啟用對 Exchange Server 2023 年 8 月 SU 中 AES256-CBC 加密內容的支援

在 Exchange Server 中啟用 AES256-CBC 加密模式的支援 

2023 年 8 月適用于 Exchange Server 的 SU 支援解密 AES256-CBC 模式加密的電子郵件訊息和附件。 若要啟用這項支援，請遵循下列步驟： 

1. 在所有 Exchange 2019 和 2016 伺服器上安裝 2023 年 8 月 SU。

2. 在所有 Exchange 2019 和 2016 伺服器上執行下列 Cmdlet。

   附註: 在您繼續執行步驟 3 之前，先完成環境中所有 Exchange 2019 和 2016 伺服器的步驟 2。

   $acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" 

   $rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)

   $acl.SetAccessRule($rule) 

   Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server" -AclObject $acl 

   附註:  -AclObject $acl鍵會在安裝 8 月 SU 時新增至登錄。 

3. 如果您使用的是 AzRMS，則必須在所有 Exchange 伺服器上更新 AzRMS 連接器。 執行更新 GenConnectorConfig.ps1 腳本，以產生在 2023 年 8 月 SU 和更新版本 Exchange Exchange Server 中針對 AES256-CBC 模式支援導入的登錄機碼。 從Microsoft 下載中心下載最新的 GenConnectorConfig.ps1 腳本。

   如需如何設定 Exchange 伺服器以使用連接器的詳細資訊，請參閱設定 Microsoft Rights Management 連接器的伺服器。本文探討 Exchange Server 2019 和 Exchange Server 2016 的特定設定變更。 
   
   如需如何為版權管理連接器設定伺服器的詳細資訊，包括如何執行它以及如何部署設定，請參閱 版權管理連接器的登錄設定。

4. 如果您已安裝 2023 年 8 月 SU，則僅支援在 Exchange Server 中解密 AES-256 CBC 加密的電子郵件訊息和附件。 若要啟用此支援，請執行下列設定覆寫：
   
   New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack”
   
   除了 2023 年 8 月 SU 所做的變更之外，2023 年 10 月 SU 會新增在 AES256-CBC 模式中加密電子郵件訊息和附件的支援。 如果您已安裝 2023 年 10 月 SU，請執行下列設定覆寫：
   
   New-SettingOverride –Name “EnableMSIPC” -Component Encryption –Section UseMSIPC –Parameters @(“Enabled=true”) -Reason “Enabling MSIPC stack” 
   
   New-SettingOverride -Name "EnableEncryptionAlgorithmCBC" -Parameters @("Enabled=True") -Component Encryption -Reason "Enable CBC encryption" -Section EnableEncryptionAlgorithmCBC  

5. 重新整理 VariantConfiguration 引數。 若要這麼做，請執行下列 Cmdlet：
   
   Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

6. 若要套用新的設定，請重新啟動 World Wide Web Publishing 服務及 Windows Process Activation Service (WAS)。 若要這麼做，請執行下列 Cmdlet:
   
   Restart-Service -Name W3SVC, WAS -Force

如果您在內部部署和Exchange Online) 都有 Exchange 混合式部署 (信箱 

搭配 Azure 版權管理服務連接器 (Azure RMS) 一起使用Exchange Server的組織，將會在 Exchange Online 中自動退出宣告 AES256-CBC 模式更新，直到 2024 年 1 月為止。 不過，如果您想要使用更安全的 AES-256 CBC 模式來加密 Exchange Online 中的電子郵件訊息和附件，並在 Exchange Server 中解密這類電子郵件訊息和附件，請完成這些步驟，對您的Exchange Server部署進行必要的變更。  

完成必要步驟之後，開啟支援案例，然後要求更新Exchange Online設定以啟用 AES256-CBC 模式。  

如果您將 Microsoft 365 Apps 與 Exchange Server 搭配使用 

根據預設，從 2023 年 8 月開始，您所有的 M365 應用程式，例如 Microsoft Outlook、Microsoft Word、Microsoft Excel 和 Microsoft PowerPoint，都會使用 AES256-CBC 模式加密。 

下節說明如何針對使用登錄設定和群組原則的使用者強制使用 AES128-}。

您可以使用Configuration/Administrative Templates/Microsoft Office 2016/Security Settings.下的資訊版權管理 (IRM) 設定加密模式，設定 Windows 版 Office 和 Microsoft 365 Apps 使用一或多變數模式 根據預設，從 Microsoft 365 Apps 版本 16.0.16327 開始使用 CBC 模式。 

例如，若要強制 Windows 用戶端使用 CBC 模式，請將群組原則設定設為： 

Encryption mode for Information Rights Management (IRM): [2, Electronic Codebook (ECB)]

若要設定Mac 版 Office用戶端的設定，請參閱為Mac 版 Office設定整個套件的喜好設定。

For more information, see the "AES256-CBC support for Microsoft 365" section of Technical reference details about encryption.