Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Per informazioni su certificati, tecnologie e suite di crittografia TLS usate per la crittografia in Microsoft 365, vedere questo articolo. Questo articolo fornisce anche informazioni dettagliate sulle deprecazioni pianificate.
- Per informazioni generali, vedere Crittografia in Microsoft 365.
- Per informazioni sulla configurazione, vedere Configurare la crittografia in Microsoft 365 Enterprise.
- Per informazioni specifiche sulla deprecazione di TLS 1.1 e 1.0, vedere Disabilitazione di TLS 1.0 e 1.1 per Microsoft 365.
- Per informazioni sui pacchetti di crittografia supportati da versioni specifiche di Windows, vedere Suite di crittografia in TLS/SSL (SSP Schannel).For information about cipher suites supported by specific versions of Windows, see Cipher Suites in TLS/SSL (Schannel SSP).
- Per le catene di certificati, vedere Catene di crittografia di Microsoft 365 e Catene di crittografia di Microsoft 365 - DOD e GCC High.
Consiglio
Se non si è cliente E5, usa la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione di Microsoft Purview. Informazioni dettagliate sui termini di registrazione e prova.
Gestione e proprietà dei certificati di Microsoft Office 365
Non è necessario acquistare o gestire i certificati per Office 365. In alternativa, Office 365 usa i propri certificati.
Standard di crittografia correnti e deprecazioni pianificate
Per fornire la crittografia migliore, Office 365 verifica regolarmente gli standard di crittografia supportati. A volte, i vecchi standard sono deprecati man mano che diventano obsoleti e meno sicuri. Questo articolo descrive i pacchetti di crittografia attualmente supportati e altri standard e i dettagli sulle deprecazioni pianificate.
Conformità FIPS per Microsoft 365
Tutti i pacchetti di crittografia supportati da Office 365 usano algoritmi accettabili in FIPS 140-2. Office 365 eredita le convalide FIPS da Windows (tramite Schannel). Per informazioni su Schannel, vedere Pacchetti di crittografia in TLS/SSL (SSP Schannel).
Supporto di AES256-CBC per Microsoft 365
Alla fine di agosto 2023, Microsoft Purview Information Protection inizierà a usare Advanced Encryption Standard (AES) con lunghezza della chiave a 256 bit in modalità di concatenamento di blocchi di crittografia (AES256-CBC). Entro ottobre 2023, AES256-CBC sarà l'impostazione predefinita per la crittografia di documenti e messaggi di posta elettronica Microsoft 365 Apps. Potrebbe essere necessario intervenire per supportare questa modifica nell'organizzazione.
Chi è interessato e cosa devo fare?
Usare questa tabella per determinare se è necessario eseguire un'azione:
| Applicazioni client | Applicazioni di servizio | Azione necessaria? | Cosa devo fare? |
|---|---|---|---|
| Microsoft 365 Apps | Exchange Online, SharePoint Online | No | N/D |
| Office 2013, 2016, 2019 o 2021 | Exchange Online, SharePoint Online | Sì (facoltativo) | Vedere Configurare Office 2013, 2016, 2019 o 2021 per la modalità AES256-CBC. |
| Microsoft 365 Apps | Exchange Server o ibrido | Sì (obbligatorio) | Vedere Configurare Exchange Server per il supporto di AES256-CBC. |
| Office 2013, 2016, 2019 o 2021 | Exchange Server o ibrido | Sì (obbligatorio) | Completare l'opzione 1 (obbligatorio) e quindi vedere Configurare Office 2013, 2016, 2019 o 2021 per la modalità AES256-CBC. |
| Microsoft 365 Apps | MIP SDK | Sì (facoltativo) | Vedere Configurare MIP SDK per il supporto di AES256-CBC. |
| Qualsiasi | SharePoint Server | No | N/D |
Configurare Office 2013, 2016, 2019 o 2021 per la modalità AES256-CBC
È necessario configurare Office 2013, 2016, 2019 o 2021 per usare la modalità AES256-CBC usando Criteri di gruppo o il servizio Criteri cloud per Microsoft 365. A partire dalla versione 16.0.16227 di Microsoft 365 Apps, la modalità CBC viene usata per impostazione predefinita. Usare l'impostazione Encryption mode for Information Rights Management (IRM) in User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings.
Ad esempio, per forzare la modalità CBC, selezionare l'impostazione di Criteri di gruppo come indicato di seguito:
Modalità di crittografia per Information Rights Management (IRM): [1, Cipher Block Chaining (CBC)]
Configurare Exchange Server per il supporto di AES256-CBC
Exchange Server non supporta la decrittografia del contenuto che usa AES256-CBC. Per risolvere questo problema, sono disponibili due opzioni.
Opzione 1
I clienti che usano Exchange Online con il servizio Azure Rights Management Connector distribuito verranno rifiutati dalla modifica di pubblicazione AES256-CBC sia in Exchange Online che in SharePoint Online.
Per passare alla modalità AES256-CBC, seguire questa procedura:
Installare l'hotfix nei server Exchange quando diventa disponibile. Per informazioni più recenti sulle date di spedizione, vedere la roadmap del prodotto Microsoft 365.
Se si usa Exchange Server con il servizio Azure Rights Management Connector, è necessario eseguire lo script GenConnectorConfig.ps1 in ogni server Exchange. Per altre informazioni, vedere Configurare i server per il connettore Rights Management.
Dopo che l'organizzazione ha installato la patch in tutti i server Exchange, aprire un caso di supporto e richiedere l'abilitazione di questi servizi per la pubblicazione AES256-CBC.
Opzione 2
Questa opzione offre tempo aggiuntivo prima di dover applicare patch a tutti i server Exchange. Usare questa opzione se non è possibile completare i passaggi nell'opzione 1 quando l'hotfix diventa disponibile. Distribuire invece le impostazioni di criteri di gruppo o client che forzano i client Microsoft 365 a continuare a usare la modalità AES128-ECB. Distribuire questa impostazione usando Criteri di gruppo o il servizio Criteri cloud per Microsoft 365. È possibile configurare Office e Microsoft 365 Apps per Windows per l'uso della modalità ECB o CBC con l'impostazione Encryption mode for Information Rights Management (IRM) in User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings. A partire dalla versione 16.0.16327 di Microsoft 365 Apps, la modalità CBC viene usata per impostazione predefinita.
Ad esempio, per forzare la modalità EBC per i client Windows, impostare l'impostazione dei criteri di gruppo come indicato di seguito:
Modalità di crittografia per Information Rights Management (IRM): [2, Electronic Codebook (ECB)]
Per configurare le impostazioni per i client Office per Mac, vedere Impostare le preferenze a livello di famiglia per Office per Mac.
Non appena possibile, completare i passaggi nell'opzione 1.
Configurare MIP SDK per il supporto di AES256-CBC
Eseguire l'aggiornamento a MIP SDK 1.13 o versione successiva. Se si sceglie di eseguire l'aggiornamento a MIP SDK 1.13, è necessario configurare un'impostazione per forzare AES256-CBC. Per altre informazioni, vedere l'aggiornamento critico di MIP SDK versione 1.13.158. Le versioni successive di MIP SDK proteggeranno i file e i messaggi di posta elettronica di Microsoft 365 con AES256-CBC per impostazione predefinita.
Versioni di TLS supportate da Microsoft 365
TLS e SSL precedenti a TLS sono protocolli di crittografia che garantiscono la comunicazione tramite una rete usando certificati di sicurezza per crittografare una connessione tra computer. Tutti microsoft 365 supportano TLS versione 1.2 (TLS 1.2). Il supporto per TLS versione 1.3 (TLS 1.3) viene implementato in tutto il servizio dalle varie applicazioni e servizi. Exchange Online supporta ora TLS 1.3 per tutti gli invii di posta elettronica e le comunicazioni server con terze parti su Internet.
Importante
Tenere presente che le versioni TLS sono deprecate e che le versioni deprecate non devono essere usate quando sono disponibili versioni più recenti. Se i servizi legacy non richiedono TLS 1.0 o 1.1, è consigliabile disabilitarli.
Deprecazioni
- Suite di crittografia: stiamo esaminando costantemente l'elenco delle suite di crittografia supportate. Non è più possibile supportare l'autenticazione dei messaggi SHA1 debole e l'algoritmo di scambio di chiavi RSA non forward-secrecy in passato. L'elenco corrente delle crittografie supportate è disponibile qui: suite di crittografia TLS supportate da Microsoft 365.
- Versioni di TLS 1.0 e TLS 1.1: il supporto per queste versioni di TLS è terminato il 31 ottobre 2018 con la rimozione dal servizio completata dal 2022. Tutte le connessioni con Microsoft 365 ora usano almeno TLS 1.2 per comunicare. Un'eccezione è il protocollo di invio client SMTP AUTH in Exchange Online che offre un endpoint di consenso esplicito per i clienti con dispositivi legacy che necessitano ancora di TLS 1.0 o TLS 1.1.
- Algoritmo 3DES: il supporto per questo algoritmo di crittografia è terminato il 31 ottobre 2018. Microsoft 365 ha rimosso la suite di crittografia usandola, TLS_RSA_WITH_3DES_EDE_CBC_SHA suite di crittografia, dal servizio dal 28 febbraio 2019. Per un elenco delle crittografie supportate, vedere Suite di crittografia TLS supportate da Microsoft 365.
- Certificati SHA-1: supporto in Microsoft 365 per le comunicazioni in cui l'altra terza parte fornisce certificati SHA-1 terminati a partire da giugno 2016. Nella catena di certificati sono ora necessari algoritmi SHA-2 (Secure Hash Algorithm 2) o hash più avanzati.
Pacchetti di crittografia TLS supportati da Microsoft 365
TLS usa suite di crittografia, raccolte di algoritmi di crittografia, per stabilire connessioni sicure. Microsoft 365 supporta i pacchetti di crittografia elencati nella tabella seguente. La tabella elenca i pacchetti di crittografia in ordine di forza, con la suite di crittografia più forte elencata per prima.
Microsoft 365 risponde a una richiesta di connessione provando prima a connettersi usando la suite di crittografia più sicura. Se la connessione non funziona, Microsoft 365 prova la seconda suite di crittografia più sicura nell'elenco e così via. Il servizio continua l'elenco fino a quando la connessione non viene accettata. Analogamente, quando Microsoft 365 richiede una connessione, il servizio ricevente sceglie se usare TLS e quale suite di crittografia usare.
| Nome del pacchetto di crittografia | Versione del protocollo TLS |
|---|---|
| TLS_AES_256_GCM_SHA384 | 1.3 |
| TLS_AES_128_GCM_SHA256 | 1.3 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | 1.2 |