Microsoft 365 の暗号化に使用される証明書、テクノロジ、TLS 暗号スイートについては、この記事を参照してください。 この記事では、予定されている非推奨の詳細についても説明します。
- 概要情報をお探しの場合は、「 Microsoft 365 での暗号化」を参照してください。
- セットアップ情報を探している場合は、「Microsoft 365 Enterpriseで暗号化を設定する」を参照してください。
- TLS 1.1 および 1.0 の非推奨の詳細については、「 Microsoft 365 の TLS 1.0 と 1.1 の無効化」を参照してください。
- 特定のバージョンの Windows でサポートされる暗号スイートの詳細については、「 TLS/SSL の暗号スイート (Schannel SSP)」を参照してください。
- 証明書チェーンについては、「 Microsoft 365 暗号化チェーン と Microsoft 365 暗号化チェーン - DOD と GCC High」を参照してください。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、追加の Microsoft Purview 機能がデータのセキュリティとコンプライアンスのニーズを管理organizationにどのように役立つかを調べます。 Microsoft Purview トライアル ハブ で今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
Microsoft Office 365 証明書の所有権と管理
Office 365の証明書を購入または管理する必要はありません。 代わりに、Office 365は独自の証明書を使用します。
現在の暗号化標準と予定されている非推奨
クラス最高の暗号化を提供するために、Office 365では、サポートされている暗号化標準を定期的に確認します。 古い標準は古くなり、安全性が低下するため、非推奨になることがあります。 この記事では、現在サポートされている暗号スイートとその他の標準と、予定されている非推奨に関する詳細について説明します。
Microsoft 365 の FIPS コンプライアンス
Office 365でサポートされているすべての暗号スイートは、FIPS 140-2 で許容されるアルゴリズムを使用します。 Office 365は、(Schannel を介して) Windows から FIPS 検証を継承します。 Schannel の詳細については、「 TLS/SSL の暗号スイート (Schannel SSP)」を参照してください。
Microsoft 365 の AES256-CBC サポート
2023 年 8 月下旬、Microsoft Purview Information Protection では、暗号ブロック チェーン モード (AES256-CBC) で 256 ビットのキー長を持つ Advanced Encryption Standard (AES) の使用が開始されます。 2023 年 10 月までに、AES256-CBC は、Microsoft 365 Appsドキュメントと電子メールの暗号化の既定値になります。 organizationでこの変更をサポートするためにアクションを実行する必要がある場合があります。
影響を受けるユーザーと何を行う必要がありますか?
次の表を使用して、アクションを実行する必要があるかどうかを確認します。
| クライアント アプリケーション | サービス アプリケーション | アクションが必要ですか? | 必要な作業とは? |
|---|---|---|---|
| Microsoft 365 アプリ | Exchange Online、SharePoint Online | いいえ | 該当なし |
| Office 2013、2016、2019、または 2021 | Exchange Online、SharePoint Online | はい (省略可能) | 「AES256-CBC モードの Office 2013、2016、2019、または 2021 のセットアップ」を参照してください。 |
| Microsoft 365 アプリ | Exchange Serverまたはハイブリッド | はい (必須) | AES256-CBC サポートのExchange Serverの設定に関するページを参照してください。 |
| Office 2013、2016、2019、または 2021 | Exchange Serverまたはハイブリッド | はい (必須) | オプション 1 (必須) を完了し、「AES256-CBC モードの Office 2013、2016、2019、または 2021 をセットアップする」を参照してください。 |
| Microsoft 365 アプリ | MIP SDK | はい (省略可能) | 「AES256-CBC サポート用の MIP SDK を設定する」を参照してください。 |
| 任意 | SharePoint Server | いいえ | 該当なし |
AES256-CBC モード用に Office 2013、2016、2019、または 2021 を設定する
Office 2013、2016、2019、または 2021 を構成して、グループ ポリシーを使用するか、Microsoft 365 のクラウド ポリシー サービスを使用して AES256-CBC モードを使用する必要があります。 バージョン 16.0.16227 のMicrosoft 365 Apps以降、CBC モードは既定で使用されます。 [User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings] の下の [Encryption mode for Information Rights Management (IRM)] 設定を使用します。
たとえば、CBC モードを強制するには、次のようにグループ ポリシー設定を選択します。
Information Rights Management (IRM) の暗号化モード: [1, 暗号ブロック チェーン (CBC)]
AES256-CBC サポートのExchange Serverを設定する
Exchange Serverでは、AES256-CBC を使用するコンテンツの暗号化解除はサポートされていません。 この問題を回避するには、2 つのオプションがあります。
オプション 1
デプロイされた Azure Rights Management Connector サービスでExchange Onlineを使用しているお客様は、Exchange Onlineと SharePoint Online の両方で AES256-CBC 発行の変更からオプトアウトされます。
AES256-CBC モードに移行するには、次の手順を実行します。
利用可能になったら、Exchange サーバーに修正プログラムをインストールします。 出荷日に関する最新の情報については、 Microsoft 365 製品ロードマップを参照してください。
Azure Rights Management Connector Service でExchange Serverを使用している場合は、各 Exchange サーバーで GenConnectorConfig.ps1 スクリプトを実行する必要があります。 詳細については、「 Rights Management コネクタのサーバーを構成する」を参照してください。
organizationがすべての Exchange サーバーにパッチをインストールしたら、サポート ケースを開き、AES256-CBC 公開に対してこれらのサービスを有効にするよう要求します。
オプション 2
このオプションを使用すると、すべての Exchange サーバーにパッチを適用する必要が生じるまでの時間が余分になります。 修正プログラムが利用可能になったときに オプション 1 の手順を完了できない場合は、このオプションを使用します。 代わりに、グループ ポリシーまたはクライアント設定を展開し、Microsoft 365 クライアントが AES128-ECB モードを引き続き使用するように強制します。 グループ ポリシーを使用するか、Microsoft 365 の Cloud Policy サービスを使用して、この設定をデプロイします。 [User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings] の下の [Encryption mode for Information Rights Management (IRM)] 設定で、Windows が ECB または CBC モードを使用するように Office とMicrosoft 365 Appsを構成できます。 バージョン 16.0.16327 のMicrosoft 365 Apps以降、CBC モードは既定で使用されます。
たとえば、Windows クライアントの EBC モードを強制するには、グループ ポリシー設定を次のように設定します。
Information Rights Management (IRM) の暗号化モード: [2, 電子コードブック (ECB)]
Office for Mac クライアントの設定を構成するには、「Office for Macのスイート全体の基本設定を設定する」を参照してください。
できるだけ早く、 オプション 1 の手順を完了します。
AES256-CBC サポート用の MIP SDK を設定する
MIP SDK 1.13 以降に更新します。 MIP SDK 1.13 に更新する場合は、AES256-CBC を強制するように設定を構成する必要があります。 詳細については、 MIP SDK バージョン 1.13.158 の重要な更新プログラムに関するページを参照してください。 MIP SDK の以降のバージョンでは、既定で AES256-CBC で Microsoft 365 ファイルと電子メールが保護されます。
Microsoft 365 でサポートされている TLS のバージョン
TLS と TLS の前に来た SSL は、セキュリティ証明書を使用してコンピューター間の接続を暗号化することで、ネットワーク経由で通信をセキュリティで保護する暗号化プロトコルです。 すべての Microsoft 365 では、TLS バージョン 1.2 (TLS 1.2) がサポートされています。 TLS バージョン 1.3 (TLS 1.3) のサポートは、さまざまなアプリケーションとサービスによってサービス全体でロールアウトされています。 Exchange Onlineでは、世界中のお客様向けのインターネット上の第三者とのすべての電子メール送信とサーバー通信に対して TLS 1.3 がサポートされるようになりました。 21Vianet が運営するExchange Onlineの TLS 1.3 にはタイムラインがありません。
重要
TLS バージョンは非推奨であり、新しいバージョンが使用可能な場合は非推奨のバージョンを 使用しないでください 。 レガシ サービスで TLS 1.0 または 1.1 が必要ない場合は、それらを無効にする必要があります。
非推奨
- 暗号スイート: サポートされている暗号スイートの一覧を常に確認しています。 以前は、弱い SHA1 メッセージ認証と、前方に秘密でない RSA キー交換アルゴリズムのサポートを停止しました。 サポートされている暗号の現在の一覧は、 Microsoft 365 でサポートされている TLS 暗号スイートです。
- TLS 1.0 および TLS 1.1 バージョン: これらの TLS バージョンのサポートは、2022 年からサービスからの削除が完了し、2018 年 10 月 31 日に終了しました。 Microsoft 365 との接続では、通信に少なくとも TLS 1.2 が使用されるようになりました。 1 つの例外は、TLS 1.0 または TLS 1.1 を引き続き必要とするレガシ デバイスを持つお客様にオプトイン エンドポイントを提供する、Exchange Onlineの SMTP AUTH クライアント送信プロトコルです。
- 3DES アルゴリズム: この暗号化アルゴリズムのサポートは、2018 年 10 月 31 日に終了しました。 Microsoft 365 は、2019 年 2 月 28 日から、暗号スイートTLS_RSA_WITH_3DES_EDE_CBC_SHA使用してサービスから暗号スイートを削除しました。 サポートされている暗号の一覧については、「 Microsoft 365 でサポートされている TLS 暗号スイート」を参照してください。
- SHA-1 証明書: Microsoft 365 での他のサード パーティが SHA-1 証明書を提供する通信のサポートは、2016 年 6 月から終了します。 SHA-2 (Secure Hash Algorithm 2) またはより強力なハッシュ アルゴリズムが証明書チェーンに必要になりました。
Microsoft 365 でサポートされている TLS 暗号スイート
TLS では、 暗号スイート、暗号化アルゴリズムのコレクションを使用して、セキュリティで保護された接続を確立します。 Microsoft 365 では、次の表に示す暗号スイートがサポートされています。 次の表は、最も強力な暗号スイートが最初に一覧表示された、強度の順に暗号スイートの一覧を示しています。
Microsoft 365 は、最初に最も安全な暗号スイートを使用して接続を試みることで、接続要求に応答します。 接続が機能しない場合、Microsoft 365 はリスト内で 2 番目に安全な暗号スイートを試行します。 接続が受け入れられるまで、サービスはリストの下に続きます。 同様に、Microsoft 365 が接続を要求すると、受信サービスは TLS を使用するかどうかと、使用する暗号スイートを選択します。
| 暗号スイート名 | TLS プロトコルのバージョン |
|---|---|
| TLS_AES_256_GCM_SHA384 | 1.3 |
| TLS_AES_128_GCM_SHA256 | 1.3 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | 1.2 |