Preparación para TLS 1.2 en Office 365 y Office 365 GCC

Resumen

Para proporcionar el mejor cifrado de su clase a nuestros clientes, Microsoft ha dejado de usar las versiones 1.0 y 1.1 de Seguridad de la capa de transporte (TLS) en Office 365 y Office 365 GCC. Entendemos que la seguridad de los datos es importante y estamos garantizamos transparencia en cuanto a los cambios que pueden afectar al uso del servicio TLS.

La implementación de TLS 1.0 de Microsoft no tiene vulnerabilidades de seguridad conocidas. Pero debido a la posibilidad de futuros ataques de degradación de protocolos y otras vulnerabilidades de TLS, hemos dejado de admitir TLS 1.0 y 1.1 en Microsoft Office 365 y Office 365 GCC.

Para obtener información acerca de cómo eliminar las dependencias de TLS 1.0 y 1.1, consulte el siguiente documento técnico: Resolución del problema con TLS 1.0.

Después de actualizar a TLS 1.2, asegúrese de que Azure Front Door admite los conjuntos de cifrado que usa. Microsoft 365 y Azure Front Door tienen ligeras diferencias en la compatibilidad con conjuntos de cifrado. Para obtener más información, consulte ¿Cuáles son los conjuntos de cifrado actuales admitidos por Azure Front Door?.

Más información

Comenzamos a desuso de TLS 1.0 y 1.1 a partir de enero de 2020. No se admiten todos los clientes, dispositivos o servicios que se conecten a Office 365 a través de TLS 1.0 o 1.1 en nuestras instancias DoD o GCC High. Para nuestros clientes comerciales de Office 365, el desuso de TLS 1.0 y 1.1 comenzó el 15 de octubre de 2020 y el lanzamiento continuó durante las siguientes semanas y meses.

Recomendamos que todas las combinaciones de cliente-servidor y navegador-servidor utilicen TLS 1.2 (o una versión posterior) para mantener la conexión con los servicios de Office 365. Es posible que tenga que actualizar ciertas combinaciones cliente-servidor y navegador-servidor.

Tendrá que actualizar las aplicaciones que llaman a las API de Microsoft 365 a través de TLS 1.0 o TLS 1.1 para usar TLS 1.2. .NET 4.5 tiene como valor predeterminado TLS 1.1. Para actualizar la configuración de .NET, consulte Habilitación de seguridad de la capa de transporte (TLS) 1.2 en los clientes.

Se sabe que los siguientes clientes no pueden usar TLS 1.2. Actualice los clientes para garantizar un acceso ininterrumpido al servicio.

• Android 4.3 y versiones anteriores
• Firefox versión 5.0 y versiones anteriores
• Internet Explorer 8-10 en Windows 7 y versiones anteriores
• Internet Explorer 10 en Windows Phone 8
• Safari 6.0.4/OS X10.8.4 y versiones anteriores

TLS 1.2 para salas de Microsoft Teams y Surface Hub

Las salas de Microsoft Teams (anteriormente conocidas como Skype Room System V2 SRS V2) han admitido TLS 1.2 desde diciembre de 2018. Se recomienda que los dispositivos de salas tengan instalada la versión 4.0.64.0 o posterior de la aplicación Salas de Microsoft Teams. Para obtener más información, consulte las Notas de la versión. Los cambios son compatibles con versiones anteriores y posteriores.

Surface Hub publicó la compatibilidad con TLS 1.2 en mayo de 2019.

La compatibilidad con TLS 1.2 para Salas de Microsoft Teams y productos Surface Hub también requiere los siguientes cambios en el código del lado servidor:

• Los cambios en el servidor de Skype Empresarial Online se realizaron en vivo en abril de 2019. Ahora, Skype Empresarial Online admite la conexión de Salas de Microsoft Teams y dispositivos Surface Hub mediante TLS 1.2.

• Los clientes de Skype Empresarial Server deben instalar una actualización acumulativa (CU) para usar TLS 1.2 para los sistemas de salas de Microsoft Teams y Surface Hub.

  • La actualización acumulativa 9 (CU9) para Skype Empresarial Server 2015 se publicó en mayo de 2019.
  • La actualización acumulativa 1 (CU1) para Skype for Business Server 2019 estaba programada para abril de 2019, pero se retrasa a junio de 2019.

  Nota:

  Los clientes locales de Skype for Business no deben deshabilitar TLS 1.0/1.1 antes de instalar actualizaciones acumulativas específicas para Skype for Business Server.

Si está utilizando una infraestructura local para escenarios híbridos o Servicios de federación de Active Directory, asegúrese de que la infraestructura admite conexiones entrantes y salientes que usen TLS 1.2.

Referencias

Los siguientes recursos proporcionan instrucciones para asegurarse de que los clientes usan TLS 1.2 o una versión posterior y para deshabilitar TLS 1.0 y 1.1.

• Si tiene clientes de Windows 7 que se conecten a Office 365, asegúrese de que TLS 1.2 sea el protocolo seguro predeterminado en WinHTTP en Windows. Para obtener más información, consulte KB 3140245 - Actualización para habilitar TLS 1.1 y TLS 1.2 como protocolos seguros predeterminados en WinHTTP en Windows.
• Conjuntos de cifrado TLS admitidos por Office 365
• Para comenzar a abordar el uso débil de TLS eliminando las dependencias de TLS 1.0 y 1.1, consulte Compatibilidad con TLS 1.2 en Microsoft.
• La nueva funcionalidad IIS facilita la búsqueda de clientes en Windows Server 2012 R2 y Windows Server 2016 que se conectan al servicio mediante el uso de protocolos de seguridad débiles.
• Obtenga más información sobre cómo resolver el problema de TLS 1.0.
• Para obtener información general sobre nuestro enfoque de la seguridad, consulte el Centro de confianza de Office 365.
• Para identificar la versión de TLS que usan los clientes SMTP, consulte el informe clientes de autenticación SMTP en el EAC.
• Preparación para la degradación de TLS 1.0/1.1: Office 365 Skype Empresarial
• Guía de TLS de Exchange Server, parte 1: Preparación para TLS 1.2
• Orientación TLS de Exchange Server Parte 2: Habilitación de TLS 1.2 e identificación de clientes que no lo utilicen
• Orientación TLS de Exchange Server Parte 3: Desactivar TLS 1.0/1.1
• Habilitar la compatibilidad con TLS 1.1 y TLS 1.2 en Office Online Server
• Habilitar la compatibilidad con TLS y SSL en SharePoint 2013
• Habilitar la compatibilidad con TLS 1.1 y TLS 1.2 en SharePoint Server 2016
• Habilitar la compatibilidad con TLS 1.1 y TLS 1.2 en SharePoint Server 2019