Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Consulte este artículo para obtener información sobre los certificados, las tecnologías y los conjuntos de cifrado TLS usados para el cifrado en Microsoft 365. En este artículo también se proporcionan detalles sobre los desusos planeados.
- Si busca información general, consulte Cifrado en Microsoft 365.
- Si busca información de configuración, consulte Configuración del cifrado en Microsoft 365 Enterprise.
- Para obtener información específica sobre el desuso de TLS 1.1 y 1.0, consulte Deshabilitación de TLS 1.0 y 1.1 para Microsoft 365.
- Para obtener información sobre los conjuntos de cifrado compatibles con versiones específicas de Windows, consulte Conjuntos de cifrado en TLS/SSL (Schannel SSP).
- Para las cadenas de certificados, consulte Cadenas de cifrado de Microsoft 365 y Cadenas de cifrado de Microsoft 365: DOD y GCC High.
Propiedad y administración de certificados de Microsoft Office 365
No es necesario comprar ni mantener certificados para Office 365. En su lugar, Office 365 usa sus propios certificados.
Estándares de cifrado actuales y desusos planeados
Para proporcionar el mejor cifrado de su clase, Office 365 revisa periódicamente los estándares de cifrado admitidos. A veces, los estándares antiguos están en desuso a medida que están obsoletos y son menos seguros. En este artículo se describen los conjuntos de cifrado admitidos actualmente y otros estándares y detalles sobre los desusos planeados.
Cumplimiento de FIPS para Microsoft 365
Todos los conjuntos de cifrado admitidos por Office 365 usan algoritmos aceptables en FIPS 140-2. Office 365 hereda las validaciones FIPS de Windows (a través de Schannel). Para obtener información sobre Schannel, consulte Conjuntos de cifrado en TLS/SSL (Schannel SSP).
Compatibilidad con AES256-CBC para Microsoft 365
A finales de agosto de 2023, Microsoft Purview Information Protection comenzará a usar Standard de cifrado avanzado (AES) con una longitud de clave de 256 bits en el modo de encadenamiento de bloques de cifrado (AES256-CBC). En octubre de 2023, AES256-CBC será el valor predeterminado para el cifrado de Aplicaciones Microsoft 365 documentos y correos electrónicos. Es posible que tenga que tomar medidas para admitir este cambio en su organización.
¿Quién se ve afectado y qué debo hacer?
Use esta tabla para averiguar si tiene que realizar acciones:
| Aplicaciones cliente | Aplicaciones de servicio | ¿Se requiere acción? | ¿Qué tengo que hacer? |
|---|---|---|---|
| Aplicaciones de Microsoft 365 | Exchange Online, SharePoint Online | No | N/D |
| Office 2013, 2016, 2019 o 2021 | Exchange Online, SharePoint Online | Sí (opcional) | Consulte Configuración de Office 2013, 2016, 2019 o 2021 para el modo AES256-CBC. |
| Aplicaciones de Microsoft 365 | Exchange Server o híbrido | Sí (obligatorio) | Consulte Configuración de Exchange Server para obtener compatibilidad con AES256-CBC. |
| Office 2013, 2016, 2019 o 2021 | Exchange Server o híbrido | Sí (obligatorio) | Complete la opción 1 (obligatorio) y, a continuación , vea Configurar Office 2013, 2016, 2019 o 2021 para el modo AES256-CBC. |
| Aplicaciones de Microsoft 365 | MIP SDK | Sí (opcional) | Consulte Configuración del SDK de MIP para la compatibilidad con AES256-CBC. |
| Cualquiera | SharePoint Server | No | N/D |
Configuración de Office 2013, 2016, 2019 o 2021 para el modo AES256-CBC
Debe configurar Office 2013, 2016, 2019 o 2021 para usar el modo AES256-CBC mediante directiva de grupo o mediante el servicio de directivas en la nube para Microsoft 365. A partir de la versión 16.0.16227 de Aplicaciones Microsoft 365, el modo CBC se usa de forma predeterminada. Use la Encryption mode for Information Rights Management (IRM) configuración en User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings.
Por ejemplo, para forzar el modo CBC, seleccione la configuración de directiva de grupo como se indica a continuación:
Modo de cifrado para Information Rights Management (IRM): [1, Cifrado de encadenamiento de bloques (CBC)]
Configuración de Exchange Server para la compatibilidad con AES256-CBC
Exchange Server no admite el descifrado de contenido que usa AES256-CBC. Para solucionar este problema, tiene dos opciones.
Opción 1
Los clientes que usen Exchange Online con el servicio Azure Rights Management Connector implementado se excluirán del cambio de publicación de AES256-CBC tanto en Exchange Online como en SharePoint Online.
Para pasar al modo AES256-CBC, complete estos pasos:
Instale la revisión en los servidores de Exchange cuando esté disponible. Para obtener la información más reciente sobre las fechas de envío, consulte la hoja de ruta del producto de Microsoft 365.
Si usa Exchange Server con el servicio Azure Rights Management Connector, tendrá que ejecutar el script de GenConnectorConfig.ps1 en cada servidor de Exchange. Para obtener más información, consulte Configuración de servidores para el conector rights management.
Una vez que la organización haya instalado la revisión en todos los servidores de Exchange, abra un caso de soporte técnico y solicite que estos servicios estén habilitados para la publicación de AES256-CBC.
Opción 2
Esta opción le proporciona un tiempo adicional antes de que necesite aplicar revisiones a todos los servidores de Exchange. Use esta opción si no puede completar los pasos de la opción 1 cuando la revisión esté disponible. En su lugar, implemente la directiva de grupo o la configuración de cliente que obligue a los clientes de Microsoft 365 a seguir usando el modo AES128-ECB. Implemente esta configuración con directiva de grupo o mediante el servicio de directivas en la nube para Microsoft 365. Puede configurar Office y Aplicaciones Microsoft 365 para que Windows use el modo ECB o CBC con la Encryption mode for Information Rights Management (IRM) configuración en User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings. A partir de la versión 16.0.16327 de Aplicaciones Microsoft 365, el modo CBC se usa de forma predeterminada.
Por ejemplo, para forzar el modo EBC para clientes Windows, establezca la configuración de directiva de grupo como se indica a continuación:
Modo de cifrado para Information Rights Management (IRM): [2, Electronic Codebook (ECB)]
Para configurar los valores de Office para Mac clientes, consulte Establecimiento de preferencias para todo el conjunto de Office para Mac.
Tan pronto como pueda, complete los pasos de la opción 1.
Configuración del SDK de MIP para la compatibilidad con AES256-CBC
Actualice al SDK de MIP 1.13 o posterior. Si decide actualizar al SDK de MIP 1.13, deberá configurar una configuración para forzar AES256-CBC. Para obtener más información, consulte actualización crítica del SDK de MIP versión 1.13.158. Las versiones posteriores del SDK de MIP protegerán los archivos y el correo electrónico de Microsoft 365 con AES256-CBC de forma predeterminada.
Versiones de TLS compatibles con Microsoft 365
TLS y SSL que precedieron a TLS son protocolos criptográficos que protegen la comunicación a través de una red mediante certificados de seguridad para cifrar una conexión entre equipos. Todos microsoft 365 admiten TLS versión 1.2 (TLS 1.2). Las distintas aplicaciones y servicios están implementando la compatibilidad con TLS versión 1.3 (TLS 1.3) en todo el servicio. Exchange Online ahora admite TLS 1.3 para todos los envíos de correo electrónico y las comunicaciones de servidor con terceros en Internet para clientes de todo el mundo. No hay ninguna escala de tiempo para TLS 1.3 para Exchange Online operados por 21Vianet.
Importante
Tenga en cuenta que las versiones de TLS están en desuso y que las versiones en desuso no deben usarse cuando estén disponibles las versiones más recientes. Si los servicios heredados no requieren TLS 1.0 o 1.1, debe deshabilitarlos.
Avisos de desuso
- Conjuntos de cifrado: estamos revisando constantemente nuestra lista de conjuntos de cifrado compatibles. Hemos detenido la compatibilidad con la autenticación de mensajes SHA1 débil y el algoritmo de intercambio de claves RSA no secreto en el pasado. La lista actual de cifrados admitidos se puede ver aquí: conjuntos de cifrado TLS compatibles con Microsoft 365.
- Versiones tls 1.0 y TLS 1.1: la compatibilidad con estas versiones de TLS finalizó el 31 de octubre de 2018 con su eliminación del servicio completada desde 2022. Todas las conexiones con Microsoft 365 ahora usan al menos TLS 1.2 para comunicarse. Una excepción es el protocolo de envío de cliente SMTP AUTH en Exchange Online que ofrece un punto de conexión de participación para los clientes con dispositivos heredados que todavía necesitan TLS 1.0 o TLS 1.1.
- Algoritmo 3DES: la compatibilidad con este algoritmo de cifrado finalizó el 31 de octubre de 2018. Microsoft 365 quitó el conjunto de cifrado que lo usaba, TLS_RSA_WITH_3DES_EDE_CBC_SHA conjunto de cifrado, del servicio del 28 de febrero de 2019. Para obtener una lista de los cifrados admitidos, consulte Conjuntos de cifrado TLS compatibles con Microsoft 365.
- Certificados SHA-1: compatibilidad con Microsoft 365 para las comunicaciones en las que el otro tercero proporciona certificados SHA-1 que finalizaron en junio de 2016. SHA-2 (algoritmo hash seguro 2) o algoritmos hash más seguros ahora son necesarios en la cadena de certificados.
Conjuntos de cifrado TLS admitidos por Microsoft 365
TLS usa conjuntos de cifrado, colecciones de algoritmos de cifrado, para establecer conexiones seguras. Microsoft 365 admite los conjuntos de cifrado enumerados en la tabla siguiente. En la tabla se enumeran los conjuntos de cifrado en orden de intensidad, con el conjunto de cifrado más seguro en primer lugar.
Microsoft 365 responde a una solicitud de conexión al intentar conectarse primero con el conjunto de cifrado más seguro. Si la conexión no funciona, Microsoft 365 intenta el segundo conjunto de cifrado más seguro de la lista, etc. El servicio continúa hacia abajo en la lista hasta que se acepta la conexión. Del mismo modo, cuando Microsoft 365 solicita una conexión, el servicio receptor elige si se usa TLS y qué conjunto de cifrado se va a usar.
| Nombre del conjunto de cifrado | Versión del protocolo TLS |
|---|---|
| TLS_AES_256_GCM_SHA384 | 1.3 |
| TLS_AES_128_GCM_SHA256 | 1.3 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | 1.2 |