如需在 Microsoft 365 中用於加密的憑證、技術和 TLS 密碼套件的相關資訊,請參閱本文。 本文也提供計劃淘汰的詳細資料。
- 如果您要尋找概觀資訊,請參閱 Microsoft 365 中的加密。
- 如果您要尋找設定資訊,請參閱 在 Microsoft 365 企業版中設定加密。
- 如需 TLS 1.1 和 1.0 淘汰的特定資訊,請參閱停用 Microsoft 365 的 TLS 1.0 和 1.1。
- 如需特定 Windows 版本所支援的密碼套件的相關資訊,請參閱 TLS/SSL 中的密碼套件 (Schannel SSP) 。
- 如需憑證鏈結,請參閱 Microsoft 365 加密鏈結 和 Microsoft 365 加密鏈結 - DOD 和 GCC High。
Microsoft Office 365 憑證擁有權和管理
您不需要購買或維護 Office 365 的憑證。 相反地,Office 365 會使用自己的憑證。
目前的加密標準和計劃的淘汰
為了提供同級最佳的加密,Office 365 會定期檢閱支援的加密標準。 有時,舊標準會因過時且安全性降低而被棄用。 本文說明目前支援的密碼套件和其他標準,以及計劃淘汰的詳細資料。
Microsoft 365 的 FIPS 合規性
Office 365 支援的所有密碼套件都會使用 FIPS 140-2 下可接受的演算法。 Office 365 會透過 Schannel) 從 Windows (繼承 FIPS 驗證。 如需 Schannel 的相關資訊,請參閱 TLS/SSL 中的密碼套件 (Schannel SSP) 。
Microsoft 365 的 AES256-CBC 支援
2023 年 8 月下旬,Microsoft Purview 資訊保護將開始在 AES256-CBC) (Cipher Block Chaining 模式下使用 256 位密鑰長度的 AES) 高級加密Standard (AES。 到 2023 年 10 月,AES256-CBC 將成為 Microsoft 365 Apps 文件和電子郵件加密的預設值。 您可能需要採取動作來支援組織中的這項變更。
誰受到影響,我需要做什麼?
使用此表格來判斷您是否必須採取動作:
| 用戶端應用程式 | 服務應用 | 需要採取行動嗎? | 我需要做什麼? |
|---|---|---|---|
| Microsoft 365 Apps | Exchange Online、SharePoint Online | 否 | 不適用 |
| Office 2013、2016、2019 或 2021 | Exchange Online、SharePoint Online | 是 (可選) | 請參閱設定 Office 2013、2016、2019 或 2021 的 AES256-CBC 模式。 |
| Microsoft 365 Apps | Exchange Server 或混合式 | 是 (強制) | 請參閱設定 Exchange Server 以支援 AES256-CBC。 |
| Office 2013、2016、2019 或 2021 | Exchange Server 或混合式 | 是 (強制) | 完成 選項 1 (必要的) ,然後參閱 設定 Office 2013、2016、2019 或 2021 的 AES256-CBC 模式。 |
| Microsoft 365 Apps | MIP SDK | 是 (可選) | 請參閱 設定 MIP SDK 以支援 AES256-CBC。 |
| 任何 | SharePoint Server | 否 | 不適用 |
設定 Office 2013、2016、2019 或 2021 的 AES256-CBC 模式
您必須設定 Office 2013、2016、2019 或 2021,以使用群組原則或使用 Microsoft 365 的雲端原則服務來使用 AES256-CBC 模式。 從 Microsoft 365 Apps 16.0.16227 版開始,預設會使用 CBC 模式。 使用下的User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings設定。Encryption mode for Information Rights Management (IRM)
例如,若要強制 CBC 模式,請選取群組原則設定,如下所示:
資訊版權管理 (IRM) 的加密模式:[1、密碼區塊鏈鏈結 (CBC) ]
設定 Exchange Server 以取得 AES256-CBC 支援
Exchange Server 不支援解密使用 AES256-CBC 的內容。 若要解決此問題,您有兩個選項。
選項 1
使用已部署 Azure Rights Management 連接器服務的 Exchange Online 的客戶將選擇退出 Exchange Online 和 SharePoint Online 中的 AES256-CBC 發佈變更。
若要移至 AES256-CBC 模式,請完成下列步驟:
當 Hotfix 可用時,請在 Exchange Server 上安裝它。 如需出貨日期的最新資訊,請參閱 Microsoft 365 產品藍圖。
如果您搭配 Azure Rights Management 連接器服務使用 Exchange Server,則必須在每個 Exchange 伺服器上執行 GenConnectorConfig.ps1 腳本。 如需詳細資訊,請參閱 設定 Rights Management 連接器的伺服器。
一旦您的組織在所有 Exchange Server 上安裝修補程式,請開啟支援案例,並要求啟用這些服務以進行 AES256-CBC 發佈。
選項 2
此選項可讓您在需要修補所有 Exchange 伺服器之前提供一些額外的時間。 如果您在 Hotfix 可用時無法完成 選項 1 中的步驟,請使用此選項。 相反地,請部署群組原則或用戶端設定,以強制 Microsoft 365 用戶端繼續使用 AES128-ECB 模式。 使用群組原則,或使用適用於 Microsoft 365 的雲端原則服務來部署此設定。 您可以將 Office 和 Microsoft 365 Apps for Windows 設定為使用 ECB 或 CBC 模式,並搭配 底下的Encryption mode for Information Rights Management (IRM)User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings設定。 從 Microsoft 365 Apps 16.0.16327 版開始,預設會使用 CBC 模式。
例如,若要強制 Windows 用戶端的 EBC 模式,請設定群組原則設定,如下所示:
資訊版權管理 (IRM) 的加密模式:[2、電子密碼簿 (ECB) ]
若要設定 Mac 版 Office 用戶端的設定,請參閱 設定 Mac 版 Office 的套件範圍喜好設定。
請盡快完成 選項 1 中的步驟。
設定 MIP SDK 以支援 AES256-CBC
更新至 MIP SDK 1.13 或更新版本。 如果您選擇更新至 MIP SDK 1.13,則必須設定設定以強制執行 AES256-CBC。 如需詳細資訊,請參閱 MIP SDK 1.13.158 版重要更新。 根據預設,更新版本的 MIP SDK 會使用 AES256-CBC 保護 Microsoft 365 檔案和電子郵件。
Microsoft 365 支援的 TLS 版本
TLS 和 TLS 之前的 SSL 是加密通訊協定,透過使用安全性憑證來加密電腦之間的連線,來保護網路上的通訊。 所有 Microsoft 365 都支援 TLS 1.2 版 (TLS 1.2) 。 對 TLS 1.3 版 (TLS 1.3) 的支援正在各種應用程式和服務在整個服務中推出。 Exchange Online 現在支援 TLS 1.3,適用於全球客戶的所有電子郵件提交,以及與因特網上第三方的伺服器通訊。 21Vianet 所營運的 Exchange Online 的 TLS 1.3 沒有時間表。
重要事項
請注意,TLS 版本已淘汰,且不應在有較新版本可用的情況下 使用 已淘汰的版本。 如果您的舊版服務不需要 TLS 1.0 或 1.1,您應該停用它們。
淘汰
- 密碼套件:我們會不斷檢閱支援的密碼套件清單。 我們已停止支援弱 SHA1 訊息驗證,以及過去的非前向保密 RSA 金鑰交換演算法。 您可以在此處查看目前支援的密碼清單: Microsoft 365 支援的 TLS 密碼套件。
- TLS 1.0 和 TLS 1.1 版本:對這些 TLS 版本的支援已於 2018 年 10 月 31 日結束,自 2022 年以來已完成從服務中移除。 現在,與 Microsoft 365 的所有連線都至少使用 TLS 1.2 進行通訊。 其中一個例外是 Exchange Online 中的 SMTP AUTH 用戶端提交通訊協定,它會為仍需要 TLS 1.0 或 TLS 1.1 的舊版裝置的客戶提供選擇加入端點。
- 3DES 演算法:對此加密演算法的支援已於 2018 年 10 月 31 日結束。 Microsoft 365 從 2019 年 2 月 28 日起從服務中刪除了使用它的密碼套件TLS_RSA_WITH_3DES_EDE_CBC_SHA密碼套件。 如需支援的密碼清單,請參閱 Microsoft 365 支援的 TLS 密碼套件。
- SHA-1 憑證:Microsoft 365 中對其他第三方提供 SHA-1 憑證的通訊支援已從 2016 年 6 月結束。 SHA-2 (安全雜湊演算法 2 現在憑證鏈中需要) 或更強的雜湊演算法。
Microsoft 365 所支援的 TLS 密碼套件
TLS 使用 加密套件 (加密演算法的集合) 來建立安全連線。 Microsoft 365 支援下表所列的密碼套件。 該表按強度順序列出了密碼套件,最強的密碼套件列在最前面。
Microsoft 365 會先嘗試使用最安全的密碼套件進行連線,以回應連線要求。 如果連線無法運作,Microsoft 365 會嘗試清單中第二個最安全的密碼套件,依此類推。 服務會繼續往下移動,直到接受連線為止。 同樣地,當 Microsoft 365 要求連線時,接收服務會選擇是否使用 TLS 以及要使用的密碼套件。
| 加密套件名稱 | TLS 通訊協定版本 |
|---|---|
| TLS_AES_256_GCM_SHA384 | 1.3 |
| TLS_AES_128_GCM_SHA256 | 1.3 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | 1.2 |