다음을 통해 공유


Office 365의 암호화에 대한 기술 관련 세부 정보

Microsoft 365에서 암호화에 사용되는 인증서, 기술 및 TLS 암호 도구 모음에 대한 자세한 내용은 이 문서를 참조하세요. 이 문서에서는 계획된 사용 중단에 대한 세부 정보도 제공합니다.

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

Microsoft Office 365 인증서 소유권 및 관리

Office 365 인증서를 구입하거나 유지 관리할 필요가 없습니다. 대신 Office 365 자체 인증서를 사용합니다.

현재 암호화 표준 및 계획된 사용 중단

동급 최고의 암호화를 제공하기 위해 Office 365 정기적으로 지원되는 암호화 표준을 검토합니다. 오래된 표준이 오래되고 보안이 떨어지면 더 이상 사용되지 않는 경우가 있습니다. 이 문서에서는 현재 지원되는 암호 그룹 및 기타 표준 및 계획된 사용 중단에 대한 세부 정보를 설명합니다.

Microsoft 365에 대한 FIPS 규정 준수

Office 365 지원하는 모든 암호 그룹은 FIPS 140-2에서 허용되는 알고리즘을 사용합니다. Office 365 Windows에서 FIPS 유효성 검사를 상속합니다(Schannel을 통해). Schannel에 대한 자세한 내용은 TLS/SSL의 암호 그룹(Schannel SSP)을 참조하세요.

Microsoft 365에 대한 AES256-CBC 지원

2023년 8월 말, Microsoft Purview Information Protection 암호화 블록 체인 모드(AES256-CBC)에서 256비트 키 길이가 있는 AES(Advanced Encryption Standard)를 사용하기 시작합니다. 2023년 10월까지 AES256-CBC는 Microsoft 365 앱 문서 및 전자 메일 암호화의 기본값이 됩니다. organization 이러한 변경을 지원하기 위해 조치를 취해야 할 수도 있습니다.

영향을 받는 사람은 누구이며 무엇을 해야 하나요?

다음 표를 사용하여 작업을 수행해야 하는지 파악합니다.

클라이언트 응용 프로그램 서비스 응용 프로그램 작업이 필요합니까? 어떤 작업을 수행해야 하나요?
Microsoft 365 앱 Exchange Online, SharePoint Online 아니요 해당 없음
Office 2013, 2016, 2019 또는 2021 Exchange Online, SharePoint Online 예(선택 사항) AES256-CBC 모드는 Office 2013, 2016, 2019 또는 2021 설정을 참조하세요.
Microsoft 365 앱 Exchange Server 또는 하이브리드 예(필수) AES256-CBC 지원에 대한 Exchange Server 설정을 참조하세요.
Office 2013, 2016, 2019 또는 2021 Exchange Server 또는 하이브리드 예(필수) 옵션 1(필수)을 완료한 다음 AES256-CBC 모드용 Office 2013, 2016, 2019 또는 2021 설정을 참조하세요.
Microsoft 365 앱 MIP SDK 예(선택 사항) AES256-CBC 지원에 대한 MIP SDK 설정을 참조하세요.
모두 SharePoint Server 아니요 해당 없음

AES256-CBC 모드용 Office 2013, 2016, 2019 또는 2021 설정

그룹 정책 사용하거나 Microsoft 365용 클라우드 정책 서비스를 사용하여 AES256-CBC 모드를 사용하도록 Office 2013, 2016, 2019 또는 2021을 구성해야 합니다. Microsoft 365 앱 버전 16.0.16327부터 CBC 모드가 기본적으로 사용됩니다. 아래User Configuration/Administrative Templates/Microsoft Office 2016/Security SettingsEncryption mode for Information Rights Management (IRM) 설정을 사용합니다.

예를 들어 CBC 모드를 강제 적용하려면 다음과 같이 그룹 정책 설정을 선택합니다.

IRM(정보 권한 관리)에 대한 암호화 모드: [1, CBC(암호화 블록 체인)]

AES256-CBC 지원에 대한 Exchange Server 설정

Exchange Server AES256-CBC를 사용하는 콘텐츠의 암호 해독을 지원하지 않습니다. 이 문제를 해결하려면 두 가지 옵션이 있습니다.

옵션 1

배포된 Azure Rights Management Connector 서비스에서 Exchange Online 사용하는 고객은 Exchange Online 및 SharePoint Online 모두에서 AES256-CBC 게시 변경 내용에서 옵트아웃됩니다.

AES256-CBC 모드로 이동하려면 다음 단계를 완료합니다.

  1. 핫픽스를 사용할 수 있게 되면 Exchange Server에 설치합니다. 배송 날짜에 대한 최신 정보는 Microsoft 365 제품 로드맵을 참조하세요.

  2. Azure Rights Management Connector Service에서 Exchange Server 사용하는 경우 각 Exchange 서버에서 GenConnectorConfig.ps1 스크립트를 실행해야 합니다. 자세한 내용은 Rights Management 커넥터에 대한 서버 구성을 참조하세요. Azure RMS 커넥터를 다운로드하려면 공식 Microsoft 다운로드 센터를 참조하세요.

organization 모든 Exchange Server에 패치를 설치한 후 지원 사례를 열고 이러한 서비스를 AES256-CBC 게시에 사용하도록 요청합니다.

옵션 2

이 옵션은 모든 Exchange 서버를 패치해야 하기 전에 약간의 추가 시간을 제공합니다. 핫픽스를 사용할 수 있게 되면 옵션 1 의 단계를 완료할 수 없는 경우 이 옵션을 사용합니다. 대신 Microsoft 365 클라이언트가 AES128-ECB 모드를 계속 사용하도록 강제하는 그룹 정책 또는 클라이언트 설정을 배포합니다. 그룹 정책 사용하거나 Microsoft 365용 클라우드 정책 서비스를 사용하여 이 설정을 배포합니다. 아래의 설정User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings과 함께 Encryption mode for Information Rights Management (IRM) ECB 또는 CBC 모드를 사용하도록 Windows용 Office 및 Microsoft 365 앱 구성할 수 있습니다. Microsoft 365 앱 버전 16.0.16327부터 CBC 모드가 기본적으로 사용됩니다.

예를 들어 Windows 클라이언트에 대해 EBC 모드를 강제 적용하려면 다음과 같이 그룹 정책 설정을 설정합니다.

IRM(정보 권한 관리)에 대한 암호화 모드: [2, ECB(전자 코드북)]

Mac용 Office 클라이언트에 대한 설정을 구성하려면 Mac용 Office 대한 제품군 전체 기본 설정 설정을 참조하세요.

가능한 한 빨리 옵션 1의 단계를 완료합니다.

AES256-CBC 지원을 위한 MIP SDK 설정

MIP SDK 1.13 이상으로 업데이트합니다. MIP SDK 1.13으로 업데이트하도록 선택하는 경우 AES256-CBC를 강제로 적용하도록 설정을 구성해야 합니다. 자세한 내용은 MIP SDK 버전 1.13.158 중요 업데이트를 참조하세요. 이후 버전의 MIP SDK는 기본적으로 AES256-CBC를 사용하여 Microsoft 365 파일 및 이메일을 보호합니다.

Microsoft 365에서 지원하는 TLS 버전

TLS 및 TLS 이전에 제공된 SSL은 보안 인증서를 사용하여 컴퓨터 간의 연결을 암호화하여 네트워크를 통한 통신을 보호하는 암호화 프로토콜입니다. Microsoft 365는 TLS 버전 1.2(TLS 1.2)를 지원합니다.

일부 서비스는 TLS 버전 1.3(TLS 1.3)을 계속 지원합니다.

중요

TLS 버전은 더 이상 사용되지 않으며, 더 이상 사용되지 않는 버전은 최신 버전을 사용할 수 있는 곳에서 사용해서는 안 됩니다. 레거시 서비스에 TLS 1.0 또는 1.1이 필요하지 않은 경우 사용하지 않도록 설정해야 합니다.

TLS 1.0 및 1.1 사용 중단 지원

Office 365 2018년 10월 31일에 TLS 1.0 및 1.1 지원을 중단했습니다. GCC High 및 DoD 환경에서 TLS 1.0 및 1.1을 사용하지 않도록 설정했습니다. 2020년 10월 15일부터 전 세계 및 GCC 환경에 대해 TLS 1.0 및 1.1을 사용하지 않도록 설정하기 시작했으며 앞으로 몇 주 및 몇 달 동안 계속 출시될 예정입니다.

Office 365 및 Microsoft 365 서비스에 대한 보안 연결을 유지하기 위해 모든 클라이언트-서버 및 브라우저 서버 조합은 TLS 1.2 및 최신 암호 그룹을 사용합니다. 특정 클라이언트-서버 및 브라우저-서버 조합을 업데이트해야 할 수 있습니다. 이 변경이 사용자에게 미치는 영향에 대한 자세한 내용은 Office 365 TLS 1.2의 필수 사용 준비를 참조하세요.

3DES에 대한 지원 중단

2018년 10월 31일부터 Microsoft 365는 더 이상 Microsoft 365와 통신하기 위해 3DES 암호화 제품군 사용을 지원하지 않습니다. 특히 Microsoft 365는 더 이상 TLS_RSA_WITH_3DES_EDE_CBC_SHA 암호 그룹을 지원하지 않습니다. 2019년 2월 28일부터 Microsoft 365에서 이 암호 그룹을 사용할 수 없습니다. Microsoft 365와 통신하는 클라이언트 및 서버는 하나 이상의 지원되는 암호화를 지원해야 합니다. 지원되는 암호 목록은 Microsoft 365에서 지원하는 TLS 암호 그룹을 참조하세요.

Microsoft 365에서 SHA-1 인증서 지원 사용 중단

2016년 6월부터 Microsoft 365는 더 이상 아웃바운드 또는 인바운드 연결에 대한 SHA-1 인증서를 허용하지 않습니다. 인증서 체인에서 SHA-2(보안 해시 알고리즘 2) 또는 더 강력한 해시 알고리즘을 사용합니다.

Microsoft 365에서 지원하는 TLS 암호 그룹

TLS는 암호화 알고리즘 컬렉션인 암호 그룹을 사용하여 보안 연결을 설정합니다. Microsoft 365는 다음 표에 나열된 암호 그룹을 지원합니다. 표에는 가장 강력한 암호 그룹이 먼저 나열된 암호 그룹이 강도 순서로 나열되어 있습니다.

Microsoft 365는 가장 안전한 암호 그룹을 사용하여 먼저 연결을 시도하여 연결 요청에 응답합니다. 연결이 작동하지 않으면 Microsoft 365는 목록에서 두 번째로 안전한 암호 그룹을 시도합니다. 서비스는 연결이 수락될 때까지 목록을 계속 실행합니다. 마찬가지로 Microsoft 365에서 연결을 요청하면 수신 서비스는 TLS를 사용할지 여부와 사용할 암호 그룹을 선택합니다.

암호 그룹 이름 키 교환 알고리즘/강도 비밀 전달 암호/강도 인증 알고리즘/강도
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH/192 AES/256 RSA/112
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH/128 AES/128 RSA/112
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH/192 AES/256 RSA/112
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDH/128 AES/128 RSA/112
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH/192 AES/256 RSA/112
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA ECDH/128 AES/128 RSA/112
TLS_RSA_WITH_AES_256_GCM_SHA384 RSA/112 아니오 AES/256 RSA/112
TLS_RSA_WITH_AES_128_GCM_SHA256 RSA/112 아니오 AES/256 RSA/112

다음 암호 도구 모음은 사용 중단 날짜까지 TLS 1.0 및 1.1 프로토콜을 지원했습니다. 사용 중단 날짜가 2020년 1월 15일인 GCC High 및 DoD 환경의 경우 전 세계 및 GCC 환경의 경우 2020년 10월 15일이었습니다.

프로토콜 암호 그룹 이름 키 교환 알고리즘/강도 비밀 전달 암호/강도 인증 알고리즘/강도
TLS 1.0, 1.1, 1.2 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH/192 AES/256 RSA/112
TLS 1.0, 1.1, 1.2 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA ECDH/128 AES/128 RSA/112
TLS 1.0, 1.1, 1.2 TLS_RSA_WITH_AES_256_CBC_SHA RSA/112 아니오 AES/256 RSA/112
TLS 1.0, 1.1, 1.2 TLS_RSA_WITH_AES_128_CBC_SHA RSA/112 아니오 AES/128 RSA/112
TLS 1.0, 1.1, 1.2 TLS_RSA_WITH_AES_256_CBC_SHA256 RSA/112 아니오 AES/256 RSA/112
TLS 1.0, 1.1, 1.2 TLS_RSA_WITH_AES_128_CBC_SHA256 RSA/112 아니오 AES/256 RSA/112

특정 Office 365 제품(Microsoft Teams 포함)은 Azure Front Door를 사용하여 TLS 연결을 종료하고 네트워크 트래픽을 효율적으로 라우팅합니다. 이러한 제품에 성공적으로 연결하려면 TLS 1.2를 통해 Azure Front Door에서 지원하는 암호 그룹 중 하나 이상을 사용하도록 설정해야 합니다. Windows 10 이상의 경우 보안을 향상하기 위해 ECDHE 암호화 제품군 중 하나 또는 둘 다를 사용하도록 설정하는 것이 좋습니다. Windows 7, 8 및 8.1은 Azure Front Door의 ECDHE 암호 제품군과 호환되지 않으며 DHE 암호 제품군은 해당 운영 체제와의 호환성을 위해 제공되었습니다.

Windows 10 v1903의 TLS 암호 그룹

Office 365의 암호화

Office 365 Enterprise의 암호화 설정

Windows 보안 상태 업데이트에서 TLS 1.0의 Schannel 구현: 2015년 11월 24일

TLS/SSL 암호화 개선 사항(Windows IT 센터)

Office 365 및 Office 365 GCC에서 TLS 1.2 준비

Azure Front Door에서 지원하는 현재 암호 제품군은 무엇인가요?