microsoft att avskriva TLS-versionerna (Transport Layer Security) 1.0 och 1.1 i Office 365 och Office 365 GCC. Vi förstår att din data är viktig, och vi är måna om transparensen om ändringar som kan påverka din användning av tjänsten TLS.

Den Microsoft TLS 1.0 genomförandet har inga kända säkerhetsproblem. Men på grund av potentialen för framtida nedgraderingsattacker av protokoll och andra TLS-sårbarheter avbryter vi stödet för TLS 1.0 och 1.1 i Microsoft Office 365 och Office 365 GCC.

Se följande faktablad för information om hur du tar bort TLS 1.0- och 1.1-beroenden: Lösa problemet med TLS 1.0.

När du har uppgraderat till TLS 1.2 kontrollerar du att chiffersviterna som du använder stöds av Azure Front Door. Microsoft 365 och Azure Front Door har små skillnader i stöd för chiffersvit. Mer information finns i Vilka är de aktuella chiffersviterna som stöds av Azure Front Door?.

Mer information

Vi har redan börjat utfasningen av TLS 1.0 och 1.1 från och med januari 2020. Klienter, enheter eller tjänster som ansluter till Office 365 via TLS 1.0 eller 1.1 i våra DoD- eller GCC-avancerade instanser stöds inte. För våra kommersiella kunder med Office 365 börjar utfasningen av TLS 1.0 och 1.1 den 15 oktober 2020 och utfasningen fortsätter under de kommande veckorna och månaderna.

Vi rekommenderar att alla kombinationer av klient- och webbläsarservrar använder TLS 1.2 (eller en senare version) för att behålla anslutningen till Office 365-tjänster. Du kan behöva uppdatera vissa kombinationer av klient- och webbläsarservrar.

Anteckning

För SMTP-inkommande e-postflöde accepterar vi endast TLS 1.2-anslutning efter utfasningen av TLS 1.0 och 1.1. Men vi fortsätter att acceptera SMTP-anslutning som är okrypterad utan någon TLS. Vi rekommenderar inte e-postöverföring utan kryptering.

Du måste uppdatera program som anropar Microsoft 365 API:er via TLS 1.0 eller TLS 1.1 för att använda TLS 1.2. .NET 4.5 blir TLS 1.1 som standard. Om du vill uppdatera .NET-konfigurationen går du till Aktivera TLS (Transport Layer Security) 1.2 på klienter.

Följande klienter är kända för att inte använda TLS 1.2. Uppdatera dessa kunder för att säkerställa oavbruten tillgång till tjänsten.

  • Android 4.3 och tidigare versioner
  • Firefox version 5.0 och tidigare versioner
  • Internet Explorer 8-10 på Windows 7 och tidigare versioner
  • Internet Explorer 10 på Windows Phone 8
  • Safari 6.0.4/OS X10.8.4 och tidigare versioner

TLS 1.2 för Microsoft Teams Rum och Surface Hub

Microsoft Teams Rum (tidigare kallad Skype Room System V2 SRS V2) har haft stöd för TLS 1.2 sedan december 2018. Vi rekommenderar att Rum-enheter har appen Microsoft Teams Rum version 4.0.64.0 eller senare installerad. Se Viktig information för mer information. Ändringarna är bakåt- och framåtkompatibla.

Surface Hub släppte stöd för TLS 1.2 i maj 2019.

TLS 1.2-stöd för Microsoft Teams Rum- och Surface Hub-produkter kräver också följande kodändringar på serversidan:

  • Ändringar av Skype för företag – Online-servern blev aktiva i april 2019. Nu har Skype för företag – Online stöd för att ansluta till Microsoft Teams Rum- och Surface Hub-enheter med hjälp av TLS 1.2.

  • Kunder med Skype för företag – Server måste installera en kumulativ uppdatering (CU) för att kunna använda TLS 1.2 för system med Teams Rum och Surface Hub.

    • För Skype för företag – Server 2015 släpptes CU9 redan i maj 2019.
    • För Skype för företag – Server 2019 var CU1 tidigare planerad till april 2019 men är försenad till juni 2019.

    Anteckning

    Kunder med Skype för företag lokalt bör inte inaktivera TLS 1.0/1.1 innan specifika CU:er för Skype för företag – Server installeras.

Om du använder någon lokal infrastruktur för hybridscenarier eller Active Directory Federation Services, se till att infrastrukturen kan stödja både inkommande och utgående anslutningar som använder TLS 1.2.

Referenser

Följande resurser ger vägledning för att se till att dina klienter använder TLS 1.2 eller senare och inaktivera TLS 1.0 och 1.1.