Azure Information Protection テナント キーを計画して実装する

Note

以前のMicrosoft Information Protection (MIP) Microsoft Purview 情報保護をお探しですか?

Azure Information Protection統合ラベル付けクライアントがメンテナンス モードになりました。 Office 365アプリやサービスに組み込まれているラベルを使用することをお勧めします。 詳細情報

Azure Information Protection テナント キーは組織のルート キーです。 ユーザー キー、コンピューター キー、ドキュメント暗号化キーなどの他のキーは、このルート キーから派生させることができます。 Azure Information Protection は、組織でこれらのキーを使用する場合は常に、暗号化により Azure Information Protection ルート テナント キーにチェーンします。

テナント ルート キーに加えて、組織では特定のドキュメント用にオンプレミスのセキュリティが必要な場合があります。 オンプレミスのキー保護は、通常、少量のコンテンツに対してのみ必要であるため、テナント ルート キーで構成されます。

Azure Information Protection のキーの種類

テナント ルート キーは次のいずれかになります。

追加のオンプレミス保護を必要とする機密性の高いコンテンツがある場合は、二重キー暗号化 (DKE) を使用することをお勧めします。

Microsoft によって生成されたテナント ルート キー

Microsoft によって自動的に生成される既定のキーは、テナント キーのライフ サイクルのほとんどの側面を管理するために Azure Information Protection 専用に使用される既定のキーです。

Azure Information Protection をすばやくデプロイする必要があり、特別なハードウェア、ソフトウェア、または Azure サブスクリプションがない場合は、既定の Microsoft キーを引き続き使用します。 たとえば、テスト環境や、キー管理の規制要件がない組織などです。

既定のキーの場合、それ以上の手順は必要なく、すぐにテナント ルート キーの使用を開始することができます。

注意

Microsoft によって生成される既定のキーは、管理オーバーヘッドが最も少ない最も簡単なオプションです。

ほとんどの場合、Azure Information Protection にサインアップすることができ、キー管理プロセスの残りの部分は Microsoft によって処理されるので、テナント キーを持っていることすら知らない場合があります。

Bring Your Own Key (BYOK) 保護

BYOK 保護では、お客様の組織の Azure Key Vault またはオンプレミスで、お客様によって作成されたキーを使用します。 その後、これらのキーは、さらに管理するために Azure Key Vault に転送されます。

すべてのライフ サイクル操作の制御など、キー生成に関するコンプライアンス規則が組織にある場合は、BYOK を使用します。 たとえば、ハードウェア セキュリティ モジュールでキーを保護する必要があるときなどです。

詳細については、BYOK 保護の構成に関するページをご覧ください。

構成が完了した後、キーの使用と管理の詳細については、テナント ルート キーの使用開始に関するページに進んでください。

二重キー暗号化 (DKE)

DKE 保護では、2 つのキーを使用してコンテンツのセキュリティが強化されます。1 つは Microsoft によって作成されて Azure に保持されるもの、もう 1 つはお客様によって作成されてオンプレミスに保持されるものです。

DKE で保護されたコンテンツにアクセスするには両方のキーが必要であり、Microsoft や他のサード パーティが保護されたデータに自分だけでアクセスすることはできません。

DKE はクラウドまたはオンプレミスにデプロイでき、ストレージの場所に対する完全な柔軟性が提供されます。

次のような組織では DKE を使用してください。

  • すべての状況において、自分達だけが保護されたコンテンツの暗号化を解除できるようにしたい。
  • Microsoft だけで保護されたデータにアクセスできるようにしたくない。
  • 地理的な境界内にキーを保持する規制要件がある。 DKE を使用すると、お客様が保持するキーはお客様のデータ センター内に保持されます。

注意

DKE は、開くために銀行の鍵と顧客の鍵の両方が必要な貸金庫に似ています。 DKE 保護で保護されたコンテンツの暗号化を解除するには、Microsoft が保持するキーとお客様が保持するキーの両方が必要です。

詳細については、Microsoft 365 のドキュメントの二重キー暗号化に関するページをご覧ください。

次の手順

特定の種類のキーの詳細については、次の記事を参照してください。

会社の合併後など、テナント間で移行する場合について詳しくは、合併とスピンオフに関するブログ記事を参照することをお勧めします。