Condividi tramite

Dettagli tecnici di riferimento sulla crittografia

  • Articolo

Per informazioni su certificati, tecnologie e suite di crittografia TLS usate per la crittografia in Microsoft 365, vedere questo articolo. Questo articolo fornisce anche informazioni dettagliate sulle deprecazioni pianificate.

Consiglio

Se non si è cliente E5, usa la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione di Microsoft Purview. Informazioni dettagliate sui termini di registrazione e prova.

Gestione e proprietà dei certificati di Microsoft Office 365

Non è necessario acquistare o gestire i certificati per Office 365. In alternativa, Office 365 usa i propri certificati.

Standard di crittografia correnti e deprecazioni pianificate

Per fornire la crittografia migliore, Office 365 verifica regolarmente gli standard di crittografia supportati. A volte, i vecchi standard sono deprecati man mano che diventano obsoleti e meno sicuri. Questo articolo descrive i pacchetti di crittografia attualmente supportati e altri standard e i dettagli sulle deprecazioni pianificate.

Conformità FIPS per Microsoft 365

Tutti i pacchetti di crittografia supportati da Office 365 usano algoritmi accettabili in FIPS 140-2. Office 365 eredita le convalide FIPS da Windows (tramite Schannel). Per informazioni su Schannel, vedere Pacchetti di crittografia in TLS/SSL (SSP Schannel).

Supporto di AES256-CBC per Microsoft 365

Alla fine di agosto 2023, Microsoft Purview Information Protection inizierà a usare Advanced Encryption Standard (AES) con lunghezza della chiave a 256 bit in modalità di concatenamento di blocchi di crittografia (AES256-CBC). Entro ottobre 2023, AES256-CBC sarà l'impostazione predefinita per la crittografia di documenti e messaggi di posta elettronica Microsoft 365 Apps. Potrebbe essere necessario intervenire per supportare questa modifica nell'organizzazione.

Chi è interessato e cosa devo fare?

Usare questa tabella per determinare se è necessario eseguire un'azione:

Applicazioni client Applicazioni di servizio Azione necessaria? Cosa devo fare?
Microsoft 365 Apps Exchange Online, SharePoint Online No N/D
Office 2013, 2016, 2019 o 2021 Exchange Online, SharePoint Online Sì (facoltativo) Vedere Configurare Office 2013, 2016, 2019 o 2021 per la modalità AES256-CBC.
Microsoft 365 Apps Exchange Server o ibrido Sì (obbligatorio) Vedere Configurare Exchange Server per il supporto di AES256-CBC.
Office 2013, 2016, 2019 o 2021 Exchange Server o ibrido Sì (obbligatorio) Completare l'opzione 1 (obbligatorio) e quindi vedere Configurare Office 2013, 2016, 2019 o 2021 per la modalità AES256-CBC.
Microsoft 365 Apps MIP SDK Sì (facoltativo) Vedere Configurare MIP SDK per il supporto di AES256-CBC.
Qualsiasi SharePoint Server No N/D

Configurare Office 2013, 2016, 2019 o 2021 per la modalità AES256-CBC

È necessario configurare Office 2013, 2016, 2019 o 2021 per usare la modalità AES256-CBC usando Criteri di gruppo o il servizio Criteri cloud per Microsoft 365. A partire dalla versione 16.0.16227 di Microsoft 365 Apps, la modalità CBC viene usata per impostazione predefinita. Usare l'impostazione Encryption mode for Information Rights Management (IRM) in User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings.

Ad esempio, per forzare la modalità CBC, selezionare l'impostazione di Criteri di gruppo come indicato di seguito:

Modalità di crittografia per Information Rights Management (IRM): [1, Cipher Block Chaining (CBC)]

Configurare Exchange Server per il supporto di AES256-CBC

Exchange Server non supporta la decrittografia del contenuto che usa AES256-CBC. Per risolvere questo problema, sono disponibili due opzioni.

Opzione 1

I clienti che usano Exchange Online con il servizio Azure Rights Management Connector distribuito verranno rifiutati dalla modifica di pubblicazione AES256-CBC sia in Exchange Online che in SharePoint Online.

Per passare alla modalità AES256-CBC, seguire questa procedura:

  1. Installare l'hotfix nei server Exchange quando diventa disponibile. Per informazioni più recenti sulle date di spedizione, vedere la roadmap del prodotto Microsoft 365.

  2. Se si usa Exchange Server con il servizio Azure Rights Management Connector, è necessario eseguire lo script GenConnectorConfig.ps1 in ogni server Exchange. Per altre informazioni, vedere Configurare i server per il connettore Rights Management.

Dopo che l'organizzazione ha installato la patch in tutti i server Exchange, aprire un caso di supporto e richiedere l'abilitazione di questi servizi per la pubblicazione AES256-CBC.

Opzione 2

Questa opzione offre tempo aggiuntivo prima di dover applicare patch a tutti i server Exchange. Usare questa opzione se non è possibile completare i passaggi nell'opzione 1 quando l'hotfix diventa disponibile. Distribuire invece le impostazioni di criteri di gruppo o client che forzano i client Microsoft 365 a continuare a usare la modalità AES128-ECB. Distribuire questa impostazione usando Criteri di gruppo o il servizio Criteri cloud per Microsoft 365. È possibile configurare Office e Microsoft 365 Apps per Windows per l'uso della modalità ECB o CBC con l'impostazione Encryption mode for Information Rights Management (IRM) in User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings. A partire dalla versione 16.0.16327 di Microsoft 365 Apps, la modalità CBC viene usata per impostazione predefinita.

Ad esempio, per forzare la modalità EBC per i client Windows, impostare l'impostazione dei criteri di gruppo come indicato di seguito:

Modalità di crittografia per Information Rights Management (IRM): [2, Electronic Codebook (ECB)]

Per configurare le impostazioni per i client Office per Mac, vedere Impostare le preferenze a livello di famiglia per Office per Mac.

Non appena possibile, completare i passaggi nell'opzione 1.

Configurare MIP SDK per il supporto di AES256-CBC

Eseguire l'aggiornamento a MIP SDK 1.13 o versione successiva. Se si sceglie di eseguire l'aggiornamento a MIP SDK 1.13, è necessario configurare un'impostazione per forzare AES256-CBC. Per altre informazioni, vedere l'aggiornamento critico di MIP SDK versione 1.13.158. Le versioni successive di MIP SDK proteggeranno i file e i messaggi di posta elettronica di Microsoft 365 con AES256-CBC per impostazione predefinita.

Versioni di TLS supportate da Microsoft 365

TLS e SSL precedenti a TLS sono protocolli di crittografia che garantiscono la comunicazione tramite una rete usando certificati di sicurezza per crittografare una connessione tra computer. Microsoft 365 supporta TLS versione 1.2 (TLS 1.2).

Alcuni dei servizi continuano a supportare TLS versione 1.3 (TLS 1.3).

Importante

Tenere presente che le versioni TLS sono deprecate e che le versioni deprecate non devono essere usate quando sono disponibili versioni più recenti. Se i servizi legacy non richiedono TLS 1.0 o 1.1, è consigliabile disabilitarli.

Supporto per la deprecazione di TLS 1.0 e 1.1

Office 365 smesso di supportare TLS 1.0 e 1.1 il 31 ottobre 2018. Dal 2022 è stata completata la disabilitazione di TLS 1.0 e 1.1 in tutti gli ambienti.

Per mantenere una connessione sicura ai servizi Office 365 e Microsoft 365, tutte le combinazioni client-server e browser-server usano TLS 1.2 e suite di crittografia moderne. A tale scopo, potrebbe essere necessario aggiornare determinate combinazioni client-server e browser-server. Per informazioni sull'impatto di questa modifica, vedere Preparazione per l'uso obbligatorio di TLS 1.2 in Office 365.

Supporto deprecato per 3DES

Dal 31 ottobre 2018, Microsoft 365 non supporta più l'uso di suite di crittografia 3DES per la comunicazione con Microsoft 365. In particolare, Microsoft 365 non supporta più la suite di crittografia TLS_RSA_WITH_3DES_EDE_CBC_SHA. Dal 28 febbraio 2019, questa suite di crittografia è stata disabilitata in Microsoft 365. I client e i server che comunicano con Microsoft 365 devono supportare una o più delle crittografie supportate. Per un elenco delle crittografie supportate, vedere Suite di crittografia TLS supportate da Microsoft 365.

Deprecazione del supporto dei certificati SHA-1 in Microsoft 365

Da giugno 2016, Microsoft 365 non accetta più un certificato SHA-1 per le connessioni in uscita o in ingresso. Usare SHA-2 (Secure Hash Algorithm 2) o un algoritmo hash più avanzato nella catena di certificati.

Pacchetti di crittografia TLS supportati da Microsoft 365

TLS usa suite di crittografia, raccolte di algoritmi di crittografia, per stabilire connessioni sicure. Microsoft 365 supporta i pacchetti di crittografia elencati nella tabella seguente. La tabella elenca i pacchetti di crittografia in ordine di forza, con la suite di crittografia più forte elencata per prima.

Microsoft 365 risponde a una richiesta di connessione provando prima a connettersi usando la suite di crittografia più sicura. Se la connessione non funziona, Microsoft 365 prova la seconda suite di crittografia più sicura nell'elenco e così via. Il servizio continua l'elenco fino a quando la connessione non viene accettata. Analogamente, quando Microsoft 365 richiede una connessione, il servizio ricevente sceglie se usare TLS e quale suite di crittografia usare.

Nome del pacchetto di crittografia Versione del protocollo TLS
TLS_AES_256_GCM_SHA384 1.3
TLS_AES_128_GCM_SHA256 1.3
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 1.2
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 1.2
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 1.2

È stato deprecato il supporto dei pacchetti di crittografia che usano l'autenticazione dei messaggi SHA1 debole o l'algoritmo di scambio di chiavi RSA non forward-secrecy.

Pacchetti di crittografia in TLS/SSL (SSP Schannel)

Crittografia in Office 365

Preparazione per TLS 1.2 in Office 365 e Office 365 GCC