Se connecter avec Microsoft
S'identifier ou créer un compte.
Bonjour,
Sélectionnez un autre compte.
Vous avez plusieurs comptes
Choisissez le compte avec lequel vous voulez vous connecter.

À compter de la mise à jour de sécurité d’août 2023 pour Microsoft Exchange Server, AES256 en mode de chaînage de blocs de chiffrement (AES256-CBC) sera le mode de chiffrement par défaut pour toutes les applications qui utilisent Protection des données Microsoft Purview. Pour plus d’informations, consultez Modifications de l’algorithme de chiffrement dans Protection des données Microsoft Purview.

Si vous utilisez Exchange Server et que vous disposez d’un déploiement Exchange hybride, ou si vous utilisez Microsoft 365 Apps ce document vous aidera à vous préparer à la modification afin qu’il n’y ait aucune interruption. 

Les modifications introduites dans la mise à jour de sécurité (SU) d’août 2023 aident à déchiffrer les messages électroniques et les pièces jointes chiffrés par AES256-CBC. La prise en charge du chiffrement des messages électroniques en mode AES256-CBC a été ajoutée dans la su d’octobre 2023.

Comment implémenter la modification du mode AES256-CBC dans Exchange Server

Si vous utilisez les fonctionnalités de gestion des droits relatifs à l’information (IRM) dans Exchange Server avec Active Directory Rights Management Services (AD RMS) ou Azure RMS (AzRMS), vous devez mettre à jour votre Exchange Server 2019 et Exchange Server Serveurs 2016 à la mise à jour de sécurité d’août 2023 et effectuez les étapes supplémentaires décrites dans les sections suivantes d’ici la fin août 2023. La fonction de recherche et de journalisation sera affectée si vous ne mettez pas à jour vos serveurs Exchange vers août 2023 SU avant la fin du mois d’août.

Si votre organization a besoin de temps supplémentaire pour mettre à jour vos serveurs Exchange, lisez le reste de l’article pour comprendre comment atténuer l’effet des modifications.

Activer la prise en charge du mode de chiffrement AES256-CBC dans Exchange Server 

La su d’août 2023 pour Exchange Server prend en charge le déchiffrement des messages électroniques chiffrés en mode AES256-CBC et des pièces jointes. Pour activer cette prise en charge, procédez comme suit : 

  1. Installez l’unité de su d’août 2023 sur tous vos serveurs Exchange 2019 et 2016.

  2. Exécutez les applets de commande suivantes sur tous les serveurs Exchange 2019 et 2016.

    Remarque : Effectuez l’étape 2 sur tous les serveurs Exchange 2019 et 2016 de votre environnement avant de passer à l’étape 3.

    $acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" 

    $rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)

    $acl.SetAccessRule($rule) 

    Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl 

    Remarque : La clé -AclObject $acl est ajoutée au Registre lors de l’installation de l’unité de service d’août. 

  3. Si vous utilisez AzRMS, le connecteur AzRMS doit être mis à jour sur tous les serveurs Exchange. Exécutez le script GenConnectorConfig.ps1 mis à jour pour générer les clés de Registre introduites pour la prise en charge du mode AES256-CBC dans l’unité de service Exchange Server août 2023 et les versions ultérieures d’Exchange. Téléchargez le dernier script GenConnectorConfig.ps1 à partir du Centre de téléchargement Microsoft.

    Pour plus d’informations sur la configuration des serveurs Exchange pour utiliser le connecteur, consultez Configuration de serveurs pour le connecteur Microsoft Rights Management.Cet article décrit les modifications de configuration spécifiques pour Exchange Server 2019 et Exchange Server 2016. 

    Pour plus d’informations sur la configuration des serveurs pour le connecteur Rights Management, notamment sur l’exécution et le déploiement des paramètres, consultez Paramètres du Registre pour le connecteur Rights Management.

  4. Si vous avez installé l’unité de service d’août 2023, vous pouvez uniquement déchiffrer les messages électroniques et les pièces jointes chiffrés par AES-256 dans Exchange Server. Pour activer cette prise en charge, exécutez la substitution de paramètre suivante :

    New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”

    En plus des modifications apportées dans la su d’août 2023, la su d’octobre 2023 ajoute la prise en charge du chiffrement des messages électroniques et des pièces jointes en mode AES256-CBC. Si la su d’octobre 2023 est installée, exécutez les remplacements de paramètres suivants :

    New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack” 

    New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC  

  5. Actualisez l’argument VariantConfiguration . Pour ce faire, exécutez l’applet de commande suivante :

    Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

  6. Pour appliquer les nouveaux paramètres, redémarrez le service de publication World Wide Web et le service WAS (Windows Process Activation Service). Pour ce faire, exécutez la cmdlet suivante :

    Restart-Service -Name W3SVC, WAS -Force

Remarque : Redémarrez ces services uniquement sur le serveur Exchange sur lequel l’applet de commande de remplacement des paramètres est exécutée.

Si vous disposez d’un déploiement exchange hybride (boîtes aux lettres locales et Exchange Online) 

Les organisations qui utilisent Exchange Server avec Azure Rights Management Service Connector (Azure RMS) seront automatiquement désactivées de la mise à jour du mode AES256-CBC dans Exchange Online au moins jusqu’en janvier 2024. Toutefois, si vous souhaitez utiliser le mode CBC AES-256 plus sécurisé pour chiffrer les messages électroniques et les pièces jointes dans Exchange Online, et déchiffrer ces messages électroniques et pièces jointes dans Exchange Server, procédez comme suit pour apporter les modifications nécessaires à votre déploiement Exchange Server.  

Après avoir effectué les étapes requises, ouvrez un cas de support, puis demandez la mise à jour du paramètre Exchange Online pour activer le mode AES256-CBC.  

Si vous utilisez Microsoft 365 Apps avec Exchange Server 

Par défaut, toutes vos applications M365, telles que Microsoft Outlook, Microsoft Word, Microsoft Excel et Microsoft PowerPoint, utiliseront le chiffrement en mode AES256-CBC à partir d’août 2023. 

Important : Si votre organization ne peut pas appliquer la mise à jour de sécurité d’août 2023 d’Exchange Server sur tous les serveurs Exchange (2019 et 2016), ou si vous ne pouvez pas mettre à jour les modifications de configuration du connecteur dans l’infrastructure Exchange Server à la fin du mois d’août 2023, vous devez désactiver la modification AES256-CBC sur les applications Microsoft 365.  

La section suivante explique comment forcer AES128-ECB pour les utilisateurs qui utilisent les paramètres du Registre et stratégie de groupe.

Vous pouvez configurer Office et Microsoft 365 Apps pour Windows afin qu’il utilise le mode BCE ou CBC à l’aide du paramètre Mode de chiffrement pour la gestion des droits relatifs à l’information (IRM) sousConfiguration/Administrative Templates/Microsoft Office 2016/Security Settings. Par défaut, le mode CBC est utilisé à partir de la version 16.0.16327 de Microsoft 365 Apps. 

Par exemple, pour forcer le mode CBC pour les clients Windows, définissez le paramètre stratégie de groupe comme suit : 

Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]

Pour configurer les paramètres des clients Office pour Mac, consultez Définir des préférences à l’échelle de la suite pour Office pour Mac.

Pour plus d’informations, consultez la section « Prise en charge d’AES256-CBC pour Microsoft 365 » dans Informations de référence techniques sur le chiffrement.

Problèmes connus 

  • L’unité de su d’août 2023 ne s’installe pas lorsque vous essayez de mettre à jour les serveurs Exchange sur lesquels le SDK RMSest installé. Nous vous recommandons de ne pas installer le Kit de développement logiciel (SDK) RMS sur l’ordinateur sur lequel Exchange Server est installé. 

  • Email livraison et journalisation échouent par intermittence si la prise en charge du mode AES256-CBC est activée dans Exchange Server 2019 et Exchange Server 2016 dans un environnement qui coexiste avec Exchange Server 2013. Exchange Server 2013 est hors support. Par conséquent, vous devez mettre à niveau tous vos serveurs vers Exchange Server 2019 ou Exchange Server 2016.

Symptômes si le chiffrement CBC n’est pas configuré correctement ou n’est pas mis à jour

Si TransportDecryptionSetting est défini sur obligatoire (« facultatif » est défini par défaut) dans Set-IRMConfigurationet que les serveurs et les clients Exchange ne sont pas mis à jour, les messages chiffrés à l’aide d’AES256-CBC peuvent générer des rapports de non-remise (NDR) et le message d’erreur suivant :

Le serveur distant a retourné 550 5.7.157 RmsDecryptAgent ; Le transport Microsoft Exchange ne peut pas déchiffrer le message par RMS.

Ce paramètre peut également entraîner des problèmes qui affectent les règles de transport pour le chiffrement, la journalisation et l’eDiscovery si les serveurs ne sont pas mis à jour. 

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Découvrir Communauté

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.

Demandez à la Communauté Microsoft

Communauté technique Microsoft

Windows Insiders

Microsoft 365 Insiders

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la langue ?
Qu’est-ce qui a affecté votre expérience ?
En cliquant sur Envoyer, vos commentaires seront utilisés pour améliorer les produits et services de Microsoft. Votre administrateur informatique sera en mesure de collecter ces données. Déclaration de confidentialité.

Nous vous remercions de vos commentaires.

×