Azure Information Protection テナント キーを計画して実装する
Note
Microsoft Purview Information Protectionをお探しですか?(以前の Microsoft Information Protection (MIP))
Azure Information Protection アドインは 廃止 され、 Microsoft 365 アプリとサービスに組み込まれているラベルに置き換えられています。 詳細については、「他の Azure Information Protection コンポーネントのサポート状況」を参照してください。
Microsoft Purview Information Protection クライアント (アドインなし) は 一般提供されています。
Azure Information Protection テナント キーは、組織のルート キーです。 ユーザー キー、コンピューター キー、ドキュメント暗号化キーなどの他のキーは、このルート キーから派生させることができます。 Azure Information Protection は、組織でこれらのキーを使用する場合は常に、暗号化により Azure Information Protection ルート テナント キーにチェーンします。
テナント ルート キーに加えて、組織では特定のドキュメント用にオンプレミスのセキュリティが必要な場合があります。 オンプレミスのキー保護は、通常、少量のコンテンツに対してのみ必要であるため、テナント ルート キーで構成されます。
Azure Information Protection のキーの種類
テナント ルート キーは次のいずれかになります。
- Microsoft によって生成されたもの
- Bring Your Own Key (BYOK) 保護を使用してお客様によって生成されたもの。
追加のオンプレミス保護を必要とする機密性の高いコンテンツがある場合は、 二重キー暗号化 (DKE)を使用することをお勧めします。
Microsoft によって生成されたテナント ルート キー
Microsoft によって自動的に生成される既定のキーは、テナント キーのライフ サイクルのほとんどの側面を管理するために Azure Information Protection 専用に使用される既定のキーです。
Azure Information Protection をすばやくデプロイする必要があり、特別なハードウェア、ソフトウェア、または Azure サブスクリプションがない場合は、既定の Microsoft キーを引き続き使用します。 たとえば、テスト環境や、キー管理の規制要件がない組織などです。
既定のキーの場合、それ以上の手順は必要なく、すぐに テナント ルート キーの使用を開始することができます。
Note
Microsoft によって生成される既定のキーは、管理オーバーヘッドが最も少ない最も簡単なオプションです。
ほとんどの場合、Azure Information Protection にサインアップすることができ、キー管理プロセスの残りの部分は Microsoft によって処理されるので、テナント キーを持っていることすら知らない場合があります。
Bring Your Own Key (BYOK) 保護
BYOK 保護では、お客様の組織の Azure Key Vault またはオンプレミスで、お客様によって作成されたキーを使用します。 その後、これらのキーは、さらに管理するために Azure Key Vault に転送されます。
すべてのライフ サイクル操作の制御など、キー生成に関するコンプライアンス規則が組織にある場合は、BYOK を使用します。 たとえば、ハードウェア セキュリティ モジュールでキーを保護する必要があるときなどです。
詳細については、 BYOK 保護の構成に関するページをご覧ください。
構成が完了した後、キーの使用と管理の詳細については、 テナント ルート キーの使用開始 に関するページに進んでください。
二重キー暗号化 (DKE)
DKE 保護では、2 つのキーを使用してコンテンツのセキュリティが強化されます。1 つは Microsoft によって作成されて Azure に保持されるもの、もう 1 つはお客様によって作成されてオンプレミスに保持されるものです。
DKE で保護されたコンテンツにアクセスするには両方のキーが必要であり、Microsoft や他のサード パーティが保護されたデータに自分だけでアクセスすることはできません。
DKE はクラウドまたはオンプレミスにデプロイでき、ストレージの場所に対する完全な柔軟性が提供されます。
次のような組織では DKE を使用してください。
- すべての状況において、自分達だけが保護されたコンテンツの暗号化を解除できるようにしたい。
- Microsoft だけで保護されたデータにアクセスできるようにしたくない。
- 地理的な境界内にキーを保持する規制要件がある。 DKE を使用すると、お客様が保持するキーはお客様のデータ センター内に保持されます。
Note
DKE は、開くために銀行の鍵と顧客の鍵の両方が必要な貸金庫に似ています。 DKE 保護で保護されたコンテンツの暗号化を解除するには、Microsoft が保持するキーとお客様が保持するキーの両方が必要です。
詳細については、Microsoft 365 のドキュメントの 二重キー暗号化 に関するページをご覧ください。
次のステップ
特定の種類のキーの詳細については、次の記事を参照してください。
- テナント ルート キーの使用を開始する
- Azure Information Protection での Bring Your Own Key (BYOK) の詳細
- Microsoft Purview ダブルキー暗号化
会社の合併後など、テナント間で移行する場合について詳しくは、 合併とスピンオフに関するブログ記事 を参照することをお勧めします。