Microsoft Purview Information Protection will begin to use Advanced Encryption Standard (AES) with 256-bit key length in Cipher Block Chaining mode (AES256-CBC) by default for encryption of Office documents and emails. If your organization is part of any of the four groups listed in this post, you must take action to update or opt out of this change.

You can read about this on our Tech Community blog post and learn more in our documentation.

This message is associated with Microsoft 365 Roadmap ID 117576

[When this will happen:]

We will begin rolling out late August 2023 and expect to complete by late September 2023.

[How this will affect your organization:]

Today, Microsoft Purview Information Protection uses AES128 in electronic codebook mode (AES128-ECB) for protecting Office files and emails. Starting in late August 2023, we will begin to roll out changes to the default, moving to AES256-CBC for files and emails.

This change to the default encryption algorithm will roll out to:

• Microsoft 365 Apps on Current Channel and Monthly-Enterprise Channel.
• SharePoint Online
• Exchange Online and Office 365 Message Encryption
• Azure Information Protection Classify and Protect 2.17 and later
• Azure Information Protection PowerShell Module 2.17 and later
• Microsoft Purview Information Protection Scanner 2.17 and later

When complete, each of these services will generate encrypted files and emails using AES256-CBC. Consumption of AES256-CBC protected files and emails is fully supported across all supported Office clients, and AIP 2.16 or later. 

Any applications integrated with Microsoft Information Protection SDK 1.13 or later will support consumption of AES256-CBC protected content.

[What you need to do to prepare:]

The four impacted groups are organizations:

1. Using Microsoft 365 Apps with Exchange Server, or Exchange Server in Hybrid mode.

2. With custom line-of-business (LOB) or third-party applications capable of decrypting protected Office files.

3. Using Office Perpetual versions like Office 2019, Office 2019, and Office 2021/LTSC.

4. Using the Azure Information Protection Viewer, PowerShell, or Scanner.

Members of these groups must act prior to late August 2023. Failure to opt out of the AES256-CBC change or to install the Exchange Server patch will result in Exchange Server failing to decrypt protected emails for delivery to mobile devices, Outlook for Mac, and both Exchange Server eDiscovery and journaling. For full details, please review the Microsoft Tech Community Blog post: https://aka.ms/Purview/CBCBlog 

Organizations using Microsoft 365 Apps with Microsoft 365 Services will transition over to protection and consumption of Office documents in CBC mode with no admin intervention. 

Microsoft Purview 情報保護は、Office ドキュメントと電子メールの暗号化に既定で、暗号ブロックチェーン モード (AES256-CBC) で 256 ビットのキー長を持つ高度暗号化標準 (AES) の使用を開始します。組織がこの投稿に記載されている4つのグループのいずれかに属している場合は、この変更を更新またはオプトアウトするためのアクションを実行する必要があります。

これについては、技術コミュニティのブログ投稿を読み、ドキュメントで詳細を確認できます。

このメッセージは、Microsoft 365 ロードマップ ID に関連付けられています117576

[これが起こるとき:]

2023 年 8 月下旬にロールアウトを開始し、2023 年 9 月下旬までに完了する予定です。

[これが組織に与える影響:]

現在、Microsoft Purview Information Protection は、Office ファイルと電子メールを保護するために、電子コードブック モード (AES128-ECB) の AES128 を使用しています。2023 年 8 月下旬から、デフォルトの変更のロールアウトを開始し、ファイルとメールを AES256-CBC に移行します。

デフォルトの暗号化アルゴリズムに対するこの変更は、次のように展開されます。

• 現在のチャネルと月次エンタープライズ チャネルの Microsoft 365 アプリ。
• SharePoint Online
• Exchange Online および Office 365 メッセージの暗号化
• Azure Information Protection Classify and Protect 2.17 以降
• Azure Information Protection PowerShell Module 2.17 以降
• マイクロソフト情報保護スキャナー 2.17 以降

完了すると、これらの各サービスはAES256-CBCを使用して暗号化されたファイルと電子メールを生成します。AES256-CBC で保護されたファイルと電子メールの使用は、サポートされているすべての Office クライアントと AIP 2.16 以降で完全にサポートされています。 

Microsoft 情報保護 SDK 1.13 以降と統合されたアプリケーションは、AES256-CBC で保護されたコンテンツの使用をサポートします。

[準備するために必要なこと:]

影響を受ける 4 つのグループは組織です。

1. Exchange Server での Microsoft 365 Apps、またはハイブリッド モードでの Exchange Server の使用。

2. 保護された Office ファイルの暗号化を解除できるカスタム基幹業務 (LOB) またはサード パーティ製アプリケーションを使用します。

3. Office 2019、Office 2019、Office 2021/LTSC などの永続的なバージョンの Office を使用する。

4. Azure Information Protection ビューアー、PowerShell、またはスキャナーを使用する。

これらのグループのメンバーは、2023年8月下旬より前に行動する必要があります。AES256-CBC の変更をオプトアウトしない、または Exchange Server の更新プログラムをインストールしないと、モバイル デバイス、Outlook for Mac、および Exchange Server の電子情報開示とジャーナリングの両方に配信するために、保護された電子メールの解読に失敗します。詳細については、マイクロソフト テック コミュニティ ブログの投稿を参照してください。 https://aka.ms/Purview/CBCBlog 

Microsoft 365 サービスと Microsoft 365 アプリを使用している組織は、管理者の介入なしに、CBC モードでの Office ドキュメントの保護と使用に移行します。