Detalhes de referência técnica sobre criptografia
Consulte este artigo para obter informações sobre certificados, tecnologias e pacotes de criptografia TLS usados para criptografia no Microsoft 365. Este artigo também fornece detalhes sobre preterimentos planejados.
- Se você estiver procurando informações de visão geral, consulte Criptografia no Microsoft 365.
- Se você estiver procurando informações de configuração, consulte Configurar criptografia em Microsoft 365 Enterprise.
- Para obter informações específicas sobre a depreciação do TLS 1.1 e 1.0, confira Desabilitar o TLS 1.0 e 1.1 para o Microsoft 365.
- Para obter informações sobre pacotes de cifras com suporte por versões específicas do Windows, consulte Cipher Suites no TLS/SSL (Schannel SSP).
- Para cadeias de certificados, consulte Cadeias de criptografia do Microsoft 365 e cadeias de criptografia do Microsoft 365 – DOD e GCC High.
Dica
Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.
Gerenciamento e propriedade de certificado do Microsoft Office 365
Você não precisa comprar ou manter certificados para Office 365. Em vez disso, Office 365 usa seus próprios certificados.
Padrões de criptografia atuais e preterimentos planejados
Para fornecer criptografia recomendada na classe, Office 365 revisa regularmente os padrões de criptografia compatíveis. Às vezes, os padrões antigos são preteridos à medida que se tornam desatualizados e menos seguros. Este artigo descreve os pacotes de criptografia com suporte no momento e outros padrões e detalhes sobre precatórios planejados.
Conformidade FIPS para o Microsoft 365
Todos os pacotes de criptografia compatíveis com Office 365 usam algoritmos aceitáveis em FIPS 140-2. Office 365 herda validações FIPS do Windows (por meio do Schannel). Para obter informações sobre o Schannel, consulte Cipher Suites no TLS/SSL (Schannel SSP).
Suporte do AES256-CBC para o Microsoft 365
No final de agosto de 2023, Proteção de Informações do Microsoft Purview começarão a usar o AES (Advanced Encryption Standard) com comprimento de chave de 256 bits no modo de Encadeamento de Blocos de Cifra (AES256-CBC). Até outubro de 2023, o AES256-CBC será o padrão para criptografia de Microsoft 365 Apps documentos e emails. Talvez seja necessário tomar medidas para dar suporte a essa alteração em sua organização.
Quem está afetado e o que preciso fazer?
Use esta tabela para descobrir se você precisa tomar medidas:
| Aplicativos do cliente | Aplicativos de serviço | Ação necessária? | O que eu preciso fazer? |
|---|---|---|---|
| Aplicativos do Microsoft 365 | Exchange Online, SharePoint Online | Não | N/D |
| Office 2013, 2016, 2019 ou 2021 | Exchange Online, SharePoint Online | Sim (opcional) | Consulte Configurar o Office 2013, 2016, 2019 ou 2021 para o modo AES256-CBC. |
| Aplicativos do Microsoft 365 | Exchange Server ou híbrido | Sim (Obrigatório) | Consulte Configurar Exchange Server para suporte ao AES256-CBC. |
| Office 2013, 2016, 2019 ou 2021 | Exchange Server ou híbrido | Sim (Obrigatório) | Conclua a opção 1 (necessária) e consulte Configurar o modo Office 2013, 2016, 2019 ou 2021 para o modo AES256-CBC. |
| Aplicativos do Microsoft 365 | MIP SDK | Sim (opcional) | Consulte Configurar o SDK do MIP para suporte a AES256-CBC. |
| Qualquer | SharePoint Server | Não | N/D |
Configurar o Office 2013, 2016, 2019 ou 2021 para o modo AES256-CBC
Você precisa configurar o office 2013, 2016, 2019 ou 2021 para usar o modo AES256-CBC usando Política de Grupo ou usando o serviço Cloud Policy para Microsoft 365. Começando com a versão 16.0.16327 de Microsoft 365 Apps, o modo CBC é usado por padrão. Use a Encryption mode for Information Rights Management (IRM) configuração em User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings.
Por exemplo, para forçar o modo CBC, selecione a configuração da política de grupo da seguinte maneira:
Modo de criptografia para o Gerenciamento de Direitos de Informação (IRM): [1, Cbc)]
Configurar Exchange Server para suporte a AES256-CBC
Exchange Server não dá suporte à descriptografação de conteúdo que usa a AES256-CBC. Para resolver esse problema, você tem duas opções.
Opção 1
Os clientes que usam Exchange Online com o serviço do Conector de Gerenciamento de Direitos do Azure implantado serão optados pela alteração de publicação do AES256-CBC no Exchange Online e no SharePoint Online.
Para migrar para o modo AES256-CBC, conclua estas etapas:
Instale o hotfix em seus Exchange Servers quando ele ficar disponível. Para obter as informações mais recentes sobre datas de envio, consulte o roteiro do produto do Microsoft 365.
Se você estiver usando Exchange Server com o Serviço de Conector de Gerenciamento de Direitos do Azure, precisará executar o script GenConnectorConfig.ps1 em cada servidor do Exchange. Para obter mais informações, consulte Configurar servidores para o conector do Rights Management. Para baixar o conector do Azure RMS, consulte o Centro de Download oficial da Microsoft
Depois que sua organização tiver instalado o patch em todos os servidores do Exchange, abra um caso de suporte e solicite que esses serviços sejam habilitados para publicação do AES256-CBC.
Opção 2
Essa opção oferece um tempo extra antes de precisar corrigir todos os servidores do Exchange. Use essa opção se você não conseguir concluir as etapas na opção 1 quando o hotfix estiver disponível. Em vez disso, implante a política de grupo ou as configurações do cliente que forçam os clientes do Microsoft 365 a continuar usando o modo AES128-BCE. Implante essa configuração usando Política de Grupo ou usando o serviço Cloud Policy para o Microsoft 365. Você pode configurar o Office e Microsoft 365 Apps para o Windows usar o modo BCE ou CBC com a Encryption mode for Information Rights Management (IRM) configuração em User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings. Começando com a versão 16.0.16327 de Microsoft 365 Apps, o modo CBC é usado por padrão.
Por exemplo, para forçar o modo EBC para clientes Windows, defina a configuração da política de grupo da seguinte maneira:
Modo de criptografia para o Gerenciamento de Direitos de Informação (IRM): [2, ELECTRONIC Codebook (BCE)]
Para configurar configurações para clientes Office para Mac, consulte Definir preferências em todo o pacote para Office para Mac.
Assim que puder, conclua as etapas na opção 1.
Configurar o SDK do MIP para suporte ao AES256-CBC
Atualize para o SDK do MIP 1.13 ou posterior. Se você optar por atualizar para o SDK do MIP 1.13, precisará configurar uma configuração para forçar o AES256-CBC. Para obter mais informações, consulte a Atualização Crítica do SDK do MIP versão 1.13.158. Versões posteriores do SDK do MIP protegerão arquivos e emails do Microsoft 365 com o AES256-CBC por padrão.
Versões do TLS com suporte do Microsoft 365
TLS e SSL que vieram antes do TLS são protocolos criptográficos que protegem a comunicação em uma rede usando certificados de segurança para criptografar uma conexão entre computadores. O Microsoft 365 dá suporte ao TLS versão 1.2 (TLS 1.2).
Alguns dos serviços continuam a dar suporte ao TLS versão 1.3 (TLS 1.3).
Importante
Lembre-se de que as versões TLS preterem e que versões preteridas não devem ser usadas onde as versões mais recentes estão disponíveis. Se seus serviços herdados não exigirem TLS 1.0 ou 1.1, você deverá desabilitar.
Suporte para a depreciação do TLS 1.0 e 1.1
Office 365 parou de dar suporte ao TLS 1.0 e 1.1 em 31 de outubro de 2018. Concluímos a desabilitação do TLS 1.0 e 1.1 em ambientes GCC High e DoD. Começamos a desabilitar o TLS 1.0 e 1.1 para ambientes do Worldwide e do GCC a partir de 15 de outubro de 2020 e continuaremos com a distribuição nas próximas semanas e meses.
Para manter uma conexão segura com Office 365 e serviços do Microsoft 365, todas as combinações cliente-servidor e navegador-servidor usam o TLS 1.2 e os pacotes de criptografia modernos. Você poderá ter que atualizar certas combinações de cliente-servidor e navegador-servidor. Para obter informações sobre como essa alteração afeta você, consulte Preparando-se para o uso obrigatório do TLS 1.2 em Office 365.
Preterir o suporte para 3DES
Desde 31 de outubro de 2018, o Microsoft 365 não dá mais suporte ao uso de pacotes de criptografia 3DES para comunicação com o Microsoft 365. Mais especificamente, o Microsoft 365 não dá mais suporte ao pacote de cifras TLS_RSA_WITH_3DES_EDE_CBC_SHA. Desde 28 de fevereiro de 2019, esse pacote de cifras está desabilitado no Microsoft 365. Clientes e servidores que se comunicam com o Microsoft 365 devem dar suporte a uma ou mais das cifras com suporte. Para obter uma lista de cifras com suporte, confira Pacotes de criptografia TLS com suporte do Microsoft 365.
Preterir o suporte ao certificado SHA-1 no Microsoft 365
Desde junho de 2016, o Microsoft 365 não aceita mais um certificado SHA-1 para conexões de saída ou de entrada. Use SHA-2 (Algoritmo de Hash Seguro 2) ou um algoritmo de hash mais forte na cadeia de certificados.
Pacotes de codificação TLS com suporte do Microsoft 365
O TLS usa pacotes de criptografia, coleções de algoritmos de criptografia para estabelecer conexões seguras. O Microsoft 365 dá suporte aos pacotes de cifras listados na tabela a seguir. A tabela lista os pacotes de cifras em ordem de força, com o pacote de cifras mais forte listado primeiro.
O Microsoft 365 responde a uma solicitação de conexão ao primeiro tentar se conectar usando o pacote de criptografia mais seguro. Se a conexão não funcionar, o Microsoft 365 tentará o segundo pacote de criptografia mais seguro da lista e assim por diante. O serviço continua abaixo da lista até que a conexão seja aceita. Da mesma forma, quando o Microsoft 365 solicita uma conexão, o serviço receptor escolhe se deve usar o TLS e qual pacote de criptografia usar.
| Nome do conjunto de codificações | Algoritmo/força de troca de chaves | Encaminhar segredo | Cipher/strength | Algoritmo/força de autenticação |
|---|---|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ECDH/192 | Sim | AES/256 | RSA/112 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ECDH/128 | Sim | AES/128 | RSA/112 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ECDH/192 | Sim | AES/256 | RSA/112 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ECDH/128 | Sim | AES/128 | RSA/112 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ECDH/192 | Sim | AES/256 | RSA/112 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ECDH/128 | Sim | AES/128 | RSA/112 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 | RSA/112 | Não | AES/256 | RSA/112 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 | RSA/112 | Não | AES/256 | RSA/112 |
Os seguintes pacotes de criptografia ofereceram suporte aos protocolos TLS 1.0 e 1.1 até a data de preterição. Para ambientes GCC High e DoD, essa data de preterimento foi 15 de janeiro de 2020. Para ambientes do Worldwide e do GCC, essa data era 15 de outubro de 2020.
| Protocolos | Nome do conjunto de codificações | Algoritmo/força de troca de chaves | Encaminhar segredo | Cipher/strength | Algoritmo/força de autenticação |
|---|---|---|---|---|---|
| TLS 1.0, 1.1, 1.2 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ECDH/192 | Sim | AES/256 | RSA/112 |
| TLS 1.0, 1.1, 1.2 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ECDH/128 | Sim | AES/128 | RSA/112 |
| TLS 1.0, 1.1, 1.2 | TLS_RSA_WITH_AES_256_CBC_SHA | RSA/112 | Não | AES/256 | RSA/112 |
| TLS 1.0, 1.1, 1.2 | TLS_RSA_WITH_AES_128_CBC_SHA | RSA/112 | Não | AES/128 | RSA/112 |
| TLS 1.0, 1.1, 1.2 | TLS_RSA_WITH_AES_256_CBC_SHA256 | RSA/112 | Não | AES/256 | RSA/112 |
| TLS 1.0, 1.1, 1.2 | TLS_RSA_WITH_AES_128_CBC_SHA256 | RSA/112 | Não | AES/256 | RSA/112 |
Determinados produtos Office 365 (incluindo o Microsoft Teams) usam o Azure Front Door para encerrar conexões TLS e rotear o tráfego de rede com eficiência. Pelo menos um dos pacotes de criptografia com suporte do Azure Front Door no TLS 1.2 deve estar habilitado para se conectar com êxito a esses produtos. Para Windows 10 e superior, recomendamos habilitar um ou ambos os pacotes de criptografia ECDHE para obter uma melhor segurança. O Windows 7, 8 e 8.1 não são compatíveis com os pacotes de criptografia ECDHE do Azure Front Door e os pacotes de criptografia DHE foram fornecidos para compatibilidade com esses sistemas operacionais.
Artigos relacionados
TLS Cipher Suites em Windows 10 v1903
Configure a criptografia no Office 365 Enterprise
Implementação do Schannel do TLS 1.0 no Windows security status atualização: 24 de novembro de 2015
Aprimoramentos criptográficos TLS/SSL (Centro de TI do Windows)
Preparação para o TLS 1.2 no Office 365 e no Office 365 GCC
Quais são os pacotes de criptografia atuais compatíveis com o Azure Front Door?