Microsoft が管理: テナント キーのライフサイクル操作
Note
Microsoft Purview Information Protectionをお探しですか?(以前の Microsoft Information Protection (MIP))
Azure Information Protection アドインは 廃止 され、 Microsoft 365 アプリとサービスに組み込まれているラベルに置き換えられています。 詳細については、「他の Azure Information Protection コンポーネントのサポート状況」を参照してください。
Microsoft Purview Information Protection クライアント (アドインなし) は 一般提供されています。
Microsoft が Azure Information Protection のテナント キー (既定) を管理する場合は、このトポロジに関連するライフ サイクル操作の詳細については、次のセクションを利用してください。
テナント キーを取り消す
Azure Information Protection のサブスクリプションを取り消すと、Azure Information Protection はテナント キーの使用を停止し、ユーザーからのアクションは必要ありません。
テナント キーを再入力します
再入力は、キーのローリングとも呼ばれます。 この操作を行うと、Azure Information Protection は既存のテナント キーの使用を停止してドキュメントと電子メールを保護し、別のキーの使用を開始します。 ポリシーとテンプレートはすぐに削除されますが、Azure Information Protection を使用する既存のクライアントとサービスでは、この変更は段階的に行われます。 そのため、しばらくの間、一部の新しいコンテンツは古いテナント キーで保護され続けます。
再入力するには、テナント キー オブジェクトを構成し、使用する代替キーを指定する必要があります。 その後、以前に使用したキーは、Azure Information Protection のアーカイブ済みとして自動的にマークされます。 この構成は、このキーを使用して保護されたコンテンツがアクセスできることを確保します。
Azure Information Protection の再入力が必要になる場合の例は次に示します。
暗号化モード 1 キーを使用して 、Active Directory Rights Management サービス (AD RMS) から移行しました。 移行が完了したら、暗号化モード 2 を使用するキーを使用するように変更したいです。
あなたの会社は、2 つ以上の会社に分割されました。 テナント キーを再入力すると、新しい会社は従業員が公開する新しいコンテンツにアクセスできなくなります。 古いテナント キーのコピーがある場合は、古いコンテンツにアクセスできます。
あるキー管理トポロジから別のキー管理トポロジに移行する必要があります。
テナント キーのマスター コピーが侵害されたと考えています。
再入力するには、別の Microsoft マネージド キーを選択してテナント キーにすることができますが、新しい Microsoft マネージド キーを作成することはできません。 新しいキーを作成するには、キー トポロジをカスタマー マネージド (BYOK) に変更する必要があります。
Active Directory Rights Management サービス (AD RMS) から移行し、Azure Information Protection の Microsoft マネージド キー トポロジを選択した場合は、複数の Microsoft マネージド キーがあります。 このシナリオでは、テナント用に少なくとも 2 つの Microsoft マネージド キーがあります。 1 つ以上のキーは、キーまたはAD RMS からインポートしたキーです。 Azure Information Protection テナント用に自動的に作成された既定のキーもあります。
Azure Information Protection のアクティブなテナント キーとして別のキーを選択するには、AIPService モジュールから Set-AipServiceKeyProperties コマンドレットを使用します。 使用するキーを識別するには、 Get-AipServiceKeys コマンドレットを使用します。 次のコマンドを実行して、Azure Information Protection テナント用に自動的に作成された既定のキーを識別できます。
(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
キー トポロジをお客様が管理するように変更するには (BYOK)、「Azure Information Protection テナント キーを計画して実装する」を参照してください。
テナント キーをバックアップと回復する
Microsoftはテナント キーをバックアップする責任を負い、ユーザーからの操作する必要がありません。
テナント キーをエクスポートする
次の 3 つの手順の指示に従って、Azure Information Protection の構成とテナント キーをエクスポートできます。
手順 1: エクスポートを開始します
- Azure Information Protection キーのエクスポートの要求を含む Azure Information Protection サポート ケースを開くには、Microsoft サポートにお問い合わせください。 自分がテナントの管理者であることを証明する必要があります。また、このプロセスの確認には数日かかることを了承しておく必要があります。 標準サポート料金が適用されます。テナント キーのエクスポートは、無料のサポート サービスではありません。
手順 2: 検証を待ちます
- Microsoft は、Azure Information Protection テナント キーの要求が正当であることを確認します。 このプロセスには最大3週間かかることがあります。
手順 3: CSS からの主要な指示を受け取ります
Microsoft カスタマー サポート サービス (CSS) は、パスワードで保護されたファイルで暗号化された Azure Information Protection の構成とテナント キーを送信します。 このファイルはファイル名拡張子 tpd を持つ。 これを行うには、CSS は最初にツールを電子メールで (エクスポートを開始したユーザーとして) 送信します。 次のようにコマンド プロンプトからツールを実行する必要があります。
AadrmTpd.exe -createkey
これにより RSA キー ペアが生成され、パブリックと現在のフォルダー内でファイルとしてプライベートの半分が保存されます。 例: PublicKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt と PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt。
CSS からのメールに応答し、PublicKey で 始まる名前を持つファイルを添付します。 CSS は次に、RSA キーで暗号化された .xml ファイルとして TPD ファイルを送信します。 最初に AadrmTpd ツールを実行したのと同じフォルダーにこのファイルをコピーし、 PrivateKey で始まるファイルと CSS からのファイルを使用して、ツールを一度実行します。 次に例を示します。
AadrmTpd.exe -key PrivateKey-FA29D0FE-5049-4C8E-931B-96C6152B0441.txt -target TPD-77172C7B-8E21-48B7-9854-7A4CEAC474D0.xml
このコマンドの出力は 2 つのファイルである必要があります。1 つはパスワードで保護された TPD のプレーン テキスト パスワードを含み、もう 1 つはパスワードで保護された TPD 自体です。 ファイルには、次のように示す新しい GUID があります。
Password-5E4C2018-8C8C-4548-8705-E3218AA1544E.txt
ExportedTPD-5E4C2018-8C8C-4548-8705-E3218AA1544E.xml
これらのファイルをバックアップし、安全に保存して、このテナント キーで保護されているコンテンツを解除し続けられるように確保します。 さらに、AD RMS に移行する場合は、この TPD ファイル (ExportedTDP で始まるファイル) を AD RMS サーバーにインポートできます。
手順 4: 継続的: テナント キーを保護する
テナント キーを受け取った後は、厳重に保護された状態を維持します。これは、だれかがアクセスすると、そのキーを使用して保護されているすべてのドキュメントを解除できるためです。
テナント キーをエクスポートする原因が Azure Information Protection を使用しなくなった場合は、ベスト プラクティスとして、Azure Information Protection テナントからのAzure Rights Management サービスを非アクティブ化します。 テナント キーを受け取った後にこれを遅らせないでください。この予防措置は、テナント キーを持っていないユーザーがテナント キーにアクセスした場合の結果を最小限に抑えるのに役立ちます。 指示については、 Azure Rights Management の停止と非アクティブ化に関するページを参照してください。
違反に対応する
セキュリティ システムは、どの程度の強さであっても、違反対応プロセスなしでは完了しません。 テナント キーが侵害されたり、盗まれたりする可能性があります。 適切に保護されている場合でも、現在の世代のキー テクノロジまたは現在のキーの長さとアルゴリズムに脆弱性が発見される可能性があります。
Microsoft には、製品とサービスのセキュリティ インシデントに対応するための専用チームがあります。 インシデントの信頼できるレポートが作成されるとすぐに、このチームはスコープ、根本原因および軽減策の調査に取り組みます。 このインシデントが資産に影響を与える場合、Microsoft は、テナントのグローバル管理者にメールで通知します。
違反がある場合、お客様または Microsoft が実行できる最善の措置は、違反の範囲によって異なります。Microsoft は、このプロセスを通じてお客様と協力します。 次の表は、一般的な状況と可能な応答を示していますが、正確な応答は調査中に明らかにされるすべての情報によって異なります。
インシデントの説明 | 応答可能性 |
---|---|
テナント キーが漏洩しました。 | テナント キーを再入力します。 この記事で「 テナント キー の再入力」セクションを参照してください。 |
承認されていない個人またはマルウェアは、テナント キーを使用する権限を取得しましたが、キー自体は漏洩しませんでした。 | テナント キーの再入力はここでは役に立たない、根本原因の分析が必要です。 承認されていない個人がアクセス権を取得する原因がプロセスまたはソフトウェアのバグである場合は、その状況を解決する必要があります。 |
RSA アルゴリズムで発見された脆弱性、キーの長さまたはブルート フォース攻撃は計算可能になります。 | Microsoft は、回復力のある新しいアルゴリズムとより長いキーの長さをサポートするように Azure Information Protection を更新し、すべての顧客にテナント キーの再入力を指示する必要があります。 |