Compartir vía


Información de referencia técnica sobre el cifrado

Consulte este artículo para obtener información sobre los certificados, las tecnologías y los conjuntos de cifrado TLS usados para el cifrado en Microsoft 365. En este artículo también se proporcionan detalles sobre los desusos planeados.

Sugerencia

Si no es cliente de E5, use la prueba de soluciones de Microsoft Purview de 90 días para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de datos. Comience ahora en el centro de pruebas de portal de cumplimiento Microsoft Purview. Obtenga más información sobre los términos de suscripción y evaluación.

Propiedad y administración de certificados de Microsoft Office 365

No es necesario comprar ni mantener certificados para Office 365. En su lugar, Office 365 usa sus propios certificados.

Estándares de cifrado actuales y desusos planeados

Para proporcionar el mejor cifrado de su clase, Office 365 revisa periódicamente los estándares de cifrado admitidos. A veces, los estándares antiguos están en desuso a medida que están obsoletos y son menos seguros. En este artículo se describen los conjuntos de cifrado admitidos actualmente y otros estándares y detalles sobre los desusos planeados.

Cumplimiento de FIPS para Microsoft 365

Todos los conjuntos de cifrado admitidos por Office 365 usan algoritmos aceptables en FIPS 140-2. Office 365 hereda las validaciones FIPS de Windows (a través de Schannel). Para obtener información sobre Schannel, consulte Conjuntos de cifrado en TLS/SSL (Schannel SSP).

Compatibilidad con AES256-CBC para Microsoft 365

A finales de agosto de 2023, Microsoft Purview Information Protection comenzará a usar Advanced Encryption Standard (AES) con una longitud de clave de 256 bits en el modo de encadenamiento de bloques de cifrado (AES256-CBC). En octubre de 2023, AES256-CBC será el valor predeterminado para el cifrado de Aplicaciones Microsoft 365 documentos y correos electrónicos. Es posible que tenga que tomar medidas para admitir este cambio en su organización.

¿Quién se ve afectado y qué debo hacer?

Use esta tabla para averiguar si tiene que realizar acciones:

Aplicaciones cliente Aplicaciones de servicio ¿Se requiere acción? ¿Qué tengo que hacer?
Aplicaciones de Microsoft 365 Exchange Online, SharePoint Online No N/D
Office 2013, 2016, 2019 o 2021 Exchange Online, SharePoint Online Sí (opcional) Consulte Configuración de Office 2013, 2016, 2019 o 2021 para el modo AES256-CBC.
Aplicaciones de Microsoft 365 Exchange Server o híbrido Sí (obligatorio) Consulte Configuración de Exchange Server para obtener compatibilidad con AES256-CBC.
Office 2013, 2016, 2019 o 2021 Exchange Server o híbrido Sí (obligatorio) Complete la opción 1 (obligatorio) y, a continuación , vea Configurar Office 2013, 2016, 2019 o 2021 para el modo AES256-CBC.
Aplicaciones de Microsoft 365 MIP SDK Sí (opcional) Consulte Configuración del SDK de MIP para la compatibilidad con AES256-CBC.
Cualquiera SharePoint Server No N/D

Configuración de Office 2013, 2016, 2019 o 2021 para el modo AES256-CBC

Debe configurar Office 2013, 2016, 2019 o 2021 para usar el modo AES256-CBC mediante directiva de grupo o mediante el servicio de directivas en la nube para Microsoft 365. A partir de la versión 16.0.16327 de Aplicaciones Microsoft 365, el modo CBC se usa de forma predeterminada. Use la Encryption mode for Information Rights Management (IRM) configuración en User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings.

Por ejemplo, para forzar el modo CBC, seleccione la configuración de directiva de grupo como se indica a continuación:

Modo de cifrado para Information Rights Management (IRM): [1, Cifrado de encadenamiento de bloques (CBC)]

Configuración de Exchange Server para la compatibilidad con AES256-CBC

Exchange Server no admite el descifrado de contenido que usa AES256-CBC. Para solucionar este problema, tiene dos opciones.

Opción 1

Los clientes que usen Exchange Online con el servicio Azure Rights Management Connector implementado se excluirán del cambio de publicación de AES256-CBC tanto en Exchange Online como en SharePoint Online.

Para pasar al modo AES256-CBC, complete estos pasos:

  1. Instale la revisión en los servidores de Exchange cuando esté disponible. Para obtener la información más reciente sobre las fechas de envío, consulte la hoja de ruta del producto de Microsoft 365.

  2. Si usa Exchange Server con el servicio Azure Rights Management Connector, tendrá que ejecutar el script de GenConnectorConfig.ps1 en cada servidor de Exchange. Para obtener más información, consulte Configuración de servidores para el conector rights management. Para descargar el conector de Azure RMS, consulte el Centro de descarga oficial de Microsoft.

Una vez que la organización haya instalado la revisión en todos los servidores de Exchange, abra un caso de soporte técnico y solicite que estos servicios estén habilitados para la publicación de AES256-CBC.

Opción 2

Esta opción le proporciona un tiempo adicional antes de que necesite aplicar revisiones a todos los servidores de Exchange. Use esta opción si no puede completar los pasos de la opción 1 cuando la revisión esté disponible. En su lugar, implemente la directiva de grupo o la configuración de cliente que obligue a los clientes de Microsoft 365 a seguir usando el modo AES128-ECB. Implemente esta configuración con directiva de grupo o mediante el servicio de directivas en la nube para Microsoft 365. Puede configurar Office y Aplicaciones Microsoft 365 para que Windows use el modo ECB o CBC con la Encryption mode for Information Rights Management (IRM) configuración en User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings. A partir de la versión 16.0.16327 de Aplicaciones Microsoft 365, el modo CBC se usa de forma predeterminada.

Por ejemplo, para forzar el modo EBC para clientes Windows, establezca la configuración de directiva de grupo como se indica a continuación:

Modo de cifrado para Information Rights Management (IRM): [2, Electronic Codebook (ECB)]

Para configurar los valores de Office para Mac clientes, consulte Establecimiento de preferencias para todo el conjunto de Office para Mac.

Tan pronto como pueda, complete los pasos de la opción 1.

Configuración del SDK de MIP para la compatibilidad con AES256-CBC

Actualice al SDK de MIP 1.13 o posterior. Si decide actualizar al SDK de MIP 1.13, deberá configurar una configuración para forzar AES256-CBC. Para obtener más información, consulte actualización crítica del SDK de MIP versión 1.13.158. Las versiones posteriores del SDK de MIP protegerán los archivos y el correo electrónico de Microsoft 365 con AES256-CBC de forma predeterminada.

Versiones de TLS compatibles con Microsoft 365

TLS y SSL que precedieron a TLS son protocolos criptográficos que protegen la comunicación a través de una red mediante certificados de seguridad para cifrar una conexión entre equipos. Microsoft 365 admite TLS versión 1.2 (TLS 1.2).

Algunos de los servicios siguen siendo compatibles con la versión 1.3 de TLS (TLS 1.3).

Importante

Tenga en cuenta que las versiones de TLS están en desuso y que las versiones en desuso no deben usarse cuando estén disponibles las versiones más recientes. Si los servicios heredados no requieren TLS 1.0 o 1.1, debe deshabilitarlos.

Compatibilidad con TLS 1.0 y 1.1 en desuso

Office 365 dejó de admitir TLS 1.0 y 1.1 el 31 de octubre de 2018. Hemos completado la deshabilitación de TLS 1.0 y 1.1 en entornos GCC High y DoD. Comenzamos a deshabilitar TLS 1.0 y 1.1 para entornos globales y GCC a partir del 15 de octubre de 2020 y continuaremos con la implementación en las próximas semanas y meses.

Para mantener una conexión segura a los servicios Office 365 y Microsoft 365, todas las combinaciones cliente-servidor y explorador-servidor usan TLS 1.2 y conjuntos de cifrado modernos. Es posible que tenga que actualizar ciertas combinaciones cliente-servidor y navegador-servidor. Para obtener información sobre cómo afecta este cambio, consulte Preparación para el uso obligatorio de TLS 1.2 en Office 365.

Compatibilidad en desuso para 3DES

Desde el 31 de octubre de 2018, Microsoft 365 ya no admite el uso de conjuntos de cifrado 3DES para la comunicación con Microsoft 365. Más concretamente, Microsoft 365 ya no admite el conjunto de cifrado de TLS_RSA_WITH_3DES_EDE_CBC_SHA. Desde el 28 de febrero de 2019, este conjunto de cifrado se ha deshabilitado en Microsoft 365. Los clientes y servidores que se comunican con Microsoft 365 deben admitir uno o varios de los cifrados admitidos. Para obtener una lista de los cifrados admitidos, consulte Conjuntos de cifrado TLS compatibles con Microsoft 365.

Desuso de la compatibilidad con certificados SHA-1 en Microsoft 365

Desde junio de 2016, Microsoft 365 ya no acepta un certificado SHA-1 para las conexiones salientes o entrantes. Use SHA-2 (algoritmo hash seguro 2) o un algoritmo hash más seguro en la cadena de certificados.

Conjuntos de cifrado TLS admitidos por Microsoft 365

TLS usa conjuntos de cifrado, colecciones de algoritmos de cifrado, para establecer conexiones seguras. Microsoft 365 admite los conjuntos de cifrado enumerados en la tabla siguiente. En la tabla se enumeran los conjuntos de cifrado en orden de intensidad, con el conjunto de cifrado más seguro en primer lugar.

Microsoft 365 responde a una solicitud de conexión al intentar conectarse primero con el conjunto de cifrado más seguro. Si la conexión no funciona, Microsoft 365 intenta el segundo conjunto de cifrado más seguro de la lista, etc. El servicio continúa hacia abajo en la lista hasta que se acepta la conexión. Del mismo modo, cuando Microsoft 365 solicita una conexión, el servicio receptor elige si se usa TLS y qué conjunto de cifrado se va a usar.

Nombre del conjunto de cifrado Fuerza/algoritmo de intercambio de claves Secreto hacia delante Cifrado/intensidad Algoritmo/fuerza de autenticación
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH/192 AES/256 RSA/112
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH/128 AES/128 RSA/112
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH/192 AES/256 RSA/112
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDH/128 AES/128 RSA/112
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH/192 AES/256 RSA/112
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA ECDH/128 AES/128 RSA/112
TLS_RSA_WITH_AES_256_GCM_SHA384 RSA/112 No AES/256 RSA/112
TLS_RSA_WITH_AES_128_GCM_SHA256 RSA/112 No AES/256 RSA/112

Los siguientes conjuntos de cifrado admitían protocolos TLS 1.0 y 1.1 hasta su fecha de desuso. En los entornos de GCC High y DoD, la fecha de desuso era el 15 de enero de 2020. En el caso de los entornos mundial y GCC, esa fecha era el 15 de octubre de 2020.

Protocolos Nombre del conjunto de cifrado Fuerza/algoritmo de intercambio de claves Secreto hacia delante Cifrado/intensidad Algoritmo/fuerza de autenticación
TLS 1.0, 1.1, 1.2 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH/192 AES/256 RSA/112
TLS 1.0, 1.1, 1.2 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA ECDH/128 AES/128 RSA/112
TLS 1.0, 1.1, 1.2 TLS_RSA_WITH_AES_256_CBC_SHA RSA/112 No AES/256 RSA/112
TLS 1.0, 1.1, 1.2 TLS_RSA_WITH_AES_128_CBC_SHA RSA/112 No AES/128 RSA/112
TLS 1.0, 1.1, 1.2 TLS_RSA_WITH_AES_256_CBC_SHA256 RSA/112 No AES/256 RSA/112
TLS 1.0, 1.1, 1.2 TLS_RSA_WITH_AES_128_CBC_SHA256 RSA/112 No AES/256 RSA/112

Algunos productos de Office 365 (incluido Microsoft Teams) usan Azure Front Door para finalizar las conexiones TLS y enrutar el tráfico de red de forma eficaz. Al menos uno de los conjuntos de cifrado admitidos por Azure Front Door a través de TLS 1.2 debe estar habilitado para conectarse correctamente a estos productos. Para Windows 10 y versiones posteriores, se recomienda habilitar uno o ambos conjuntos de cifrado ECDHE para mejorar la seguridad. Windows 7, 8 y 8.1 no son compatibles con los conjuntos de cifrado ECDHE de Azure Front Door y los conjuntos de cifrado DHE se han proporcionado para la compatibilidad con esos sistemas operativos.

Conjuntos de cifrado TLS en Windows 10 v1903

Cifrado en Office 365

Configurar el cifrado en Office 365 Enterprise

Implementación Schannel de TLS 1.0 en la actualización de estado de seguridad de Windows: 24 de noviembre de 2015

Mejoras criptográficas TLS/SSL (Centro de TI de Windows)

Preparar TLS 1.2 en Office 365 y CCO de Office 365

¿Cuáles son los conjuntos de cifrado actuales admitidos por Azure Front Door?