Sign in with Microsoft
Sign in or create an account.
Hello,
Select a different account.
You have multiple accounts
Choose the account you want to sign in with.

自 2023 年 8 月 Microsoft Exchange Server 版安全性更新開始,AES256 in Cipher Block Chaining mode (AES256-CBC) 會是所有使用 Microsoft Purview 資訊保護 應用程式的預設加密模式。 如需詳細資訊,請參閱加密演算法在 Microsoft Purview 資訊保護 中的變更。

如果您使用的是 Exchange Server 且有混合式 Exchange 部署,或是您使用的是Microsoft 365 Apps這份檔將協助您準備進行變更,避免任何干擾。 

2023 年 8 月安全性更新 (SU) 協助解密 AES256-CBC 加密的電子郵件訊息和附件。 2023 年 10 月 SU 已新增在 AES256-CBC 模式中加密電子郵件訊息的支援。

如何在 Exchange Server 中實作 AES256-CBC 模式變更

如果您將 Exchange Server 中的資訊版權管理 (IRM) 功能與 AD RMS) (Active Directory Rights Management Services 或 Azure RMS (AzRMS) 搭配使用,則必須更新 Exchange Server 2019 和 Exchange Server2016 伺服器至 2023 年 8 月安全性更新,並于 2023 年 8 月底前完成下列各節所述的其他步驟。 如果您在 8 月底之前不將 Exchange 伺服器更新至 2023 年 8 月 SU,搜尋和日誌功能將會受到影響。

如果貴組織需要額外的時間來更新您的 Exchange 伺服器,請閱讀本文的其餘部分,瞭解如何減輕變更的影響。

在 Exchange Server 中啟用 AES256-CBC 加密模式的支援 

2023 年 8 月適用于 Exchange Server 的 SU 支援解密 AES256-CBC 模式加密的電子郵件訊息和附件。 若要啟用這項支援,請遵循下列步驟: 

  1. 在所有 Exchange 2019 和 2016 伺服器上安裝 2023 年 8 月 SU。

  2. 在所有 Exchange 2019 和 2016 伺服器上執行下列 Cmdlet。

    附註: 在您繼續執行步驟 3 之前,先完成環境中所有 Exchange 2019 和 2016 伺服器的步驟 2。

    $acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" 

    $rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)

    $acl.SetAccessRule($rule) 

    Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl 

    附註:  -AclObject $acl鍵會在安裝 8 月 SU 時新增至登錄。 

  3. 如果您使用的是 AzRMS,則必須在所有 Exchange 伺服器上更新 AzRMS 連接器。 執行更新 GenConnectorConfig.ps1 腳本,以產生在 2023 年 8 月 SU 和更新版本 Exchange Exchange Server 中針對 AES256-CBC 模式支援導入的登錄機碼。 從Microsoft 下載中心下載最新的 GenConnectorConfig.ps1 腳本。

    如需如何設定 Exchange 伺服器以使用連接器的詳細資訊,請參閱設定 Microsoft Rights Management 連接器的伺服器。本文探討 Exchange Server 2019 和 Exchange Server 2016 的特定設定變更。 

    如需如何為版權管理連接器設定伺服器的詳細資訊,包括如何執行它以及如何部署設定,請參閱 版權管理連接器的登錄設定。

  4. 如果您已安裝 2023 年 8 月 SU,則僅支援在 Exchange Server 中解密 AES-256 CBC 加密的電子郵件訊息和附件。 若要啟用此支援,請執行下列設定覆寫:

    New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”

    除了 2023 年 8 月 SU 所做的變更之外,2023 年 10 月 SU 會新增在 AES256-CBC 模式中加密電子郵件訊息和附件的支援。 如果您已安裝 2023 年 10 月 SU,請執行下列設定覆寫:

    New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack” 

    New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC  

  5. 重新整理 VariantConfiguration 引數。 若要這麼做,請執行下列 Cmdlet:

    Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

  6. 若要套用新的設定,請重新啟動 World Wide Web Publishing 服務及 Windows Process Activation Service (WAS)。 若要這麼做,請執行下列 Cmdlet:

    Restart-Service -Name W3SVC, WAS -Force

附註: 只在執行設定覆寫 Cmdlet 的 Exchange 伺服器上重新開機這些服務。

如果您在內部部署和Exchange Online) 都有 Exchange 混合式部署 (信箱 

搭配 Azure 版權管理服務連接器 (Azure RMS) 一起使用Exchange Server的組織,將會在 Exchange Online 中自動退出宣告 AES256-CBC 模式更新,直到 2024 年 1 月為止。 不過,如果您想要使用更安全的 AES-256 CBC 模式來加密 Exchange Online 中的電子郵件訊息和附件,並在 Exchange Server 中解密這類電子郵件訊息和附件,請完成這些步驟,對您的Exchange Server部署進行必要的變更。  

完成必要步驟之後,開啟支援案例,然後要求更新Exchange Online設定以啟用 AES256-CBC 模式。  

如果您將 Microsoft 365 Apps 與 Exchange Server 搭配使用 

根據預設,從 2023 年 8 月開始,您所有的 M365 應用程式,例如 Microsoft Outlook、Microsoft Word、Microsoft Excel 和 Microsoft PowerPoint,都會使用 AES256-CBC 模式加密。 

重要: 如果貴組織無法在 2019 年 8 月與 2016) 的所有 Exchange 伺服器上套用 Exchange server 2023 年 8 月的安全性更新 (,或是您無法在 2023 年 8 月底之前更新Exchange Server基礎結構上的連接器設定變更,則必須在 Microsoft 365 應用程式上退出宣告 AES256-CBC 變更。  

下節說明如何針對使用登錄設定和群組原則的使用者強制使用 AES128-}。

您可以使用Configuration/Administrative Templates/Microsoft Office 2016/Security Settings.下的資訊版權管理 (IRM) 設定加密模式,設定 Windows 版 Office 和 Microsoft 365 Apps 使用一或多變數模式 根據預設,從 Microsoft 365 Apps 版本 16.0.16327 開始使用 CBC 模式。 

例如,若要強制 Windows 用戶端使用 CBC 模式,請將群組原則設定設為: 

Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]

若要設定Mac 版 Office用戶端的設定,請參閱為Mac 版 Office設定整個套件的喜好設定。

For more information, see the "AES256-CBC support for Microsoft 365" section of Technical reference details about encryption. 

已知問題 

  • 當您嘗試更新安裝 RMS SDK的 Exchange 伺服器時,2023 年 8 月 SU 不會安裝。 建議您不要將RMS SDK安裝在安裝Exchange Server的同一部電腦上。 

  • 如果在 Exchange Server 2019 和 Exchange Server 201 Exchange Server 6 環境中啟用 AES256-CBC 模式支援,Email傳遞和日誌記錄會間歇性失敗。 Exchange Server 2013 已終止支援。 因此,您應該將所有伺服器升級至 Exchange Server 2019 或 Exchange Server 2016。

CBC 加密未正確設定或未更新時出現的問題

如果 TransportDecryptionSetting 設為強制性 (「選擇性」是 Set-IRMConfiguration內的預設) ,且 Exchange 伺服器和用戶端並未更新,則使用 AES256-CBC 加密的郵件可能會產生非傳遞報告 (NDR) ,並出現下列錯誤訊息:

Remote Server 傳回 '550 5.7.157 RmsDecryptAgent;Microsoft Exchange Transport 無法 RMS 解密郵件。

如果伺服器未更新,此設定也可能會造成影響加密、日誌和 eDiscovery 傳輸規則的問題。 

Facebook LinkedIn Email
SUBSCRIBE RSS FEEDS

Need more help?

Want more options?

探索 社群

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

Microsoft 365 訂閱權益

Microsoft 365 訓練

Microsoft 安全性

協助工具中心

社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。

在 Microsoft 社群中提出問題

Microsoft 技術社群

Windows 測試人員

Microsoft 365 測試人員

Was this information helpful?

How satisfied are you with the translation quality?
What affected your experience?
By pressing submit, your feedback will be used to improve Microsoft products and services. Your IT admin will be able to collect this data. Privacy Statement.

Thank you for your feedback!

×