Deshabilitación de TLS 1.0 y 1.1 para Microsoft 365

Importante

Ya hemos deshabilitado TLS 1.0 y 1.1 para la mayoría de los servicios de Microsoft 365 en el entorno mundial. Para Microsoft 365 operado por 21 Vianet, TLS 1.0/1.1 se deshabilitó el 30 de junio de 2023.

A partir del 31 de octubre de 2018, los protocolos seguridad de la capa de transporte (TLS) 1.0 y 1.1 están en desuso para el servicio Microsoft 365. El efecto para los usuarios finales es mínimo. Este cambio se ha hecho público durante más de dos años, con el primer anuncio público realizado en diciembre de 2017. Este artículo solo está pensado para cubrir la Office 365 cliente local en relación con el servicio Office 365, pero también puede aplicarse a problemas de TLS locales con Office y Office Online Server/Office Web Apps.

Para SharePoint y OneDrive, deberá actualizar y configurar .NET para admitir TLS 1.2. Para obtener información, vea How to enable TLS 1.2 on clients (Cómo habilitar TLS 1.2 en clientes).

Sugerencia

Si no es cliente de E5, use la prueba de soluciones de Microsoft Purview de 90 días para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de datos. Comience ahora en el centro de pruebas de portal de cumplimiento Microsoft Purview. Obtenga más información sobre los términos de suscripción y evaluación.

introducción a Office 365 y TLS

El cliente de Office se basa en el servicio web de Windows (WINHTTP) para enviar y recibir tráfico a través de protocolos TLS. El cliente de Office puede usar TLS 1.2 si el servicio web del equipo local puede usar TLS 1.2. Todos los clientes de Office pueden usar protocolos TLS, ya que los protocolos TLS y SSL forman parte del sistema operativo y no son específicos del cliente de Office.

En Windows 8 y versiones posteriores

De forma predeterminada, los protocolos TLS 1.2 y 1.1 están disponibles si no hay ningún dispositivo de red configurado para rechazar el tráfico TLS 1.2.

En Windows 7

Los protocolos TLS 1.1 y 1.2 no están disponibles sin la actualización de kb 3140245 . La actualización soluciona este problema y agrega la siguiente subclase del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

Nota:

Los usuarios de Windows 7 que no tienen esta actualización se ven afectados a partir del 31 de octubre de 2018. KB 3140245 tiene detalles sobre cómo cambiar la configuración de WINHTTP para habilitar los protocolos TLS.

Más información

El valor de la clave del Registro DefaultSecureProtocols que describe el artículo de KB determina qué protocolos de red se pueden usar:

Valor DefaultSecureProtocols Protocolo habilitado
0x00000008 Habilita SSL 2.0 de manera predeterminada
0x00000020 Habilita SSL 3.0 de manera predeterminada
0x00000080 Habilita TLS 1.0 de manera predeterminada
0x00000200 Habilita TLS 1.1 de manera predeterminada
0x00000800 Habilita TLS 1.2 de manera predeterminada
0x00002000 Habilitar TLS 1.3 de forma predeterminada

Clientes de Office y claves del Registro TLS

Puede consultar KB 4057306 Preparar el uso obligatorio de TLS 1.2 en Office 365. Este es un artículo general para los administradores de TI y es documentación oficial sobre el cambio de TLS 1.2.

En la tabla siguiente se muestran los valores de clave del Registro adecuados en Office 365 clientes después del 31 de octubre de 2018.

Protocolos habilitados para Office 365 servicio después del 31 de octubre de 2018 Valor hexadecimal
TLS 1.0 + 1.1 + 1.2 0x00000A80
TLS 1.1 + 1.2 0x00000A00
TLS 1.0 + 1.2 0x00000880
TLS 1.2 0x00000800

Importante

No use los protocolos SSL 2.0 y 3.0, que también se pueden establecer mediante la clave DefaultSecureProtocols . SSL 2.0 y 3.0 se consideran protocolos obsoletos e inseguros. El procedimiento recomendado es poner fin al uso de SSL 2.0 y SSL 3.0, aunque la decisión de hacerlo depende en última instancia de lo que mejor se adapte a las necesidades del producto. Para obtener más información sobre las vulnerabilidades de SSL 3.0, consulte KB 3009008.

Puede usar la calculadora de Windows predeterminada en modo programador para configurar los mismos valores de clave del Registro de referencia. Para obtener más información, vea KB 3140245 Update para habilitar TLS 1.1 y TLS 1.2 como protocolos seguros predeterminados en WinHTTP en Windows.

Independientemente de si la actualización de Windows 7 (KB 3140245) está instalada o no, la subclase del Registro DefaultSecureProtocols no está presente y debe agregarse manualmente o a través de un objeto de directiva de grupo (GPO). Es decir, a menos que tenga que personalizar qué protocolos seguros están habilitados o restringidos, esta clave no es necesaria. Solo necesita la actualización de Windows 7 SP1 (KB 3140245).

Actualice y configure .NET Framework para que admita TLS 1.2

Tendrá que actualizar las aplicaciones que llaman a las API de Microsoft 365 a través de TLS 1.0 o TLS 1.1 para usar TLS 1.2. .NET 4.5 tiene como valor predeterminado TLS 1.1. Para actualizar la configuración de .NET, consulte Habilitación de seguridad de la capa de transporte (TLS) 1.2 en los clientes.

Más información

Para obtener más información, vea Preparar el uso obligatorio de TLS 1.2 en Office 365.

Referencias

Los siguientes recursos proporcionan instrucciones para asegurarse de que los clientes usan TLS 1.2 o una versión posterior y para deshabilitar TLS 1.0 y 1.1: