Technische Details zur Verschlüsselung
Informationen zu Zertifikaten, Technologien und TLS-Verschlüsselungssammlungen, die für die Verschlüsselung in Microsoft 365 verwendet werden, finden Sie in diesem Artikel. Dieser Artikel enthält auch Details zu geplanten Veralteten.
- Informationen zur Übersicht finden Sie unter Verschlüsselung in Microsoft 365.
- Informationen zum Setup finden Sie unter Einrichten der Verschlüsselung in Microsoft 365 Enterprise.
- Spezifische Informationen zur Einstellung von TLS 1.1 und 1.0 finden Sie unter Deaktivieren von TLS 1.0 und 1.1 für Microsoft 365.
- Informationen zu Verschlüsselungssammlungen, die von bestimmten Versionen von Windows unterstützt werden, finden Sie unter Cipher Suites in TLS/SSL (Schannel SSP).
- Informationen zu Zertifikatketten finden Sie unter Microsoft 365-Verschlüsselungsketten und Microsoft 365-Verschlüsselungsketten – DOD und GCC High.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre organization die Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.
Eigentümerschaft und Verwaltung des Microsoft Office 365-Zertifikats
Sie müssen keine Zertifikate für Office 365 erwerben oder verwalten. Stattdessen verwendet Office 365 eigene Zertifikate.
Aktuelle Verschlüsselungsstandards und geplante Abschreibungen
Um erstklassige Verschlüsselung bereitzustellen, überprüfen Office 365 regelmäßig die unterstützten Verschlüsselungsstandards. Manchmal sind alte Standards veraltet, da sie veraltet und weniger sicher werden. In diesem Artikel werden derzeit unterstützte Verschlüsselungssammlungen und andere Standards sowie Details zu geplanten Veralteten beschrieben.
FIPS-Konformität für Microsoft 365
Alle von Office 365 unterstützten Verschlüsselungssammlungen verwenden Algorithmen, die unter FIPS 140-2 zulässig sind. Office 365 erbt FIPS-Überprüfungen von Windows (über Schannel). Informationen zu Schannel finden Sie unter Verschlüsselungssammlungen in TLS/SSL (Schannel SSP).
AES256-CBC-Unterstützung für Microsoft 365
Ende August 2023 wird Microsoft Purview Information Protection beginnen, Advanced Encryption Standard (AES) mit 256-Bit-Schlüssellänge im Verschlüsselungsblockverkettungsmodus (AES256-CBC) zu verwenden. Bis Oktober 2023 wird AES256-CBC die Standardeinstellung für die Verschlüsselung von Microsoft 365 Apps Dokumenten und E-Mails sein. Möglicherweise müssen Sie Maßnahmen ergreifen, um diese Änderung in Ihrem organization zu unterstützen.
Wer ist betroffen und was muss ich tun?
Verwenden Sie diese Tabelle, um herauszufinden, ob Sie Maßnahmen ergreifen müssen:
| Clientanwendungen | Dienstanwendungen | Aktion erforderlich? | Was muss ich tun? |
|---|---|---|---|
| Microsoft 365 Apps | Exchange Online, SharePoint Online | Nein | Nicht zutreffend |
| Office 2013, 2016, 2019 oder 2021 | Exchange Online, SharePoint Online | Ja (optional) | Weitere Informationen finden Sie unter Einrichten von Office 2013, 2016, 2019 oder 2021 für den AES256-CBC-Modus. |
| Microsoft 365 Apps | Exchange Server oder Hybrid | Ja (obligatorisch) | Informationen zur Unterstützung von AES256-CBC finden Sie unter Einrichten von Exchange Server. |
| Office 2013, 2016, 2019 oder 2021 | Exchange Server oder Hybrid | Ja (obligatorisch) | Schließen Sie Option 1 (erforderlich) ab, und lesen Sie dann Einrichten von Office 2013, 2016, 2019 oder 2021 für den AES256-CBC-Modus. |
| Microsoft 365 Apps | MIP SDK | Ja (optional) | Informationen zur Unterstützung von AES256-CBC finden Sie unter Einrichten des MIP SDK. |
| Beliebig | SharePoint Server | Nein | Nicht zutreffend |
Einrichten von Office 2013, 2016, 2019 oder 2021 für den AES256-CBC-Modus
Sie müssen Office 2013, 2016, 2019 oder 2021 für die Verwendung des AES256-CBC-Modus mit Gruppenrichtlinie oder mithilfe des Cloudrichtliniendiensts für Microsoft 365 konfigurieren. Ab Version 16.0.16327 von Microsoft 365 Apps wird der CBC-Modus standardmäßig verwendet. Verwenden Sie die Encryption mode for Information Rights Management (IRM) Einstellung unter User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings.
Um beispielsweise den CBC-Modus zu erzwingen, wählen Sie die Gruppenrichtlinieneinstellung wie folgt aus:
Verschlüsselungsmodus für Information Rights Management (IRM): [1, Verschlüsselungsblockverkettung (CBC)]
Einrichten Exchange Server für AES256-CBC-Unterstützung
Exchange Server unterstützt das Entschlüsseln von Inhalten, die AES256-CBC verwenden, nicht. Um dieses Problem zu umgehen, haben Sie zwei Möglichkeiten.
Option 1
Kunden, die Exchange Online mit dem bereitgestellten Azure Rights Management Connector-Dienst verwenden, werden von der Änderung der AES256-CBC-Veröffentlichung sowohl in Exchange Online als auch in SharePoint Online abgemeldet.
Führen Sie die folgenden Schritte aus, um in den AES256-CBC-Modus zu wechseln:
Installieren Sie den Hotfix auf Ihren Exchange-Servern, wenn er verfügbar wird. Die neuesten Informationen zu Versandterminen finden Sie in der Microsoft 365-Produktroadmap.
Wenn Sie Exchange Server mit dem Azure Rights Management Connector-Dienst verwenden, müssen Sie das GenConnectorConfig.ps1 Skript auf jedem Exchange-Server ausführen. Weitere Informationen finden Sie unter Konfigurieren von Servern für den Rights Management-Connector. Informationen zum Herunterladen des Azure RMS-Connectors finden Sie im offiziellen Microsoft Download Center.
Nachdem Ihr organization den Patch auf allen Ihren Exchange-Servern installiert hat, öffnen Sie eine Supportanfrage, und fordern Sie an, dass diese Dienste für die AES256-CBC-Veröffentlichung aktiviert werden.
Option 2
Diese Option bietet Ihnen etwas mehr Zeit, bevor Sie alle Exchange-Server patchen müssen. Verwenden Sie diese Option, wenn Sie die Schritte in Option 1 nicht ausführen können, wenn der Hotfix verfügbar ist. Stellen Sie stattdessen Gruppenrichtlinien oder Clienteinstellungen bereit, die erzwingen, dass Microsoft 365-Clients weiterhin den AES128-ECB-Modus verwenden. Stellen Sie diese Einstellung mithilfe von Gruppenrichtlinie oder mithilfe des Cloudrichtliniendiensts für Microsoft 365 bereit. Sie können Office und Microsoft 365 Apps für Windows so konfigurieren, dass der ECB- oder CBC-Modus mit der Encryption mode for Information Rights Management (IRM) Einstellung unter User Configuration/Administrative Templates/Microsoft Office 2016/Security Settingsverwendet wird. Ab Version 16.0.16327 von Microsoft 365 Apps wird der CBC-Modus standardmäßig verwendet.
Um beispielsweise den EBC-Modus für Windows-Clients zu erzwingen, legen Sie die Gruppenrichtlinieneinstellung wie folgt fest:
Verschlüsselungsmodus für Information Rights Management (IRM): [2, Electronic Codebook (ECB)]
Informationen zum Konfigurieren von Einstellungen für Office für Mac Clients finden Sie unter Festlegen von suiteweiten Einstellungen für Office für Mac.
Führen Sie so schnell wie möglich die Schritte unter Option 1 aus.
Einrichten des MIP SDK für AES256-CBC-Unterstützung
Update auf MIP SDK 1.13 oder höher. Wenn Sie sich für ein Update auf MIP SDK 1.13 entscheiden, müssen Sie eine Einstellung konfigurieren, um AES256-CBC zu erzwingen. Weitere Informationen finden Sie unter Kritisches Update für MIP SDK Version 1.13.158. Höhere Versionen des MIP SDK schützen Microsoft 365-Dateien und E-Mails standardmäßig mit AES256-CBC.
Von Microsoft 365 unterstützte TLS-Versionen
TLS und SSL, die vor TLS verfügbar waren, sind kryptografische Protokolle, die die Kommunikation über ein Netzwerk mithilfe von Sicherheitszertifikaten schützen, um eine Verbindung zwischen Computern zu verschlüsseln. Microsoft 365 unterstützt TLS Version 1.2 (TLS 1.2).
Einige der Dienste unterstützen weiterhin TLS-Version 1.3 (TLS 1.3).
Wichtig
Beachten Sie, dass TLS-Versionen veraltet sind und dass veraltete Versionen nicht verwendet werden sollten , wenn neuere Versionen verfügbar sind. Wenn Ihre Legacydienste TLS 1.0 oder 1.1 nicht erfordern, sollten Sie sie deaktivieren.
Veraltete Unterstützung für TLS 1.0 und 1.1
Office 365 die Unterstützung von TLS 1.0 und 1.1 am 31. Oktober 2018 eingestellt. Wir haben die Deaktivierung von TLS 1.0 und 1.1 in GCC High- und DoD-Umgebungen abgeschlossen. Ab dem 15. Oktober 2020 haben wir mit der Deaktivierung von TLS 1.0 und 1.1 für weltweite und GCC-Umgebungen begonnen und werden in den nächsten Wochen und Monaten mit dem Rollout fortfahren.
Um eine sichere Verbindung mit Office 365- und Microsoft 365-Diensten aufrechtzuerhalten, verwenden alle Client-Server- und Browser-Server-Kombinationen TLS 1.2 und moderne Verschlüsselungssammlungen. Dies erfordert möglicherweise Updates für bestimmte Client-Server- bzw. Browser-Server-Kombinationen. Informationen dazu, wie sich diese Änderung auf Sie auswirkt, finden Sie unter Vorbereiten der obligatorischen Verwendung von TLS 1.2 in Office 365.
Veraltete Unterstützung für 3DES
Seit dem 31. Oktober 2018 unterstützt Microsoft 365 die Verwendung von 3DES-Verschlüsselungssammlungen für die Kommunikation mit Microsoft 365 nicht mehr. Genauer gesagt unterstützt Microsoft 365 die TLS_RSA_WITH_3DES_EDE_CBC_SHA Cipher Suite nicht mehr. Seit dem 28. Februar 2019 ist diese Verschlüsselungssammlung in Microsoft 365 deaktiviert. Clients und Server, die mit Microsoft 365 kommunizieren, müssen mindestens eine der unterstützten Verschlüsselungen unterstützen. Eine Liste der unterstützten Verschlüsselungen finden Sie unter TLS-Verschlüsselungssammlungen, die von Microsoft 365 unterstützt werden.
Unterstützung für SHA-1-Zertifikate in Microsoft 365 wird eingestellt
Seit Juni 2016 akzeptiert Microsoft 365 kein SHA-1-Zertifikat mehr für ausgehende oder eingehende Verbindungen. Verwenden Sie SHA-2 (Secure Hash Algorithm 2) oder einen stärkeren Hashalgorithmus in der Zertifikatkette.
Von Microsoft 365 unterstützte TLS-Verschlüsselungssammlungen
TLS verwendet Verschlüsselungssammlungen, Sammlungen von Verschlüsselungsalgorithmen, um sichere Verbindungen herzustellen. Microsoft 365 unterstützt die in der folgenden Tabelle aufgeführten Verschlüsselungssammlungen. In der Tabelle sind die Verschlüsselungssammlungen in der Reihenfolge der Stärke aufgeführt, wobei die stärkste Verschlüsselungssammlung zuerst aufgeführt ist.
Microsoft 365 antwortet auf eine Verbindungsanforderung, indem zuerst versucht wird, eine Verbindung mit der sichersten Verschlüsselungssammlung herzustellen. Wenn die Verbindung nicht funktioniert, versucht Microsoft 365 die zweitsicherste Verschlüsselungssammlung in der Liste usw. Der Dienst wird in der Liste nach unten fortgesetzt, bis die Verbindung akzeptiert wird. Wenn Microsoft 365 eine Verbindung anfordert, wählt der empfangende Dienst aus, ob TLS verwendet werden soll und welche Verschlüsselungssammlung verwendet werden soll.
| Name der Verschlüsselungssammlung | Schlüsselaustauschalgorithmus/Stärke | Weiterleitungsgeheimnis | Verschlüsselung/Stärke | Authentifizierungsalgorithmus/Stärke |
|---|---|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ECDH/192 | Ja | AES/256 | RSA/112 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | ECDH/128 | Ja | AES/128 | RSA/112 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | ECDH/192 | Ja | AES/256 | RSA/112 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | ECDH/128 | Ja | AES/128 | RSA/112 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ECDH/192 | Ja | AES/256 | RSA/112 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ECDH/128 | Ja | AES/128 | RSA/112 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 | RSA/112 | Nein | AES/256 | RSA/112 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 | RSA/112 | Nein | AES/256 | RSA/112 |
Die folgenden Verschlüsselungssammlungen unterstützten die Protokolle TLS 1.0 und 1.1 bis zu ihrem Veraltetkeitsdatum. Für GCC High- und DoD-Umgebungen war das Veraltete Datum der 15. Januar 2020. Für weltweite und GCC-Umgebungen war dieses Datum der 15. Oktober 2020.
| Protokolle | Name der Verschlüsselungssammlung | Schlüsselaustauschalgorithmus/Stärke | Weiterleitungsgeheimnis | Verschlüsselung/Stärke | Authentifizierungsalgorithmus/Stärke |
|---|---|---|---|---|---|
| TLS 1.0, 1.1, 1.2 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | ECDH/192 | Ja | AES/256 | RSA/112 |
| TLS 1.0, 1.1, 1.2 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | ECDH/128 | Ja | AES/128 | RSA/112 |
| TLS 1.0, 1.1, 1.2 | TLS_RSA_WITH_AES_256_CBC_SHA | RSA/112 | Nein | AES/256 | RSA/112 |
| TLS 1.0, 1.1, 1.2 | TLS_RSA_WITH_AES_128_CBC_SHA | RSA/112 | Nein | AES/128 | RSA/112 |
| TLS 1.0, 1.1, 1.2 | TLS_RSA_WITH_AES_256_CBC_SHA256 | RSA/112 | Nein | AES/256 | RSA/112 |
| TLS 1.0, 1.1, 1.2 | TLS_RSA_WITH_AES_128_CBC_SHA256 | RSA/112 | Nein | AES/256 | RSA/112 |
Bestimmte Office 365 Produkte (einschließlich Microsoft Teams) verwenden Azure Front Door, um TLS-Verbindungen zu beenden und Netzwerkdatenverkehr effizient weiterzuleiten. Mindestens eine der Verschlüsselungssammlungen, die von Azure Front Door über TLS 1.2 unterstützt werden, muss aktiviert sein, um eine erfolgreiche Verbindung mit diesen Produkten herzustellen. Für Windows 10 und höher empfehlen wir, eine oder beide ECDHE-Verschlüsselungssammlungen zu aktivieren, um die Sicherheit zu verbessern. Windows 7, 8 und 8.1 sind nicht mit den ECDHE-Verschlüsselungssammlungen von Azure Front Door kompatibel, und die DHE-Verschlüsselungssammlungen wurden aus Gründen der Kompatibilität mit diesen Betriebssystemen bereitgestellt.
Verwandte Artikel
TLS-Verschlüsselungssammlungen in Windows 10 v1903
Einrichten der Verschlüsselung in Office 365 Enterprise
Schannel-Implementierung von TLS 1.0 in Windows-Sicherheits-status Update: 24. November 2015
Kryptografische Tls-/SSL-Verbesserungen (Windows IT Center)
Vorbereiten von TLS 1.2 in Office 365 und Office 365 GCC
Welche Verschlüsselungssammlungen werden derzeit von Azure Front Door unterstützt?