Compartilhar via


Detalhes de referência técnica sobre criptografia

Consulte este artigo para obter informações sobre certificados, tecnologias e pacotes de criptografia TLS usados para criptografia no Microsoft 365. Este artigo também fornece detalhes sobre preterimentos planejados.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Gerenciamento e propriedade de certificado do Microsoft Office 365

Você não precisa comprar ou manter certificados para Office 365. Em vez disso, Office 365 usa seus próprios certificados.

Padrões de criptografia atuais e preterimentos planejados

Para fornecer criptografia recomendada na classe, Office 365 revisa regularmente os padrões de criptografia compatíveis. Às vezes, os padrões antigos são preteridos à medida que se tornam desatualizados e menos seguros. Este artigo descreve os pacotes de criptografia com suporte no momento e outros padrões e detalhes sobre precatórios planejados.

Conformidade FIPS para o Microsoft 365

Todos os pacotes de criptografia compatíveis com Office 365 usam algoritmos aceitáveis em FIPS 140-2. Office 365 herda validações FIPS do Windows (por meio do Schannel). Para obter informações sobre o Schannel, consulte Cipher Suites no TLS/SSL (Schannel SSP).

Suporte do AES256-CBC para o Microsoft 365

No final de agosto de 2023, Proteção de Informações do Microsoft Purview começarão a usar o AES (Advanced Encryption Standard) com comprimento de chave de 256 bits no modo de Encadeamento de Blocos de Cifra (AES256-CBC). Até outubro de 2023, o AES256-CBC será o padrão para criptografia de Microsoft 365 Apps documentos e emails. Talvez seja necessário tomar medidas para dar suporte a essa alteração em sua organização.

Quem está afetado e o que preciso fazer?

Use esta tabela para descobrir se você precisa tomar medidas:

Aplicativos do cliente Aplicativos de serviço Ação necessária? O que eu preciso fazer?
Aplicativos do Microsoft 365 Exchange Online, SharePoint Online Não N/D
Office 2013, 2016, 2019 ou 2021 Exchange Online, SharePoint Online Sim (opcional) Consulte Configurar o Office 2013, 2016, 2019 ou 2021 para o modo AES256-CBC.
Aplicativos do Microsoft 365 Exchange Server ou híbrido Sim (Obrigatório) Consulte Configurar Exchange Server para suporte ao AES256-CBC.
Office 2013, 2016, 2019 ou 2021 Exchange Server ou híbrido Sim (Obrigatório) Conclua a opção 1 (necessária) e consulte Configurar o modo Office 2013, 2016, 2019 ou 2021 para o modo AES256-CBC.
Aplicativos do Microsoft 365 MIP SDK Sim (opcional) Consulte Configurar o SDK do MIP para suporte a AES256-CBC.
Qualquer SharePoint Server Não N/D

Configurar o Office 2013, 2016, 2019 ou 2021 para o modo AES256-CBC

Você precisa configurar o office 2013, 2016, 2019 ou 2021 para usar o modo AES256-CBC usando Política de Grupo ou usando o serviço Cloud Policy para Microsoft 365. Começando com a versão 16.0.16327 de Microsoft 365 Apps, o modo CBC é usado por padrão. Use a Encryption mode for Information Rights Management (IRM) configuração em User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings.

Por exemplo, para forçar o modo CBC, selecione a configuração da política de grupo da seguinte maneira:

Modo de criptografia para o Gerenciamento de Direitos de Informação (IRM): [1, Cbc)]

Configurar Exchange Server para suporte a AES256-CBC

Exchange Server não dá suporte à descriptografação de conteúdo que usa a AES256-CBC. Para resolver esse problema, você tem duas opções.

Opção 1

Os clientes que usam Exchange Online com o serviço do Conector de Gerenciamento de Direitos do Azure implantado serão optados pela alteração de publicação do AES256-CBC no Exchange Online e no SharePoint Online.

Para migrar para o modo AES256-CBC, conclua estas etapas:

  1. Instale o hotfix em seus Exchange Servers quando ele ficar disponível. Para obter as informações mais recentes sobre datas de envio, consulte o roteiro do produto do Microsoft 365.

  2. Se você estiver usando Exchange Server com o Serviço de Conector de Gerenciamento de Direitos do Azure, precisará executar o script GenConnectorConfig.ps1 em cada servidor do Exchange. Para obter mais informações, consulte Configurar servidores para o conector do Rights Management. Para baixar o conector do Azure RMS, consulte o Centro de Download oficial da Microsoft

Depois que sua organização tiver instalado o patch em todos os servidores do Exchange, abra um caso de suporte e solicite que esses serviços sejam habilitados para publicação do AES256-CBC.

Opção 2

Essa opção oferece um tempo extra antes de precisar corrigir todos os servidores do Exchange. Use essa opção se você não conseguir concluir as etapas na opção 1 quando o hotfix estiver disponível. Em vez disso, implante a política de grupo ou as configurações do cliente que forçam os clientes do Microsoft 365 a continuar usando o modo AES128-BCE. Implante essa configuração usando Política de Grupo ou usando o serviço Cloud Policy para o Microsoft 365. Você pode configurar o Office e Microsoft 365 Apps para o Windows usar o modo BCE ou CBC com a Encryption mode for Information Rights Management (IRM) configuração em User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings. Começando com a versão 16.0.16327 de Microsoft 365 Apps, o modo CBC é usado por padrão.

Por exemplo, para forçar o modo EBC para clientes Windows, defina a configuração da política de grupo da seguinte maneira:

Modo de criptografia para o Gerenciamento de Direitos de Informação (IRM): [2, ELECTRONIC Codebook (BCE)]

Para configurar configurações para clientes Office para Mac, consulte Definir preferências em todo o pacote para Office para Mac.

Assim que puder, conclua as etapas na opção 1.

Configurar o SDK do MIP para suporte ao AES256-CBC

Atualize para o SDK do MIP 1.13 ou posterior. Se você optar por atualizar para o SDK do MIP 1.13, precisará configurar uma configuração para forçar o AES256-CBC. Para obter mais informações, consulte a Atualização Crítica do SDK do MIP versão 1.13.158. Versões posteriores do SDK do MIP protegerão arquivos e emails do Microsoft 365 com o AES256-CBC por padrão.

Versões do TLS com suporte do Microsoft 365

TLS e SSL que vieram antes do TLS são protocolos criptográficos que protegem a comunicação em uma rede usando certificados de segurança para criptografar uma conexão entre computadores. O Microsoft 365 dá suporte ao TLS versão 1.2 (TLS 1.2).

Alguns dos serviços continuam a dar suporte ao TLS versão 1.3 (TLS 1.3).

Importante

Lembre-se de que as versões TLS preterem e que versões preteridas não devem ser usadas onde as versões mais recentes estão disponíveis. Se seus serviços herdados não exigirem TLS 1.0 ou 1.1, você deverá desabilitar.

Suporte para a depreciação do TLS 1.0 e 1.1

Office 365 parou de dar suporte ao TLS 1.0 e 1.1 em 31 de outubro de 2018. Concluímos a desabilitação do TLS 1.0 e 1.1 em ambientes GCC High e DoD. Começamos a desabilitar o TLS 1.0 e 1.1 para ambientes do Worldwide e do GCC a partir de 15 de outubro de 2020 e continuaremos com a distribuição nas próximas semanas e meses.

Para manter uma conexão segura com Office 365 e serviços do Microsoft 365, todas as combinações cliente-servidor e navegador-servidor usam o TLS 1.2 e os pacotes de criptografia modernos. Você poderá ter que atualizar certas combinações de cliente-servidor e navegador-servidor. Para obter informações sobre como essa alteração afeta você, consulte Preparando-se para o uso obrigatório do TLS 1.2 em Office 365.

Preterir o suporte para 3DES

Desde 31 de outubro de 2018, o Microsoft 365 não dá mais suporte ao uso de pacotes de criptografia 3DES para comunicação com o Microsoft 365. Mais especificamente, o Microsoft 365 não dá mais suporte ao pacote de cifras TLS_RSA_WITH_3DES_EDE_CBC_SHA. Desde 28 de fevereiro de 2019, esse pacote de cifras está desabilitado no Microsoft 365. Clientes e servidores que se comunicam com o Microsoft 365 devem dar suporte a uma ou mais das cifras com suporte. Para obter uma lista de cifras com suporte, confira Pacotes de criptografia TLS com suporte do Microsoft 365.

Preterir o suporte ao certificado SHA-1 no Microsoft 365

Desde junho de 2016, o Microsoft 365 não aceita mais um certificado SHA-1 para conexões de saída ou de entrada. Use SHA-2 (Algoritmo de Hash Seguro 2) ou um algoritmo de hash mais forte na cadeia de certificados.

Pacotes de codificação TLS com suporte do Microsoft 365

O TLS usa pacotes de criptografia, coleções de algoritmos de criptografia para estabelecer conexões seguras. O Microsoft 365 dá suporte aos pacotes de cifras listados na tabela a seguir. A tabela lista os pacotes de cifras em ordem de força, com o pacote de cifras mais forte listado primeiro.

O Microsoft 365 responde a uma solicitação de conexão ao primeiro tentar se conectar usando o pacote de criptografia mais seguro. Se a conexão não funcionar, o Microsoft 365 tentará o segundo pacote de criptografia mais seguro da lista e assim por diante. O serviço continua abaixo da lista até que a conexão seja aceita. Da mesma forma, quando o Microsoft 365 solicita uma conexão, o serviço receptor escolhe se deve usar o TLS e qual pacote de criptografia usar.

Nome do conjunto de codificações Algoritmo/força de troca de chaves Encaminhar segredo Cipher/strength Algoritmo/força de autenticação
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH/192 Sim AES/256 RSA/112
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH/128 Sim AES/128 RSA/112
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH/192 Sim AES/256 RSA/112
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDH/128 Sim AES/128 RSA/112
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH/192 Sim AES/256 RSA/112
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA ECDH/128 Sim AES/128 RSA/112
TLS_RSA_WITH_AES_256_GCM_SHA384 RSA/112 Não AES/256 RSA/112
TLS_RSA_WITH_AES_128_GCM_SHA256 RSA/112 Não AES/256 RSA/112

Os seguintes pacotes de criptografia ofereceram suporte aos protocolos TLS 1.0 e 1.1 até a data de preterição. Para ambientes GCC High e DoD, essa data de preterimento foi 15 de janeiro de 2020. Para ambientes do Worldwide e do GCC, essa data era 15 de outubro de 2020.

Protocolos Nome do conjunto de codificações Algoritmo/força de troca de chaves Encaminhar segredo Cipher/strength Algoritmo/força de autenticação
TLS 1.0, 1.1, 1.2 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH/192 Sim AES/256 RSA/112
TLS 1.0, 1.1, 1.2 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA ECDH/128 Sim AES/128 RSA/112
TLS 1.0, 1.1, 1.2 TLS_RSA_WITH_AES_256_CBC_SHA RSA/112 Não AES/256 RSA/112
TLS 1.0, 1.1, 1.2 TLS_RSA_WITH_AES_128_CBC_SHA RSA/112 Não AES/128 RSA/112
TLS 1.0, 1.1, 1.2 TLS_RSA_WITH_AES_256_CBC_SHA256 RSA/112 Não AES/256 RSA/112
TLS 1.0, 1.1, 1.2 TLS_RSA_WITH_AES_128_CBC_SHA256 RSA/112 Não AES/256 RSA/112

Determinados produtos Office 365 (incluindo o Microsoft Teams) usam o Azure Front Door para encerrar conexões TLS e rotear o tráfego de rede com eficiência. Pelo menos um dos pacotes de criptografia com suporte do Azure Front Door no TLS 1.2 deve estar habilitado para se conectar com êxito a esses produtos. Para Windows 10 e superior, recomendamos habilitar um ou ambos os pacotes de criptografia ECDHE para obter uma melhor segurança. O Windows 7, 8 e 8.1 não são compatíveis com os pacotes de criptografia ECDHE do Azure Front Door e os pacotes de criptografia DHE foram fornecidos para compatibilidade com esses sistemas operacionais.

TLS Cipher Suites em Windows 10 v1903

Criptografia no Office 365

Configure a criptografia no Office 365 Enterprise

Implementação do Schannel do TLS 1.0 no Windows security status atualização: 24 de novembro de 2015

Aprimoramentos criptográficos TLS/SSL (Centro de TI do Windows)

Preparação para o TLS 1.2 no Office 365 e no Office 365 GCC

Quais são os pacotes de criptografia atuais compatíveis com o Azure Front Door?