Azure Information Protection の独自のキー (BYOK) の詳細を表示するBring your own key (BYOK) details for Azure Information Protection

適用対象:Azure Information ProtectionOffice 365Applies to: Azure Information Protection, Office 365

Azure Information Protection が含まれているサブスクリプションを持っている組織は、ユーザーが管理するキーを使用してその使用状況をログに記録するように Azure Information Protection テナントを構成できます。Organizations that have a subscription that includes Azure Information Protection can configure their Azure Information Protection tenant to use a customer-managed key and log its usage. お客様が管理するキー構成は、"自分のキーを持ち込む"、BYOK と呼ばれることがよくあります。The customer-managed key configuration is often referred to as "bring you own key", or BYOK.

このユーザーが管理するキーは、Azure サブスクリプションを必要とする Azure Key Vault に格納する必要があります。This customer-managed key must be stored in Azure Key Vault, which requires an Azure subscription. HSM 保護キーを使用するには、Azure Key Vault Premium サービス レベルが必要です。To use an HSM-protected key, you must use the Azure Key Vault Premium service tier. Azure Key Vault のキーを使用する場合は、月単位の料金が発生します。Using a key in Azure Key Vault incurs a monthly charge. 詳細については、Azure Key Vault の価格のページを参照してください。For more information, see the Azure Key Vault Pricing page.

Azure Information Protection テナント キーに対して Azure Key Vault を使用する場合は、このキーの専用のキー コンテナーを使用することで、それが Azure Rights Management サービスのみで使用されるようにすることをお勧めします。When you use Azure Key Vault for your Azure Information Protection tenant key, we recommend that you use a dedicated key vault for this key to help ensure that it's used by only the Azure Rights Management service. この構成によって、その他のサービスの呼び出しがキー コンテナーのサービスの制限を超えないようにすることができます。このために、Azure Rights Management サービスの応答時間が調整されることもあります。This configuration ensures that calls by other services do not result in exceeding the service limits for the key vault, which could throttle the response times for the Azure Rights Management service.

さらに、通常、Azure Key Vault を使用するサービスごとに異なるキー管理要件があるため、無効な構成に対する安全策として、このキー コンテナーに別の Azure サブスクリプションを使用することをお勧めします。In addition, because each service that uses Azure Key Vault typically has different key management requirements, we recommend a separate Azure subscription for this key vault to help safeguard against misconfiguration.

ただし、Azure Key Vault を使用する他のサービスと Azure サブスクリプションを共有する場合は、サブスクリプションで管理者の共通セットを共有しているようにします。However, if you want to share an Azure subscription with other services that use Azure Key Vault, make sure that the subscription shares a common set of administrators. この予防措置は、サブスクリプションを使用する管理者が、アクセス権のあるすべてのキーをよく理解していることを意味します。そのため、誤って構成する可能性は低くなります。This precaution means that the administrators who use that subscription have a good understanding of all the keys that they have access to, so that they are less likely to misconfigure them.

たとえば、Azure Information Protection テナント キーの管理者が、Office 365 カスタマー キーと CRM Online のキーを管理するユーザーと同じ場合に共有された Azure サブスクリプションです。For example, a shared Azure subscription if the administrators for your Azure Information Protection tenant key are the same people who administer keys for Office 365 Customer Key and CRM Online.

または、顧客キーまたは CRM Online のキーを管理する管理者が Azure Information Protection テナントキーを管理するユーザーと同じでない場合は、Azure Information Protection に対して Azure サブスクリプションを共有しないことをお勧めします。Alternatively, if the administrators who manage the keys for Customer Key or CRM Online are not the same people who administer your Azure Information Protection tenant key, then we recommend you do not share your Azure subscription for Azure Information Protection.

Azure Key Vault を使用する利点Benefits of using Azure Key Vault

さらなる保証を行うために、 Azure Key Vault ログを使用して Azure Information Protection の使用状況ログを相互参照できます。For additional assurance, you can cross-reference your Azure Information Protection usage logging with Azure Key Vault logging. Key Vault ログには、Azure Rights Management サービスのみがキーを使用していることを個別に監視する方法が用意されています。The Key Vault logs provide you with a method to independently monitor that only the Azure Rights Management service is using your key. 必要な場合、キー コンテナーに対するアクセス許可を削除することにより、キーへのアクセスをすぐに取り消すことができます。If necessary, you can immediately revoke access to the key by removing the permissions on the key vault.

Azure Information Protection テナントキーに Azure Key Vault を使用するその他の利点を次に示します。Other benefits of using Azure Key Vault for your Azure Information Protection tenant key include:

  • Azure Key Vault は一元的なキー管理ソリューションであり、暗号化を使用するさまざまなクラウドベースのサービスおよびオンプレミス サービスに対して一貫した管理ソリューションを実現します。Azure Key Vault provides a centralized key management solution that offers a consistent management solution for many cloud-based and even on-premises services that use encryption.

  • Azure Key Vault では、キー管理のためのさまざまな組み込みのインターフェイス (PowerShell、CLI、REST API、Azure Portal など) をサポートしています。Azure Key Vault supports a number of built-in interfaces for key management, including PowerShell, CLI, REST APIs, and the Azure portal. 監視などの特定のタスク用に最適化された機能を提供するために、Key Vault には他のサービスやツールも統合されています。Other services and tools have integrated with Key Vault, to provide capabilities that are optimized for specific tasks, such as monitoring. たとえば、Operations Management Suite から Log Analytics を介してキーの使用状況ログを分析したり、指定した条件が満たされたときにアラートを設定したりすることができます。For example, you can analyze your key usage logs via Log analytics from the Operations Management Suite, set alerts when specified criteria are met, and so on.

  • Azure Key Vault では、セキュリティのベスト プラクティスとして認識されている役割の分離を実現しています。Azure Key Vault provides role separation, as a recognized security best practice. Azure Information Protection の管理者は、データ分類とデータ保護の管理に専念し、Azure Key Vault の管理者は、暗号化キーの管理と、セキュリティまたはコンプライアンスで必要となる特別なポリシーの管理に専念することができます。Azure Information Protection administrators can focus on managing data classification and protection, and Azure Key Vault administrators can focus on managing encryption keys and any special policies that they might require for security or compliance.

  • 組織によっては、マスター キーが存在する必要がある場合、制限を設けているところがあります。Some organizations have restrictions where their master key must live. 多くの Azure リージョンでサービスが提供されているため、Azure Key Vault ではマスター キーの保存先について高度な制御を行います。Azure Key Vault provides a high level of control where to store the master key because the service is available in many Azure regions. 複数の Azure リージョンから選択することができ、この数を増やすことが予想されます。You can choose from a number of Azure regions and you can expect this number to increase. 詳細については、Azure サイトの「リージョン別の利用可能な製品」のページを参照してください。For more information, see the Products available by region page on the Azure site.

Azure Key Vault では、キーの管理ができるだけでなく、セキュリティ管理者は同じ管理エクスペリエンスによって、暗号化を使用する他のサービスやアプリケーションの証明書やシークレット (パスワードなど) を格納し、アクセスし、管理することができます。In addition to managing keys, Azure Key Vault offers your security administrators the same management experience to store, access, and manage certificates and secrets (such as passwords) for other services and applications that use encryption.

Azure Key Vault の詳細については、「Azure Key Vault とは」を参照してください。最新情報と、他のサービスでこのテクノロジを使用する方法については、「Azure Key Vault team blog」 (Azure Key Vault チームのブログ) を参照してください。For more information about Azure Key Vault, see What is Azure Key Vault? and visit the Azure Key Vault team blog for the latest information and to learn how other services use this technology.

サービスとクライアントの BYOK のサポートBYOK support for services and clients

BYOK と使用状況ログは、データを保護するために Azure Information Protection によって使用される Azure Rights Management サービスと統合されているすべてのアプリケーションでシームレスに動作します。BYOK and usage logging work seamlessly with every application that integrates with the Azure Rights Management service that is used by Azure Information Protection to protect data. これには SharePoint Online などのクラウド サービス、Exchange や SharePoint を実行し、RMS コネクタを使用して Azure Rights Management サービスと連携するオンプレミス サーバー、Office 2019、Office 2016、および Office 2013 などのクライアント アプリケーションが含まれます。This includes cloud services such as SharePoint Online, on-premises servers that run Exchange and SharePoint that use the Azure Rights Management service by using the RMS connector, and client applications such as Office 2019, Office 2016, and Office 2013.

Azure Rights Management サービスに要求を送信するアプリケーションによって、キー使用状況ログを取得します。You get key usage logs whatever application makes requests to the Azure Rights Management service.

次の手順Next steps

独自のキーを管理する場合は、「Azure Information Protection テナント キーを実装する」を参照してください。If you've made the decision to manage your own key, go to Implementing your Azure Information Protection tenant key.

テナント キーを Microsoft が管理する既定の構成を使用する場合は、「Azure Information Protection テナント キーを計画して実装する」の「次の手順」セクションを参照してください。If you've decided to stay with the default configuration where Microsoft manages your tenant key, see the Next steps section of the Planning and implementing your Azure Information Protection tenant key article.