Verschlüsselungsrisiken und Schutzfunktionen
Microsoft folgt einem Kontroll- und Complianceframework, das sich auf Risiken für den Microsoft 365-Dienst und kundenbezogene Daten konzentriert. Microsoft implementiert eine große Reihe von technologie- und prozessbasierten Methoden (als Kontrollen bezeichnet), um diese Risiken zu mindern. Die Identifizierung, Bewertung und Entschärfung von Risiken durch Kontrollen ist ein kontinuierlicher Prozess.
Die Implementierung von Kontrollen in verschiedenen Ebenen unserer Clouddienste wie Einrichtungen, Netzwerk, Server, Anwendungen, Benutzer (z. B. Microsoft-Administratoren) und Daten bilden eine tiefgehende Verteidigungsstrategie. Der Schlüssel zu dieser Strategie besteht darin, dass viele verschiedene Steuerelemente auf verschiedenen Ebenen implementiert werden, um sich vor denselben oder ähnlichen Risikoszenarien zu schützen. Dieser mehrschichtige Ansatz bietet ausfallsicheren Schutz für den Fall, dass ein Steuerelement aus irgendeinem Grund fehlschlägt.
Nachfolgend sind einige Risikoszenarien und die derzeit verfügbaren Verschlüsselungstechnologien aufgeführt, mit denen diese entschärft werden. Diese Szenarien werden in vielen Fällen auch durch andere In-Office 365 implementierte Steuerelemente entschärft.
| Verschlüsselungstechnologie | Dienste | Schlüsselverwaltung | Risikoszenario | Wert |
|---|---|---|---|---|
| BitLocker | Exchange Online, SharePoint Online und Skype for Business | Microsoft | Datenträger oder Server werden gestohlen oder nicht ordnungsgemäß wiederverwendet. | BitLocker bietet einen ausfallsicheren Ansatz zum Schutz vor Datenverlusten aufgrund gestohlener oder nicht ordnungsgemäß wiederverwendeter Hardware (Server/Datenträger). |
| Dienstverschlüsselung | SharePoint Online, Skype for Business und OneDrive for Business; Exchange Online | Microsoft | Interner oder externer Hacker versucht, als Blob auf einzelne Dateien/Daten zuzugreifen. | Die verschlüsselten Daten können nicht ohne Zugriff auf Schlüssel entschlüsselt werden. Trägt dazu bei, das Risiko eines Hackerzugriffs auf Daten zu verringern. |
| Kundenschlüssel | SharePoint Online, OneDrive for Business, Exchange Online und Skype for Business | Kunde | Nicht zutreffend (Dieses Feature ist als Compliancefeature konzipiert, nicht als Risikominderung.) | Unterstützung von Kunden bei der Erfüllung interner Vorschriften und Complianceverpflichtungen sowie der Möglichkeit, den Dienst zu verlassen und Microsoft den Zugriff auf Daten zu entziehen |
| TLS zwischen Microsoft 365 und Clients | Exchange Online, SharePoint Online, OneDrive for Business, Skype for Business, Teams und Viva Engage | Microsoft, Kunde | Man-in-the-Middle- oder anderen Angriff, um den Datenfluss zwischen Microsoft 365 und Clientcomputern über das Internet zu tippen. | Diese Implementierung bietet sowohl für Microsoft als auch für Kunden einen Mehrwert und stellt die Datenintegrität sicher, während sie zwischen Microsoft 365 und dem Client fließt. |
| TLS zwischen Microsoft-Rechenzentren | Exchange Online, SharePoint Online, OneDrive for Business und Skype for Business | Microsoft | Man-in-the-Middle- oder andere Angriffe, um den Kundendatenfluss zwischen Microsoft 365-Servern in verschiedenen Microsoft-Rechenzentren zu nutzen. | Diese Implementierung ist eine weitere Methode zum Schutz von Daten vor Angriffen zwischen Microsoft-Rechenzentren. |
| Azure Rights Management (enthalten in Microsoft 365 oder Azure Information Protection) | Exchange Online, SharePoint Online und OneDrive for Business | Kunde | Daten fallen in die Hände einer Person, die keinen Zugriff auf die Daten haben sollte. | Azure Information Protection verwendet Azure RMS, das Kunden einen Mehrwert bietet, indem Verschlüsselungs-, Identitäts- und Autorisierungsrichtlinien verwendet werden, um Dateien und E-Mails auf mehreren Geräten zu schützen. Azure RMS bietet Kunden einen Mehrwert, bei denen alle E-Mails, die von Microsoft 365 stammen und bestimmte Kriterien erfüllen (d. h. alle E-Mails an eine bestimmte Adresse), automatisch verschlüsselt werden können, bevor sie an einen anderen Empfänger gesendet werden. |
| S/MIME | Exchange Online: | Kunde | Email fällt in die Hände einer Person, die nicht der beabsichtigte Empfänger ist. | S/MIME bietet Kunden einen Mehrwert, indem sichergestellt wird, dass mit S/MIME verschlüsselte E-Mails nur vom direkten Empfänger der E-Mail entschlüsselt werden können. |
| Office 365-Nachrichtenverschlüsselung | Exchange Online, SharePoint Online | Kunde | Email, einschließlich geschützter Anlagen, fällt in die Hände einer Person innerhalb oder außerhalb von Microsoft 365, die nicht der beabsichtigte Empfänger der E-Mail ist. | OME bietet Kunden einen Mehrwert, wenn alle E-Mails, die von Microsoft 365 stammen und bestimmte Kriterien erfüllen (d. h. alle E-Mails an eine bestimmte Adresse), automatisch verschlüsselt werden, bevor sie an einen anderen internen oder externen Empfänger gesendet werden. |
| SMTP-TLS mit Partner-organization | Exchange Online: | Kunde | Email wird während der Übertragung von einem Microsoft 365-Mandanten zu einem anderen Partner organization über einen Man-in-the-Middle- oder anderen Angriff abgefangen. | Dieses Szenario bietet dem Kunden einen Mehrwert, sodass er alle E-Mails zwischen seinem Microsoft 365-Mandanten und dem E-Mail-organization seines Partners innerhalb eines verschlüsselten SMTP-Kanals senden/empfangen kann. |
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre organization die Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.
Verschlüsselungstechnologien, die in umgebungen mit mehreren Mandanten verfügbar sind
| Verschlüsselungstechnologie | Implementiert von | Schlüsselaustauschalgorithmus und -stärke | Schlüsselverwaltung* | FIPS 140-2 überprüft |
|---|---|---|---|---|
| BitLocker | Exchange Online: | AES 256-Bit | Der externe AES-Schlüssel wird in einem Geheimnissafe und in der Registrierung des Exchange-Servers gespeichert. Der Geheime Tresor ist ein gesichertes Repository, das allgemeine Rechteerweiterungen und Genehmigungen für den Zugriff erfordert. Der Zugriff kann nur mithilfe eines internen Tools namens Lockbox angefordert und genehmigt werden. Der externe AES-Schlüssel wird auch im Trusted Platform Module auf dem Server gespeichert. Ein 48-stelliges numerisches Kennwort wird in Active Directory gespeichert und durch Lockbox geschützt. | Ja |
| SharePoint Online | AES 256-Bit | Externer AES-Schlüssel wird in einem Geheimnissafe gespeichert. Der Geheime Tresor ist ein gesichertes Repository, das allgemeine Rechteerweiterungen und Genehmigungen für den Zugriff erfordert. Der Zugriff kann nur mithilfe eines internen Tools namens Lockbox angefordert und genehmigt werden. Der externe AES-Schlüssel wird auch im Trusted Platform Module auf dem Server gespeichert. Ein 48-stelliges numerisches Kennwort wird in Active Directory gespeichert und durch Lockbox geschützt. | Ja | |
| Skype for Business | AES 256-Bit | Externer AES-Schlüssel wird in einem Geheimnissafe gespeichert. Der Geheime Tresor ist ein gesichertes Repository, das allgemeine Rechteerweiterungen und Genehmigungen für den Zugriff erfordert. Der Zugriff kann nur mithilfe eines internen Tools namens Lockbox angefordert und genehmigt werden. Der externe AES-Schlüssel wird auch im Trusted Platform Module auf dem Server gespeichert. Ein 48-stelliges numerisches Kennwort wird in Active Directory gespeichert und durch Lockbox geschützt. | Ja | |
| Dienstverschlüsselung | SharePoint Online | AES 256-Bit | Die Schlüssel, die zum Verschlüsseln der Blobs verwendet werden, werden in der SharePoint Online-Inhaltsdatenbank gespeichert. Die SharePoint Online-Inhaltsdatenbank wird durch Datenbankzugriffssteuerungen und Verschlüsselung ruhender Daten geschützt. Die Verschlüsselung erfolgt mithilfe von TDE in Azure SQL-Datenbank. Diese Geheimnisse befinden sich auf der Dienstebene für SharePoint Online, nicht auf Mandantenebene. Diese Geheimnisse (manchmal auch als master Schlüssel bezeichnet) werden in einem separaten sicheren Repository gespeichert, das als Schlüsselspeicher bezeichnet wird. TDE bietet Sicherheit im Ruhezustand sowohl für die aktive Datenbank als auch für die Datenbanksicherungen und Transaktionsprotokolle. Wenn Kunden den optionalen Schlüssel angeben, wird der Kundenschlüssel in Azure Key Vault gespeichert, und der Dienst verwendet den Schlüssel zum Verschlüsseln eines Mandantenschlüssels, der zum Verschlüsseln eines Standortschlüssels verwendet wird, der dann zum Verschlüsseln der Schlüssel auf Dateiebene verwendet wird. Im Wesentlichen wird eine neue Schlüsselhierarchie eingeführt, wenn der Kunde einen Schlüssel bereitstellt. | Ja |
| Skype for Business | AES 256-Bit | Jedes Datenstück wird mit einem anderen zufällig generierten 256-Bit-Schlüssel verschlüsselt. Der Verschlüsselungsschlüssel wird in einer entsprechenden METADATEN-XML-Datei gespeichert, die ebenfalls durch einen konferenzspezifischen master Schlüssel verschlüsselt wird. Der master Schlüssel wird auch einmal pro Konferenz nach dem Zufallsprinzip generiert. | Ja | |
| Exchange Online: | AES 256-Bit | Jedes Postfach wird mit einer Datenverschlüsselungsrichtlinie verschlüsselt, die von Microsoft oder dem Kunden (bei Verwendung des Kundenschlüssels) kontrollierte Verschlüsselungsschlüssel verwendet. | Ja | |
| TLS zwischen Microsoft 365 und Clients/Partnern | Exchange Online: | Opportunistisches TLS, das mehrere Verschlüsselungssammlungen unterstützt | Das TLS-Zertifikat für Exchange Online (outlook.office.com) ist ein 2048-Bit-SHA256RSA-Zertifikat, das von Baltimore CyberTrust Root ausgestellt wurde. Das TLS-Stammzertifikat für Exchange Online ist ein 2048-Bit-SHA1RSA-Zertifikat, das von Baltimore CyberTrust Root ausgestellt wurde. |
Ja, wenn TLS 1.2 mit 256-Bit-Verschlüsselungsstärke verwendet wird |
| SharePoint Online | TLS 1.2 mit AES 256 Datenverschlüsselung in OneDrive for Business und SharePoint Online |
Das TLS-Zertifikat für SharePoint Online (*.sharepoint.com) ist ein 2048-Bit-SHA256RSA-Zertifikat, das von Baltimore CyberTrust Root ausgestellt wurde. Das TLS-Stammzertifikat für SharePoint Online ist ein 2048-Bit-SHA1RSA-Zertifikat, das von Baltimore CyberTrust Root ausgestellt wurde. |
Ja | |
| Skype for Business | TLS für SIP-Kommunikation und PSOM-Datenfreigabesitzungen | Das TLS-Zertifikat für Skype for Business (*.lync.com) ist ein 2048-Bit-SHA256RSA-Zertifikat, das von Baltimore CyberTrust Root ausgestellt wurde. Das TLS-Stammzertifikat für Skype for Business ist ein 2048-Bit-SHA256RSA-Zertifikat, das von Baltimore CyberTrust Root ausgestellt wurde. |
Ja | |
| Microsoft Teams | TLS 1.2 mit AES 256 Häufig gestellte Fragen zu Microsoft Teams – Admin Hilfe |
Das TLS-Zertifikat für Microsoft Teams (teams.microsoft.com, edge.skype.com) ist ein 2048-Bit-SHA256RSA-Zertifikat, das von Baltimore CyberTrust Root ausgestellt wurde. Das TLS-Stammzertifikat für Microsoft Teams ist ein 2048-Bit-SHA256RSA-Zertifikat, das von Baltimore CyberTrust Root ausgestellt wurde. |
Ja | |
| TLS zwischen Microsoft-Rechenzentren | Alle Microsoft 365-Dienste | TLS 1.2 mit AES 256 Secure Real-Time Transport Protocol (SRTP) |
Microsoft verwendet eine intern verwaltete und bereitgestellte Zertifizierungsstelle für die Server-zu-Server-Kommunikation zwischen Microsoft-Rechenzentren. | Ja |
| Azure Rights Management (enthalten in Microsoft 365 oder Azure Information Protection) | Exchange Online: | Unterstützt kryptografischen Modus 2, eine aktualisierte und erweiterte RMS-Kryptografieimplementierung. Es unterstützt RSA 2048 für Signatur und Verschlüsselung und SHA-256 für Hash in der Signatur. | Verwaltet von Microsoft. | Ja |
| SharePoint Online | Unterstützt kryptografischen Modus 2, eine aktualisierte und erweiterte RMS-Kryptografieimplementierung. Es unterstützt RSA 2048 für Signatur und Verschlüsselung und SHA-256 für die Signatur. | Von Microsoft verwaltet, dies ist die Standardeinstellung; Oder Kundenseitig verwaltet, eine Alternative zu von Microsoft verwalteten Schlüsseln. Organisationen, die über ein IT-verwaltetes Azure-Abonnement verfügen, können BYOK verwenden und dessen Nutzung ohne zusätzliche Kosten protokollieren. Weitere Informationen finden Sie unter Implementieren von Bring Your Own Key. In dieser Konfiguration werden nCipher-HSMs verwendet, um Ihre Schlüssel zu schützen. |
Ja | |
| S/MIME | Exchange Online: | Kryptografische Nachrichtensyntax Standard 1.5 (PKCS #7) | Hängt von der vom Kunden verwalteten Public Key-Infrastruktur ab, die bereitgestellt wird. Die Schlüsselverwaltung wird vom Kunden durchgeführt, und Microsoft hat nie Zugriff auf die privaten Schlüssel, die zum Signieren und Entschlüsseln verwendet werden. | Ja, wenn für die Verschlüsselung ausgehender Nachrichten mit 3DES oder AES256 konfiguriert ist |
| Office 365-Nachrichtenverschlüsselung | Exchange Online: | Identisch mit Azure RMS (Kryptografiemodus 2 – RSA 2048 für Signatur und Verschlüsselung und SHA-256 für Signatur) | Verwendet Azure Information Protection als Verschlüsselungsinfrastruktur. Die verwendete Verschlüsselungsmethode hängt davon ab, woher Sie die RMS-Schlüssel zum Verschlüsseln und Entschlüsseln von Nachrichten erhalten. | Ja |
| SMTP-TLS mit Partner-organization | Exchange Online: | TLS 1.2 mit AES 256 | Das TLS-Zertifikat für Exchange Online (outlook.office.com) ist ein 2048-Bit-SHA-256 mit RSA-Verschlüsselungszertifikat, das von DigiCert Cloud Services CA-1 ausgestellt wurde. Das TLS-Stammzertifikat für Exchange Online ist ein 2048-Bit-SHA-1 mit RSA-Verschlüsselungszertifikat, das von der GlobalSign-Stammzertifizierungsstelle R1 ausgestellt wurde. Beachten Sie, dass sich unsere Zertifikate aus Sicherheitsgründen von Zeit zu Zeit ändern. |
Ja, wenn TLS 1.2 mit 256-Bit-Verschlüsselungsstärke verwendet wird |
*TLS-Zertifikate, auf die in dieser Tabelle verwiesen wird, gelten für US-Rechenzentren; Rechenzentren außerhalb der USA verwenden auch 2048-Bit-SHA256RSA-Zertifikate.
Verschlüsselungstechnologien, die in Communityumgebungen der Government-Cloud verfügbar sind
| Verschlüsselungstechnologie | Implementiert von | Schlüsselaustauschalgorithmus und -stärke | Schlüsselverwaltung* | FIPS 140-2 überprüft |
|---|---|---|---|---|
| BitLocker | Exchange Online: | AES 256-Bit | Der externe AES-Schlüssel wird in einem Geheimnissafe und in der Registrierung des Exchange-Servers gespeichert. Der Geheime Tresor ist ein gesichertes Repository, das allgemeine Rechteerweiterungen und Genehmigungen für den Zugriff erfordert. Der Zugriff kann nur mithilfe eines internen Tools namens Lockbox angefordert und genehmigt werden. Der externe AES-Schlüssel wird auch im Trusted Platform Module auf dem Server gespeichert. Ein 48-stelliges numerisches Kennwort wird in Active Directory gespeichert und durch Lockbox geschützt. | Ja |
| SharePoint Online | AES 256-Bit | Externer AES-Schlüssel wird in einem Geheimnissafe gespeichert. Der Geheime Tresor ist ein gesichertes Repository, das allgemeine Rechteerweiterungen und Genehmigungen für den Zugriff erfordert. Der Zugriff kann nur mithilfe eines internen Tools namens Lockbox angefordert und genehmigt werden. Der externe AES-Schlüssel wird auch im Trusted Platform Module auf dem Server gespeichert. Ein 48-stelliges numerisches Kennwort wird in Active Directory gespeichert und durch Lockbox geschützt. | Ja | |
| Skype for Business | AES 256-Bit | Externer AES-Schlüssel wird in einem Geheimnissafe gespeichert. Der Geheime Tresor ist ein gesichertes Repository, das allgemeine Rechteerweiterungen und Genehmigungen für den Zugriff erfordert. Der Zugriff kann nur mithilfe eines internen Tools namens Lockbox angefordert und genehmigt werden. Der externe AES-Schlüssel wird auch im Trusted Platform Module auf dem Server gespeichert. Ein 48-stelliges numerisches Kennwort wird in Active Directory gespeichert und durch Lockbox geschützt. | Ja | |
| Dienstverschlüsselung | SharePoint Online | AES 256-Bit | Die Schlüssel, die zum Verschlüsseln der Blobs verwendet werden, werden in der SharePoint Online-Inhaltsdatenbank gespeichert. Die SharePoint Online-Inhaltsdatenbanken werden durch Datenbankzugriffssteuerungen und Verschlüsselung ruhender Daten geschützt. Die Verschlüsselung erfolgt mithilfe von TDE in Azure SQL-Datenbank. Diese Geheimnisse befinden sich auf der Dienstebene für SharePoint Online, nicht auf Mandantenebene. Diese Geheimnisse (manchmal auch als master Schlüssel bezeichnet) werden in einem separaten sicheren Repository gespeichert, das als Schlüsselspeicher bezeichnet wird. TDE bietet Sicherheit im Ruhezustand sowohl für die aktive Datenbank als auch für die Datenbanksicherungen und Transaktionsprotokolle. Wenn Kunden den optionalen Schlüssel angeben, wird der Kundenschlüssel in Azure Key Vault gespeichert, und der Dienst verwendet den Schlüssel zum Verschlüsseln eines Mandantenschlüssels, der zum Verschlüsseln eines Standortschlüssels verwendet wird, der dann zum Verschlüsseln der Schlüssel auf Dateiebene verwendet wird. Im Wesentlichen wird eine neue Schlüsselhierarchie eingeführt, wenn der Kunde einen Schlüssel bereitstellt. | Ja |
| Skype for Business | AES 256-Bit | Jedes Datenstück wird mit einem anderen zufällig generierten 256-Bit-Schlüssel verschlüsselt. Der Verschlüsselungsschlüssel wird in einer entsprechenden METADATEN-XML-Datei gespeichert, die ebenfalls durch einen konferenzspezifischen master Schlüssel verschlüsselt wird. Der master Schlüssel wird auch einmal pro Konferenz nach dem Zufallsprinzip generiert. | Ja | |
| Exchange Online: | AES 256-Bit | Jedes Postfach wird mit einer Datenverschlüsselungsrichtlinie verschlüsselt, die von Microsoft oder dem Kunden (bei Verwendung des Kundenschlüssels) kontrollierte Verschlüsselungsschlüssel verwendet. | Ja | |
| TLS zwischen Microsoft 365 und Clients/Partnern | Exchange Online: | Opportunistisches TLS, das mehrere Verschlüsselungssammlungen unterstützt | Das TLS-Zertifikat für Exchange Online (outlook.office.com) ist ein 2048-Bit-SHA256RSA-Zertifikat, das von Baltimore CyberTrust Root ausgestellt wurde. Das TLS-Stammzertifikat für Exchange Online ist ein 2048-Bit-SHA1RSA-Zertifikat, das von Baltimore CyberTrust Root ausgestellt wurde. |
Ja, wenn TLS 1.2 mit 256-Bit-Verschlüsselungsstärke verwendet wird |
| SharePoint Online | TLS 1.2 mit AES 256 | Das TLS-Zertifikat für SharePoint Online (*.sharepoint.com) ist ein 2048-Bit-SHA256RSA-Zertifikat, das von Baltimore CyberTrust Root ausgestellt wurde. Das TLS-Stammzertifikat für SharePoint Online ist ein 2048-Bit-SHA1RSA-Zertifikat, das von Baltimore CyberTrust Root ausgestellt wurde. |
Ja | |
| Skype for Business | TLS für SIP-Kommunikation und PSOM-Datenfreigabesitzungen | Das TLS-Zertifikat für Skype for Business (*.lync.com) ist ein 2048-Bit-SHA256RSA-Zertifikat, das von Baltimore CyberTrust Root ausgestellt wurde. Das TLS-Stammzertifikat für Skype for Business ist ein 2048-Bit-SHA256RSA-Zertifikat, das von Baltimore CyberTrust Root ausgestellt wurde. |
Ja | |
| Microsoft Teams | Häufig gestellte Fragen zu Microsoft Teams – Admin Hilfe | Das TLS-Zertifikat für Microsoft Teams (teams.microsoft.com; edge.skype.com) ist ein 2048-Bit-SHA256RSA-Zertifikat, das von Baltimore CyberTrust Root ausgestellt wurde. Das TLS-Stammzertifikat für Microsoft Teams ist ein 2048-Bit-SHA256RSA-Zertifikat, das von Baltimore CyberTrust Root ausgestellt wurde. |
Ja | |
| TLS zwischen Microsoft-Rechenzentren | Exchange Online, SharePoint Online, Skype for Business | TLS 1.2 mit AES 256 | Microsoft verwendet eine intern verwaltete und bereitgestellte Zertifizierungsstelle für die Server-zu-Server-Kommunikation zwischen Microsoft-Rechenzentren. | Ja |
| Secure Real-Time Transport Protocol (SRTP) | ||||
| Azure Rights Management Service | Exchange Online: | Unterstützt kryptografischen Modus 2, eine aktualisierte und erweiterte RMS-Kryptografieimplementierung. Es unterstützt RSA 2048 für Signatur und Verschlüsselung und SHA-256 für Hash in der Signatur. | Verwaltet von Microsoft. | Ja |
| SharePoint Online | Unterstützt kryptografischen Modus 2, eine aktualisierte und erweiterte RMS-Kryptografieimplementierung. Es unterstützt RSA 2048 für Signatur und Verschlüsselung und SHA-256 für Hash in der Signatur. | Von Microsoft verwaltet, dies ist die Standardeinstellung; Oder Vom Kunden verwaltete Schlüssel (auch als BYOK bezeichnet), eine Alternative zu von Microsoft verwalteten Schlüsseln. Organisationen, die über ein IT-verwaltetes Azure-Abonnement verfügen, können BYOK verwenden und dessen Nutzung ohne zusätzliche Kosten protokollieren. Weitere Informationen finden Sie unter Implementieren von Bring Your Own Key. Im BYOK-Szenario werden nCipher-HSMs verwendet, um Ihre Schlüssel zu schützen. |
Ja | |
| S/MIME | Exchange Online: | Kryptografische Nachrichtensyntax Standard 1.5 (PKCS #7) | Hängt von der bereitgestellten Public Key-Infrastruktur ab. | Ja, wenn für die Verschlüsselung ausgehender Nachrichten mit 3DES oder AES-256 konfiguriert ist. |
| Office 365-Nachrichtenverschlüsselung | Exchange Online: | Identisch mit Azure RMS (Kryptografiemodus 2 – RSA 2048 für Signatur und Verschlüsselung und SHA-256 für Hash in der Signatur) | Verwendet Azure RMS als Verschlüsselungsinfrastruktur. Die verwendete Verschlüsselungsmethode hängt davon ab, woher Sie die RMS-Schlüssel zum Verschlüsseln und Entschlüsseln von Nachrichten erhalten. Wenn Sie Microsoft Azure RMS zum Abrufen der Schlüssel verwenden, wird der Kryptografiemodus 2 verwendet. Wenn Sie Active Directory (AD) RMS verwenden, um die Schlüssel abzurufen, wird entweder Kryptografiemodus 1 oder 2 verwendet. Die verwendete Methode hängt von Ihrer lokalen AD RMS-Bereitstellung ab. Kryptografiemodus 1 ist die ursprüngliche Kryptografieimplementierung für AD RMS. Es unterstützt RSA 1024 für Signatur und Verschlüsselung und SHA-1 für die Signatur. Dieser Modus wird weiterhin von allen aktuellen Versionen von RMS unterstützt, mit Ausnahme von BYOK-Konfigurationen, die HSMs verwenden. |
Ja |
| SMTP-TLS mit Partner-organization | Exchange Online: | TLS 1.2 mit AES 256 | Das TLS-Zertifikat für Exchange Online (outlook.office.com) ist ein 2048-Bit-SHA-256 mit RSA-Verschlüsselungszertifikat, das von DigiCert Cloud Services CA-1 ausgestellt wurde. Das TLS-Stammzertifikat für Exchange Online ist ein 2048-Bit-SHA-1 mit RSA-Verschlüsselungszertifikat, das von der GlobalSign-Stammzertifizierungsstelle R1 ausgestellt wurde. Beachten Sie, dass sich unsere Zertifikate aus Sicherheitsgründen von Zeit zu Zeit ändern. |
Ja, wenn TLS 1.2 mit 256-Bit-Verschlüsselungsstärke verwendet wird |
*TLS-Zertifikate, auf die in dieser Tabelle verwiesen wird, gelten für US-Rechenzentren; Rechenzentren außerhalb der USA verwenden auch 2048-Bit-SHA256RSA-Zertifikate.