次の方法で共有

カスタマー キーまたは可用性キーをローリングまたはローテーションする

注意

顧客キーで使用される暗号化キーは、organizationのセキュリティまたはコンプライアンス ポリシーで必要な場合にのみロールします。

以前のバージョンを含め、暗号化ポリシーに関連付けられているキーは削除または無効にしないでください。 キーをロールするとき、一部のコンテンツは以前のキーで暗号化されている可能性があります。

例:

  • アクティブなメールボックスは頻繁に再暗号化されますが、非アクティブ、切断、または無効なメールボックスでは、引き続き古いキーが使用される場合があります。
  • SharePoint では、復元と回復のためにバックアップ コンテンツが保持されます。これは、古いキーにも依存する可能性があります。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview トライアル ハブ で今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

可用性キーのローリングについて

Microsoft では、可用性キーを直接制御することはお客様に提供していません。 たとえば、Azure Key Vaultで管理するキーのみをロールできます。

Microsoft 365 は、可用性キーを内部スケジュールでロールします。 これらのキーローテーションには、顧客向けのサービス レベル アグリーメント (SLA) はありません。 Microsoft 365 では、サービス コードを使用して可用性キーを自動的にローテーションします。 場合によっては、Microsoft 管理者がプロセスを開始できますが、キーストアへの直接アクセスを許可しない自動化されたメカニズムによってキーがロールされます。

Microsoft 管理者は、可用性キー シークレット ストアへのアクセスをプロビジョニングしていません。 ローリング プロセスでは、初期プロビジョニング中にキーを生成するのと同じメカニズムが使用されます。

詳細については、「 可用性キーについて」を参照してください。

重要

Exchange の場合、新しいデータ暗号化ポリシー (DEP) を作成することで、可用性キーを効果的にロールできます。 新しい DEP ごとに、一意の可用性キーが生成されます。

一方、SharePoint と OneDrive のカスタマー キーの可用性キーはフォレスト レベルで作成され、DEP と顧客間で共有されます。 これらのキーは、Microsoft が定義した内部スケジュールでのみロールされます。

新しい DEP、SharePoint、OneDrive、Teams ごとに可用性キーをロールしないリスクを軽減するために、新しい DEP を作成するたびにテナント中間キー (TIK) をロールします。 TIK は、顧客ルート キーと可用性キーの両方によってラップされたキーです。

カスタマー マネージド ルート キーのローリングについて

カスタマー マネージド ルート キーをロールするには、次の 2 つの方法があります。

  • 新しいバージョンを要求し、関連付けられているデータ暗号化ポリシー (DEP) を更新して、既存のキーを更新します。
  • 新しく生成されたキーと新しい DEP を作成して使用します。

両方のメソッドの手順については、次のセクションで説明します。

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、organizationのセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細については、こちらをご覧ください。

ロールする既存の各ルート キーの新しいバージョンを要求する

既存のキーの新しいバージョンを要求するには、元のキーの作成時に使用した構文とキー名と同じコマンドレット Add-AzKeyVaultKey を使用します。

データ暗号化ポリシー (DEP) に関連付けられているキーのローリングが完了したら、別のコマンドレットを実行して DEP を更新し、Customer Key で新しいバージョンが使用されていることを確認します。 各 Azure Key Vault (AKV) でこのプロセスを繰り返します。

例:

  1. Azure PowerShellを使用して Azure サブスクリプションにサインインします。 手順については、「Azure PowerShellでサインインする」を参照してください。

  2. Add-AzKeyVaultKey コマンドレットを実行します。

    Add-AzKeyVaultKey -VaultName Contoso-CK-EX-NA-VaultA1 -Name Contoso-CK-EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date -Date "12/27/2016 12:01 AM")

    この例では、Contoso-CK-EX-NA-VaultA1-Key001 という名前のキーが Contoso-CK-EX-NA-VaultA1 コンテナーに既に存在します。 コマンドレットは、新しいバージョンのキーを作成します。 以前のバージョンは、キーのバージョン履歴に保持されます。

    以前のバージョンにアクセスして、まだ暗号化されているコンテンツを暗号化解除する必要があります。

    DEP に関連付けられているキーのローリングが完了したら、別のコマンドレットを実行して、Customer Key が新しいバージョンの使用を開始することを確認します。 以降のセクションでは、これらのコマンドレットについて詳しく説明します。

    マルチワークロード DEP のキーを更新する

    複数のワークロードで使用されるデータ暗号化ポリシー (DEP) に関連付けられている Azure Key Vault キーのいずれかをロールする場合は、新しいキー バージョンを参照するように DEP を更新する必要があります。 このアクションでは、可用性キーはローテーションされません。

    同じキーの新しいバージョンで DEP を更新する場合、 DataEncryptionPolicyID プロパティは変わりません。

    複数のワークロード間で暗号化に新しいキーを使用するように Customer Key に指示するには、次の手順に従います。

    1. ローカル コンピューターで、適切な アクセス許可を持つ職場または学校アカウントを使用し、 Exchange PowerShell に接続します

    2. Set-M365DataAtRestEncryptionPolicy コマンドレットを実行します。

    Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Refresh
    パラメーター 説明
    -Identity データ暗号化ポリシーの一意の名前または GUID

    Exchange DEP のキーを更新する

    Exchange で使用されるデータ暗号化ポリシー (DEP) に関連付けられている Azure Key Vault キーのいずれかをロールする場合は、新しいキー バージョンを参照するように DEP を更新する必要があります。 この手順では、可用性キーはローテーションされません。

    同じキーの新しいバージョンでポリシーを更新する場合、メールボックスの DataEncryptionPolicyID プロパティは同じままです。

    メールボックスの暗号化に新しいキーを使用するように顧客キーに指示するには、次の手順に従います。

    1. ローカル コンピューターで、適切な アクセス許可を持つ職場または学校アカウントを使用し、 Exchange PowerShell に接続します

    2. Set-DataEncryptionPolicy コマンドレットを実行します。

    Set-DataEncryptionPolicy -Identity <Policy> -Refresh
    パラメーター 説明
    -Identity データ暗号化ポリシーの一意の名前または GUID

DEP に新しく生成されたキーを使用する

既存のキーを更新する代わりに新しく生成されたキーを使用する場合、データ暗号化ポリシーを更新するプロセスは異なります。 既存のポリシーを更新するのではなく、新しいキーを参照する新しいデータ暗号化ポリシーを作成して割り当てる必要があります。

  1. 新しいキーを作成してキー コンテナーに追加するには、「キーを 作成またはインポートして、各キー コンテナーにキーを追加する」の手順に従います。

  2. キー コンテナーにキーを追加した後、 新しく 生成されたキーのキー URI を使用して新しいデータ暗号化ポリシーを作成します。 詳細な手順については、「 Microsoft 365 のカスタマー キーを管理する」を参照してください。

SharePoint と OneDrive のキーを更新する

SharePoint では、一度に 1 つのキーのみをローリングできます。 キー コンテナーで両方のキーをロールする予定の場合は、最初の操作が完了するまで待ってから、2 番目のキーを開始します。 競合を回避するために、Microsoft では、操作をずらすようお勧めします。

SharePoint と OneDrive で使用されるデータ暗号化ポリシー (DEP) に関連付けられている Azure Key Vault キーのいずれかをロールする場合は、新しいキーを参照するように DEP を更新する必要があります。 このプロセスでは、可用性キーはローテーションされません。

  1. SharePoint と OneDrive のキーをロールするには、 Update-SPODataEncryptionPolicy コマンドレットを実行します。

    Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>

    このコマンドレットはキー ロール操作を開始しますが、変更はすぐには有効になりません。

  2. マネージド HSM に格納されているキーを使用して SharePoint ポリシーと OneDrive ポリシーを更新するには、次のコマンドを実行します。

    Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultURL <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>

  3. キー ロール操作の進行状況をチェックするには、次を実行します。

    Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>