有关 Microsoft 365 中用于加密的证书、技术和 TLS 密码套件的信息,请参阅本文。 本文还提供了有关计划内弃用的详细信息。
- 如果要查找概述信息,请参阅 Microsoft 365 中的加密。
- 如果要查找设置信息,请参阅在 Microsoft 365 企业版 中设置加密。
- 有关弃用 TLS 1.1 和 1.0 的特定信息,请参阅 禁用Microsoft 365 的 TLS 1.0 和 1.1。
- 有关特定 Windows 版本支持的密码套件的信息,请参阅 TLS/SSL (Schannel SSP) 中的密码套件 。
- 有关证书链,请参阅 Microsoft 365 加密链 和 Microsoft 365 加密链 - DOD 和 GCC High。
Microsoft Office 365 证书所有权和管理
无需为Office 365购买或维护证书。 相反,Office 365使用自己的证书。
当前加密标准和计划的弃用
为了提供一流的加密,Office 365定期评审支持的加密标准。 有时,旧标准因过时且安全性降低而弃用。 本文介绍当前支持的密码套件和其他标准,以及有关计划内弃用的详细信息。
Microsoft 365 的 FIPS 合规性
Office 365支持的所有密码套件都使用 FIPS 140-2 下可接受的算法。 Office 365通过 Schannel) 从 Windows (继承 FIPS 验证。 有关 Schannel 的信息,请参阅 TLS/SSL (Schannel SSP) 中的密码套件 。
Microsoft 365 的 AES256-CBC 支持
2023 年 8 月下旬,Microsoft Purview 信息保护将开始使用高级加密Standard (AES) ,其密钥长度为 256 位, (AES256-CBC) 。 到 2023 年 10 月,AES256-CBC 将成为Microsoft 365 应用版文档和电子邮件加密的默认值。 可能需要采取措施来支持组织中的此更改。
谁受到影响,我需要做什么?
使用此表来确定是否必须采取措施:
| 客户端应用程序 | 服务应用程序 | 需要作? | 我需要做什么? |
|---|---|---|---|
| Microsoft 365 应用版 | Exchange Online、SharePoint Online | 否 | 不适用 |
| Office 2013、2016、2019 或 2021 | Exchange Online、SharePoint Online | 是 (可选) | 请参阅 为 AES256-CBC 模式设置 Office 2013、2016、2019 或 2021。 |
| Microsoft 365 应用版 | Exchange Server或混合 | 是 (强制) | 请参阅设置 AES256-CBC 支持的Exchange Server。 |
| Office 2013、2016、2019 或 2021 | Exchange Server或混合 | 是 (强制) | 完成 选项 1 (所需的) ,然后请参阅 为 AES256-CBC 模式设置 Office 2013、2016、2019 或 2021。 |
| Microsoft 365 应用版 | MIP SDK | 是 (可选) | 请参阅 设置 MIP SDK 以获取 AES256-CBC 支持。 |
| 任何 | SharePoint Server | 否 | 不适用 |
为 AES256-CBC 模式设置 Office 2013、2016、2019 或 2021
你需要将 Office 2013、2016、2019 或 2021 配置为使用 组策略 或 Microsoft 365 的云策略服务来使用 AES256-CBC 模式。 从 Microsoft 365 应用版 版本 16.0.16227 开始,默认使用 CBC 模式。 使用 下的 Encryption mode for Information Rights Management (IRM)User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings设置。
例如,若要强制 CBC 模式,请选择组策略设置,如下所示:
信息权限管理 (IRM) 的加密模式:[1,密码块链接 (CBC) ]
为 AES256-CBC 支持设置Exchange Server
Exchange Server不支持解密使用 AES256-CBC 的内容。 若要解决此问题,有两个选项。
选项 1
将 Exchange Online 与部署的 Azure Rights Management Connector 服务配合使用的客户将选择退出 Exchange Online 和 SharePoint Online 中的 AES256-CBC 发布更改。
若要移动到 AES256-CBC 模式,请完成以下步骤:
在 Exchange Server 上安装修补程序(当修补程序可用时)。 有关发货日期的最新信息,请参阅 Microsoft 365 产品路线图。
如果将 Exchange Server 与 Azure Rights Management 连接器服务配合使用,则需要在每个 Exchange 服务器上运行 GenConnectorConfig.ps1 脚本。 有关详细信息,请参阅 为 Rights Management 连接器配置服务器。
组织在所有 Exchange Server 上安装修补程序后,请创建支持案例并请求为 AES256-CBC 发布启用这些服务。
选项 2
在需要修补所有 Exchange 服务器之前,此选项会提供一些额外的时间。 如果修补程序可用时无法完成 选项 1 中的步骤,请使用此选项。 相反,部署组策略或客户端设置,强制Microsoft 365 个客户端继续使用 AES128-ECB 模式。 使用 组策略 或使用适用于 Microsoft 365 的云策略服务部署此设置。 可以将 Windows 的 Office 和 Microsoft 365 应用版配置为使用 ECB 或 CBC 模式,并使用 Encryption mode for Information Rights Management (IRM) 下的 User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings设置。 从 Microsoft 365 应用版 版本 16.0.16327 开始,默认使用 CBC 模式。
例如,若要强制使用 Windows 客户端的 EBC 模式,请设置组策略设置,如下所示:
信息权限管理 (IRM) 的加密模式: [2, 电子 Codebook (ECB) ]
若要配置Office for Mac客户端的设置,请参阅为Office for Mac设置套件范围的首选项。
请尽快完成 选项 1 中的步骤。
为 AES256-CBC 支持设置 MIP SDK
更新到 MIP SDK 1.13 或更高版本。 如果选择更新到 MIP SDK 1.13,则需要配置设置以强制 AES256-CBC。 有关详细信息,请参阅 MIP SDK 版本 1.13.158 关键更新。 默认情况下,MIP SDK 的更高版本将使用 AES256-CBC 保护Microsoft 365 文件和电子邮件。
Microsoft 365 支持的 TLS 版本
TLS 和 TLS 之前的 SSL 是使用安全证书加密计算机之间的连接来保护网络上通信的加密协议。 所有 Microsoft 365 都支持 TLS 版本 1.2 (TLS 1.2) 。 各种应用程序和服务将在整个服务中推出对 TLS 版本 1.3 (TLS 1.3) 的支持。 Exchange Online现在支持 TLS 1.3,用于全球客户在 Internet 上与第三方进行的所有电子邮件提交和服务器通信。 世纪互联运营的Exchange Online的 TLS 1.3 没有时间线。
重要
请注意,TLS 版本已弃用,并且 不应在 较新版本可用的情况下使用已弃用的版本。 如果旧服务不需要 TLS 1.0 或 1.1,则应禁用它们。
弃用
- 密码套件:我们会不断查看受支持的密码套件列表。 过去,我们已停止支持弱 SHA1 消息身份验证和非前向保密 RSA 密钥交换算法。 可在此处查看支持的当前密码列表: Microsoft 365 支持的 TLS 密码套件。
- TLS 1.0 和 TLS 1.1 版本:对这些 TLS 版本的支持已于 2018 年 10 月 31 日终止,自 2022 年以来从服务中删除。 使用 Microsoft 365 的所有连接现在至少使用 TLS 1.2 进行通信。 一个例外是Exchange Online中的 SMTP AUTH 客户端提交协议,它为仍需要 TLS 1.0 或 TLS 1.1 的旧设备的客户提供选择加入终结点。
- 3DES 算法:此加密算法的支持已于 2018 年 10 月 31 日结束。 Microsoft 365 从 2019 年 2 月 28 日从服务中删除了使用它TLS_RSA_WITH_3DES_EDE_CBC_SHA密码套件。 有关支持的密码的列表,请参阅 Microsoft 365 支持的 TLS 密码套件。
- SHA-1 证书:Microsoft 365 支持其他第三方提供 SHA-1 证书的通信,自 2016 年 6 月结束。 SHA-2 (安全哈希算法 2) 证书链中现在需要更强的哈希算法。
Microsoft 365 支持的 TLS 密码套件
TLS 使用 加密套件(加密算法集合)建立安全连接。 Microsoft 365 支持下表中列出的密码套件。 下表按强度顺序列出密码套件,并首先列出最强的密码套件。
Microsoft 365 通过首先尝试使用最安全的密码套件进行连接来响应连接请求。 如果连接不起作用,Microsoft 365 会尝试列表中的第二个最安全密码套件,依此进行。 服务将继续向下运行列表,直到接受连接。 同样,当 Microsoft 365 请求连接时,接收服务会选择是否使用 TLS 以及要使用的密码套件。
| 密码套件名称 | TLS 协议版本 |
|---|---|
| TLS_AES_256_GCM_SHA384 | 1.3 |
| TLS_AES_128_GCM_SHA256 | 1.3 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | 1.2 |