Se você vê um erro “Falha no handshake TLS” ao tentar usar o Copilot em aplicativos Microsoft 365 em um cliente Windows antigo, sua conexão está sendo bloqueada antes que o Copilot possa responder. Esse erro significa que o canal de comunicação seguro entre seu dispositivo e os servidores da Microsoft não pôde ser estabelecido. A causa raiz é quase sempre uma versão desatualizada do protocolo TLS ou a falta de um conjunto de cifras no computador cliente. Este artigo explica por que o erro ocorre e fornece as etapas exatas para corrigi-lo no Windows 10 e Windows 11.
Principais conclusões: Corrigindo falha no handshake TLS do Copilot
- Registro do Windows > TLS 1.2 habilitado: Garante que o cliente possa negociar a versão mínima do TLS exigida pelo Microsoft 365.
- Windows Update > Atualização KB para TLS: Instala conjuntos de cifras e correções do SCHANNEL que o Copilot precisa.
- Política de Grupo > Ordem de conjuntos de cifras TLS: Impede que o cliente ofereça cifras fracas ou obsoletas que causam falha no handshake.
Por que o Copilot mostra falha no handshake TLS em clientes antigos
O handshake TLS é uma negociação criptográfica entre seu cliente e o serviço Microsoft 365. O Copilot exige TLS 1.2 ou superior. Clientes Windows antigos, especialmente versões do Windows 10 anteriores à 1809 ou builds do Windows 11 anteriores à 22H2, podem ter o TLS 1.2 desabilitado por padrão ou podem não ter os conjuntos de cifras necessários, como TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384. Quando o cliente oferece apenas TLS 1.0 ou 1.1, ou quando apresenta um conjunto de cifras que os servidores da Microsoft não aceitam mais, o servidor encerra o handshake e retorna o erro de falha no handshake TLS.
Chaves de Registro do SCHANNEL
O componente SCHANNEL no Windows controla as versões do protocolo TLS. Se as chaves de registro para TLS 1.2 estiverem ausentes ou definidas como 0, o cliente não poderá usar TLS 1.2. O Copilot falhará porque a única versão comum entre cliente e servidor não está disponível.
Incompatibilidade de Conjunto de Cifras
Mesmo que o TLS 1.2 esteja habilitado, o cliente pode não ter os conjuntos de cifras específicos que o Microsoft 365 exige. O Windows 10 versão 1607 e anteriores, por exemplo, não possuem TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384. Sem essa cifra, o handshake falha.
Etapas para habilitar TLS 1.2 e corrigir o erro de handshake do Copilot
Siga estas etapas em ordem. Cada etapa aborda uma causa específica da falha no handshake. Não pule nenhuma etapa, a menos que já tenha verificado que o TLS 1.2 está habilitado.
- Verifique a versão atual do TLS em uso
Abra um Prompt de Comando como administrador. Executecertutil -urlcache https://www.microsoft.com test.txt. Se o comando retornar um erro TLS, seu cliente não está usando TLS 1.2. Verifique o log de eventos do SCHANNEL para os IDs de evento 36871 ou 36874 para ver os protocolos oferecidos. - Habilite TLS 1.2 via Registro
Abra o Editor de Registro. Navegue atéHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client. Se o caminho não existir, crie a chave manualmente. Defina o valor DWORDDisabledByDefaultcomo 0 eEnabledcomo 1. Repita para a subchave Server em TLS 1.2. Reinicie o computador. - Instale a atualização mais recente do Windows
Vá em Configurações > Atualização e Segurança > Windows Update e instale todas as atualizações pendentes. Para Windows 10 versões 1809 e anteriores, pode ser necessário instalar a atualização KB4054519 ou um rollup mensal posterior que adicione os conjuntos de cifras ausentes. Para Windows 11 versão 21H2, instale a atualização cumulativa de novembro de 2023 ou mais recente. Reinicie após a instalação. - Adicione conjuntos de cifras ausentes via Política de Grupo
Pressione Win + R, digitegpedit.msce pressione Enter. Navegue até Configuração do Computador > Modelos Administrativos > Rede > Configurações de SSL. Clique duas vezes em Ordem de Conjuntos de Cifras SSL. Defina como Habilitado. Na caixa Conjuntos de Cifras SSL, cole a seguinte string de conjunto de cifras no início:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384. Clique em OK. Reinicie o computador. - Teste a conexão
Abra um navegador da web e navegue atéhttps://ssltools.microsoft.com. O site mostrará sua versão do TLS e o conjunto de cifras. Se relatar TLS 1.2 ou superior e um conjunto de cifras da lista acima, a correção foi bem-sucedida. Abra o Copilot no Word ou Teams e verifique se o erro não aparece mais.
Se o Copilot ainda mostrar falha no handshake TLS após a correção
Se o erro persistir, verifique estas causas adicionais e suas correções.
Copilot falha no Windows 10 versão 1507 ou 1511
Essas versões não suportam TLS 1.2 de forma alguma. A Microsoft encerrou o suporte para essas builds. Atualize para Windows 10 versão 1809 ou posterior, ou para Windows 11. Após a atualização, habilite TLS 1.2 usando as etapas de registro acima.
Copilot falha apenas nos aplicativos Microsoft 365, mas funciona no Edge
Isso indica que os aplicativos Microsoft 365 estão usando um contexto SCHANNEL diferente ou um proxy que remove o TLS 1.2. Verifique as configurações de proxy ou firewall. Certifique-se de que o proxy não force TLS 1.0 na conexão. Nos aplicativos Microsoft 365, vá em Arquivo > Opções > Central de Confiabilidade > Configurações da Central de Confiabilidade > Opções de Privacidade e habilite Permitir o uso de TLS 1.2 se a opção existir.
Copilot falha após uma atualização recente do Windows
Algumas atualizações redefinem as chaves de registro do SCHANNEL. Reaplique as alterações de registro da Etapa 2. Verifique também o log de eventos para erros do SCHANNEL. Se a atualização removeu conjuntos de cifras, reaplique a ordem de conjuntos de cifras da Política de Grupo da Etapa 4.
TLS 1.2 vs TLS 1.3 para Copilot: Principais diferenças
| Item | TLS 1.2 | TLS 1.3 |
|---|---|---|
| Descrição | Versão mínima do protocolo exigida pelo Microsoft 365 para Copilot | Versão opcional do protocolo suportada no Windows 11 22H2 e mais recente |
| Suporte do Windows | Windows 7 com KB, Windows 8.1, Windows 10, Windows 11 | Windows 11 22H2 e posteriores, Windows 10 20H2 com KB5014699 |
| Compatibilidade com Copilot | Totalmente suportado | Suportado, mas não obrigatório |
| Conjuntos de cifras necessários | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ou similar | Apenas TLS_AES_256_GCM_SHA384 |
| Método de configuração | Registro ou Política de Grupo | Habilitado por padrão em builds suportadas |
Após concluir as etapas acima, o Copilot deve conectar-se com sucesso no seu cliente antigo. Se você gerencia vários dispositivos, aplique as alterações de registro e Política de Grupo por meio de um script ou política de domínio para evitar que o erro ocorra novamente. Teste a conexão com o site de ferramentas SSL da Microsoft antes de implantar em produção.