Azure Information Protection の独自のキー (BYOK) の詳細を表示するBring your own key (BYOK) details for Azure Information Protection

*適用対象: Azure Information ProtectionOffice 365**Applies to: Azure Information Protection, Office 365*

*関連する内容:AIP の統合ラベル付けクライアントとクラシック クライアント**Relevant for: AIP unified labeling client and classic client*

Azure Information Protection サブスクリプションを持つ組織は、Microsoft によって生成される既定のキーではなく、独自のキーを使用してテナントを構成することができます。Organizations with an Azure Information Protection subscription can choose to configure their tenant with their own key, instead of a default key generated by Microsoft. この構成は、一般に BYOK (Bring Your Own Key) と呼ばれます。This configuration is often referred to as Bring Your Own Key (BYOK).

BYOK と 使用状況ログ は、Azure Information Protection によって使用される Azure Rights Management サービスと統合するアプリケーションとシームレスに連携します。BYOK and usage logging work seamlessly with applications that integrate with the Azure Rights Management service used by Azure Information Protection.

サポートされているアプリケーションは次のとおりです。Supported applications include:

  • Microsoft SharePoint や Microsoft 365 などの クラウドサービスCloud services, such as Microsoft SharePoint or Microsoft 365

  • RMS コネクタ経由で Azure Rights Management サービスを使用する Exchange および SharePoint アプリケーションを実行する オンプレミスサービスOn-premises services running Exchange and SharePoint applications that use the Azure Rights Management service via the RMS connector

  • Office 2019、Office 2016、Office 2013 などの クライアントアプリケーションClient applications, such as Office 2019, Office 2016, and Office 2013

ヒント

必要に応じて、追加のオンプレミスキーを使用して、特定のドキュメントに追加のセキュリティを適用します。If needed, apply additional security to specific documents using an additional on-premises key. 詳細については、「 Double キー暗号化 (DKE) 保護 (統合ラベル付けクライアントのみ)」を参照してください。For more information, see Double Key Encryption (DKE) protection (unified labeling client only).

従来のクライアントがあり、追加のオンプレミス保護が必要な場合は、代わりに 独自のキーの保持 (HYOK) 保護 保護を実装します。If you have the classic client and need additional, on-premises protection, implement Hold your own key (HYOK) protection protection instead.

Azure Key Vault キーストレージAzure Key Vault key storage

ユーザーが生成したキーは、BYOK 保護の Azure Key Vault に保存する必要があります。Customer-generated keys must be stored in the Azure Key Vault for BYOK protection.

注意

Azure Key Vault で HSM で保護されたキーを使用するには Azure Key Vault Premium サービスレベルが必要です。これにより、月額サブスクリプション料金が追加で発生します。Using HSM-protected keys in the Azure Key Vault requires an Azure Key Vault Premium service tier, which incurs an additional monthly subscription fee.

キーコンテナーとサブスクリプションの共有Sharing key vaults and subscriptions

テナントキーには 専用のキーコンテナー を使用することをお勧めします。We recommend using a dedicated key vault for your tenant key. 専用のキーコンテナーを使用すると、他のサービスからの呼び出しによって サービスの制限 を超えないようにすることができます。Dedicated key vaults help to ensure that calls by other services do not cause service limits to be exceeded. テナントキーが格納されている key vault のサービス制限を超えると、Azure Rights Management サービスの応答時間が調整される可能性があります。Exceeding service limits on the key vault where your tenant key is stored may cause response time throttling for Azure Rights Management service.

さまざまなサービスのキー管理要件が異なるため、Microsoft では、key vault に 専用の Azure サブスクリプション を使用することをお勧めします。As different services have varying key management requirements, Microsoft also recommends using a dedicated Azure subscription for your key vault. 専用の Azure サブスクリプション:Dedicated Azure subscriptions:

  • 誤ったミスから保護するHelp safeguard against misconfigurations

  • 複数のサービスに異なる管理者がいる場合の安全性の向上Are more secure when different services have different administrators

Azure Key Vault を使用する他のサービスと Azure サブスクリプションを共有するには、サブスクリプションが管理者の共通セットを共有していることを確認します。To share an Azure subscription with other services that use Azure Key Vault, make sure that the subscription shares a common set of administrators. サブスクリプションを使用するすべての管理者が、アクセスできるすべてのキーについて十分に理解していることを確認すると、キーが誤って構成される可能性が低くなります。Confirming that all administrators who use the subscription have a solid understanding of every key they can access, means they are less likely to misconfigure your keys.

: Azure Information Protection テナントキーの管理者が、Office 365 カスタマーキーと CRM online のキーを管理するユーザーと同じである場合に、共有 Azure サブスクリプションを使用します。Example: Using a shared Azure subscription when the administrators for your Azure Information Protection tenant key are the same individuals that administer your keys for Office 365 Customer Key and CRM online. これらのサービスのキー管理者が異なる場合は、専用のサブスクリプションを使用することをお勧めします。If the key administrators for these services are different, we recommend using dedicated subscriptions.

Azure Key Vault を使用する利点Benefits of using Azure Key Vault

Azure Key Vault は、暗号化を使用する多くのクラウドベースおよびオンプレミスのサービスに対して、一元化された一貫性のあるキー管理ソリューションを提供します。Azure Key Vault provides a centralized and consistent key management solution for many cloud-based and on-premises services that use encryption.

Azure Key Vault では、キーの管理ができるだけでなく、セキュリティ管理者は同じ管理エクスペリエンスによって、暗号化を使用する他のサービスやアプリケーションの証明書やシークレット (パスワードなど) を格納し、アクセスし、管理することができます。In addition to managing keys, Azure Key Vault offers your security administrators the same management experience to store, access, and manage certificates and secrets (such as passwords) for other services and applications that use encryption.

Azure Key Vault にテナントキーを格納すると、次のような利点があります。Storing your tenant key in the Azure Key Vault provides the following advantages:

長所Advantage 説明Description
組み込みインターフェイスBuilt-in interfaces Azure Key Vault では、キー管理のためのさまざまな組み込みのインターフェイス (PowerShell、CLI、REST API、Azure Portal など) をサポートしています。Azure Key Vault supports a number of built-in interfaces for key management, including PowerShell, CLI, REST APIs, and the Azure portal.

その他のサービスやツールは、監視などの特定のタスク用に最適化された機能のために Key Vault と統合されています。Other services and tools have integrated with Key Vault for optimized capabilities for specific tasks, such as monitoring.

たとえば、Operations Management Suite Log analytics を使用してキー使用状況ログを分析し、指定した条件が満たされたときにアラートを設定します。For example, analyze your key usage logs with Operations Management Suite Log analytics, set alerts when specified criteria are met, and so on.
役割の分離Role separation Azure Key Vault は、セキュリティのベストプラクティスとして、役割の分離を提供します。Azure Key Vault provides role separation as a recognized security best practice.

役割の分離により、Azure Information Protection 管理者は、データの分類と保護の管理、特定のセキュリティまたはコンプライアンス要件に対する暗号化キーとポリシーの管理など、最高の優先順位に専念できます。Role separation ensures that Azure Information Protection administrators can focus on their highest priorities, including managing data classification and protection, as well as encryption keys and policies for specific security or compliance requirements.
マスターキーの場所Master key location Azure Key Vault はさまざまな場所で使用でき、マスターキーが有効な場合に制限のある組織をサポートします。Azure Key Vault is available in a variety of locations, and supports organizations with restrictions where master keys can live.

詳細については、Azure サイトの「リージョン別の利用可能な製品」のページを参照してください。For more information, see the Products available by region page on the Azure site.
分離セキュリティドメインSeparated security domains Azure Key Vault は、北米、EMEA (ヨーロッパ、中東、アフリカ)、アジアなどの地域のデータセンターに個別のセキュリティドメインを使用します。Azure Key Vault uses separate security domains for its data centers in regions such as North America, EMEA (Europe, Middle East and Africa), and Asia.

また、Azure Key Vault では、Microsoft Azure Germany や Azure Government など、Azure のさまざまなインスタンスを使用します。Azure Key Vault also uses different instances of Azure, such as Microsoft Azure Germany, and Azure Government.
統一されたエクスペリエンスUnified experience また Azure Key Vault を使用すると、セキュリティ管理者は、暗号化を使用する他のサービスの証明書やシークレット (パスワードなど) の保存、アクセス、および管理を行うことができます。Azure Key Vault also enables security administrators to store, access, and manage certificates and secrets, such as passwords, for other services that use encryption.

テナントキーに Azure Key Vault を使用すると、これらの要素のすべてを管理する管理者はシームレスなユーザーエクスペリエンスを実現できます。Using Azure Key Vault for your tenant keys provides a seamless user experience for administrators who manage all of these elements.

最新の更新プログラムと、他のサービスが Azure Key Vaultを使用する方法については、 Azure Key Vault チームのブログを参照してください。For the latest updates and to learn how other services use Azure Key Vault, visit the Azure Key Vault team blog.

BYOK の使用状況ログUsage logging for BYOK

使用状況ログは、Azure Rights Management サービスに要求を行うすべてのアプリケーションによって生成されます。Usage logs are generated by every application that makes requests to the Azure Rights Management service.

使用状況ログは省略可能ですが、Azure Information Protection のほぼリアルタイムの使用状況ログを使用して、テナントキーがどのように使用されているかを正確に確認することをお勧めします。Although usage logging is optional, we recommend using the near real-time usage logs from Azure Information Protection to see exactly how and when your tenant key is being used.

BYOK のキー使用状況ログの詳細については、「 Azure Information Protection からの保護の使用状況のログ記録と分析」を参照してください。For more information about key usage logging for BYOK, see Logging and analyzing the protection usage from Azure Information Protection.

ヒント

さらなる保証のために、Azure Information Protection 使用状況ログは Azure Key Vault ログ記録で相互参照できます。For additional assurance, Azure Information Protection usage logging can be cross referenced with Azure Key Vault logging. Key Vault ログは、キーが Azure Rights Management サービスによってのみ使用されることを個別に監視するための信頼性の高い方法を提供します。Key Vault logs provide a reliable method to independently monitor that your key is only used by Azure Rights Management service.

必要に応じて、キーコンテナーに対するアクセス許可を削除することで、キーへのアクセスを直ちに取り消します。If necessary, immediately revoke access to your key by removing permissions on the key vault.

キーを作成して格納するためのオプションOptions for creating and storing your key

注意

非運用テナントのみで使用するために、管理された HSM のサポート Azure Key Vault Azure Information Protection は、現在プレビューの段階です。The Azure Information Protection Azure Key Vault Managed HSM support, for use with non-production tenants only, is currently in PREVIEW. Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。The Azure Preview Supplemental Terms include additional legal terms that apply to Azure features that are in beta, preview, or otherwise not yet released into general availability.

管理された HSM サービスの詳細と、コンテナーとキーを設定する方法の詳細については、 Azure Key Vault のドキュメントを参照してください。For more information about the Managed HSM offering, and how to set up a vault and a key, see the Azure Key Vault documentation.

キー承認を付与するためのその他の手順については、以下で説明します。Additional instructions on granting key authorization are described below.

BYOK は、Azure Key Vault またはオンプレミスのいずれかで作成されたキーをサポートします。BYOK supports keys that are created either in Azure Key Vault or on-premises.

オンプレミスでキーを作成する場合は、そのキーを Key Vault に転送またはインポートし、キーを使用するように Azure Information Protection を構成する必要があります。If you create your key on-premises, you must then transfer or import it into your Key Vault and configure Azure Information Protection to use the key. Azure Key Vault 内から、追加のキー管理を実行します。Perform any additional key management from within Azure Key Vault.

独自のキーを作成して格納するためのオプション:Options to create and store your own key:

  • Azure Key Vault で作成されましたCreated in Azure Key Vault. HSM で保護されたキーまたはソフトウェアで保護されたキーとして Azure Key Vault にキーを作成して保存します。Create and store your key in Azure Key Vault as an HSM-protected key or a software-protected key.

  • オンプレミスで作成され ます。Created on-premises. オンプレミスのキーを作成し、次のオプションのいずれかを使用して Azure Key Vault に転送します。Create your key on-premises and transfer it to Azure Key Vault using one of the following options:

    • Hsm で保護されたキー。 hsm で保護されたキーとして転送 されます。HSM-protected key, transferred as an HSM-protected key. 選択された最も一般的な方法。The most typical method chosen.

      この方法では、管理オーバーヘッドが最も多くなりますが、組織が特定の規制に従うことが必要になる場合があります。While this method has the most administrative overhead, it may be required for your organization to follow specific regulations. Azure Key Vault によって使用される Hsm は、FIPS 140-2 Level 2 で検証されます。The HSMs used by Azure Key Vault are FIPS 140-2 Level 2 validated.

    • 変換され、HSM で保護されたキーとして Azure Key Vault に転送される、ソフトウェアで保護さ れたキー。Software-protected key that is converted and transferred to Azure Key Vault as an HSM-protected key. このメソッドは、 Active Directory Rights Management サービス (AD RMS) から移行する場合にのみサポートされます。This method is supported only when migrating from Active Directory Rights Management Services (AD RMS).

    • ソフトウェアで保護されたキーとして 社内で作成され、ソフトウェアで保護されたキーとして Azure Key Vault に転送され ます。Created on-premises as a software-protected key and transferred to Azure Key Vault as a software-protected key. このメソッドにはが必要です。PFX 証明書ファイル。This method requires a .PFX certificate file.

たとえば、オンプレミスで作成されたキーを使用するには、次の手順を実行します。For example, do the following to use a key created on-premises:

  1. 組織の IT およびセキュリティポリシーを使用して、オンプレミスでテナントキーを生成します。Generate your tenant key on your premises, in line with your organization's IT and security policies. このキーはマスター コピーです。This key is the master copy. オンプレミスに保持され、バックアップを行う必要があります。It remains on-premises, and you are required for its backup.

  2. マスターキーのコピーを作成し、HSM から Azure Key Vault に安全に転送します。Create a copy of the master key, and securely transfer it from your HSM to Azure Key Vault. このプロセス全体を通して、キーのマスターコピーがハードウェア保護の境界内に出ることはありません。Throughout this process, the master copy of the key never leaves the hardware protection boundary.

転送後、キーのコピーは Azure Key Vault によって保護されます。Once transferred, the copy of the key is protected by Azure Key Vault.

信頼された発行ドメインのエクスポートExporting your trusted publishing domain

Azure Information Protection の使用を停止することにした場合は、Azure Information Protection によって保護されたコンテンツの暗号化を解除するために、信頼された発行ドメイン (TPD) が必要になります。If you ever decide to stop using Azure Information Protection, you'll need a trusted publishing domain (TPD) to decrypt content that was protected by Azure Information Protection.

ただし、Azure Information Protection キーに BYOK を使用している場合は、TPD のエクスポートはサポートされていません。However, exporting your TPD isn't supported if you're using BYOK for your Azure Information Protection key.

このシナリオを準備するには、適切な TPD を事前に作成しておく必要があります。To prepare for this scenario, make sure to create a suitable TPD ahead of time. 詳細については、「 Azure Information Protection "Cloud Exit" プランを準備する方法」を参照してください。For more information, see How to prepare an Azure Information Protection "Cloud Exit" plan.

Azure Information Protection テナント キーの BYOK を実装するImplementing BYOK for your Azure Information Protection tenant key

BYOK を実装するには、次の手順に従います。Use the following steps to implement BYOK:

  1. BYOK の前提条件を確認するReview BYOK prerequisites
  2. Key Vault の場所を選択しますChoose a Key Vault location
  3. キーを作成して構成するCreate and configure your key

BYOK の前提条件Prerequisites for BYOK

BYOK の前提条件は、システムの構成によって異なります。BYOK prerequisites vary, depending on your system configuration. 必要に応じて、システムが次の前提条件を満たしていることを確認します。Verify that your system complies with the following prerequisites as needed:

要件Requirement 説明Description
Azure サブスクリプションAzure subscription すべての構成に必要です。Required for all configurations.
詳細については、「 BYOK と互換性のある Azure サブスクリプションがあることを確認する」を参照してください。For more information, see Verifying that you have a BYOK-compatible Azure subscription.
Azure Information Protection 用の AIPService PowerShell モジュールAIPService PowerShell module for Azure Information Protection すべての構成に必要です。Required for all configurations.
詳細については、「 AIPService PowerShell モジュールのインストール」を参照してください。For more information, see Installing the AIPService PowerShell module.
BYOK の前提条件 Azure Key VaultAzure Key Vault prerequisites for BYOK オンプレミスで作成された HSM で保護されたキーを使用している場合は、Azure Key Vault のドキュメントに記載されている BYOK の前提条件 も満たしていることを確認してください。If you are using an HSM-protected key that was created on-premises, ensure that you also comply with the prerequisites for BYOK listed in the Azure Key Vault documentation.
Thales ファームウェアバージョン11.62Thales firmware version 11.62 ソフトウェアキーからハードウェアキーへの移行時に、HSM に Thales ファームウェアを使用して AD RMS から Azure Information Protection に移行する場合は、Thales ファームウェアバージョン11.62 が必要です。You must have a Thales firmware version of 11.62 if you are migrating from AD RMS to Azure Information Protection by using software key to hardware key and are using Thales firmware for your HSM.
信頼された Microsoft サービスに対するファイアウォールのバイパスFirewall bypass for trusted Microsoft services テナントキーを含む key vault が Azure Key Vault に Virtual Network サービスエンドポイントを使用している場合は、信頼された Microsoft サービスにこのファイアウォールのバイパスを許可する必要があります。If the key vault that contains your tenant key uses Virtual Network Service Endpoints for Azure Key Vault, you must allow trusted Microsoft services to bypass this firewall.
詳細については、「 Virtual Network サービスエンドポイント Azure Key Vault」を参照してください。For more information, see Virtual Network Service Endpoints for Azure Key Vault.

BYOK と互換性のある Azure サブスクリプションがあることを確認していますVerifying that you have a BYOK-compatible Azure subscription

Azure Information Protection テナントには Azure サブスクリプションが必要です。Your Azure Information Protection tenant must have an Azure subscription. まだお持ちでない場合は、 無料アカウントにサインアップできます。If you don't have one yet, you can sign up for a free account. ただし、HSM で保護されたキーを使用するには、Azure Key Vault Premium サービス階層が必要です。However, to use an HSM-protected key, you must have the Azure Key Vault Premium service tier.

Azure Active Directory 構成と Azure Rights Management カスタムテンプレート構成へのアクセスを提供する無料の Azure サブスクリプションでは、Azure Key Vault を使用するのに十分では ありませんThe free Azure subscription that provides access to Azure Active Directory configuration and Azure Rights Management custom template configuration is not sufficient for using Azure Key Vault.

BYOK と互換性のある Azure サブスクリプションがあるかどうかを確認するには、次の手順を実行して、 Azure PowerShell コマンドレットを使用して確認します。To confirm whether you have an Azure subscription that is compatible with BYOK, do the following to verify, using Azure PowerShell cmdlets:

  1. 管理者として Azure PowerShell セッションを開始します。Start an Azure PowerShell session as an administrator.

  2. を使用して、Azure Information Protection テナントのグローバル管理者としてサインインし Connect-AzAccount ます。Sign in as a global admin for your Azure Information Protection tenant using Connect-AzAccount.

  3. 表示されたトークンをクリップボードにコピーします。Copy the token displayed to your clipboard. 次に、ブラウザーでにアクセス https://microsoft.com/devicelogin し、コピーしたトークンを入力します。Then, in a browser, go to https://microsoft.com/devicelogin and enter the copied token.

    詳細については、「 Azure PowerShell でのサインイン」を参照してください。For more information, see Sign in with Azure PowerShell.

  4. PowerShell セッションで Get-AzSubscription 、「」と入力し、次の値が表示されることを確認します。In your PowerShell session, enter Get-AzSubscription, and confirm that the following values are displayed:

    • サブスクリプションの名前と IDYour subscription name and ID
    • Azure Information Protection テナント IDYour Azure Information Protection tenant ID
    • 状態が有効であることを確認するConfirmation that the state is enabled

    値が表示されず、プロンプトに戻った場合は、BYOK に使用できる Azure サブスクリプションがありません。If no values are displayed and you are returned to the prompt, you do not have an Azure subscription that can be used for BYOK.

Key Vault の場所の選択Choosing your key vault location

Azure Information のテナント キーとして使用するキーを含む Key Vault を作成する場合は、場所を指定する必要があります。When you create a key vault to contain the key to be used as your tenant key for Azure Information, you must specify a location. この場所は Azure リージョン、または Azure インスタンスです。This location is an Azure region, or Azure instance.

まず、コンプライアンスについて選択し、ネットワーク待機時間を最小限に抑えます。Make your choice first for compliance, and then to minimize network latency:

  • コンプライアンス上の理由により BYOK キーの方法を選択した場合は、これらのコンプライアンス要件によって、Azure Information Protection テナントキーを格納するために使用できる Azure リージョンまたはインスタンスも必要になることがあります。If you have chosen the BYOK key method for compliance reasons, those compliance requirements might also mandate which Azure region or instance can be used to store your Azure Information Protection tenant key.

  • Azure Information Protection キーへの保護チェーンのすべての暗号化呼び出し。All cryptographic calls for protection chain to your Azure Information Protection key. そのため、Azure Information Protection テナントと同じ Azure リージョンまたはインスタンスにキーコンテナーを作成することによって、これらの呼び出しに必要なネットワーク待機時間を最小限に抑えることができます。Therefore, you may want to minimize the network latency these calls require by creating your key vault in the same Azure region or instance as your Azure Information Protection tenant.

Azure Information Protection テナントの場所を特定するには、 AipServiceConfiguration PowerShell コマンドレットを使用して、url からリージョンを識別します。To identify the location of your Azure Information Protection tenant, use the Get-AipServiceConfiguration PowerShell cmdlet and identify the region from the URLs. 以下に例を示します。For example:

LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

リージョンは rms.na.aadrm.com から特定できます。この例では、北米となります。The region is identifiable from rms.na.aadrm.com, and for this example, it is in North America.

次の表は、ネットワーク待機時間を最小限に抑えるために推奨される Azure リージョンとインスタンスを示しています。The following table lists recommended Azure regions and instances for minimizing network latency:

Azure リージョンまたはインスタンスAzure region or instance Key Vault に推奨される場所Recommended location for your key vault
rms.na.aadrm.comrms.na.aadrm.com 米国中北部 または 米国東部North Central US or East US
rms.eu.aadrm.comrms.eu.aadrm.com 北ヨーロッパ または 西ヨーロッパNorth Europe or West Europe
rms.ap.aadrm.comrms.ap.aadrm.com 東アジア または 東南アジアEast Asia or Southeast Asia
rms.sa.aadrm.comrms.sa.aadrm.com 米国西部 または 米国東部West US or East US
rms.govus.aadrm.comrms.govus.aadrm.com 米国中部 または 米国東部 2Central US or East US 2
aadrm.usrms.aadrm.us US Gov バージニア または US Gov アリゾナUS Gov Virginia or US Gov Arizona
aadrm.cnrms.aadrm.cn 中国東部 2 または 中国北部 2China East 2 or China North 2

キーを作成して構成するCreate and configure your key

重要

管理対象 Hsm に固有の情報については、「Azure CLI を使用した管理された hsm キーのキー承認の有効化」を参照してください。For information specific for Managed HSMs, see Enabling key authorization for Managed HSM keys via Azure CLI.

Azure Information Protection に使用する Azure Key Vault とキーを作成します。Create an Azure Key Vault and the key you want to use for Azure Information Protection. 詳細については、 Azure Key Vault のドキュメントを参照してください。For more information, see the Azure Key Vault documentation.

BYOK の Azure Key Vault とキーを構成するには、次の点に注意してください。Note the following for configuring your Azure Key Vault and key for BYOK:

キーの長さの要件Key length requirements

キーを作成するときは、キーの長さが2048ビット (推奨) または1024ビットのどちらかであることを確認してください。When creating your key, make sure that the key length is either 2048 bits (recommended) or 1024 bits. Azure Information Protection ではその他のキーの長さはサポートされていません。Other key lengths are not supported by Azure Information Protection.

注意

1024ビットキーは、アクティブなテナントキーに対して適切なレベルの保護を提供するものとは見なされません。1024-bit keys are not considered to offer an adequate level of protection for active tenant keys.

マイクロソフトでは、1024ビットの RSA キーなどの下位キーの長さの使用を保証しておらず、SHA-1 などの不適切な保護レベルを提供するプロトコルの使用については推奨していません。Microsoft doesn't endorse the use of lower key lengths, such as 1024-bit RSA keys, and the associated use of protocols that offer inadequate levels of protection, such as SHA-1.

オンプレミスの HSM で保護されたキーを作成して key vault に転送するCreating an HSM-protected key on-premises and transferring it to your key vault

Hsm で保護されたキーをオンプレミスに作成し、それを HSM で保護されたキーとして key vault に転送するには、Azure Key Vault のドキュメントの「 hsm で保護されたキーを生成して転送する方法」の手順に従って Azure Key Vault します。To create an HSM-protected key on-premises and transfer it to your key vault as an HSM-protected key, follow the procedures in the Azure Key Vault documentation: How to generate and transfer HSM-protected keys for Azure Key Vault.

転送されたキーを使用する Azure Information Protection には、次のようなすべての Key Vault 操作をキーに対して許可する必要があります。For Azure Information Protection to use the transferred key, all Key Vault operations must be permitted for the key, including:

  • encryptencrypt
  • 復号化decrypt
  • wrapKeywrapKey
  • unwrapKeyunwrapKey
  • signsign
  • 確認verify

既定では、すべての Key Vault 操作が許可されます。By default, all Key Vault operations are permitted.

特定のキーに対して許可されている操作を確認するには、次の PowerShell コマンドを実行します。To check the permitted operations for a specific key, run the following PowerShell command:

(Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps

必要に応じて、 AzKeyVaultKeykeyops パラメーターを使用して、許可される操作を追加します。If necessary, add permitted operations by using Update-AzKeyVaultKey and the KeyOps parameter.

キー ID を使用した Azure Information Protection の構成Configuring Azure Information Protection with your key ID

Azure Key Vault に格納されているキーには、キー ID があります。Keys stored in the Azure Key Vault each have a key ID.

キー ID は、キーコンテナーの名前、キーコンテナー、キーの名前、およびキーのバージョンを含む URL です。The key ID is a URL that contains the name of the key vault, the keys container, the name of the key, and the key version. 以下に例を示します。For example:

https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.

キーコンテナーの URL を指定して、キーを使用するように Azure Information Protection を構成します。Configure Azure Information Protection to use your key by specifying its key vault URL.

キーを使用するように Azure Rights Management サービスを承認するAuthorizing the Azure Rights Management service to use your key

Azure Rights Management サービスは、キーを使用する権限を持っている必要があります。The Azure Rights Management service must be authorized to use your key. Azure Key Vault 管理者は、Azure portal または Azure PowerShell を使用して、この承認を有効にすることができます。Azure Key Vault administrators can enable this authorization using the Azure portal or Azure PowerShell.

Azure portal を使用したキー承認の有効化Enabling key authorization using the Azure portal
  1. Azure portal にサインインし、[Key vault の > <your key vault name> > アクセスポリシー] [ > 新規追加] にアクセスします。Sign in to the Azure portal, and go to Key vaults > <your key vault name> > Access policies > Add new.

  2. [ アクセスポリシーの追加 ] ウィンドウで、[ テンプレートからの構成 (オプション) ] ボックスの一覧から [ Azure Information Protection byok] を選択し、[ OK] をクリックします。From the Add access policy pane, from the Configure from template (optional) list box, select Azure Information Protection BYOK, and then click OK.

    選択したテンプレートには次の構成が含まれます。The selected template has the following configuration:

    • Select principal 値は Microsoft Rights Management Services に設定されています。The Select principal value is set to Microsoft Rights Management Services.
    • 選択した キーのアクセス許可 には、 Get復号化、および 署名 が含まれます。Selected key permissions include Get, Decrypt, and Sign.
PowerShell を使用したキー承認の有効化Enabling key authorization using PowerShell

Key Vault PowerShell コマンドレット AzKeyVaultAccessPolicyを実行し、GUID 00000012-0000-0000-c000-000000000000 を使用して Azure Rights Management サービスプリンシパルにアクセス許可を付与します。Run the Key Vault PowerShell cmdlet, Set-AzKeyVaultAccessPolicy, and grant permissions to the Azure Rights Management service principal using the GUID 00000012-0000-0000-c000-000000000000.

以下に例を示します。For example:

Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
Azure CLI を使用した管理対象 HSM キーのキー承認の有効化Enabling key authorization for Managed HSM keys via Azure CLI

管理された HSM 暗号化 ユーザーとして Azure Rights Management サービスプリンシパルのユーザーアクセス許可を付与するには、次のコマンドを実行します。To grant the Azure Rights Management service principal user permissions as a Managed HSM Crypto user, run the following command:

az keyvault role assignment create --hsm-name "ContosoMHSM" --role "Managed HSM Crypto User" --assignee 00000012-0000-0000-c000-000000000000 --scope /keys/contosomhsmkey

各値の説明:Where:

  • 00000012-0000-0000-c000-000000000000 は、このコマンドで使用する GUID です。00000012-0000-0000-c000-000000000000 is the GUID to use in this command
  • ContosoMHSM は、HSM のサンプル名です。ContosoMHSM is a sample HSM name. このコマンドを実行するときは、この値を独自の HSM 名に置き換えます。When running this command, replace this value with your own HSM name.

管理された Hsm 暗号化ユーザー ユーザーロールを使用すると、ユーザーはキーの暗号化の解除、署名、およびアクセス許可の取得を行うことができます。これは、管理対象 hsm 機能に必要なすべての機能です。The Managed HSM Crypto User user role allows the user to decrypt, sign, and get permissions to the key, which are all required for the Managed HSM functionality.

注意

管理対象 HSM がパブリックプレビューの間は、管理されている Hsm 暗号化ユーザー ロールを付与することは Azure CLI を通じてのみサポートされます。While Managed HSM is in public preview, granting the Managed HSM Crypto User role is supported only via Azure CLI.

キーを使用するように Azure Information Protection を構成するConfigure Azure Information Protection to use your key

上記のすべての手順を完了したら、このキーを組織のテナントキーとして使用するように Azure Information Protection を構成することができます。Once you've completed all of the steps above, you're ready to configure Azure Information Protection to use this key as your organization's tenant key.

Azure RMS コマンドレットを使用して、次のコマンドを実行します。Using Azure RMS cmdlets, run the following commands:

  1. Azure Rights Management サービスに接続し、サインインします。Connect to the Azure Rights Management service and sign in:

    Connect-AipService
    
  2. キーの URL を指定して、 AipServiceKeyVaultKey コマンドレットを実行します。Run the Use-AipServiceKeyVaultKey cmdlet, specifying the key URL. 以下に例を示します。For example:

    Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/<key-version>"
    

    重要

    この例で <key-version> は、は使用するキーのバージョンです。In this example, <key-version> is the version of the key you want to use. バージョンを指定しない場合は、既定で現在のバージョンのキーが使用され、コマンドが動作するように見えることがあります。If you do not specify the version, the current version of the key is used by default, and the command may appear to work. ただし、キーが後で更新または更新された場合、 AipServiceKeyVaultKey コマンドを再度実行しても、Azure Rights Management サービスはテナントに対して機能しなくなります。However, if your key is later updated or renewed, the Azure Rights Management service will stop working for your tenant, even if you run the Use-AipServiceKeyVaultKey command again.

    必要に応じて AzKeyVaultKey コマンドを使用して、現在のキーのバージョン番号を取得します。Use the Get-AzKeyVaultKey command as needed to get the version number of the current key.

    例: Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'For example: Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'

    キーの URL が Azure Information Protection に対して正しく設定されていることを確認するには、Azure Key Vault で AzKeyVaultKey コマンドを実行して、キーの url を表示します。To confirm that the key URL is set correctly for Azure Information Protection, run the Get-AzKeyVaultKey command in the Azure Key Vault to display the key URL.

  3. Azure Rights Management サービスが既にアクティブ化されている場合は、 Set-AipServiceKeyProperties を実行して、このキーを azure Rights Management サービスのアクティブなテナントキーとして使用するように Azure Information Protection に指示します。If the Azure Rights Management service is already activated, run Set-AipServiceKeyProperties to tell Azure Information Protection to use this key as the active tenant key for the Azure Rights Management service.

テナント用に自動的に作成された既定の Microsoft が作成したキーの代わりに、キーを使用するように Azure Information Protection が構成されるようになりました。Azure Information Protection is now configured to use your key instead of the default Microsoft-created key that was automatically created for your tenant.

次のステップNext steps

BYOK 保護を構成したら、「 テナントルートキー の概要」に進み、キーの使用と管理の詳細について説明します。Once you've configured BYOK protection, continue to Getting started with your tenant root key for more information about using and managing your key.