暗号化についてのテクニカル リファレンスの詳細

Office 365の暗号化に使用される証明書、テクノロジ、TLS 暗号スイートについては、この記事を参照してください。 この記事では、予定されている非推奨の詳細についても説明します。

ヒント

E5 のお客様でない場合は、Microsoft Purview のすべてのプレミアム機能を無料で試すことができます。 90 日間の Purview ソリューション試用版を使用して、堅牢な Purview 機能が、組織がデータセキュリティとコンプライアンスのニーズを管理するのにどのように役立つかを調べます。 Microsoft Purview コンプライアンス ポータル試用版ハブから開始します。 サインアップと試用版の使用条件の詳細について説明します。

Microsoft Office 365 証明書の所有権と管理

Office 365の証明書を購入または管理する必要はありません。 代わりに、Office 365独自の証明書を使用します。

現在の暗号化標準と予定されている非推奨

クラス最高の暗号化を提供するために、Office 365はサポートされている暗号化標準を定期的に確認します。 古い標準は古くなり、安全性が低下するため非推奨になる場合があります。 この記事では、現在サポートされている暗号スイートとその他の標準と、予定されている非推奨に関する詳細について説明します。

Office 365の FIPS コンプライアンス

Office 365でサポートされているすべての暗号スイートでは、FIPS 140-2 で許容されるアルゴリズムが使用されます。 Office 365は、Windows から (Schannel を介して) FIPS 検証を継承します。 Schannel の詳細については、「 TLS/SSL の暗号スイート (Schannel SSP)」を参照してください。

Office 365 でサポートされる TLS のバージョン

TLS と TLS の前に提供された SSL は、セキュリティ証明書を使用してコンピューター間の接続を暗号化することでネットワーク経由の通信をセキュリティで保護する暗号化プロトコルです。 Office 365では、TLS バージョン 1.2 (TLS 1.2) がサポートされます。

TLS バージョン 1.3 (TLS 1.3) は、一部のサービスでサポートされています。

重要

TLS バージョンは非推奨であり、新しいバージョンが使用可能な場合は非推奨バージョンを 使用しないでください 。 レガシ サービスに TLS 1.0 または 1.1 が必要ない場合は、それらを無効にする必要があります。

TLS 1.0 および 1.1 の非推奨のサポート

Office 365 2018 年 10 月 31 日に TLS 1.0 と 1.1 のサポートを停止しました。 GCC High および DoD 環境での TLS 1.0 と 1.1 の無効化が完了しました。 2020 年 10 月 15 日から、Worldwide および GCC 環境の TLS 1.0 と 1.1 の無効化を開始し、今後数週間と数か月にわたってロールアウトを続けます。

Office 365および Microsoft 365 サービスへのセキュリティで保護された接続を維持するために、すべてのクライアントサーバーとブラウザーとサーバーの組み合わせで TLS 1.2 と最新の暗号スイートが使用されます。 クライアントとサーバー間、ブラウザーとサーバー間の特定の組み合わせについては、更新が必要になる場合があります。 この変更の影響については、「Office 365での TLS 1.2 の必須使用の準備」を参照してください。

3DES のサポートの非推奨

2018 年 10 月 31 日以降、Office 365はOffice 365への通信に 3DES 暗号スイートの使用をサポートしなくなりました。 具体的には、Office 365はTLS_RSA_WITH_3DES_EDE_CBC_SHA暗号スイートをサポートしなくなりました。 2019 年 2 月 28 日以降、この暗号スイートはOffice 365で無効になっています。 Office 365と通信するクライアントとサーバーは、サポートされている 1 つ以上の暗号をサポートしている必要があります。 サポートされている暗号の一覧については、「Office 365でサポートされている TLS 暗号スイート」を参照してください。

Office 365 における SHA-1 証明書サポートの廃止

2016 年 6 月以降、Office 365は送信接続または受信接続に対して SHA-1 証明書を受け入れなくなりました。 SHA-2 (セキュリティで保護されたハッシュ アルゴリズム 2) または証明書チェーン内のより強力なハッシュ アルゴリズムを使用します。

Office 365 でサポートされている TLS 暗号スイート

TLS では、暗号化アルゴリズムのコレクションである 暗号スイートを使用して、セキュリティで保護された接続を確立します。 Office 365は、次の表に示す暗号スイートをサポートしています。 次の表に、強度の順に暗号スイートを示し、最も強力な暗号スイートを最初に示します。

Office 365は、最初に最も安全な暗号スイートを使用して接続を試みることによって、接続要求に応答します。 接続が機能しない場合、Office 365はリスト内で 2 番目にセキュリティで保護された暗号スイートを試行します。 接続が受け入れられるまで、サービスはリストの下に進みます。 同様に、Office 365が接続を要求すると、受信サービスは TLS を使用するかどうかと使用する暗号スイートを選択します。

暗号スイート名 キー交換アルゴリズム/強度 転送の秘密 暗号/強度 認証アルゴリズム/強度
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
ECDH/192
はい
AES/256
RSA/112
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ECDH/128
はい
AES/128
RSA/112
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
ECDH/192
はい
AES/256
RSA/112
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
ECDH/128
はい
AES/128
RSA/112
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
ECDH/192
はい
AES/256
RSA/112
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
ECDH/128
はい
AES/128
RSA/112
TLS_RSA_WITH_AES_256_GCM_SHA384
RSA/112
いいえ
AES/256
RSA/112
TLS_RSA_WITH_AES_128_GCM_SHA256
RSA/112
いいえ
AES/256
RSA/112

次の暗号スイートでは、廃止日まで TLS 1.0 および 1.1 プロトコルがサポートされています。 GCC High および DoD 環境の場合、非推奨日は 2020 年 1 月 15 日でした。 世界および GCC 環境の場合、その日付は 2020 年 10 月 15 日でした。

プロトコル 暗号スイート名 キー交換アルゴリズム/強度 転送の秘密 暗号/強度 認証アルゴリズム/強度
TLS 1.0、1.1、1.2
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
ECDH/192
はい
AES/256
RSA/112
TLS 1.0、1.1、1.2
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
ECDH/128
はい
AES/128
RSA/112
TLS 1.0、1.1、1.2
TLS_RSA_WITH_AES_256_CBC_SHA
RSA/112
いいえ
AES/256
RSA/112
TLS 1.0、1.1、1.2
TLS_RSA_WITH_AES_128_CBC_SHA
RSA/112
いいえ
AES/128
RSA/112
TLS 1.0、1.1、1.2
TLS_RSA_WITH_AES_256_CBC_SHA256
RSA/112
いいえ
AES/256
RSA/112
TLS 1.0、1.1、1.2
TLS_RSA_WITH_AES_128_CBC_SHA256
RSA/112
いいえ
AES/256
RSA/112

特定のOffice 365製品 (Microsoft Teams を含む) では、Azure Front Door を使用して TLS 接続を終了し、ネットワーク トラフィックを効率的にルーティングします。 これらの製品に正常に接続するには、 Azure Front Door over TLS 1.2 でサポートされている暗号スイートの少なくとも 1 つを有効にする必要があります。 Windows 10以上の場合は、セキュリティを強化するために ECDHE 暗号スイートの 1 つまたは両方を有効にすることをお勧めします。 Windows 7、8、および 8.1 は、Azure Front Door の ECDHE 暗号スイートと互換性がないため、これらのオペレーティング システムとの互換性のために DHE 暗号スイートが提供されています。

Windows 10 v1903 の TLS 暗号スイート

Office 365 での暗号化

Office 365 Enterprise で暗号化を設定する

Windows セキュリティ状態更新プログラムでの TLS 1.0 の Schannel 実装: 2015 年 11 月 24 日

TLS/SSL 暗号化の機能強化 (Windows IT センター)

Office 365 および Office 365 GCC での TLS 1.2 の準備

Azure Front Door でサポートされている現在の暗号スイートは何ですか?