Freigeben über


Technische Details zur Verschlüsselung

Informationen zu Zertifikaten, Technologien und TLS-Verschlüsselungssammlungen, die für die Verschlüsselung in Microsoft 365 verwendet werden, finden Sie in diesem Artikel. Dieser Artikel enthält auch Details zu geplanten Veralteten.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Eigentümerschaft und Verwaltung des Microsoft Office 365-Zertifikats

Sie müssen keine Zertifikate für Office 365 erwerben oder verwalten. Stattdessen verwendet Office 365 eigene Zertifikate.

Aktuelle Verschlüsselungsstandards und geplante Abschreibungen

Um erstklassige Verschlüsselung bereitzustellen, überprüfen Office 365 regelmäßig die unterstützten Verschlüsselungsstandards. Manchmal sind alte Standards veraltet, da sie veraltet und weniger sicher werden. In diesem Artikel werden derzeit unterstützte Verschlüsselungssammlungen und andere Standards sowie Details zu geplanten Veralteten beschrieben.

FIPS-Konformität für Microsoft 365

Alle von Office 365 unterstützten Verschlüsselungssammlungen verwenden Algorithmen, die unter FIPS 140-2 zulässig sind. Office 365 erbt FIPS-Überprüfungen von Windows (über Schannel). Informationen zu Schannel finden Sie unter Verschlüsselungssammlungen in TLS/SSL (Schannel SSP).

AES256-CBC-Unterstützung für Microsoft 365

Ende August 2023 beginnt Microsoft Purview Information Protection mit der Verwendung von Advanced Encryption Standard (AES) mit 256-Bit-Schlüssellänge im Verschlüsselungsblockverkettungsmodus (AES256-CBC). Bis Oktober 2023 wird AES256-CBC die Standardeinstellung für die Verschlüsselung von Microsoft 365 Apps Dokumenten und E-Mails sein. Möglicherweise müssen Sie Maßnahmen ergreifen, um diese Änderung in Ihrem organization zu unterstützen.

Wer ist betroffen und was muss ich tun?

Verwenden Sie diese Tabelle, um herauszufinden, ob Sie Maßnahmen ergreifen müssen:

Clientanwendungen Dienstanwendungen Aktion erforderlich? Was muss ich tun?
Microsoft 365 Apps Exchange Online, SharePoint Online Nein Nicht zutreffend
Office 2013, 2016, 2019 oder 2021 Exchange Online, SharePoint Online Ja (optional) Weitere Informationen finden Sie unter Einrichten von Office 2013, 2016, 2019 oder 2021 für den AES256-CBC-Modus.
Microsoft 365 Apps Exchange Server oder Hybrid Ja (obligatorisch) Informationen zur Unterstützung von AES256-CBC finden Sie unter Einrichten von Exchange Server.
Office 2013, 2016, 2019 oder 2021 Exchange Server oder Hybrid Ja (obligatorisch) Schließen Sie Option 1 (erforderlich) ab, und lesen Sie dann Einrichten von Office 2013, 2016, 2019 oder 2021 für den AES256-CBC-Modus.
Microsoft 365 Apps MIP SDK Ja (optional) Informationen zur Unterstützung von AES256-CBC finden Sie unter Einrichten des MIP SDK.
Any SharePoint Server Nein Nicht zutreffend

Einrichten von Office 2013, 2016, 2019 oder 2021 für den AES256-CBC-Modus

Sie müssen Office 2013, 2016, 2019 oder 2021 für die Verwendung des AES256-CBC-Modus mit Gruppenrichtlinie oder mithilfe des Cloudrichtliniendiensts für Microsoft 365 konfigurieren. Ab Version 16.0.16227 von Microsoft 365 Apps wird der CBC-Modus standardmäßig verwendet. Verwenden Sie die Encryption mode for Information Rights Management (IRM) Einstellung unter User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings.

Um beispielsweise den CBC-Modus zu erzwingen, wählen Sie die Gruppenrichtlinieneinstellung wie folgt aus:

Verschlüsselungsmodus für Information Rights Management (IRM): [1, Verschlüsselungsblockverkettung (CBC)]

Einrichten Exchange Server für AES256-CBC-Unterstützung

Exchange Server unterstützt das Entschlüsseln von Inhalten, die AES256-CBC verwenden, nicht. Um dieses Problem zu umgehen, haben Sie zwei Möglichkeiten.

Option 1

Kunden, die Exchange Online mit dem bereitgestellten Azure Rights Management Connector-Dienst verwenden, werden von der Änderung der AES256-CBC-Veröffentlichung sowohl in Exchange Online als auch in SharePoint Online abgemeldet.

Führen Sie die folgenden Schritte aus, um in den AES256-CBC-Modus zu wechseln:

  1. Installieren Sie den Hotfix auf Ihren Exchange-Servern, wenn er verfügbar wird. Die neuesten Informationen zu Versandterminen finden Sie in der Microsoft 365-Produktroadmap.

  2. Wenn Sie Exchange Server mit dem Azure Rights Management Connector-Dienst verwenden, müssen Sie das GenConnectorConfig.ps1 Skript auf jedem Exchange-Server ausführen. Weitere Informationen finden Sie unter Konfigurieren von Servern für den Rights Management-Connector.

Nachdem Ihr organization den Patch auf allen Ihren Exchange-Servern installiert hat, öffnen Sie eine Supportanfrage, und fordern Sie an, dass diese Dienste für die AES256-CBC-Veröffentlichung aktiviert werden.

Option 2

Diese Option bietet Ihnen etwas mehr Zeit, bevor Sie alle Exchange-Server patchen müssen. Verwenden Sie diese Option, wenn Sie die Schritte in Option 1 nicht ausführen können, wenn der Hotfix verfügbar ist. Stellen Sie stattdessen Gruppenrichtlinien oder Clienteinstellungen bereit, die erzwingen, dass Microsoft 365-Clients weiterhin den AES128-ECB-Modus verwenden. Stellen Sie diese Einstellung mithilfe von Gruppenrichtlinie oder mithilfe des Cloudrichtliniendiensts für Microsoft 365 bereit. Sie können Office und Microsoft 365 Apps für Windows so konfigurieren, dass der ECB- oder CBC-Modus mit der Encryption mode for Information Rights Management (IRM) Einstellung unter User Configuration/Administrative Templates/Microsoft Office 2016/Security Settingsverwendet wird. Ab Version 16.0.16327 von Microsoft 365 Apps wird der CBC-Modus standardmäßig verwendet.

Um beispielsweise den EBC-Modus für Windows-Clients zu erzwingen, legen Sie die Gruppenrichtlinieneinstellung wie folgt fest:

Verschlüsselungsmodus für Information Rights Management (IRM): [2, Electronic Codebook (ECB)]

Informationen zum Konfigurieren von Einstellungen für Office für Mac Clients finden Sie unter Festlegen von suiteweiten Einstellungen für Office für Mac.

Führen Sie so schnell wie möglich die Schritte unter Option 1 aus.

Einrichten des MIP SDK für AES256-CBC-Unterstützung

Update auf MIP SDK 1.13 oder höher. Wenn Sie sich für ein Update auf MIP SDK 1.13 entscheiden, müssen Sie eine Einstellung konfigurieren, um AES256-CBC zu erzwingen. Weitere Informationen finden Sie unter Kritisches Update für MIP SDK Version 1.13.158. Höhere Versionen des MIP SDK schützen Microsoft 365-Dateien und E-Mails standardmäßig mit AES256-CBC.

Von Microsoft 365 unterstützte TLS-Versionen

TLS und SSL, die vor TLS verfügbar waren, sind kryptografische Protokolle, die die Kommunikation über ein Netzwerk mithilfe von Sicherheitszertifikaten schützen, um eine Verbindung zwischen Computern zu verschlüsseln. Alle Microsoft 365 unterstützen TLS-Version 1.2 (TLS 1.2). Unterstützung für TLS-Version 1.3 (TLS 1.3) wird im gesamten Dienst von den verschiedenen Anwendungen und Diensten eingeführt. Exchange Online unterstützt jetzt TLS 1.3 für alle E-Mail-Übermittlungen und Serverkommunikation mit Drittanbietern im Internet.

Wichtig

Beachten Sie, dass TLS-Versionen veraltet sind und dass veraltete Versionen nicht verwendet werden sollten , wenn neuere Versionen verfügbar sind. Wenn Ihre Legacydienste TLS 1.0 oder 1.1 nicht erfordern, sollten Sie sie deaktivieren.

Veraltete Funktionen

  • Verschlüsselungssammlungen: Wir überprüfen ständig unsere Liste der unterstützten Verschlüsselungssammlungen. Wir haben in der Vergangenheit die Unterstützung der schwachen SHA1-Nachrichtenauthentifizierung und des RSA-Schlüsselaustauschalgorithmus ohne Weiterleitungsgeheimnis beendet. Die aktuelle Liste der unterstützten Verschlüsselungen finden Sie hier: TLS-Verschlüsselungssammlungen, die von Microsoft 365 unterstützt werden.
  • TLS 1.0- und TLS 1.1-Versionen: Die Unterstützung für diese TLS-Versionen wurde am 31. Oktober 2018 eingestellt, da ihre Entfernung aus dem Dienst seit 2022 abgeschlossen wurde. Alle Verbindungen mit Microsoft 365 verwenden jetzt mindestens TLS 1.2 für die Kommunikation. Eine Ausnahme ist das SMTP-AUTH-Clientübermittlungsprotokoll in Exchange Online das einen Anmeldeendpunkt für Kunden mit Legacygeräten bietet, die noch TLS 1.0 oder TLS 1.1 benötigen.
  • 3DES-Algorithmus: Die Unterstützung für diesen Verschlüsselungsalgorithmus wurde am 31. Oktober 2018 eingestellt. Microsoft 365 hat die damit verwendete Verschlüsselungssammlung TLS_RSA_WITH_3DES_EDE_CBC_SHA Verschlüsselungssammlung vom 28. Februar 2019 aus dem Dienst entfernt. Eine Liste der unterstützten Verschlüsselungen finden Sie unter TLS-Verschlüsselungssammlungen, die von Microsoft 365 unterstützt werden.
  • SHA-1-Zertifikate: Der Support in Microsoft 365 für Kommunikationen, bei denen der andere Drittanbieter SHA-1-Zertifikate bereitstellt, endete im Juni 2016. SHA-2 (Secure Hash Algorithm 2) oder stärkere Hashalgorithmen sind jetzt in der Zertifikatkette erforderlich.

Von Microsoft 365 unterstützte TLS-Verschlüsselungssammlungen

TLS verwendet Verschlüsselungssammlungen, Sammlungen von Verschlüsselungsalgorithmen, um sichere Verbindungen herzustellen. Microsoft 365 unterstützt die in der folgenden Tabelle aufgeführten Verschlüsselungssammlungen. In der Tabelle sind die Verschlüsselungssammlungen in der Reihenfolge der Stärke aufgeführt, wobei die stärkste Verschlüsselungssammlung zuerst aufgeführt ist.

Microsoft 365 antwortet auf eine Verbindungsanforderung, indem zuerst versucht wird, eine Verbindung mit der sichersten Verschlüsselungssammlung herzustellen. Wenn die Verbindung nicht funktioniert, versucht Microsoft 365 die zweitsicherste Verschlüsselungssammlung in der Liste usw. Der Dienst wird in der Liste nach unten fortgesetzt, bis die Verbindung akzeptiert wird. Wenn Microsoft 365 eine Verbindung anfordert, wählt der empfangende Dienst aus, ob TLS verwendet werden soll und welche Verschlüsselungssammlung verwendet werden soll.

Name der Verschlüsselungssammlung TLS-Protokollversion
TLS_AES_256_GCM_SHA384 1.3
TLS_AES_128_GCM_SHA256 1.3
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 1.2
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 1.2
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 1.2

Verschlüsselungssammlungen in TLS/SSL (Schannel SSP)

Verschlüsselung in Office 365

Vorbereiten von TLS 1.2 in Office 365 und Office 365 GCC