Détails techniques de référence sur le chiffrement

Pour plus d’informations sur les certificats, les technologies et les suites de chiffrement TLS utilisées pour le chiffrement dans Microsoft 365, consultez cet article. Cet article fournit également des détails sur les dépréciations planifiées.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Gestion et propriété de certificats Microsoft Office 365

Vous n’avez pas besoin d’acheter ou de gérer des certificats pour Office 365. Au lieu de cela, Office 365 utilise ses propres certificats.

Normes de chiffrement actuelles et dépréciations planifiées

Pour fournir un chiffrement optimal, Office 365 passe régulièrement en revue les normes de chiffrement prises en charge. Parfois, les anciennes normes sont déconseillées car elles deviennent obsolètes et moins sécurisées. Cet article décrit les suites de chiffrement actuellement prises en charge et d’autres normes, ainsi que des détails sur les dépréciations planifiées.

Conformité FIPS pour Microsoft 365

Toutes les suites de chiffrement prises en charge par Office 365 utilisent des algorithmes acceptables sous FIPS 140-2. Office 365 hérite des validations FIPS de Windows (via Schannel). Pour plus d’informations sur Schannel, consultez Suites de chiffrement dans TLS/SSL (SSP Schannel).

Prise en charge d’AES256-CBC pour Microsoft 365

Fin août 2023, Protection des données Microsoft Purview commencera à utiliser advanced encryption standard (AES) avec une longueur de clé de 256 bits en mode AES256-CBC (Cipher Block Chaining). D’ici octobre 2023, AES256-CBC sera la valeur par défaut pour le chiffrement des documents et des e-mails Microsoft 365 Apps. Vous devrez peut-être prendre des mesures pour prendre en charge cette modification dans votre organization.

Qui est concerné et que dois-je faire ?

Utilisez ce tableau pour déterminer si vous devez prendre des mesures :

Applications clientes Applications de service Action requise ? Que dois-je faire?
Microsoft 365 Apps Exchange Online, SharePoint Online Non S/O
Office 2013, 2016, 2019 ou 2021 Exchange Online, SharePoint Online Oui (facultatif) Voir Configurer Office 2013, 2016, 2019 ou 2021 pour le mode AES256-CBC.
Microsoft 365 Apps Exchange Server ou hybride Oui (obligatoire) Consultez Configurer Exchange Server pour la prise en charge d’AES256-CBC.
Office 2013, 2016, 2019 ou 2021 Exchange Server ou hybride Oui (obligatoire) Complétez l’option 1 (obligatoire), puis consultez Configurer Office 2013, 2016, 2019 ou 2021 pour le mode AES256-CBC.
Microsoft 365 Apps KIT DE DÉVELOPPEMENT LOGICIEL (SDK) MIP Oui (facultatif) Consultez Configurer le SDK MIP pour la prise en charge d’AES256-CBC.
N’importe lequel SharePoint Server Non S/O

Configurer Office 2013, 2016, 2019 ou 2021 pour le mode AES256-CBC

Vous devez configurer Office 2013, 2016, 2019 ou 2021 pour utiliser le mode AES256-CBC à l’aide de stratégie de groupe, ou à l’aide du service Stratégie cloud pour Microsoft 365. À compter de la version 16.0.16327 de Microsoft 365 Apps, le mode CBC est utilisé par défaut. Utilisez le Encryption mode for Information Rights Management (IRM) paramètre sous User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings.

Par exemple, pour forcer le mode CBC, sélectionnez le paramètre de stratégie de groupe comme suit :

Mode de chiffrement pour la gestion des droits relatifs à l’information (IRM) : [1, Cipher Block Chaining (CBC)]

Configurer Exchange Server pour la prise en charge d’AES256-CBC

Exchange Server ne prend pas en charge le déchiffrement du contenu qui utilise AES256-CBC. Pour contourner ce problème, vous avez deux options.

Option 1

Les clients qui utilisent Exchange Online avec le service Azure Rights Management Connector déployé seront désactivés de la modification de publication AES256-CBC dans Exchange Online et SharePoint Online.

Pour passer en mode AES256-CBC, procédez comme suit :

  1. Installez le correctif logiciel sur vos serveurs Exchange Lorsqu’il devient disponible. Pour obtenir les informations les plus récentes sur les dates d’expédition, consultez la feuille de route du produit Microsoft 365.

  2. Si vous utilisez Exchange Server avec le service connecteur Azure Rights Management, vous devez exécuter le script GenConnectorConfig.ps1 sur chaque serveur Exchange. Pour plus d’informations, consultez Configurer des serveurs pour le connecteur Rights Management. Pour télécharger le connecteur Azure RMS, consultez le Centre de téléchargement Microsoft officiel

Une fois que votre organization a installé le correctif sur tous vos serveurs Exchange, ouvrez un cas de support et demandez à ce que ces services soient activés pour la publication AES256-CBC.

Option 2

Cette option vous donne plus de temps avant de devoir corriger tous vos serveurs Exchange. Utilisez cette option si vous ne parvenez pas à effectuer les étapes de l’option 1 lorsque le correctif logiciel devient disponible. Au lieu de cela, déployez une stratégie de groupe ou des paramètres client qui forcent les clients Microsoft 365 à continuer à utiliser le mode AES128-BCE. Déployez ce paramètre à l’aide de stratégie de groupe ou à l’aide du service Cloud Policy pour Microsoft 365. Vous pouvez configurer Office et Microsoft 365 Apps pour Windows afin d’utiliser le mode BCE ou CBC avec le Encryption mode for Information Rights Management (IRM) paramètre sous User Configuration/Administrative Templates/Microsoft Office 2016/Security Settings. À compter de la version 16.0.16327 de Microsoft 365 Apps, le mode CBC est utilisé par défaut.

Par exemple, pour forcer le mode EBC pour les clients Windows, définissez le paramètre de stratégie de groupe comme suit :

Mode de chiffrement pour la gestion des droits relatifs à l’information (IRM) : [2, Electronic Codebook (ECB)]

Pour configurer les paramètres des clients Office pour Mac, consultez Définir des préférences à l’échelle de la suite pour Office pour Mac.

Dès que vous le pouvez, effectuez les étapes de l’option 1.

Configurer le SDK MIP pour la prise en charge d’AES256-CBC

Mettez à jour vers le Kit de développement logiciel (SDK) MIP 1.13 ou version ultérieure. Si vous choisissez de mettre à jour vers le SDK MIP 1.13, vous devez configurer un paramètre pour forcer AES256-CBC. Pour plus d’informations, consultez la mise à jour critique du Kit de développement logiciel (SDK) MIP version 1.13.158. Les versions ultérieures du Kit de développement logiciel (SDK) MIP protègent les fichiers et les e-mails Microsoft 365 avec AES256-CBC par défaut.

Versions de TLS prises en charge par Microsoft 365

TLS et SSL antérieurs à TLS sont des protocoles de chiffrement qui sécurisent la communication sur un réseau à l’aide de certificats de sécurité pour chiffrer une connexion entre les ordinateurs. Microsoft 365 prend en charge TLS version 1.2 (TLS 1.2).

Certains services continuent de prendre en charge TLS version 1.3 (TLS 1.3).

Importante

N’oubliez pas que les versions TLS sont déconseillées et que les versions déconseillées ne doivent pas être utilisées lorsque des versions plus récentes sont disponibles. Si vos services hérités ne nécessitent pas TLS 1.0 ou 1.1, vous devez les désactiver.

Prise en charge de la dépréciation de TLS 1.0 et 1.1

Office 365 a cessé de prendre en charge TLS 1.0 et 1.1 le 31 octobre 2018. Nous avons terminé la désactivation de TLS 1.0 et 1.1 dans les environnements GCC High et DoD. Nous avons commencé à désactiver TLS 1.0 et 1.1 pour les environnements internationaux et GCC à partir du 15 octobre 2020 et nous continuerons à déployer au cours des prochaines semaines et mois.

Pour maintenir une connexion sécurisée aux services Office 365 et Microsoft 365, toutes les combinaisons client-serveur et navigateur-serveur utilisent TLS 1.2 et des suites de chiffrement modernes. Il se peut que vous deviez procéder à la mise à jour de certaines combinaisons client-serveur et navigateur-serveur. Pour plus d’informations sur l’impact de cette modification, consultez Préparation de l’utilisation obligatoire de TLS 1.2 dans Office 365.

Dépréciation de la prise en charge de 3DES

Depuis le 31 octobre 2018, Microsoft 365 ne prend plus en charge l’utilisation de suites de chiffrement 3DES pour la communication avec Microsoft 365. Plus précisément, Microsoft 365 ne prend plus en charge la suite de chiffrement TLS_RSA_WITH_3DES_EDE_CBC_SHA. Depuis le 28 février 2019, cette suite de chiffrement est désactivée dans Microsoft 365. Les clients et serveurs qui communiquent avec Microsoft 365 doivent prendre en charge un ou plusieurs des chiffrements pris en charge. Pour obtenir la liste des chiffrements pris en charge, consultez Suites de chiffrement TLS prises en charge par Microsoft 365.

Dépréciation de la prise en charge des certificats SHA-1 dans Microsoft 365

Depuis juin 2016, Microsoft 365 n’accepte plus de certificat SHA-1 pour les connexions sortantes ou entrantes. Utilisez SHA-2 (Secure Hash Algorithm 2) ou un algorithme de hachage plus fort dans la chaîne de certificats.

Suites de chiffrement TLS prises en charge par Microsoft 365

TLS utilise des suites de chiffrement, des collections d’algorithmes de chiffrement, pour établir des connexions sécurisées. Microsoft 365 prend en charge les suites de chiffrement répertoriées dans le tableau suivant. Le tableau répertorie les suites de chiffrement par ordre de force, avec la suite de chiffrement la plus forte répertoriée en premier.

Microsoft 365 répond à une demande de connexion en essayant d’abord de se connecter à l’aide de la suite de chiffrement la plus sécurisée. Si la connexion ne fonctionne pas, Microsoft 365 tente la deuxième suite de chiffrement la plus sécurisée de la liste, et ainsi de suite. Le service continue dans la liste jusqu’à ce que la connexion soit acceptée. De même, lorsque Microsoft 365 demande une connexion, le service de réception choisit s’il faut utiliser TLS et la suite de chiffrement à utiliser.

Nom de suite de chiffrement Algorithme/force d’échange de clés Transférer le secret Chiffrement/force Algorithme/force d’authentification
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH/192 Oui AES/256 RSA/112
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH/128 Oui AES/128 RSA/112
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH/192 Oui AES/256 RSA/112
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDH/128 Oui AES/128 RSA/112
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH/192 Oui AES/256 RSA/112
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA ECDH/128 Oui AES/128 RSA/112
TLS_RSA_WITH_AES_256_GCM_SHA384 RSA/112 Non AES/256 RSA/112
TLS_RSA_WITH_AES_128_GCM_SHA256 RSA/112 Non AES/256 RSA/112

Les suites de chiffrement suivantes ont pris en charge les protocoles TLS 1.0 et 1.1 jusqu’à leur date de dépréciation. Pour les environnements GCC High et DoD, cette date de dépréciation était le 15 janvier 2020. Pour les environnements internationaux et gcc, cette date était le 15 octobre 2020.

Protocoles Nom de suite de chiffrement Algorithme/force d’échange de clés Transférer le secret Chiffrement/force Algorithme/force d’authentification
TLS 1.0, 1.1, 1.2 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH/192 Oui AES/256 RSA/112
TLS 1.0, 1.1, 1.2 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA ECDH/128 Oui AES/128 RSA/112
TLS 1.0, 1.1, 1.2 TLS_RSA_WITH_AES_256_CBC_SHA RSA/112 Non AES/256 RSA/112
TLS 1.0, 1.1, 1.2 TLS_RSA_WITH_AES_128_CBC_SHA RSA/112 Non AES/128 RSA/112
TLS 1.0, 1.1, 1.2 TLS_RSA_WITH_AES_256_CBC_SHA256 RSA/112 Non AES/256 RSA/112
TLS 1.0, 1.1, 1.2 TLS_RSA_WITH_AES_128_CBC_SHA256 RSA/112 Non AES/256 RSA/112

Certains produits Office 365 (y compris Microsoft Teams) utilisent Azure Front Door pour mettre fin aux connexions TLS et acheminer efficacement le trafic réseau. Au moins l’une des suites de chiffrement prises en charge par Azure Front Door sur TLS 1.2 doit être activée pour se connecter correctement à ces produits. Pour Windows 10 et versions ultérieures, nous vous recommandons d’activer l’une ou les deux suites de chiffrement ECDHE pour une meilleure sécurité. Windows 7, 8 et 8.1 ne sont pas compatibles avec les suites de chiffrement ECDHE d’Azure Front Door et les suites de chiffrement DHE ont été fournies pour la compatibilité avec ces systèmes d’exploitation.

Suites de chiffrement TLS dans Windows 10 v1903

Chiffrement dans Office 365

Configurer le chiffrement dans Office 365 Entreprise

Implémentation Schannel de TLS 1.0 dans la mise à jour du status de sécurité Windows : 24 novembre 2015

Améliorations du chiffrement TLS/SSL (Windows IT Center)

Préparation de TLS 1.2 dans Office 365 et Office 365 Cloud de la communauté du secteur public

Quelles sont les suites de chiffrement actuelles prises en charge par Azure Front Door ?