Microsoft Exchange Server用の 2023 年 8 月のセキュリティ更新プログラム以降、暗号ブロック チェーン モード (AES256-CBC) の AES256 は、Microsoft Purview 情報保護を使用するすべてのアプリケーションの既定の暗号化モードになります。 詳細については、「Microsoft Purview 情報保護での暗号化アルゴリズムの変更」を参照してください。
Exchange Serverを使用していて、ハイブリッド Exchange を展開している場合、またはこのドキュメントMicrosoft 365 Appsを使用している場合は、中断が発生しないように変更の準備に役立ちます。
2023 年 8 月のセキュリティ更新プログラム (SU) で導入された変更は、AES256-CBC で暗号化された電子メール メッセージと添付ファイルの暗号化解除に役立ちます。 AES256-CBC モードでの電子メール メッセージの暗号化のサポートは、2023 年 10 月の SU で追加されました。
Exchange Serverで AES256-CBC モードの変更を実装する方法
Exchange Serverの Information Rights Management (IRM) 機能を Active Directory Rights Management Services (AD RMS) または Azure RMS (AzRMS) と共に使用している場合は、Exchange Server 2019 と Exchange Serverを更新する必要があります。2016 サーバーを 2023 年 8 月のセキュリティ更新プログラムに移行し、2023 年 8 月末までに次のセクションで説明する追加の手順を完了します。 2023 年 8 月末までに Exchange サーバーを 2023 年 8 月 SU に更新しない場合、検索およびジャーナリング機能が影響を受けます。
organizationで Exchange サーバーの更新にさらに時間が必要な場合は、この記事の残りの部分を読んで、変更の影響を軽減する方法を理解してください。
Exchange Serverでの AES256-CBC 暗号化モードのサポートを有効にする
2023 年 8 月の su for Exchange Serverでは、AES256-CBC モードで暗号化された電子メール メッセージと添付ファイルの暗号化解除がサポートされています。 このサポートを有効にするには、次の手順に従います。
-
すべての Exchange 2019 および 2016 サーバーに 2023 年 8 月の SU をインストールします。
-
すべての Exchange 2019 および 2016 サーバーで次のコマンドレットを実行します。
注: 手順 3 に進む前に、環境内のすべての Exchange 2019 および 2016 サーバーで手順 2 を完了します。
$acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)
$acl.SetAccessRule($rule)
Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl
注: -AclObject $acl キーは、August SU のインストール中にレジストリに追加されます。
-
AzRMS を使用している場合は、すべての Exchange サーバーで AzRMS コネクタを更新する必要があります。 更新された GenConnectorConfig.ps1 スクリプトを実行して、Exchange Server August 2023 SU 以降の Exchange バージョンで AES256-CBC モードのサポートに導入されたレジストリ キーを生成します。 Microsoft ダウンロード センターから最新の GenConnectorConfig.ps1 スクリプトをダウンロードします。
コネクタを使用するように Exchange サーバーを構成する方法の詳細については、「Microsoft Rights Management コネクタのサーバーの構成」を参照してください。この記事では、Exchange Server 2019 および Exchange Server 2016 の特定の構成の変更について説明します。 Rights Management コネクタのサーバーを構成する方法 (実行方法や設定の展開方法など) の詳細については、「Rights Management Connector のレジストリ設定」を参照してください。
-
2023 年 8 月の SU がインストールされている場合は、Exchange Serverで AES-256 CBC で暗号化された電子メール メッセージと添付ファイルの暗号化を解除することのみがサポートされます。 このサポートを有効にするには、次の設定のオーバーライドを実行します:New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack” 2023 年 8 月の SU で行われた変更に加えて、2023 年 10 月の SU では、AES256-CBC モードで電子メール メッセージと添付ファイルを暗号化するためのサポートが追加されました。 2023 年 10 月の SU がインストールされている場合は、次の設定のオーバーライドを実行します。New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack” New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC
-
VariantConfiguration 引数を更新します。 これを行うには、次のコマンドレットを実行します:Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
-
新しい設定を適用するには、World Wide Web Publishing サービスと Windows プロセス ライセンス認証サービス (WAS) を再起動します。 これを行うには、次のコマンドレットを実行します:Restart-Service -Name W3SVC, WAS -Force
注: 設定オーバーライド コマンドレットが実行されている Exchange サーバーでのみ、これらのサービスを再起動します。
Exchange ハイブリッド展開がある場合 (オンプレミスとExchange Onlineの両方のメールボックス)
Exchange Serverを Azure Rights Management Service Connector (Azure RMS) と共に使用する組織は、少なくとも 2024 年 1 月まで、Exchange Onlineで AES256-CBC モード更新プログラムから自動的にオプトアウトされます。 ただし、より安全な AES-256 CBC モードを使用して、Exchange Onlineの電子メール メッセージと添付ファイルを暗号化し、Exchange Serverでこのような電子メール メッセージと添付ファイルを復号化する場合は、次の手順を実行して、Exchange Server展開に必要な変更を加えます。
必要な手順を完了したら、サポート ケースを開き、AES256-CBC モードを有効にするためにExchange Online設定の更新を要求します。
Exchange ServerでMicrosoft 365 Appsを使用している場合
既定では、Microsoft Outlook、Microsoft Word、Microsoft Excel、Microsoft PowerPoint などの M365 アプリケーションはすべて、2023 年 8 月から AES256-CBC モード暗号化を使用します。
重要: organizationがすべての Exchange サーバー (2019 年と 2016 年) に Exchange サーバー 2023 年 8 月のセキュリティ更新プログラムを適用できない場合、または 2023 年 8 月末までにExchange Server インフラストラクチャ全体でコネクタ構成の変更を更新できない場合は、Microsoft 365 アプリケーションの AES256-CBC の変更をオプトアウトする必要があります。
次のセクションでは、レジストリ設定とグループ ポリシーを使用するユーザーに対して AES128-ECB を強制する方法について説明します。
[Configuration/Administrative Templates/Microsoft Office 2016/Security Settings.] の [Information Rights Management (IRM) の暗号化モード] 設定を使用して、Windows で ECB または CBC モードを使用するように Office とMicrosoft 365 Appsを構成できます。 既定では、Microsoft 365 Apps のバージョン 16.0.16327 以降では CBC モードが使用されます。
たとえば、Windows クライアントの CBC モードを強制するには、グループ ポリシー設定を次のように設定します。
Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]
Office for Mac クライアントの設定を構成するには、「Office for Macのスイート全体の基本設定を設定する」を参照してください。
詳細については、「暗号化に関するテクニカル リファレンスの詳細」の「AES256-CBC サポート for Microsoft 365」セクションを参照してください。
既知の問題
-
RMS SDKがインストールされている Exchange サーバーを更新しようとすると、2023 年 8 月の SU はインストールされません。 Exchange Serverがインストールされているのと同じコンピューターに RMS SDK をインストールしないことをお勧めします。
-
Email配信とジャーナリングは、Exchange Server 2013 と共存する環境で AES256-CBC モードのサポートが Exchange Server 2019 および Exchange Server 2016 で有効になっている場合に断続的に失敗します。 Exchange Server 2013 はサポート対象外です。 そのため、すべてのサーバーを Exchange Server 2019 または Exchange Server 2016 にアップグレードする必要があります。
CBC 暗号化が正しく構成されていないか、更新されていない場合の現象
TransportDecryptionSetting が Set-IRMConfiguration内で必須 ("省略可能" が既定) に設定されていて、Exchange サーバーとクライアントが更新されない場合、AES256-CBC を使用して暗号化されたメッセージによって配信不能レポート (NDR) が生成され、次のエラー メッセージが生成される可能性があります。
リモート サーバーから '550 5.7.157 RmsDecryptAgent が返されました。Microsoft Exchange トランスポートは、RMS でメッセージの暗号化を解除できません。
この設定により、サーバーが更新されない場合、暗号化、ジャーナリング、電子情報開示のトランスポート ルールに影響する問題が発生する可能性もあります。