有关加密的技术参考详情

  • 项目

有关 Microsoft 365 中用于加密的证书、技术和 TLS 密码套件的信息,请参阅本文。 本文还提供了有关计划内弃用的详细信息。

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

Microsoft Office 365 证书所有权和管理

无需为Office 365购买或维护证书。 相反,Office 365使用自己的证书。

当前加密标准和计划的弃用

为了提供一流的加密,Office 365定期评审支持的加密标准。 有时,旧标准因过时且安全性降低而弃用。 本文介绍当前支持的密码套件和其他标准,以及有关计划内弃用的详细信息。

Microsoft 365 的 FIPS 合规性

Office 365支持的所有密码套件都使用 FIPS 140-2 下可接受的算法。 Office 365通过 Schannel) 从 Windows (继承 FIPS 验证。 有关 Schannel 的信息,请参阅 TLS/SSL (Schannel SSP) 中的密码套件

Microsoft 365 的 AES256-CBC 支持

2023 年 8 月下旬,Microsoft Purview 信息保护将开始使用高级加密标准 (AES) ,其密钥长度为 256 位, (AES256-CBC) 。 到 2023 年 10 月,AES256-CBC 将成为Microsoft 365 应用版文档和电子邮件加密的默认值。 可能需要采取措施来支持组织中的此更改。

谁受到影响,我需要做什么?

使用此表来确定是否必须采取措施:

客户端应用程序 服务应用程序 需要操作? 我需要做什么?
Microsoft 365 应用版 Exchange Online、SharePoint Online 不适用
Office 2013、2016、2019 或 2021 Exchange Online、SharePoint Online 是 (可选) 请参阅 为 AES256-CBC 模式设置 Office 2013、2016、2019 或 2021
Microsoft 365 应用版 Exchange Server或混合 是 (强制) 请参阅设置 AES256-CBC 支持的Exchange Server
Office 2013、2016、2019 或 2021 Exchange Server或混合 是 (强制) 完成 选项 1 (所需的) ,然后请参阅 为 AES256-CBC 模式设置 Office 2013、2016、2019 或 2021
Microsoft 365 应用版 MIP SDK 是 (可选) 请参阅 设置 MIP SDK 以获取 AES256-CBC 支持
任何 SharePoint Server 不适用

为 AES256-CBC 模式设置 Office 2013、2016、2019 或 2021

你需要将 Office 2013、2016、2019 或 2021 配置为使用 组策略 或 Microsoft 365 的云策略服务使用 AES256-CBC 模式。 从 Microsoft 365 应用版 版本 16.0.16327 开始,默认使用 CBC 模式。 使用 下的 Encryption mode for Information Rights Management (IRM)User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings设置。

例如,若要强制 CBC 模式,请选择组策略设置,如下所示:

信息权限管理 (IRM) 的加密模式:[1,密码块链接 (CBC) ]

为 AES256-CBC 支持设置Exchange Server

Exchange Server不支持解密使用 AES256-CBC 的内容。 若要解决此问题,有两个选项。

选项 1

将 Exchange Online 与部署的 Azure Rights Management Connector 服务配合使用的客户将选择退出 Exchange Online 和 SharePoint Online 中的 AES256-CBC 发布更改。

若要移动到 AES256-CBC 模式,请完成以下步骤:

  1. 在 Exchange Server 上安装修补程序(当修补程序可用时)。 有关发货日期的最新信息,请参阅 Microsoft 365 产品路线图

  2. 如果将 Exchange Server 与 Azure Rights Management 连接器服务配合使用,则需要在每个 Exchange 服务器上运行 GenConnectorConfig.ps1 脚本。 有关详细信息,请参阅 为 Rights Management 连接器配置服务器。 若要下载 Azure RMS 连接器,请参阅 官方 Microsoft 下载中心

组织在所有 Exchange Server 上安装修补程序后,请创建支持案例并请求为 AES256-CBC 发布启用这些服务。

选项 2

在需要修补所有 Exchange 服务器之前,此选项会提供一些额外的时间。 如果修补程序可用时无法完成 选项 1 中的步骤,请使用此选项。 相反,部署强制 Microsoft 365 客户端继续使用 AES128-ECB 模式的组策略或客户端设置。 使用 组策略 或 Microsoft 365 的云策略服务部署此设置。 可以将 Windows 的 Office 和 Microsoft 365 应用版配置为使用 ECB 或 CBC 模式,并使用 Encryption mode for Information Rights Management (IRM) 下的 User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings设置。 从 Microsoft 365 应用版 版本 16.0.16327 开始,默认使用 CBC 模式。

例如,若要强制使用 Windows 客户端的 EBC 模式,请设置组策略设置,如下所示:

信息权限管理 (IRM) 的加密模式: [2, 电子 Codebook (ECB) ]

若要配置Office for Mac客户端的设置,请参阅为Office for Mac设置套件范围的首选项

请尽快完成 选项 1 中的步骤。

为 AES256-CBC 支持设置 MIP SDK

更新到 MIP SDK 1.13 或更高版本。 如果选择更新到 MIP SDK 1.13,则需要配置设置以强制 AES256-CBC。 有关详细信息,请参阅 MIP SDK 版本 1.13.158 关键更新。 默认情况下,更高版本的 MIP SDK 将使用 AES256-CBC 保护 Microsoft 365 文件和电子邮件。

Microsoft 365 支持的 TLS 版本

TLS 和 TLS 之前的 SSL 是使用安全证书加密计算机之间的连接来保护网络上通信的加密协议。 Microsoft 365 支持 TLS 版本 1.2 (TLS 1.2) 。

某些服务继续支持 TLS 版本 1.3 (TLS 1.3) 。

重要

请注意,TLS 版本已弃用,并且 不应在 较新版本可用的情况下使用已弃用的版本。 如果旧服务不需要 TLS 1.0 或 1.1,则应禁用它们。

支持弃用 TLS 1.0 和 1.1

Office 365已于 2018 年 10 月 31 日停止支持 TLS 1.0 和 1.1。 我们已完成在 GCC High 和 DoD 环境中禁用 TLS 1.0 和 1.1。 从 2020 年 10 月 15 日开始,我们开始为全球和 GCC 环境禁用 TLS 1.0 和 1.1,并将继续在未来几周和几个月内推出。

为了保持与 Office 365 和 Microsoft 365 服务的安全连接,所有客户端-服务器和浏览器-服务器组合都使用 TLS 1.2 和新式密码套件。 你可能必须更新某些客户端-服务器和浏览器-服务器组合。 有关此更改对你的影响的信息,请参阅准备在 Office 365 中强制使用 TLS 1.2

弃用 3DES 支持

自 2018 年 10 月 31 日起,Microsoft 365 不再支持使用 3DES 密码套件与 Microsoft 365 通信。 更具体地说,Microsoft 365 不再支持TLS_RSA_WITH_3DES_EDE_CBC_SHA密码套件。 自 2019 年 2 月 28 日起,此密码套件已在 Microsoft 365 中禁用。 与 Microsoft 365 通信的客户端和服务器必须支持一个或多个受支持的密码。 有关支持的密码列表,请参阅 Microsoft 365 支持的 TLS 密码套件

弃用 Microsoft 365 中的 SHA-1 证书支持

自 2016 年 6 月以来,Microsoft 365 不再接受 SHA-1 证书进行出站或入站连接。 在证书链中使用 SHA-2 (安全哈希算法 2) 或更强的哈希算法。

Microsoft 365 支持的 TLS 密码套件

TLS 使用 加密套件(加密算法集合)建立安全连接。 Microsoft 365 支持下表中列出的密码套件。 下表按强度顺序列出密码套件,并首先列出最强的密码套件。

Microsoft 365 通过首先尝试使用最安全的密码套件进行连接来响应连接请求。 如果连接不起作用,Microsoft 365 会尝试列表中的第二个最安全密码套件,等等。 服务将继续向下运行列表,直到接受连接。 同样,当 Microsoft 365 请求连接时,接收服务会选择是否使用 TLS 以及要使用的密码套件。

密码套件名称 密钥交换算法/强度 向前保密 密码/强度 身份验证算法/强度
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH/192 AES/256 RSA/112
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH/128 AES/128 RSA/112
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH/192 AES/256 RSA/112
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDH/128 AES/128 RSA/112
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH/192 AES/256 RSA/112
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA ECDH/128 AES/128 RSA/112
TLS_RSA_WITH_AES_256_GCM_SHA384 RSA/112 AES/256 RSA/112
TLS_RSA_WITH_AES_128_GCM_SHA256 RSA/112 AES/256 RSA/112

以下密码套件支持 TLS 1.0 和 1.1 协议,直到其弃用日期。 对于 GCC High 和 DoD 环境,弃用日期为 2020 年 1 月 15 日。 对于全球和 GCC 环境,日期为 2020 年 10 月 15 日。

协议 密码套件名称 密钥交换算法/强度 向前保密 密码/强度 身份验证算法/强度
TLS 1.0、1.1、1.2 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH/192 AES/256 RSA/112
TLS 1.0、1.1、1.2 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA ECDH/128 AES/128 RSA/112
TLS 1.0、1.1、1.2 TLS_RSA_WITH_AES_256_CBC_SHA RSA/112 AES/256 RSA/112
TLS 1.0、1.1、1.2 TLS_RSA_WITH_AES_128_CBC_SHA RSA/112 AES/128 RSA/112
TLS 1.0、1.1、1.2 TLS_RSA_WITH_AES_256_CBC_SHA256 RSA/112 AES/256 RSA/112
TLS 1.0、1.1、1.2 TLS_RSA_WITH_AES_128_CBC_SHA256 RSA/112 AES/256 RSA/112

某些Office 365产品 (包括 Microsoft Teams) 使用 Azure Front Door 来终止 TLS 连接并有效地路由网络流量。 必须启用 Azure Front Door 通过 TLS 1.2 支持的 至少一个密码套件才能成功连接到这些产品。 对于Windows 10及更高版本,我们建议启用一个或两个 ECDHE 密码套件,以提高安全性。 Windows 7、8 和 8.1 与 Azure Front Door 的 ECDHE 密码套件不兼容,并且已提供 DHE 密码套件,以便与这些操作系统兼容。

Windows 10 v1903 中的 TLS 密码套件

Office 365 中的加密

设置 Office 365 企业版中的加密

Windows 安全状态更新中 TLS 1.0 的 Schannel 实现:2015 年 11 月 24 日

WINDOWS IT Center) (TLS/SSL 加密增强功能

准备在 Office 365 和 Office 365 GCC 中使用 TLS 1.2

Azure Front Door 当前支持哪些密码套件?