Microsoft Purview カスタマー キーを使用したサービス暗号化の概要
Microsoft 365 では、BitLocker と分散キー マネージャー (DKM) を使用して有効になっているベースラインのボリューム レベルの暗号化が提供されます。 Windows 365 Enterpriseと Business Cloud PC ディスクは、Azure Storage サーバー側の暗号化 (SSE) で暗号化されます。 Microsoft 365 では、カスタマー キーを使用してコンテンツの暗号化レイヤーが追加されています。 このコンテンツには、Exchange Online、Microsoft SharePoint、Microsoft OneDrive、Microsoft Teams、Windows 365 クラウド PC からのデータが含まれます。
BitLocker は、Windows 365クラウド PC の暗号化オプションとしてサポートされていません。 詳細については、「IntuneでのWindows 10仮想マシンの使用」を参照してください。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview 試用版ハブから開始します。 サインアップと試用期間の詳細については、こちらをご覧ください。
サービス暗号化、BitLocker、SSE、カスタマー キーの連携
Microsoft 365 データは、BitLocker と DKM を使用して Microsoft 365 サービスで保存時に常に暗号化されます。 詳細については、「メール シークレットExchange Onlineセキュリティで保護する方法」を参照してください。 カスタマー キーは、承認されていないシステムまたは担当者によるデータの表示に対する保護を強化し、Microsoft データ センターでの BitLocker ディスク暗号化とSSEを補完します。 サービスの暗号化は、Microsoft の担当者がデータにアクセスすることを妨げる目的ではありません。 代わりに、カスタマー キーは、ルート キーを制御するための規制またはコンプライアンスの義務を満たすのに役立ちます。 Microsoft 365 サービスが暗号化キーを使用して、電子情報開示、マルウェア対策、スパム対策、検索インデックス作成などの付加価値のあるクラウド サービスを提供することを明示的に承認します。
カスタマー キーはサービス暗号化に基づいて構築されており、暗号化キーを提供および制御できます。 Microsoft 365 では、 オンライン サービス条項 (OST) で説明されているように、保存データを暗号化するためにこれらのキーを使用します。 カスタマー キーは、Microsoft 365 がデータの暗号化と暗号化解除に使用する暗号化キーを制御するため、コンプライアンス義務を満たすのに役立ちます。
カスタマー キーは、クラウド サービス プロバイダーとの重要な取り決めを指定するコンプライアンス要件の要求を満たすために、organizationの機能を強化します。 Customer Key を使用すると、保存中の Microsoft 365 データのルート暗号化キーをアプリケーション レベルで提供および制御できます。 その結果、organizationのキーを制御できます。
ハイブリッド展開を使用したカスタマー キー
カスタマー キーは、クラウド内の保存データのみを暗号化します。 カスタマー キーは、オンプレミスのメールボックスとファイルを保護するために機能しません。 BitLocker などの別の方法を使用して、オンプレミスデータを暗号化できます。
データ暗号化ポリシーについて学習する
データ暗号化ポリシー (DEP) は、暗号化階層を定義します。 この階層は、管理する各キーと Microsoft によって保護されている可用性キーを使用してデータを暗号化するためにサービスによって使用されます。 PowerShell コマンドレットを使用して DEP を作成し、DEP を割り当ててアプリケーション データを暗号化します。 カスタマー キーでサポートされるデータ暗号化ポリシー (DEP) には、3 種類あります。 ポリシーの種類ごとに異なるコマンドレットが使用され、異なる種類のデータのカバレッジが提供されます。 次の型を定義できます。
複数の Microsoft 365 ワークロードの DEP これらの DEP は、テナント内のすべてのユーザーに対して、複数の Microsoft 365 ワークロードにわたってデータを暗号化します。 これらのワークロードには、次のものが含まれます。
クラウド PC をWindows 365します。 詳細については、「Windows 365 クラウド PC の Microsoft Purview カスタマー キー」を参照してください。
Teams チャット メッセージ (1:1 チャット、グループ チャット、会議チャット、チャネル会話)
Teams メディア メッセージ (画像、コード スニペット、ビデオ メッセージ、オーディオ メッセージ、Wiki イメージ)
Teams ストレージに格納されている Teams 通話と会議の記録
Teams チャット通知
Cortana による Teams チャットの提案
Teams ステータス メッセージ
Microsoft 365 Copilot操作
Exchange Onlineのユーザー情報とシグナル情報
メールボックス DEP から暗号化を適用せずにメールボックスをExchange Onlineする
Microsoft Purview Information Protection:
データ ファイル スキーマ、ルール パッケージ、機密データのハッシュに使用される塩など、正確なデータ一致 (EDM) データ。 EDM とMicrosoft Teamsの場合、マルチワークロード DEP は、DEP をテナントに割り当てた時点からの新しいデータを暗号化します。 Exchange Onlineの場合、Customer Key はすべての既存データと新しいデータを暗号化します。
秘密度ラベルのラベル構成
マルチワークロード DEP では、次の種類のデータは暗号化されません。 代わりに、Microsoft 365 は他の種類の暗号化を使用してこのデータを保護します。
- SharePoint データと OneDrive データ。
- Microsoft Teams ファイルと、OneDrive と SharePoint に保存されている一部の Teams 通話と会議の記録は、SharePoint DEP を使用して暗号化されます。
- Viva EngageやPlannerなど、カスタマー キーでサポートされていないその他の Microsoft 365 ワークロード。
- Teams Live イベント データ。
テナントごとに複数の DEP を作成できますが、一度に割り当てる DEP は 1 つだけです。 DEP を割り当てると、暗号化は自動的に開始されますが、テナントのサイズによっては完了するまでに時間がかかります。
Exchange Onlineメールボックスの DEP メールボックス DEP では、Exchange Online内の個々のメールボックスをより正確に制御できます。 メールボックス DEP を使用して、UserMailbox、MailUser、Group、PublicFolder、Shared メールボックスなど、さまざまな種類の EXO メールボックスに格納されているデータを暗号化します。 テナントごとに最大 50 個のアクティブな DEP を持ち、それらの DEP を個々のメールボックスに割り当てることができます。 1 つの DEP を複数のメールボックスに割り当てることができます。
既定では、メールボックスは Microsoft マネージド キーを使用して暗号化されます。 顧客キー DEP をメールボックスに割り当てる場合:
マルチワークロード DEP を使用してメールボックスが暗号化されている場合、ユーザーまたはシステム操作がメールボックス データにアクセスする限り、サービスは新しいメールボックス DEP を使用してメールボックスを再ラップします。
Microsoft が管理するキーを使用してメールボックスが既に暗号化されている場合、ユーザーまたはシステム操作がメールボックス データにアクセスする限り、サービスは新しいメールボックス DEP を使用してメールボックスを再ラップします。
既定の暗号化を使用してメールボックスがまだ暗号化されていない場合、サービスはメールボックスに移動のマークを付けます。 暗号化は、移動が完了すると行われます。 メールボックスの移動は、すべての Microsoft 365 に設定された優先順位に基づいて管理されます。 詳細については、「 Microsoft 365 サービスでの要求の移動」を参照してください。 指定した時間内にメールボックスが暗号化されていない場合は、Microsoft にお問い合わせください。
後で、「Office 365のカスタマー キーを管理する」の説明に従って、DEP を更新するか、別の DEP をメールボックスに割り当てることができます。 各メールボックスには、DEP を割り当てる適切なライセンスが必要です。 ライセンスの詳細については、「 カスタマー キーを設定する前に」を参照してください。
ユーザー メールボックスのライセンス要件を満たすテナントの共有メールボックス、パブリック フォルダー メールボックス、Microsoft 365 グループ メールボックスに DEP を割り当てることができます。 顧客キー DEP を割り当てるために、ユーザー固有以外のメールボックスに個別のライセンスは必要ありません。
個々のメールボックスに割り当てるカスタマー キー DEP の場合は、サービスを終了するときに特定の DEP を削除するよう Microsoft に要求できます。 データ消去プロセスとキー失効の詳細については、「 キーを取り消してデータ消去パス プロセスを開始する」を参照してください。
サービスの終了の一環としてキーへのアクセスを取り消すと、可用性キーが削除され、暗号化によってデータが削除されます。 暗号化の削除は、セキュリティとコンプライアンスの両方の義務を満たす上で重要なデータの再管理のリスクを軽減します。
SharePoint と OneDrive の DEP この DEP は、SharePoint と OneDrive に格納されているコンテンツ (SharePoint に格納されているMicrosoft Teamsファイルなど) を暗号化するために使用されます。 複数地域機能を使用している場合は、organizationの geo ごとに 1 つの DEP を作成できます。 複数地域機能を使用していない場合は、テナントごとに 1 つの DEP のみを作成できます。 「 顧客キーの設定」の詳細を参照してください。
顧客キーで使用される暗号化暗号
Customer Key では、次の図に示すように、さまざまな暗号化暗号を使用してキーを暗号化します。
複数の Microsoft 365 ワークロードのデータを暗号化する DEP に使用されるキー階層は、個々のExchange Onlineメールボックスの DEP に使用される階層に似ています。 唯一の違いは、メールボックス キーが対応する Microsoft 365 ワークロード キーに置き換えられる点です。
Exchange Onlineのキーを暗号化するために使用される暗号化暗号
SharePoint と OneDrive のキーを暗号化するために使用される暗号化暗号