次の方法で共有

Microsoft Purview カスタマー キーを使用したサービス暗号化の概要

Microsoft 365 では、BitLocker と分散キー マネージャー (DKM) を使用したベースラインのボリューム レベルの暗号化が提供されます。 Windows 365 Enterpriseと Business Cloud PC ディスクは、Azure Storage サーバー側の暗号化 (SSE) を使用して暗号化されます。

Microsoft 365 では、より詳細な制御を行うために、カスタマー キーを使用してコンテンツの暗号化レイヤーを追加することもできます。 このコンテンツには、Microsoft Exchange、SharePoint、OneDrive、Teams、Windows 365 クラウド PC からのデータが含まれます。

BitLocker は、Windows 365クラウド PC の暗号化オプションとしてサポートされていません。 詳細については、「IntuneでのWindows 10仮想マシンの使用」を参照してください。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview トライアル ハブ で今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、organizationのセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細については、こちらをご覧ください。

サービス暗号化、BitLocker、SSE、カスタマー キーの連携

Microsoft 365 データは、常に BitLocker と分散キー マネージャー (DKM) を使用して保存時に暗号化されます。 詳細については、「 Exchange がメール シークレットをセキュリティで保護する方法」を参照してください。

カスタマー キーを使用すると、データへの不正アクセスに対する保護が強化されます。 これは、Microsoft データ センターの BitLocker ディスク暗号化とサーバー側暗号化 (SSE) を補完します。 サービス暗号化は、Microsoft 担当者がデータにアクセスできないように設計されていません。 代わりに、カスタマー キーは、ルート暗号化キーを制御できるようにすることで、コンプライアンスまたは規制の要件を満たすのに役立ちます。

Microsoft 365 が暗号化キーを使用して、電子情報開示、マルウェア対策、スパム対策、検索インデックス作成などの付加価値サービスを提供することを明示的に承認します。

サービス暗号化に基づいて構築されたカスタマー キーを使用すると、暗号化キーを提供および制御できます。 Microsoft 365 では、 オンライン サービス条項 (OST) で説明されているように、保存データを暗号化するためにこれらのキーを使用します。 暗号化キーを制御するため、カスタマー キーはコンプライアンス要件を満たすのに役立ちます。

カスタマー キーを使用すると、クラウド プロバイダーとのキー制御の調整を必要とするコンプライアンス標準を満たす能力が向上します。 保存中の Microsoft 365 データのルート暗号化キーをアプリケーション レベルで指定して管理します。 この設定により、organizationの暗号化キーを直接制御できます。

ハイブリッド展開を使用したカスタマー キー

カスタマー キーは、クラウド内の保存データのみを暗号化します。 オンプレミスのメールボックスやファイルは保護されません。 オンプレミスのデータを保護するには、BitLocker などの別のメソッドを使用します。

データ暗号化ポリシーについて学習する

データ暗号化ポリシー (DEP) は、暗号化階層を定義します。 サービスでは、この階層を使用して、管理するキーと Microsoft が保護する可用性キーの両方を使用してデータを暗号化します。 PowerShell コマンドレットを使用して DEP を作成し、それを割り当ててアプリケーション データを暗号化します。

カスタマー キーでは、3 種類の DEP がサポートされています。 型ごとに異なるコマンドレットを使用し、異なる種類のデータを保護します。

複数の Microsoft 365 ワークロードの DEP

これらの DEP は、テナント内のすべてのユーザーに対して、複数の Microsoft 365 ワークロードにわたってデータを暗号化します。 ワークロードには次のものが含まれます。

  • クラウド PC をWindows 365します。 詳細については、「Windows 365 クラウド PC の Microsoft Purview カスタマー キー」を参照してください。
  • Teams チャット メッセージ (1:1 チャット、グループ チャット、会議チャット、チャネル会話)
  • Teams メディア メッセージ (画像、コード スニペット、ビデオ メッセージ、オーディオ メッセージ、Wiki イメージ)
  • Teams ストレージに格納されている Teams 通話と会議の記録
  • Teams チャット通知
  • Cortana による Teams チャットの提案
  • Teams ステータス メッセージ
  • Microsoft 365 Copilot操作
  • Exchange のユーザー情報とシグナル情報
  • メールボックス DEP が暗号化しない Exchange メールボックス
  • Microsoft Purview Information Protection:
    • データ ファイル スキーマ、ルール パッケージ、機密データのハッシュに使用される塩など、正確なデータ 一致 (EDM) データ
      • EDM と Teams の場合、DEP では、テナントに割り当てたときから新しいデータが暗号化されます。
      • Exchange の場合、Customer Key は既存および新しいデータをすべて暗号化します。
    • 秘密度ラベルの構成

マルチワークロード DEP では、次の種類のデータは暗号化されません。 このデータは、Microsoft 365 の他の暗号化方法を使用して保護されています。

  • SharePoint データと OneDrive データ
  • Teams ファイルと、SharePoint または OneDrive に保存された一部の Teams 通話と会議の記録 (SharePoint DEP によって暗号化)
  • Teams Live イベント データ
  • Viva EngageやPlannerなど、カスタマー キーでサポートされていないワークロード

テナントごとに複数の DEP を作成できますが、一度に割り当てるのは 1 つだけです。 完了時間はテナント サイズによって異なりますが、割り当て後に暗号化が自動的に開始されます。

Exchange メールボックスの DEP

メールボックス DEP を使用すると、個々のExchange Onlineメールボックスをより詳細に制御できます。 これらを使用して、UserMailbox、MailUser、Group、PublicFolder、および Shared メールボックスのデータを暗号化できます。

テナントごとに最大 50 個のアクティブなメールボックス DEP を使用できます。 複数のメールボックスに 1 つの DEP を割り当てることができますが、メールボックスごとに 1 つの DEP のみを割り当てることができます。

既定では、Exchange メールボックスは Microsoft が管理するキーを使用して暗号化されます。 カスタマー キー DEP を割り当てる場合:

  • マルチワークロード DEP を使用してメールボックスが既に暗号化されている場合、サービスは、次回ユーザーまたはシステムがデータにアクセスすると、メールボックス DEP で再ラップされます。
  • Microsoft が管理するキーでメールボックスが暗号化されている場合、サービスはアクセス時にメールボックス DEP で再ラップします。
  • メールボックスがまだ暗号化されていない場合、サービスによって移動のマークが付けられます。 暗号化は移動後に行われます。 メールボックスの移動は、Microsoft 365 全体の優先度規則に従います。 詳細については、「 Microsoft 365 サービスでの要求の移動」を参照してください。 メールボックスが時間内に暗号化されていない場合は、Microsoft にお問い合わせください。

後で「Office 365のカスタマー キーを管理する」の説明に従って、DEP を更新するか、別の DEP を割り当てることができます。

各メールボックスは、カスタマー キーを使用するためにライセンス要件を満たす必要があります。 詳細については、「 カスタマー キーを設定する前に」を参照してください。

テナントがユーザー メールボックスのライセンス要件を満たしている限り、DEP を共有メールボックス、パブリック フォルダーメールボックス、グループ メールボックスに割り当てることができます。 ユーザー固有以外のメールボックスに個別のライセンスは必要ありません。

また、サービスを終了するときに、Microsoft が特定の DEP を消去することを要求することもできます。 キーの消去と取り消しの詳細については、「キー の取り消しとデータ消去パス プロセスの開始」を参照してください。

キーへのアクセスを取り消すと、Microsoft は可用性キーを削除します。 この削除により、データの暗号化が削除され、コンプライアンスとデータの再管理の要件を満たすのに役立ちます。

SharePoint と OneDrive の DEP

この DEP は、SharePoint と OneDrive に格納されているコンテンツ (SharePoint に格納されている Teams ファイルを含む) を暗号化します。

  • 複数地域機能を使用する場合は、geo ごとに 1 つの DEP を作成できます。
  • 作成できない場合は、テナントごとに 1 つの DEP のみを作成できます。

セットアップ手順については、「 顧客キーの設定」を参照してください。

顧客キーで使用される暗号化暗号

Customer Key では、次の図に示すように、さまざまな暗号化暗号を使用してキーを保護します。

複数の Microsoft 365 ワークロード間でデータを暗号化する DEP に使用されるキー階層は、個々の Exchange メールボックスに使用されるキー階層と似ています。 対応する Microsoft 365 ワークロード キーによってメールボックス キーが置き換えられます。

Exchange のキーを暗号化するために使用される暗号化暗号

Exchange カスタマー キーの暗号化暗号。

SharePoint と OneDrive のキーを暗号化するために使用される暗号化暗号

SharePoint カスタマー キーの暗号化暗号。