Customer が管理: テナント キーのライフサイクル操作
Note
Microsoft Purview Information Protection をお探しですか? (以前の Microsoft Information Protection (MIP))
Azure Information Protection アドインは廃止され、Microsoft 365 アプリとサービスに組み込まれているラベルに置き換えられています。 詳細については、「他の Azure Information Protection コンポーネントのサポート状況」を参照してください。
新しい Microsoft Information Protection クライアント (アドインなし) は現在プレビュー段階であり、一般提供が予定されています。
Azure Information Protection のテナント キー (Bring Your Own Key または BYOK シナリオ) を管理する場合は、このトポロジに関連するライフ サイクル操作の詳細については、次のセクションを参照してください。
テナント キーを取り消す
キーの再入力ではなく、キーの取り消しが必要になるシナリオはほとんどありません。 キーを取り消すと、そのキーを使用してテナントで保護されているすべてのコンテンツには、復元可能なキーのバックアップがない限り、すべてのユーザー (Microsoft、グローバル管理者、スーパー ユーザーを含む) がアクセスできなくなります。 キーを取り消すと、Azure Information Protection の新しいテナント キーを作成して構成するまで、新しいコンテンツを保護することはできません。
お客様が管理するテナント キーを取り消すには、Azure Key Vault で、Azure Information Protection テナント キーが格納されたキー コンテナーに対するアクセス許可を変更して、Azure Rights Management サービスがキーにアクセスできないようにすることができます。 このアクションにより、Azure Information Protection のテナント キーが効果的に取り消されます。
Azure Information Protection のサブスクリプションを取り消すと、Azure Information Protection はテナント キーの使用を停止し、ユーザーからのアクションは必要ありません。
テナント キーを再入力します
再入力は、キーのローリングとも呼ばれます。 この操作を行うと、Azure Information Protection は既存のテナント キーの使用を停止してドキュメントと電子メールを保護し、別のキーの使用を開始します。 ポリシーとテンプレートはすぐに削除されますが、Azure Information Protection を使用する既存のクライアントとサービスでは、この変更は段階的に行われます。 そのため、しばらくの間、一部の新しいコンテンツは古いテナント キーで保護され続けます。
再入力するには、テナント キー オブジェクトを構成し、使用する代替キーを指定する必要があります。 その後、以前に使用したキーは、Azure Information Protection のアーカイブ済みとして自動的にマークされます。 この構成は、このキーを使用して保護されたコンテンツがアクセスできることを確保します。
Azure Information Protection の再入力が必要になる場合の例は次に示します。
あなたの会社は、2 つ以上の会社に分割されました。 テナント キーを再入力すると、新しい会社は従業員が公開する新しいコンテンツにアクセスできなくなります。 古いテナント キーのコピーがある場合は、古いコンテンツにアクセスできます。
あるキー管理トポロジから別のキー管理トポロジに移行する必要があります。
テナント キーのマスター コピー (所有しているコピー) が侵害されたと思われます。
管理している別のキーを再入力するには、Azure Key Vault に新しいキーを作成するか、Azure Key Vault に既に存在する別のキーを使用します。 次に、Azure Information Protection のための BYOK を実装するのと同じ手順に従います。
Azure Information Protection で既に使用しているキーとは異なるキー コンテナーに新しいキーがある場合にのみ: Set-AzKeyVaultAccessPolicy コマンドレットを使用して、Azure Information Protection が目的のキー コンテナーを使用することを承認します。
使用する予定のキーを Azure Information Protection がまだ認識していない場合、Use-AipServiceKeyVaultKey コマンドレットを実行します。
Set-AipServiceKeyProperties コマンドレットによって、テナント キー オブジェクトを構成します。
各手順の詳細については:
管理する別のキーにキーを再入力するには、「Azure Information Protection テナント キーを計画して実装する」を参照してください。
オンプレミスで作成し、Key Vault に転送する HSM で保護されたキーを再入力する場合は、現在のキーに使用したのと同じセキュリティワールドとアクセスカードを使用できます。
再入力し、Microsoft が管理するキーを変更するには、「Microsoft が管理する操作の テナント キー セクションを再入力する」を参照してください。
テナント キーをバックアップと回復する
テナント キーを管理しているため、Azure Information Protection で使用されるキーをバックアップする責任を負います。
オンプレミスの nCipher HSM で、テナント キーを生成した場合: キーをバックアップするにはトークン化されたキー ファイル、World ファイル、および管理者カードをバックアップします。 Azure Key Vault にキーを転送すると、任意のサービス ノードの障害から保護するために、トークン化されたキー ファイルがサービスによって保存されます。 このファイルは、特定の Azure リージョンまたはインスタンスのセキュリティワールドにバインドされます。 ただし、このトークン化されたキー ファイルを完全バックアップとは考えないでください。 これは回復不可能なコピーであるため、たとえば nCipher HSM の外部で使用するためにキーのプレーンテキスト コピーが必要になった場合でも、Azure Key Vault はこれを取得することができません。
Azure Key Vault には、キーを ダウンロードしてファイルに保存することで、キーのバックアップに使用できるバックアップ コマンドレット があります。 ダウンロードしたコンテンツは暗号化されたため、Azure Key Vault の外部では使用できません。
テナント キーをエクスポートする
BYOK を使用する場合、Azure Key Vault または Azure Information Protection からのテナント キーをエクスポートすることはできません。 Azure Key Vault のコピーは回復できません。
違反に対応する
セキュリティ システムは、どの程度の強さであっても、違反対応プロセスなしでは完了しません。 テナント キーが侵害されたり、盗まれたりする可能性があります。 適切に保護されている場合でも、現在の世代のキー テクノロジまたは現在のキーの長さとアルゴリズムに脆弱性が発見される可能性があります。
Microsoft には、製品とサービスのセキュリティ インシデントに対応するための専用チームがあります。 インシデントの信頼できるレポートが作成されるとすぐに、このチームはスコープ、根本原因および軽減策の調査に取り組みます。 このインシデントがユーザーの資産に影響を与える場合、Microsoft はテナントのグローバル管理者にメールで通知します。
違反がある場合、お客様または Microsoft が実行できる最善の措置は、違反の範囲によって異なります。Microsoft は、このプロセスを通じてお客様と協力します。 次の表は、一般的な状況と可能な応答を示していますが、正確な応答は調査中に明らかにされるすべての情報によって異なります。
| インシデントの説明 | 応答可能性 |
|---|---|
| テナント キーが漏洩しました。 | テナント キーを再入力します。 「テナント キーの再入力」を参照してください。 |
| 承認されていない個人またはマルウェアは、テナント キーを使用する権限を取得しましたが、キー自体は漏洩しませんでした。 | テナント キーの再入力はここでは役に立たない、根本原因の分析が必要です。 承認されていない個人がアクセス権を取得する原因がプロセスまたはソフトウェアのバグである場合は、その状況を解決する必要があります。 |
| 現在の世代の HSM テクノロジで発見された脆弱性。 | Microsoft は HSM を更新する必要があります。 脆弱性によってキーを公開されたと考えられる理由がある場合、Microsoft はすべての顧客にテナント キーの再入力を指示します。 |
| RSA アルゴリズムで発見された脆弱性、キーの長さまたはブルート フォース攻撃は計算可能になります。 | Microsoft は、回復力のある新しいアルゴリズムとより長いキーの長さをサポートするように Azure Key Vault または Azure Information Protection を更新し、すべての顧客にテナント キーの再入力を指示する必要があります。 |
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示