Microsoft Purview カスタマー キーを使用したサービス暗号化の概要

Microsoft 365 では、BitLocker と分散キー マネージャー (DKM) を使用して有効になっているベースラインのボリューム レベルの暗号化が提供されます。 Windows 365 Enterpriseと Business Cloud PC ディスクは、Azure Storage サーバー側暗号化 (SSE) で暗号化されます。 Microsoft 365 では、カスタマー キーを使用してコンテンツの暗号化レイヤーが追加されています。 このコンテンツには、Exchange Online、SharePoint Online、OneDrive for Business、Microsoft Teams、Windows 365 クラウド PC からのデータが含まれます。

BitLockerは、Windows 365 クラウド PCの暗号化オプションとしてサポートされていません。 詳細については、「Intune でのWindows 10仮想マシンの使用」を参照してください。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

Microsoft Purview カスタマー キーのWindows 365サポートはパブリック プレビュー段階であり、変更される可能性があります。

サービス暗号化、BitLocker、SSE、カスタマー キーの連携

Microsoft 365 データは、BitLocker と DKM を使用して Microsoft 365 サービスで保存時に常に暗号化されます。 詳細については、「メール シークレットExchange Onlineセキュリティで保護する方法」を参照してください。 カスタマー キーは、承認されていないシステムまたは担当者によるデータの表示に対する保護を強化し、Microsoft データ センターの BitLocker ディスク暗号化と SSE を補完します。 サービスの暗号化は、Microsoft の担当者がデータにアクセスすることを妨げる目的ではありません。 代わりに、カスタマー キーは、ルート キーを制御するための規制またはコンプライアンスの義務を満たすのに役立ちます。 Microsoft 365 サービスが暗号化キーを使用して、電子情報開示、マルウェア対策、スパム対策、検索インデックス作成などの付加価値のあるクラウド サービスを提供することを明示的に承認します。

カスタマー キーはサービス暗号化に基づいて構築されており、暗号化キーを提供および制御できます。 Microsoft 365 では、 オンライン サービス条項 (OST) で説明されているように、保存データを暗号化するためにこれらのキーを使用します。 カスタマー キーは、Microsoft 365 がデータの暗号化と暗号化解除に使用する暗号化キーを制御するため、コンプライアンス義務を満たすのに役立ちます。

カスタマー キーは、クラウド サービス プロバイダーとの重要な取り決めを指定するコンプライアンス要件の要求を満たすために、organizationの機能を強化します。 Customer Key を使用すると、保存中の Microsoft 365 データのルート暗号化キーをアプリケーション レベルで提供および制御できます。 その結果、organizationのキーを制御できます。

ハイブリッド展開を使用したカスタマー キー

カスタマー キーは、クラウド内の保存データのみを暗号化します。 カスタマー キーは、オンプレミスのメールボックスとファイルを保護するために機能しません。 BitLocker などの別の方法を使用して、オンプレミスデータを暗号化できます。

データ暗号化ポリシーについて

データ暗号化ポリシー (DEP) は、暗号化階層を定義します。 この階層は、管理する各キーと Microsoft によって保護されている可用性キーを使用してデータを暗号化するためにサービスによって使用されます。 PowerShell コマンドレットを使用して DEP を作成し、それらの DEP を割り当ててアプリケーション データを暗号化します。 Customer Key でサポートされる DEP には 3 種類あります。各ポリシーの種類では、異なるコマンドレットが使用され、異なる種類のデータに対してカバレッジが提供されます。 定義できる DEP には、次のものが含まれます。

複数の Microsoft 365 ワークロードの DEP これらの DEP は、テナント内のすべてのユーザーに対して、複数の Microsoft 365 ワークロードにわたってデータを暗号化します。 これらのワークロードには、次のものが含まれます。

  • クラウド PC のWindows 365

  • Teams チャット メッセージ (1:1 チャット、グループ チャット、会議チャット、チャネル会話)

  • Teams メディア メッセージ (画像、コード スニペット、ビデオ メッセージ、オーディオ メッセージ、Wiki イメージ)

  • Teams ストレージに格納されている Teams 通話と会議の記録

  • Teams チャット通知

  • Cortana による Teams チャットの提案

  • Teams ステータス メッセージ

  • Microsoft 365 の操作

  • Exchange Onlineのユーザー情報とシグナル情報

  • メールボックス DEP によってまだ暗号化されていないメールボックスをExchange Onlineする

  • Microsoft Purview 情報保護:

    • データ ファイル スキーマ、ルール パッケージ、機密データのハッシュに使用される塩など、正確なデータ一致 (EDM) データ。 EDM と Microsoft Teams の場合、マルチワークロード DEP は、DEP をテナントに割り当てた時点からの新しいデータを暗号化します。 Exchange Onlineの場合、Customer Key はすべての既存データと新しいデータを暗号化します。

    • 秘密度ラベルのラベル構成

マルチワークロード DEP では、次の種類のデータは暗号化されません。 代わりに、Microsoft 365 は他の種類の暗号化を使用してこのデータを保護します。

  • SharePoint と OneDrive for Business データ。
  • Microsoft Teams ファイルと、OneDrive for Businessおよび SharePoint Online に保存された一部の Teams 通話と会議の記録は、SharePoint Online DEP を使用して暗号化されます。
  • Viva Engageや Planner など、カスタマー キーで現在サポートされていないその他の Microsoft 365 ワークロード。
  • Teams Live イベント データ。

テナントごとに複数の DEP を作成できますが、一度に割り当てる DEP は 1 つだけです。 DEP を割り当てると、暗号化は自動的に開始されますが、テナントのサイズによっては完了するまでに時間がかかります。

Exchange Onlineメールボックスの DEP メールボックス DEP では、Exchange Online内の個々のメールボックスをより正確に制御できます。 メールボックス DEP を使用して、UserMailbox、MailUser、Group、PublicFolder、Shared メールボックスなど、さまざまな種類の EXO メールボックスに格納されているデータを暗号化します。 テナントごとに最大 50 個のアクティブな DEP を持ち、それらの DEP を個々のメールボックスに割り当てることができます。 1 つの DEP を複数のメールボックスに割り当てることができます。

既定では、メールボックスは Microsoft マネージド キーを使用して暗号化されます。 顧客キー DEP をメールボックスに割り当てる場合:

  • マルチワークロード DEP を使用してメールボックスが暗号化されている場合、ユーザーまたはシステム操作がメールボックス データにアクセスする限り、サービスは新しいメールボックス DEP を使用してメールボックスを再ラップします。

  • Microsoft が管理するキーを使用してメールボックスが既に暗号化されている場合、ユーザーまたはシステム操作がメールボックス データにアクセスする限り、サービスは新しいメールボックス DEP を使用してメールボックスを再ラップします。

  • 既定の暗号化を使用してメールボックスがまだ暗号化されていない場合、サービスはメールボックスに移動のマークを付けます。 暗号化は、移動が完了すると行われます。 メールボックスの移動は、すべての Microsoft 365 に設定された優先順位に基づいて管理されます。 詳細については、「 Microsoft 365 サービスでの要求の移動」を参照してください。 指定した時間内にメールボックスが暗号化されていない場合は、Microsoft にお問い合わせください。

後で、「Office 365のカスタマー キーを管理する」の説明に従って、DEP を更新するか、別の DEP をメールボックスに割り当てることができます。 各メールボックスには、DEP を割り当てる適切なライセンスが必要です。 ライセンスの詳細については、「 カスタマー キーを設定する前に」を参照してください。

ユーザー メールボックスのライセンス要件を満たすテナントの共有メールボックス、パブリック フォルダー メールボックス、Microsoft 365 グループ メールボックスに DEP を割り当てることができます。 顧客キー DEP を割り当てるために、ユーザー固有以外のメールボックスに個別のライセンスは必要ありません。

個々のメールボックスに割り当てるカスタマー キー DEP の場合は、サービスを終了するときに特定の DEP を削除するよう Microsoft に要求できます。 データ消去プロセスとキー失効の詳細については、「 キーを取り消してデータ消去パス プロセスを開始する」を参照してください。

サービスの終了の一環としてキーへのアクセスを取り消すと、可用性キーが削除され、暗号化によってデータが削除されます。 暗号化の削除は、セキュリティとコンプライアンスの両方の義務を満たす上で重要なデータの再管理のリスクを軽減します。

SharePoint Online および OneDrive for Business DEP この DEP は、SPO に格納されている Microsoft Teams ファイルを含む、SPO およびOneDrive for Businessに格納されているコンテンツを暗号化するために使用されます。 複数地域機能を使用している場合は、organizationの geo ごとに 1 つの DEP を作成できます。 複数地域機能を使用していない場合は、テナントごとに 1 つの DEP のみを作成できます。 「 顧客キーの設定」の詳細を参照してください。

顧客キーで使用される暗号化暗号

Customer Key では、次の図に示すように、さまざまな暗号化暗号を使用してキーを暗号化します。

複数の Microsoft 365 ワークロードのデータを暗号化する DEP に使用されるキー階層は、個々のExchange Onlineメールボックスの DEP に使用される階層に似ています。 唯一の違いは、メールボックス キーが対応する Microsoft 365 ワークロード キーに置き換えられる点です。

Exchange Onlineのキーを暗号化するために使用される暗号化暗号

Exchange Onlineカスタマー キーの暗号化暗号。

SharePoint Online、OneDrive for Business、および Teams ファイルのキーを暗号化するために使用される暗号化暗号

SharePoint Online カスタマー キーの暗号化暗号。