Partilhar via


Detalhes de referência técnica sobre criptografia

Veja este artigo para obter informações sobre certificados, tecnologias e conjuntos de cifras TLS utilizados para encriptação no Microsoft 365. Este artigo também fornece detalhes sobre as preterições planeadas.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Gerenciamento e propriedade de certificado do Microsoft Office 365

Não precisa de comprar ou manter certificados para Office 365. Em vez disso, Office 365 utiliza os seus próprios certificados.

Padrões de encriptação atuais e depreciações planeadas

Para fornecer a melhor encriptação de classe, Office 365 revê regularmente as normas de encriptação suportadas. Por vezes, os padrões antigos são preteridos à medida que se tornam desatualizados e menos seguros. Este artigo descreve os conjuntos de cifras atualmente suportados e outros padrões e detalhes sobre as depreciações planeadas.

Conformidade FIPS para o Microsoft 365

Todos os conjuntos de cifras suportados por Office 365 utilizam algoritmos aceitáveis em FIPS 140-2. Office 365 herda validações FIPS do Windows (através do Schannel). Para obter informações sobre o Schannel, veja Conjuntos de Cifras no TLS/SSL (SSP Schannel).

Suporte AES256-CBC para o Microsoft 365

No final de agosto de 2023, Proteção de Informações do Microsoft Purview começarão a utilizar a Standard de Encriptação Avançada (AES) com comprimento de chave de 256 bits no modo de Encadeamento de Blocos de Cifras (AES256-CBC). Até outubro de 2023, a AES256-CBC será a predefinição para encriptação de Microsoft 365 Apps documentos e e-mails. Poderá ter de tomar medidas para suportar esta alteração na sua organização.

Quem é afetado e o que preciso de fazer?

Utilize esta tabela para descobrir se tem de tomar medidas:

Aplicativos do cliente Aplicativos de serviço É necessária uma ação? O que eu preciso fazer?
Aplicativos do Microsoft 365 Exchange Online, SharePoint Online Não N/D
Office 2013, 2016, 2019 ou 2021 Exchange Online, SharePoint Online Sim (Opcional) Consulte Configurar o Office 2013, 2016, 2019 ou 2021 para o modo AES256-CBC.
Aplicativos do Microsoft 365 Exchange Server ou híbrido Sim (Obrigatório) Consulte Configurar Exchange Server para suporte AES256-CBC.
Office 2013, 2016, 2019 ou 2021 Exchange Server ou híbrido Sim (Obrigatório) Conclua a Opção 1 (obrigatório) e, em seguida , consulte Configurar o modo Office 2013, 2016, 2019 ou 2021 para o modo AES256-CBC.
Aplicativos do Microsoft 365 MIP SDK Sim (Opcional) Veja Configurar o SDK MIP para suporte AES256-CBC.
Qualquer SharePoint Server Não N/D

Configurar o Office 2013, 2016, 2019 ou 2021 para o modo AES256-CBC

Tem de configurar o Office 2013, 2016, 2019 ou 2021 para utilizar o modo AES256-CBC com Política de Grupo ou através do serviço Política de Nuvem para o Microsoft 365. A partir da versão 16.0.16327 do Microsoft 365 Apps, o modo CBC é utilizado por predefinição. Utilize a Encryption mode for Information Rights Management (IRM) definição em User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings.

Por exemplo, para forçar o modo CBC, selecione a definição de política de grupo da seguinte forma:

Modo de encriptação para Gestão de Direitos de Informação (IRM): [1, Encadeamento de Blocos de Cifras (CBC)]

Configurar Exchange Server para suporte AES256-CBC

Exchange Server não suporta a desencriptação de conteúdo que utiliza AES256-CBC. Para contornar este problema, tem duas opções.

Opção 1

Os clientes que utilizam Exchange Online com o serviço Azure Rights Management Connector implementado serão excluídos da alteração de publicação AES256-CBC no Exchange Online e no SharePoint Online.

Para ir para o modo AES256-CBC, conclua estes passos:

  1. Instale a correção nos seus Exchange Servers quando ficar disponível. Para obter as informações mais recentes sobre datas de envio, consulte o mapa de objetivos do produto Microsoft 365.

  2. Se estiver a utilizar Exchange Server com o Serviço do Conector Azure Rights Management, terá de executar o script GenConnectorConfig.ps1 em cada servidor Exchange. Para obter mais informações, veja Configurar servidores para o conector Rights Management. Para transferir o conector do Azure RMS, veja o Centro de Transferências da Microsoft oficial

Assim que a sua organização tiver instalado o patch em todos os seus Servidores Exchange, abra um pedido de suporte e peça que estes serviços sejam ativados para publicação AES256-CBC.

Opção 2

Esta opção dá-lhe algum tempo extra antes de precisar de corrigir todos os servidores do Exchange. Utilize esta opção se não conseguir concluir os passos na opção 1 quando a correção ficar disponível. Em vez disso, implemente definições de política de grupo ou de cliente que forcem os clientes do Microsoft 365 a continuar a utilizar o modo AES128-BCE. Implemente esta definição com Política de Grupo ou com o serviço Política de Cloud para o Microsoft 365. Pode configurar o Office e o Microsoft 365 Apps para o Windows utilizarem o modo BCE ou CBC com a Encryption mode for Information Rights Management (IRM) definição em User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings. A partir da versão 16.0.16327 do Microsoft 365 Apps, o modo CBC é utilizado por predefinição.

Por exemplo, para forçar o modo EBC para clientes Windows, defina a definição de política de grupo da seguinte forma:

Modo de encriptação para Gestão de Direitos de Informação (IRM): [2, Livro de Código Eletrónico (BCE)]

Para configurar definições para clientes Office para Mac, veja Definir preferências em todo o conjunto de aplicações para Office para Mac.

Assim que puder, conclua os passos na opção 1.

Configurar o SDK MIP para suporte AES256-CBC

Atualize para o SDK MIP 1.13 ou posterior. Se optar por atualizar para o SDK MIP 1.13, terá de configurar uma definição para forçar a AES256-CBC. Para obter mais informações, veja Atualização Crítica do SDK MIP Versão 1.13.158. Por predefinição, as versões posteriores do SDK do MIP irão proteger os ficheiros e o e-mail do Microsoft 365 com a AES256-CBC.

Versões do TLS suportadas pelo Microsoft 365

O TLS e o SSL que vieram antes do TLS são protocolos criptográficos que protegem a comunicação através de uma rede através da utilização de certificados de segurança para encriptar uma ligação entre computadores. O Microsoft 365 suporta a versão TLS 1.2 (TLS 1.2).

Alguns dos serviços continuam a suportar a versão TLS 1.3 (TLS 1.3).

Importante

Tenha em atenção que as versões do TLS são preteridas e que as versões preteridas não devem ser utilizadas quando estiverem disponíveis versões mais recentes. Se os seus serviços legados não precisarem do TLS 1.0 ou 1.1, deve desativá-los.

Suporte para descontinuação do TLS 1.0 e 1.1

Office 365 deixou de suportar o TLS 1.0 e 1.1 a 31 de outubro de 2018. Concluímos a desativação do TLS 1.0 e 1.1 em ambientes GCC High e DoD. Começámos a desativar o TLS 1.0 e 1.1 para ambientes mundiais e GCC a partir de 15 de outubro de 2020 e continuaremos com a implementação ao longo das próximas semanas e meses.

Para manter uma ligação segura aos serviços Office 365 e Microsoft 365, todas as combinações cliente-servidor e browser-servidor utilizam o TLS 1.2 e os conjuntos de cifras modernos. Você poderá ter que atualizar certas combinações de cliente-servidor e navegador-servidor. Para obter informações sobre como esta alteração o afeta, consulte Preparar a utilização obrigatória do TLS 1.2 no Office 365.

Descontinuar o suporte para 3DES

Desde 31 de outubro de 2018, o Microsoft 365 já não suporta a utilização de conjuntos de cifras 3DES para comunicação com o Microsoft 365. Mais especificamente, o Microsoft 365 já não suporta o conjunto de cifras TLS_RSA_WITH_3DES_EDE_CBC_SHA. Desde 28 de fevereiro de 2019, este conjunto de cifras foi desativado no Microsoft 365. Os clientes e servidores que comunicam com o Microsoft 365 têm de suportar uma ou mais cifras suportadas. Para obter uma lista de cifras suportadas, consulte Conjuntos de cifras TLS suportados pelo Microsoft 365.

Descontinuar o suporte de certificado SHA-1 no Microsoft 365

Desde junho de 2016, o Microsoft 365 já não aceita um certificado SHA-1 para ligações de saída ou de entrada. Utilize SHA-2 (Algoritmo Hash Seguro 2) ou um algoritmo hash mais forte na cadeia de certificados.

Pacotes de codificação TLS com suporte do Microsoft 365

O TLS utiliza conjuntos de cifras, coleções de algoritmos de encriptação, para estabelecer ligações seguras. O Microsoft 365 suporta os conjuntos de cifras listados na tabela seguinte. A tabela lista os conjuntos de cifras por ordem de força, com o conjunto de cifras mais forte listado em primeiro lugar.

O Microsoft 365 responde a um pedido de ligação ao tentar ligar-se primeiro com o conjunto de cifras mais seguro. Se a ligação não funcionar, o Microsoft 365 tenta o segundo conjunto de cifras mais seguro da lista e assim sucessivamente. O serviço continua na lista até que a ligação seja aceite. Da mesma forma, quando o Microsoft 365 pede uma ligação, o serviço de receção opta por utilizar o TLS e o conjunto de cifras a utilizar.

Nome do conjunto de codificações Algoritmo/força de troca de chaves Sigilo para a frente Cifra/força Algoritmo/força de autenticação
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH/192 Sim AES/256 RSA/112
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH/128 Sim AES/128 RSA/112
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH/192 Sim AES/256 RSA/112
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDH/128 Sim AES/128 RSA/112
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH/192 Sim AES/256 RSA/112
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA ECDH/128 Sim AES/128 RSA/112
TLS_RSA_WITH_AES_256_GCM_SHA384 RSA/112 Não AES/256 RSA/112
TLS_RSA_WITH_AES_128_GCM_SHA256 RSA/112 Não AES/256 RSA/112

Os seguintes conjuntos de cifras suportaram protocolos TLS 1.0 e 1.1 até à data de preterição. Para ambientes GCC High e DoD, essa data de preterição foi 15 de janeiro de 2020. Para ambientes mundiais e GCC, essa data era 15 de outubro de 2020.

Protocolos Nome do conjunto de codificações Algoritmo/força de troca de chaves Sigilo para a frente Cifra/força Algoritmo/força de autenticação
TLS 1.0, 1.1, 1.2 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH/192 Sim AES/256 RSA/112
TLS 1.0, 1.1, 1.2 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA ECDH/128 Sim AES/128 RSA/112
TLS 1.0, 1.1, 1.2 TLS_RSA_WITH_AES_256_CBC_SHA RSA/112 Não AES/256 RSA/112
TLS 1.0, 1.1, 1.2 TLS_RSA_WITH_AES_128_CBC_SHA RSA/112 Não AES/128 RSA/112
TLS 1.0, 1.1, 1.2 TLS_RSA_WITH_AES_256_CBC_SHA256 RSA/112 Não AES/256 RSA/112
TLS 1.0, 1.1, 1.2 TLS_RSA_WITH_AES_128_CBC_SHA256 RSA/112 Não AES/256 RSA/112

Determinados produtos Office 365 (incluindo o Microsoft Teams) utilizam o Azure Front Door para terminar ligações TLS e encaminhar o tráfego de rede de forma eficiente. Pelo menos um dos conjuntos de cifras suportados pelo Azure Front Door através do TLS 1.2 tem de estar ativado para se ligar com êxito a estes produtos. Para Windows 10 e superiores, recomendamos que ative um ou ambos os conjuntos de cifras ECDHE para uma melhor segurança. O Windows 7, 8 e 8.1 não são compatíveis com os conjuntos de cifras ECDHE do Azure Front Door e os conjuntos de cifras DHE foram fornecidos para compatibilidade com esses sistemas operativos.

Conjuntos de Cifras TLS no Windows 10 v1903

Criptografia no Office 365

Configure a criptografia no Office 365 Enterprise

Implementação Schannel do TLS 1.0 na atualização de status de segurança do Windows: 24 de novembro de 2015

Melhorias Criptográficas TLS/SSL (Windows IT Center)

Preparação para o TLS 1.2 no Office 365 e no Office 365 GCC

Quais são os conjuntos de cifras atuais suportados pelo Azure Front Door?