Azure Information Protection の Hold your own key (HYOK) 保護Hold your own key (HYOK) protection for Azure Information Protection

適用対象: Azure Information ProtectionApplies to: Azure Information Protection

手順: Windows 用の Azure Information Protection クライアントInstructions for: Azure Information Protection client for Windows

次の情報を使用して、Azure Information Protection の Hold your own key (HYOK) 保護とは何か、およびクラウド ベースの既定の保護と異なる点について把握してください。Use the following information to understand what hold your own key (HYOK) protection is for Azure Information Protection, and how it is different from the default cloud-based protection. HYOK 保護を使用する前に、適切な場合、サポートされるシナリオ、制限事項、要件を理解していることを確認してください。Before you use HYOK protection, make sure that you understand when it's appropriate, the supported scenarios, the limitations, and requirements.

クラウドベースの保護と HYOKCloud-based protection vs. HYOK

Azure Information Protection を使用して最も機密性の高いドキュメントや電子メールを保護する場合、通常、次のような利点がある Azure Rights Management (Azure RMS) 保護を使用するクラウドベースのキーを適用します。When you protect your most sensitive documents and emails by using Azure Information Protection, you typically do this by applying a cloud-based key that uses Azure Rights Management (Azure RMS) protection to benefit from the following:

  • サーバー インフラストラクチャが不要で、問題の解決が迅速になり、オンプレミス ソリューションよりもデプロイと保守のコスト効率が高くなる。No server infrastructure required, which makes the solution quicker and more cost effective to deploy and maintain than an on-premises solution.

  • クラウドベースの認証を使用して、他の組織のパートナーやユーザーと簡単に共有することができる。Easier sharing with partners and users from other organizations by using cloud-based authentication.

  • 検索、Web ビューアー、ピボット ビュー、マルウェア対策、電子情報開示、Delve などの、他の Azure や Office 365 サービスと密接に統合されている。Tight integration with other Azure and Office 365 services, such as search, web viewers, pivoted views, anti-malware, eDiscovery, and Delve.

  • 共有した機密ドキュメントの追跡、取り消し、電子メール通知機能を使用できる。Document tracking, revocation, and email notification for sensitive documents that you have shared.

クラウドベースのキーは、Microsoft または自社 ("Bring Your Own Key" (BYOK) シナリオ) が管理する組織の秘密キーを使用して組織のドキュメントと電子メールを保護します。A cloud-based key protects your organization's documents and emails by using a private key for the organization that is managed by Microsoft (the default), or managed by you (the "bring your own key" or BYOK scenario). テナント キー オプションの詳細については、「Azure Information Protection テナント キーを計画して実装する」を参照してください。For more information about the tenant key options, see Planning and implementing your Azure Information Protection tenant key.

保護するドキュメントと電子メールは、クラウドまたはオンプレミスに格納することができます。Documents and emails that you protect could be stored in the cloud or on-premises. このクラウドベースのキーの保護プロセスのしくみについては、「Azure Rights Management とは」を参照してください。For more information about how the protection process works for this cloud-based key, see What is Azure Rights Management?

重要なビジネス機能 (検索、インデックス、アーカイブ、マルウェア対策サービスなど) が、Azure Information Protection で保護されているコンテンツに対してシームレスに動作し続けられるように、Office 365 サービスと、ご利用のテナントのクラウド ベースのアプリケーションを Azure Information Protection に統合することができます。Office 365 services and cloud-based applications for your tenant can integrate with Azure Information Protection so that important business functions, such as search, indexing, archiving, and anti-malware services continue to work seamlessly for content that's protected by Azure Information Protection. これらのシナリオの暗号化されたコンテンツを読み取るこの機能は、“データに対する推論” と呼ばれることがあります。This ability to read the encrypted content for these scenarios is often referred to as "reasoning over data". たとえば、この機能により、Exchange Online はマルウェア スキャンのために電子メールの暗号化を解除したり、暗号化された電子メールにデータ損失防止 (DLP) ルールを実行したりすることができます。For example, it's this ability that lets Exchange Online decrypt emails for malware scanning and to run data loss prevention (DLP) rules on encrypted emails.

ただし、規制の要件に関して、一部の組織ではクラウドから分離されたキーを使用したコンテンツの暗号化が必要な場合があります。However, for regulatory requirements, a few organizations might be required to encrypt content with a key that is isolated from the cloud. この分離は、暗号化されたコンテンツが、オンプレミスのアプリケーションとオンプレミス サービスでのみ読み取ることができることを意味します。This isolation means that the encrypted content can be read only by on-premises applications and on-premises services. このキー管理オプションは、Azure Information Protection によってサポートされ、"hold your own key" または HYOK と呼ばれます。This key management option is supported by Azure Information Protection, and it is referred to as "hold your own key" or HYOK. Azure Information Protection と HYOK を使用すると、テナントがクラウド ベースのキーと、オンプレミスのキーの両方を持つことになります。When you use Azure Information Protection with HYOK, your tenant has both a cloud-based key and an on-premises key.

HYOK のガイダンスとベスト プラクティスHYOK guidance and best practices

HYOK 保護は、暗号化キーをクラウドから分離する必要があるドキュメントと電子メールだけに使用します。Use HYOK protection just for the documents and emails that require the encryption key to be isolated from the cloud. HYOK 保護には、クラウドベースのキー保護の場合ほど多くの利点はなく、"データの不透明度" が失われることが多々あります。HYOK protection doesn't provide the listed benefits that you get when you use cloud-based key protection, and it often comes at the cost of "data opacity". これは、オンプレミスのアプリケーションとサービスのみが、HYOK で保護されたデータを開くことできることを意味します。クラウド ベースのサービスとアプリケーションは、HYOK で保護されたデータに対して推論することはできません。This phrase means that only on-premises applications and services will be able to open HYOK-protected data; cloud-based services and applications cannot reason over HYOK-protected data.

HYOK 保護を使用している組織であっても、通常は、保護する必要があるドキュメントの数が少ない場合に適しています。Even for the organizations that use HYOK protection, it is typically suitable for a small number of documents that need to be protected. ガイダンスとして、次のすべての条件に一致するドキュメントのみに使用します。As guidance, use it only for documents and when they match all the following criteria:

  • コンテンツは組織内で最上位に分類され ("最高機密")、アクセスは数名だけに制限されているThe content has the highest classification in your organization ("Top Secret") and access is restricted to just a few people

  • コンテンツが組織外で共有されることはないThe content is not shared outside the organization

  • コンテンツは、内部ネットワーク上でのみ使用されるThe content is only consumed on the internal network

HYOK 保護は、ラベルに対する管理者の構成オプションであるため、クラウド ベースのキーまたは HYOK を保護に使用しているかどうかにかかわらず、ユーザーのワークフローは変わりません。Because HYOK protection is an administrator configuration option for a label, user workflows remain the same, irrespective of whether the protection uses a cloud-based key or HYOK.

スコープ ポリシーは、HYOK 保護を適用する必要があるユーザーのみに HYOK 保護で構成されているラベルを確実に表示する優れた方法です。Scoped policies are a good way to ensure that only the users who need to apply HYOK protection see labels that are configured for HYOK protection.

HYOK のサポートされるシナリオSupported scenarios for HYOK

HYOK 保護を適用するには、Azure Information Protection のラベルを使用します。To apply HYOK protection, use Azure Information Protection labels.

HYOK 向けに構成されているラベルを使用して、HYOK によって保護されているコンテンツを開き (消費し) コンテンツを保護するための、サポートされているシナリオを次の表に示します。The following table lists the supported scenarios for protecting content by using labels that are configured for HYOK, and opening (consuming) content that's protected by HYOK.

プラットフォームPlatform アプリケーションApplication サポートSupported
WindowsWindows Azure Information Protection クライアントと Office 365 アプリ、Office 2019、Office 2016、および Office 2013Azure Information Protection client with Office 365 apps, Office 2019, Office 2016, and Office 2013

- Word、Excel、PowerPoint- Word, Excel, PowerPoint
保護: はいProtection: Yes

消費: はいConsumption: Yes
WindowsWindows Azure Information Protection クライアントと Office 365 アプリ、Office 2019、Office 2016、および Office 2013Azure Information Protection client with Office 365 apps, Office 2019, Office 2016, and Office 2013

- Outlook- Outlook
保護: はいProtection: Yes

消費: はいConsumption: Yes
WindowsWindows Azure Information Protection クライアントとファイル エクスプローラーAzure Information Protection client with File Explorer 保護: はいProtection: Yes

消費: はいConsumption: Yes
WindowsWindows Azure Information Protection ビューアーAzure Information Protection Viewer 保護: 適用なしProtection: Not applicable

消費: はいConsumption: Yes
WindowsWindows Azure Information Protection クライアントと PowerShell のラベル付けコマンドレットAzure Information Protection client with PowerShell labeling cmdlets 保護: はいProtection: Yes

消費: はいConsumption: Yes
WindowsWindows Azure Information Protection スキャナーAzure Information Protection scanner 保護: はいProtection: Yes

消費: はいConsumption: Yes
WindowsWindows Rights Management 共有アプリRights Management sharing app 保護: なしProtection: No

消費: はいConsumption: Yes
MacOSMacOS Office for MacOffice for Mac

- Word、Excel、PowerPoint- Word, Excel, PowerPoint
保護: なしProtection: No

消費: はいConsumption: Yes
MacOSMacOS Office for MacOffice for Mac

- Outlook- Outlook
保護: なしProtection: No

消費: はいConsumption: Yes
MacOSMacOS Rights Management 共有アプリRights Management sharing app 保護: なしProtection: No

消費: はいConsumption: Yes
[iOS]iOS Office MobileOffice Mobile

- Word、Excel、PowerPoint- Word, Excel, PowerPoint
保護: なしProtection: No

消費: はいConsumption: Yes
[iOS]iOS Office MobileOffice Mobile

-Outlook-Outlook
保護: なしProtection: No

消費: いいえConsumption: No
[iOS]iOS Azure Information Protection ビューアーAzure Information Protection Viewer 保護: 適用なしProtection: Not applicable

消費: はいConsumption: Yes
AndroidAndroid Office MobileOffice Mobile

- Word、Excel、PowerPoint- Word, Excel, PowerPoint
保護: なしProtection: No

消費: はいConsumption: Yes
AndroidAndroid Office MobileOffice Mobile

- Outlook- Outlook
保護: なしProtection: No

消費: いいえConsumption: No
AndroidAndroid Azure Information Protection ビューアーAzure Information Protection Viewer 保護: 適用なしProtection: Not applicable

消費: はいConsumption: Yes
WebWeb Outlook on the webOutlook on the web 保護: なしProtection: No

消費: いいえConsumption: No
WebWeb Web 用 OfficeOffice for the web

- Word、Excel、PowerPoint- Word, Excel, PowerPoint
保護: なしProtection: No

消費: いいえConsumption: No
ユニバーサルUniversal Office のユニバーサル アプリOffice Universal apps

- Word、Excel、PowerPoint- Word, Excel, PowerPoint
保護: なしProtection: No

消費: いいえConsumption: No

HYOK を使用する際の追加制限事項Additional limitations when using HYOK

さらに、HYOK 保護と Azure Information Protection ラベルを使用する場合、次の制限があります。Additionally, using HYOK protection with Azure Information Protection labels has the following limitations:

  • Office 2013 より前のバージョンの Office をサポートしません。Does not support versions of Office earlier than Office 2013.

  • Office 365 サービスと他のオンライン サービスは、HYOK で保護されたドキュメントと電子メールの暗号化を解除して内容を調べたり操作を実行することはできません。Office 365 services and other online services will not be able to decrypt HYOK-protected documents and emails to inspect the content and take action on them. この制限は、Rights Management コネクタで保護されている HYOK で保護されたドキュメントおよび電子メールにも適用されます。This limitation extends to HYOK-protected documents and emails that have been protected with the Rights Management connector.

    この HYOK で保護された電子メールで失われる機能には、マルウェア スキャナー、データ損失防止 (DLP) ソリューション、メール ルーティング規則、ジャーナル、電子情報開示、アーカイブ ソリューション、Exchange ActiveSync が含まれます。This loss of functionality for HYOK-protected email includes malware scanners, data loss prevention (DLP) solutions, mail routing rules, journaling, eDiscovery, archiving solutions, and Exchange ActiveSync. さらに、ユーザーは、一部のデバイスで自分の HYOK で保護された電子メールが開けない理由がわからないため、ヘルプ デスクに問い合わせる可能性があります。In addition, users won't understand why some devices cannot open their HYOK-protected emails, and this can result in calls to your help desk. こうした多くの制限のため、電子メールに HYOK 保護を使用することはお勧めしません。Because of these many limitations, we do not recommend that you use HYOK protection for emails.

HYOK を実装するImplementing HYOK

HYOK は、有効な Active Directory Rights Management サービス (AD RMS) デプロイがある場合に Azure Information Protection でサポートされます。次のセクションでは、その要件について説明します。HYOK is supported by Azure Information Protection when you have a working Active Directory Rights Management Services (AD RMS) deployment with the requirements that are documented in the next section. このシナリオでは、使用権限ポリシーとそのポリシーを保護する組織の秘密キーの管理と保存はオンプレミスで行われますが、ラベル付けと分類の Azure Information Protection ポリシーの管理と保存は Azure で行われます。In this scenario, the usage rights policies and the organization's private key that protects these policies are managed and kept on-premises, while the Azure Information Protection policy for labeling and classification remains managed and stored in Azure.

HYOK と Azure Information Protection を、AD RMS と Azure Information Protection の完全なデプロイの使用と混同しないでください。また、AD RMS から Azure Information Protection への移行の代替手段として使用しないでください。Do not confuse HYOK and Azure Information Protection with using a full deployment of AD RMS and Azure Information Protection, or as an alternative to migrating AD RMS to Azure Information Protection. HYOK はラベルを適用することでのみサポートされます。HYOK は、AD RMS に機能パリティを提供していませんし、すべての AD RMS デプロイの構成をサポートしているわけではありません。HYOK is only supported by applying labels, does not offer feature parity with AD RMS, and does not support all AD RMS deployment configurations:

HYOK をサポートするための AD RMS の要件Requirements for AD RMS to support HYOK

Azure Information Protection ラベルに HYOK 保護を適用するには、AD RMS のデプロイで次の要件を満たす必要があります。An AD RMS deployment must meet the following requirements to provide HYOK protection for Azure Information Protection labels.

  • AD RMS の構成:AD RMS configuration:

    • Windows Server 2012 R2 の最小バージョン: 運用環境では必須ですが、テストまたは評価を目的とする場合は、Windows Server 2008 R2 Service Pack 1 の最小バージョンを使用できます。Minimal version of Windows Server 2012 R2: Required for production environments but for testing or evaluation purposes, you can use a minimal version of Windows Server 2008 R2 with Service Pack 1.

    • 次のいずれかのトポロジ:One of the following topologies:

      • AD RMS ルート クラスターを 1 つ持つ単一のフォレスト。Single forest with a single AD RMS root cluster.

      • それぞれが独立した AD RMS ルート クラスターを持つ複数のフォレスト。ユーザーは他のフォレスト内のユーザーによって保護されているコンテンツにアクセスすることはできません。Multiple forests with independent AD RMS root clusters and users don't have access to the content that's protected by the users in the other forests.

      • それぞれが AD RMS クラスターを持つ複数のフォレスト。Multiple forests with AD RMS clusters in each of them. 各 AD RMS クラスターは、同じ AD RMS クラスターを指すライセンス URL を共有します。Each AD RMS cluster shares a licensing URL that points to the same AD RMS cluster. この AD RMS クラスターには、その他のすべての AD RMS クラスターからすべての信頼されたユーザー ドメイン (TUD) の証明書をインポートする必要があります。On this AD RMS cluster, you must import all the trusted user domain (TUD) certificates from all the other AD RMS clusters. このトポロジについて詳しくは、「Trusted User Domain (信頼されたユーザー ドメイン)」をご覧ください。For more information about this topology, see Trusted User Domain.

      個々のフォレスト内に複数の AD RMS クラスターがある場合は、HYOK (AD RMS) 保護を適用するグローバル ポリシー内のラベルを削除し、クラスターごとに スコープ付きポリシー を構成します。When you have multiple AD RMS clusters in separate forests, delete any labels in the global policy that apply HYOK (AD RMS) protection and configure a scoped policy for each cluster. 次に、各クラスターのユーザーを、対応するスコープ付きポリシーに割り当てて、ユーザーが複数のスコープ付きポリシーに割り当てられていることになるグループを使用しないようにします。Then, assign users for each cluster to their scoped policy, making sure that you do not use groups that would result in a user being assigned to more than one scoped policy. 結果として、各ユーザーは 1 つの AD RMS クラスターのみのラベルを持つことになります。The result should be that each user has labels for one AD RMS cluster only.

    • 暗号化モード 2: AD RMS クラスター プロパティの [全般] タブから、モードを確認できます。Cryptographic Mode 2: You can confirm the mode by checking the AD RMS cluster properties, General tab.

    • 各 AD RMS サーバーが証明書の URL 用に構成されます。Each AD RMS server is configured for the certification URL. 手順Instructions

    • サービス接続ポイント (SCP) が Active Directory に登録されていない: SCP は、AD RMS 保護と Azure Information Protection が併用されるときは使用されません。A service connection point (SCP) is not registered in Active Directory: An SCP is not used when you use AD RMS protection with Azure Information Protection.

      • AD RMS デプロイに SCP を登録している場合、Azure Rights Management 保護のサービス検索を正常に実行するには、SCP を削除する必要があります。If you have a registered an SCP for your AD RMS deployment, you must remove it so that service discovery is successful for Azure Rights Management protection.

      • HYOK の新しい AD RMS クラスターをインストールする場合は、最初のノードの構成時に SCP を登録する手順をスキップしてください。If you are installing a new AD RMS cluster for HYOK, skip the step to register the SCP during the configuration of the first node. 各追加ノードについて、AD RMS の役割を追加して、既存のクラスターに参加する前に、証明書の URL についてサーバーが構成されていることを確認します。For each additional node, make sure that the server is configured for the certification URL before you add the AD RMS role and join the existing cluster.

    • 接続先のクライアントによって信頼されている有効な x.509 証明書で SSL/TLS を使用するように AD RMS サーバーが構成されている: 運用環境では必須ですが、テストまたは評価目的の場合は必須ではありません。The AD RMS servers are configured to use SSL/TLS with a valid x.509 certificate that is trusted by the connecting clients: Required for production environments but not required for testing or evaluation purposes.

    • 構成済みの権利テンプレート。Configured rights templates.

    • Exchange IRM 用に構成されていない。Not configured for Exchange IRM.

    • モバイル デバイスと Mac コンピューターの場合: Active Directory Rights Management Services Mobile Device Extension がインストールされ構成されている。For mobile devices and Mac computers: The Active Directory Rights Management Services Mobile Device Extension is installed and configured.

  • オンプレミスの Active Directory と Azure Active Directory 間にディレクトリ同期が構成され、HYOK 保護を使用するユーザーのシングル サインオンが構成されている。Directory synchronization is configured between your on-premises Active Directory and Azure Active Directory, and users who will use HYOK protection are configured for single sign-on.

  • HYOK で保護されているドキュメントまたは電子メールを組織以外の相手と共有する場合: AD RMS は、信頼されたユーザー ドメイン (TUD)、または Active Directory Federation Services (AD FS) を使用して作成された、またはフェデレーションによる信頼を使用して、他の組織との直接的なポイント間の関係に明示的に定義した信頼向けに構成されている。If you share documents or emails that are protected by HYOK with others outside your organization: AD RMS is configured for explicitly defined trusts in a direct point-to-point relationship with the other organizations by using either trusted user domains (TUDs) or federated trusts that are created by using Active Directory Federation Services (AD FS).

  • ユーザーは、Information Rights Management (IRM) をサポートしている Office のバージョンと、Windows 7 Service Pack 1 以降で実行されている Office 2013 Professional Plus Service Pack 1 以降を持っている。Users have a version of Office that supports Information Rights Management (IRM) and at least Office 2013 Professional Plus with Service Pack 1, running on Windows 7 Service Pack 1 or later. ただし、このシナリオでは、Office 2010 と Office 2007 は、サポートされません。Note that Office 2010 and Office 2007 are not supported for this scenario.

重要

HYOK 保護が提供する高い確実性を実現するために、AD RMS サーバーは DMZ に配置せず、マネージド デバイスでのみ使用することをお勧めします。To fulfill the high assurance that HYOK protection offers, we recommend that your AD RMS servers are not located in your DMZ, and that they are used by only managed devices.

また、AD RMS クラスターでハードウェア セキュリティ モジュール (HSM) を使用することをお勧めします。これを使用すれば、AD RMS のデプロイが侵入または侵害されても、サーバー ライセンサー証明書 (SLC) の秘密キーが公開または盗難されることはありません。We also recommend that your AD RMS cluster uses a hardware security module (HSM), so that the private key for your Server Licensor Certificate (SLC) cannot be exposed or stolen if your AD RMS deployment should ever be breached or compromised.

AD RMS のデプロイの情報と手順については、Windows Server ライブラリの「Active Directory Rights Management Services の概要」を参照してください。For deployment information and instructions for AD RMS, see Active Directory Rights Management Services in the Windows Server library.

証明書の URL を確認するように AD RMS サーバーを構成するConfiguring AD RMS servers to locate the certification URL

  1. クラスターの各 AD RMS サーバーで、次のレジストリ エントリを作成します。On each AD RMS server in the cluster, create the following registry entry:

    Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\DRMS\GICURL = "<string>"

    <文字列値> の場合、次のいずれかを指定します。For the <string value>, specify one of the following:

    • SSL/TLS を使用した AD RMS クラスターの場合:For AD RMS clusters using SSL/TLS:

        https://<cluster_name>/_wmcs/certification/certification.asmx
      
    • SSL/TLS を使用しない AD RMS クラスターの場合 (テスト ネットワークのみ):For AD RMS clusters not using SSL/TLS (testing networks only):

        http://<cluster_name>/_wmcs/certification/certification.asmx
      
  2. IIS を再開します。Restart IIS.

Azure Information Protection ラベルによる AD RMS の保護を指定する情報の確認Locating the information to specify AD RMS protection with an Azure Information Protection label

HYOK (AD RMS) の保護のラベルを構成する場合、AD RMS クラスターのライセンス URL を指定する必要があります。When you configure a label for HYOK (AD RMS) protection, you must specify the licensing URL of your AD RMS cluster. さらに、ユーザーを許可するためにアクセス許可に構成したテンプレートを指定するか、またはユーザーがアクセス許可とユーザーを定義できるようにする必要があります。In addition, you must specify either a template that you've configured for the permissions to grant users, or let users define the permissions and users.

テンプレート GUID とライセンス URL の値は、Active Directory Rights Management サービス コンソールで確認できます。You can find the template GUID and licensing URL values from the Active Directory Rights Management Services console:

  • テンプレート GUID を確認するには: クラスターを展開し、 [権利ポリシー テンプレート] をクリックします。To locate a template GUID: Expand the cluster and click Rights Policy Templates. [配布権利ポリシー テンプレート] の情報から、使用するテンプレートの GUID をコピーできます。From the Distributed Rights Policy Templates information, you can then copy the GUID from the template you want to use. 例: 82bf3474-6efe-4fa1-8827-d1bd93339119For example: 82bf3474-6efe-4fa1-8827-d1bd93339119

  • ライセンス URL を確認するには: クラスター名をクリックします。To locate the licensing URL: Click the cluster name. [クラスターの詳細] の情報から、 [ライセンス] 値の /_wmcs/licensing 文字列以外をコピーします。From the Cluster Details information, copy the Licensing value minus the /_wmcs/licensing string. たとえば次のようになります。 https://rmscluster.contoso.comFor example: https://rmscluster.contoso.com

    エクストラネット ライセンス値とイントラネット ライセンス値があり、異なる値の場合: 明示的なポイント間の信頼で定義したパートナーとの間で、保護されたドキュメントを共有する場合にのみ、エクストラネット値を指定します。If you have an extranet licensing value as well as an intranet licensing value, and they are different: Specify the extranet value only if you will share protected documents or emails with partners that you have defined with explicit point-to-point trusts. それ以外の場合、イントラネット値を使用し、Azure Information Protection 接続で AD RMS の保護を使用するすべてのクライアント コンピューターが、イントラネット接続を使用して接続するようにします (たとえば、リモート コンピューターは VPN 接続を使用する)。Otherwise, use the intranet value and make sure that all your client computers that use AD RMS protection with Azure Information Protection connect by using an intranet connection (for example, remote computers use a VPN connection).

次のステップNext steps

HYOK 保護のラベルを構成するには、「Rights Management による保護でラベルを構成する方法」を参照してください。To configure a label for HYOK protection, see How to configure a label for Rights Management protection.