Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Сведения о сертификатах, технологиях и наборах шифров TLS, используемых для шифрования в Microsoft 365, см. в этой статье. В этой статье также приводятся сведения о запланированных устареваниях.
- Если вам нужны общие сведения, см. раздел Шифрование в Microsoft 365.
- Если вам нужны сведения об установке, см. раздел Настройка шифрования в Microsoft 365 корпоративный.
- Дополнительные сведения об устаревании TLS 1.1 и 1.0 см. в разделе Отключение TLS 1.0 и 1.1 для Microsoft 365.
- Сведения о наборах шифров, поддерживаемых определенными версиями Windows, см. в статье Наборы шифров в TLS/SSL (Schannel SSP).
- Цепочки сертификатов см . в разделах Цепочки шифрования Microsoft 365 и Цепочки шифрования Microsoft 365 — DOD и GCC High.
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас в центре пробных версий Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Владение и управление сертификатами Microsoft Office 365
Вам не нужно приобретать или поддерживать сертификаты для Office 365. Вместо этого Office 365 использует собственные сертификаты.
Текущие стандарты шифрования и запланированные устаревания
Чтобы обеспечить лучшее в своем классе шифрование, Office 365 регулярно проверяет поддерживаемые стандарты шифрования. Иногда старые стандарты устарели, так как они становятся устаревшими и менее безопасными. В этой статье описываются поддерживаемые в настоящее время наборы шифров и другие стандарты, а также сведения о запланированных устареваниях.
Соответствие FIPS для Microsoft 365
Все наборы шифров, поддерживаемые Office 365 используют алгоритмы, допустимые в соответствии с FIPS 140-2. Office 365 наследует проверки FIPS от Windows (через Schannel). Сведения о Schannel см. в разделе Комплекты шифров в TLS/SSL (Schannel SSP).
Поддержка AES256-CBC для Microsoft 365
В конце августа 2023 года Защита информации Microsoft Purview начнет использовать расширенный Standard шифрования (AES) с длиной ключа 256 бит в режиме цепочки блоков шифра (AES256-CBC). К октябрю 2023 г. AES256-CBC будет использоваться по умолчанию для шифрования Приложения Microsoft 365 документов и сообщений электронной почты. Возможно, вам потребуется принять меры для поддержки этого изменения в организации.
На кого влияет и что мне нужно сделать?
Используйте эту таблицу, чтобы выяснить, нужно ли выполнить следующие действия:
| Клиентские приложения | Приложения-службы | Требуется действие? | Что нужно сделать? |
|---|---|---|---|
| Приложения Microsoft 365 | Exchange Online, SharePoint Online | Нет | Н/Д |
| Office 2013, 2016, 2019 или 2021 | Exchange Online, SharePoint Online | Да (необязательно) | См . статью Настройка office 2013, 2016, 2019 или 2021 для режима AES256-CBC. |
| Приложения Microsoft 365 | Exchange Server или гибридная среда | Да (обязательно) | См. раздел Настройка Exchange Server поддержки AES256-CBC. |
| Office 2013, 2016, 2019 или 2021 | Exchange Server или гибридная среда | Да (обязательно) | Выполните вариант 1 (обязательно), а затем см . статью Настройка office 2013, 2016, 2019 или 2021 для режима AES256-CBC. |
| Приложения Microsoft 365 | MIP SDK | Да (необязательно) | См . статью Настройка пакета SDK MIP для поддержки AES256-CBC. |
| Любой | SharePoint Server | Нет | Н/Д |
Настройка Office 2013, 2016, 2019 или 2021 для режима AES256-CBC
Необходимо настроить office 2013, 2016, 2019 или 2021 для использования режима AES256-CBC с помощью групповая политика или службы облачной политики для Microsoft 365. Начиная с версии 16.0.16227 Приложения Microsoft 365 по умолчанию используется режим CBC. Используйте параметр в Encryption mode for Information Rights Management (IRM) разделе User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings.
Например, чтобы принудительно применить режим CBC, выберите параметр групповой политики следующим образом:
Режим шифрования для управления правами на доступ к данным (IRM): [1, цепочка блоков шифра (CBC)]
Настройка Exchange Server поддержки AES256-CBC
Exchange Server не поддерживает расшифровку содержимого, использующего AES256-CBC. Чтобы обойти эту проблему, у вас есть два варианта.
Вариант 1
Клиенты, использующие Exchange Online с развернутой службой Azure Rights Management Connector, будут отказаться от изменения публикации AES256-CBC в Exchange Online и SharePoint Online.
Чтобы перейти в режим AES256-CBC, выполните следующие действия:
Установите исправление на серверах Exchange, когда оно станет доступным. Последние сведения о датах доставки см. в стратегии развития продукта Microsoft 365.
Если вы используете Exchange Server со службой соединителя Azure Rights Management, необходимо запустить сценарий GenConnectorConfig.ps1 на каждом сервере Exchange Server. Дополнительные сведения см. в разделе Настройка серверов для соединителя Rights Management.
После установки исправления на всех серверах Exchange Server в вашей организации обратитесь в службу поддержки и попросите включить эти службы для публикации AES256-CBC.
Вариант 2
Этот параметр предоставляет некоторое дополнительное время, прежде чем вам потребуется исправить все серверы Exchange. Используйте этот параметр, если вам не удается выполнить действия в варианте 1 , когда исправление станет доступным. Вместо этого разверните параметры групповой политики или клиента, которые вынуждают клиентов Microsoft 365 продолжать использовать режим AES128-ECB. Разверните этот параметр с помощью групповая политика или с помощью службы "Облачная политика" для Microsoft 365. Вы можете настроить Office и Приложения Microsoft 365 для Windows для использования режима ECB или CBC с параметром Encryption mode for Information Rights Management (IRM) в разделе User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings. Начиная с версии 16.0.16327 Приложения Microsoft 365, по умолчанию используется режим CBC.
Например, чтобы принудительно использовать режим EBC для клиентов Windows, задайте параметр групповой политики следующим образом:
Режим шифрования для управления правами на доступ к данным (IRM): [2, Электронный кодовик (ECB)]
Сведения о настройке параметров для клиентов Office для Mac см. в статье Настройка параметров для Office для Mac.
Как только это возможно, выполните действия в варианте 1.
Настройка пакета SDK MIP для поддержки AES256-CBC
Обновите пакет SDK для MIP версии 1.13 или более поздней версии. Если вы решили обновить пакет SDK для MIP 1.13, необходимо настроить параметр для принудительного применения AES256-CBC. Дополнительные сведения см. в разделе Критическое обновление пакета SDK для MIP версии 1.13.158. Более поздние версии пакета SDK MIP по умолчанию будут защищать файлы и электронную почту Microsoft 365 с помощью AES256-CBC.
Версии TLS, поддерживаемые Microsoft 365
TLS и SSL, которые были раньше TLS, — это криптографические протоколы, которые защищают обмен данными по сети с помощью сертификатов безопасности для шифрования подключения между компьютерами. Все microsoft 365 поддерживают TLS версии 1.2 (TLS 1.2). Поддержка TLS версии 1.3 (TLS 1.3) развертывается во всей службе различными приложениями и службами. Exchange Online теперь поддерживает ПРОТОКОЛ TLS 1.3 для всех отправки электронной почты и обмена данными с серверами со сторонними организациями в Интернете.
Важно!
Имейте в виду, что версии TLS устарели, и что устаревшие версии не должны использоваться, если доступны более новые версии. Если устаревшие службы не требуют tls 1.0 или 1.1, их следует отключить.
Прекращение поддержки
- Наборы шифров. Мы постоянно просматриваем список поддерживаемых наборов шифров. Ранее мы прекратили поддержку слабой проверки подлинности сообщений SHA1 и алгоритма обмена ключами RSA без прямого доступа. Текущий список поддерживаемых шифров можно просмотреть здесь: Наборы шифров TLS, поддерживаемые Microsoft 365.
- Версии TLS 1.0 и TLS 1.1. Поддержка этих версий TLS прекращена 31 октября 2018 г. с удалением из службы, завершенной с 2022 года. Все подключения к Microsoft 365 теперь используют для связи по крайней мере TLS 1.2. Одним из исключений является протокол отправки клиента SMTP AUTH в Exchange Online который предлагает конечную точку согласия для клиентов с устаревшими устройствами, которым по-прежнему требуется TLS 1.0 или TLS 1.1.
- Алгоритм 3DES. Поддержка этого алгоритма шифрования прекращена 31 октября 2018 г. С 28 февраля 2019 г. Microsoft 365 удалила с его помощью набор шифров, TLS_RSA_WITH_3DES_EDE_CBC_SHA набор шифров. Список поддерживаемых шифров см. в статье Наборы шифров TLS, поддерживаемые Microsoft 365.
- Сертификаты SHA-1. Поддержка в Microsoft 365 сообщений, когда другие сторонние поставщики предоставляют сертификаты SHA-1, прекращена с июня 2016 года. В цепочке сертификатов теперь требуются SHA-2 (безопасный хэш-алгоритм 2) или более надежные алгоритмы хэширования.
Комплекты шифров TLS, поддерживаемые Microsoft 365
Протокол TLS использует наборы шифров, коллекции алгоритмов шифрования для установления безопасных подключений. Microsoft 365 поддерживает наборы шифров, перечисленные в следующей таблице. В таблице перечислены наборы шифров в порядке надежности. В первую очередь указан самый надежный набор шифров.
Microsoft 365 отвечает на запрос на подключение, сначала пытается подключиться с помощью наиболее безопасного набора шифров. Если подключение не работает, Microsoft 365 пытается использовать второй наиболее безопасный набор шифров в списке и т. д. Служба продолжает работу по списку до тех пор, пока подключение не будет принято. Аналогичным образом, когда Microsoft 365 запрашивает подключение, принимающая служба выбирает, следует ли использовать TLS и какой набор шифров использовать.
| Имя набора шифров | Версия протокола TLS |
|---|---|
| TLS_AES_256_GCM_SHA384 | 1.3 |
| TLS_AES_128_GCM_SHA256 | 1.3 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | 1.2 |