關於加密的技術參考詳細資料
如需在 Microsoft 365 中用於加密的憑證、技術和 TLS 加密套件的相關信息,請參閱這篇文章。 本文也提供計劃性淘汰的詳細數據。
- 如果您要尋找概觀資訊,請參閱 Microsoft 365 中的加密。
- 如果您要尋找安裝資訊,請參閱在 Microsoft 365 企業版 中設定加密。
- 如需 TLS 1.1 和 1.0 淘汰的特定資訊,請參閱停用 TLS 1.0 和 1.1 for Microsoft 365。
- 如需特定 Windows 版本支援的加密套件相關信息,請參閱 TLS/SSL 中的加密套件 (安全通道 SSP) 。
- 如需憑證鏈結, 請參閱Microsoft 365 加密鏈結 和 Microsoft 365 加密鏈結 - DOD 和 GCC High。
提示
如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
Microsoft Office 365 憑證擁有權和管理
您不需要購買或維護 Office 365 憑證。 相反地,Office 365 使用自己的憑證。
目前的加密標準和計劃性淘汰
若要提供一流的加密,Office 365 定期檢閱支援的加密標準。 有時候,舊標準會在過時且較不安全時淘汰。 本文說明目前支援的加密套件,以及其他有關計劃性淘汰的標準和詳細數據。
Microsoft 365 的 FIPS 合規性
Office 365 支援的所有加密套件都會使用 FIPS 140-2 下可接受的演算法。 Office 365 會透過安全通道) ,從 Windows (繼承 FIPS 驗證。 如需安全通道的相關信息,請參閱 TLS/SSL 中的加密套件 (安全通道 SSP) 。
適用於 Microsoft 365 的 AES256-CBC 支援
在 2023 年 8 月底,Microsoft Purview 資訊保護 會在 AES256-CBC) 的加密區塊鏈結模式中,開始使用具有 256 位密鑰長度的進階加密 (Standard (AES) 。 在 2023 年 10 月前,AES256-CBC 會是 Microsoft 365 Apps 檔和電子郵件的加密預設值。 您可能需要採取行動,才能在組織中支援這項變更。
誰受到影響,以及我需要做什麼?
使用下表來瞭解您是否必須採取動作:
用戶端應用程式 | 服務應用程式 | 需要採取動作嗎? | 我需要做什麼? |
---|---|---|---|
Microsoft 365 Apps | Exchange Online、SharePoint Online | 否 | 不適用 |
Office 2013、2016、2019 或 2021 | Exchange Online、SharePoint Online | 是 (選擇性) | 如 需 AES256-CBC 模式,請參閱設定 Office 2013、2016、2019 或 2021。 |
Microsoft 365 Apps | Exchange Server 或混合式 | 是 (強制) | 請參閱設定 AES256-CBC 支援的 Exchange Server。 |
Office 2013、2016、2019 或 2021 | Exchange Server 或混合式 | 是 (強制) | 完成 所需的選項 1 () ,然後參閱 針對 AES256-CBC 模式設定 Office 2013、2016、2019 或 2021。 |
Microsoft 365 Apps | MIP SDK | 是 (選擇性) | 請參閱 設定適用於 AES256-CBC 支援的 MIP SDK。 |
任何 | SharePoint Server | 否 | 不適用 |
針對 AES256-CBC 模式設定 Office 2013、2016、2019 或 2021
您必須將 Office 2013、2016、2019 或 2021 設定為使用 群組原則 的 AES256-CBC 模式,或使用適用於 Microsoft 365 的雲端原則服務。 從 Microsoft 365 Apps 16.0.16327 版開始,預設會使用 CBC 模式。 使用下方User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings
的Encryption mode for Information Rights Management (IRM)
設定。
例如,若要強制 CBC 模式,請選取組策略設定,如下所示:
信息版權管理 (IRM) 的加密模式:[1,加密區塊鏈結 (CBC) ]
設定 AES256-CBC 支援的 Exchange Server
Exchange Server 不支援解密使用 AES256-CBC 的內容。 若要解決此問題,您有兩個選項。
選項 1
使用 Exchange Online 與已部署 Azure Rights Management Connector 服務的客戶,將會退出宣告 Exchange Online 和 SharePoint Online 中的 AES256-CBC 發佈變更。
若要移至 AES256-CBC 模式,請完成下列步驟:
當 Hotfix 可供使用時,請在 Exchange Server 上安裝該 Hotfix。 如需有關出貨日期的最新資訊,請 參閱 Microsoft 365 產品藍圖。
如果您使用 Exchange Server 搭配 Azure Rights Management Connector Service,則必須在每個 Exchange 伺服器上執行 GenConnectorConfig.ps1 腳本。 如需詳細資訊, 請參閱設定 Rights Management 連接器的伺服器。 若要下載 Azure RMS 連接器,請參閱 官方Microsoft下載中心
一旦您的組織在所有 Exchange Server 上安裝修補程式之後,請開啟支援案例,並要求啟用這些服務以進行 AES256-CBC 發佈。
選項 2
此選項可讓您在需要修補所有 Exchange 伺服器之前多花一些時間。 如果您無法在 Hotfix 可用時完成 選項 1 中的步驟,請使用此選項。 相反地,請部署組策略或用戶端設定,強制Microsoft 365 用戶端繼續使用 AES128-}MODE。 使用 群組原則 或使用適用於 Microsoft 365 的雲端原則服務來部署此設定。 您可以將 Windows 的 Office 和 Microsoft 365 Apps 設定為使用在 下User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings
設定的[偵測器] 或 [CBC] 模式Encryption mode for Information Rights Management (IRM)
。 從 Microsoft 365 Apps 16.0.16327 版開始,預設會使用 CBC 模式。
例如,若要強制 Windows 用戶端使用 EBC 模式,請設定組策略設定,如下所示:
信息版權管理 (IRM) 的加密模式:[2,電子代碼 (的操作系統) ]
若要設定 Mac 版 Office 客戶端的設定,請參閱為 Mac 版 Office 設定套件範圍的喜好設定。
請儘快完成 選項 1 中的步驟。
設定適用於 AES256-CBC 支援的 MIP SDK
更新至 MIP SDK 1.13 或更新版本。 如果您選擇更新至 MIP SDK 1.13,則必須設定設定以強制執行 AES256-CBC。 如需詳細資訊,請參閱 MIP SDK 1.13.158 版重大更新。 MIP SDK 的更新版本預設會使用 AES256-CBC 來保護Microsoft 365 個檔案和電子郵件。
Microsoft 365 支援的 TLS 版本
TLS 和 TLS 之前的 SSL 是密碼編譯通訊協定,可使用安全性憑證來加密電腦之間的連線,以保護網路上的通訊。 Microsoft 365 支援 TLS 1.2 版 (TLS 1.2) 。
有些服務會繼續支援 TLS 1.3 版 (TLS 1.3) 。
重要事項
請注意,TLS 版本已淘汰,且在有較新版本可用時 ,不應使用 已淘汰的版本。 如果您的舊版服務不需要 TLS 1.0 或 1.1,您應該停用它們。
支援 TLS 1.0 和 1.1 淘汰
Office 365 於 2018 年 10 月 31 日停止支援 TLS 1.0 和 1.1。 我們已完成在 GCC High 和 DoD 環境中停用 TLS 1.0 和 1.1。 我們已從 2020 年 10 月 15 日開始停用全球和 GCC 環境的 TLS 1.0 和 1.1,並將在接下來的幾周和幾個月繼續推出。
為了維護與 Office 365 和 Microsoft 365 服務的安全連線,所有用戶端伺服器和瀏覽器伺服器組合都會使用 TLS 1.2 和新式加密套件。 您可能必須更新特定的用戶端-伺服器及瀏覽器伺服器組合。 如需這項變更如何影響您的資訊,請參閱準備在 Office 365 中強制使用 TLS 1.2。
取代 3DES 的支援
自 2018 年 10 月 31 日起,Microsoft 365 不再支援使用 3DES 加密套件來與 Microsoft 365 通訊。 更具體來說,Microsoft 365 不再支援TLS_RSA_WITH_3DES_EDE_CBC_SHA加密套件。 自 2019 年 2 月 28 日起,此加密套件已在 Microsoft 365 中停用。 與 Microsoft 365 通訊的用戶端和伺服器必須支援一或多個支援的加密。 如需支援的加密清單,請參閱 Microsoft 365 支援的 TLS 加密套件。
在 Microsoft 365 中淘汰 SHA-1 憑證支援
自 2016 年 6 月起,Microsoft 365 不再接受輸出或輸入連線的 SHA-1 憑證。 使用 SHA-2 (安全哈希演算法 2) 或憑證鏈結中更強大的哈希演算法。
Microsoft 365 所支援的 TLS 密碼套件
TLS 會使用 加密套件、加密演算法的集合來建立安全連線。 Microsoft 365 支援下表所列的加密套件。 下表會依強度順序列出加密套件,並先列出最強加密套件。
Microsoft 365 會先嘗試使用最安全的加密套件進行連線,以響應連線要求。 如果連線無法運作,Microsoft 365 會嘗試清單中第二個最安全的加密套件,依此類推。 服務會繼續下列清單,直到接受連線為止。 同樣地,當Microsoft 365 要求連線時,接收服務會選擇是否要使用TLS以及要使用的加密套件。
加密套件名稱 | 金鑰交換演演算法/強度 | 轉寄密碼 | 加密/強度 | 驗證演算法/強度 |
---|---|---|---|---|
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ECDH/192 | 是 | AES/256 | RSA/112 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ECDH/128 | 是 | AES/128 | RSA/112 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ECDH/192 | 是 | AES/256 | RSA/112 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ECDH/128 | 是 | AES/128 | RSA/112 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ECDH/192 | 是 | AES/256 | RSA/112 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ECDH/128 | 是 | AES/128 | RSA/112 |
TLS_RSA_WITH_AES_256_GCM_SHA384 | RSA/112 | 否 | AES/256 | RSA/112 |
TLS_RSA_WITH_AES_128_GCM_SHA256 | RSA/112 | 否 | AES/256 | RSA/112 |
下列加密套件支援 TLS 1.0 和 1.1 通訊協定,直到其淘汰日期為止。 針對淘汰日期為 2020 年 1 月 15 日 GCC High 和 DoD 環境。 針對全球和 GCC 環境,日期為 2020 年 10 月 15 日。
通訊協定 | 加密套件名稱 | 金鑰交換演演算法/強度 | 轉寄密碼 | 加密/強度 | 驗證演算法/強度 |
---|---|---|---|---|---|
TLS 1.0、1.1、1.2 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ECDH/192 | 是 | AES/256 | RSA/112 |
TLS 1.0、1.1、1.2 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ECDH/128 | 是 | AES/128 | RSA/112 |
TLS 1.0、1.1、1.2 | TLS_RSA_WITH_AES_256_CBC_SHA | RSA/112 | 否 | AES/256 | RSA/112 |
TLS 1.0、1.1、1.2 | TLS_RSA_WITH_AES_128_CBC_SHA | RSA/112 | 否 | AES/128 | RSA/112 |
TLS 1.0、1.1、1.2 | TLS_RSA_WITH_AES_256_CBC_SHA256 | RSA/112 | 否 | AES/256 | RSA/112 |
TLS 1.0、1.1、1.2 | TLS_RSA_WITH_AES_128_CBC_SHA256 | RSA/112 | 否 | AES/256 | RSA/112 |
某些 Office 365 產品 (包括Microsoft Teams) 使用 Azure Front Door 來終止 TLS 連線,並有效率地路由傳送網路流量。 至少必須啟用 Azure Front Door over TLS 1.2 支援的其中一個加密套件 ,才能成功連線到這些產品。 針對 Windows 10 和更新版本,建議您啟用一或兩個 ECDHE 加密套件,以獲得更好的安全性。 Windows 7、8 和 8.1 與 Azure Front Door 的 ECDHE 加密套件不相容,且已提供 DHE 加密套件來與這些操作系統相容。
相關文章
Windows 安全性狀態更新中 TLS 1.0 的通道實作:2015 年 11 月 24 日
Windows IT 中心) (TLS/SSL 密碼編譯增強功能