Azure Information Protection テナント キーを計画して実装するPlanning and implementing your Azure Information Protection tenant key

適用対象: Azure Information ProtectionOffice 365Applies to: Azure Information Protection, Office 365

この記事の情報は、Azure Information Protection テナント キーに関する計画および管理に役立ちます。Use the information in this article to help you plan for and manage your Azure Information Protection tenant key. たとえば、マイクロソフトがテナント キーを管理する (既定値) のではなく、組織に該当する特定の規制に準拠するために、ユーザーが自分でテナント キーを管理する必要がある場合があります。For example, instead of Microsoft managing your tenant key (the default), you might want to manage your own tenant key to comply with specific regulations that apply to your organization. ユーザーでのテナント キーの管理は、Bring Your Own Key (BYOK) とも呼ばれます。Managing your own tenant key is also referred to as bring your own key, or BYOK.

Azure Information Protection テナント キーとはWhat is the Azure Information Protection tenant key?

  • Azure Information Protection テナント キーは組織のルート キーです。The Azure Information Protection tenant key is a root key for your organization. ユーザー キー、コンピューター キー、ドキュメント暗号化キーなどの他のキーは、このルート キーから派生させることができます。Other keys can be derived from this root key, such as user keys, computer keys, and document encryption keys. Azure Information Protection は、組織でこれらのキーを使用する場合は常に、暗号化により Azure Information Protection テナント キーにチェーンします。Whenever Azure Information Protection uses these keys for your organization, they cryptographically chain to your Azure Information Protection tenant key.

  • Azure Information Protection テナント キーは、Active Directory Rights Management サービス (AD RMS) からのサーバー ライセンサー証明書 (SLC) キーのオンライン版です。The Azure Information Protection tenant key is the online equivalent of the Server Licensor Certificate (SLC) key from Active Directory Rights Management Services (AD RMS).

概要: 次の表は、推奨されるテナント キー トポロジのクイック ガイドとして使用してください。At a glance: Use the following table as a quick guide to your recommended tenant key topology. 詳細については、別のドキュメントを参照してください。Then, use the additional documentation for more information.

業務要件Business requirement 推奨テナント キー トポロジRecommended tenant key topology
特別なハードウェア、追加のソフトウェア、または Azure サブスクリプションなしで、Azure Information Protection をすばやくデプロイする。Deploy Azure Information Protection quickly and without special hardware, additional software, or an Azure subscription.

例: テスト環境および組織にキー管理に関する規制上の要件がない場合。For example: Testing environments and when your organization does not have regulatory requirements for key management.
マイクロソフト管理Managed by Microsoft
コンプライアンスの規制と、すべてのライフサイクル操作の制御。Compliance regulations and control over all life cycle operations.

例: ハードウェア セキュリティ モジュール (HSM) でキーを保護する必要があります。For example: Your key must be protected by a hardware security module (HSM).
BYOKBYOK

必要に応じて、設定-AipServiceKeyPropertiesコマンドレットを使用して、デプロイ後にテナントキートポロジを変更できます。If required, you can change your tenant key topology after deployment, by using the Set-AipServiceKeyProperties cmdlet.

テナント キー トポロジを選択する:Microsoft による管理 (既定) または自主管理 (BYOK)Choose your tenant key topology: Managed by Microsoft (the default) or managed by you (BYOK)

組織に最適なテナント キー トポロジを決定します。Decide which tenant key topology is best for your organization:

  • Microsoft 管理: Microsoft では組織のテナント キーが自動的に生成され、このキーは Azure Information Protection 専用に使用されます。Managed by Microsoft: Microsoft automatically generates a tenant key for your organization and this key is used exclusively for Azure Information Protection. 既定では、Microsoft はテナントにこのキーを使用し、テナント キー ライフ サイクルのほとんどの側面を管理します。By default, Microsoft uses this key for your tenant and manages most aspects of your tenant key life cycle.

    これは、管理オーバーヘッドが最も少なくて済むシンプルな方法です。This is the simplest option with the lowest administrative overheads. 多くの場合、テナント キーの存在を意識することすらありません。In most cases, you do not even need to know that you have a tenant key. Azure Information Protection にサインアップすれば、それ以外のキー管理プロセスは Microsoft によって処理されます。You just sign up for Azure Information Protection and the rest of the key management process is handled by Microsoft.

  • 自主管理 (BYOK) : テナント キーを完全に制御するには、Azure Information Protection で Azure Key Vault を使用します。Managed by you (BYOK): For complete control over your tenant key, use Azure Key Vault with Azure Information Protection. このテナント キー トポロジの場合、Key Vault に直接キーを作成するか、オンプレミスで作成します。For this tenant key topology, you create the key, either directly in Key Vault, or create it on-premises. オンプレミスで作成する場合は、このキーを Key Vault に転送またはインポートします。If you create it on-premises, you next transfer or import this key into Key Vault. その後、このキーを使用するように Azure Information Protection を構成して、Azure Key Vault で管理します。You then configure Azure Information Protection to use this key, and you manage it in Azure Key Vault.

BYOK の詳細More information about BYOK

独自のキーを作成する場合、次のオプションが提供されます。To create your own key, you have the following options:

  • オンプレミスで作成し、Key Vault に転送またはインポートするキー:A key that you create on-premises and transfer or import to Key Vault:

    • オンプレミスで作成し、HSM 保護キーとして Key Vault に転送する HSM 保護キー。An HSM-protected key that you create on-premises and transfer to Key Vault as an HSM-protected key.

    • オンプレミスで作成し、変換してから HSM 保護キーとして Key Vault に転送するソフトウェア保護キー。A software-protected key that you create on-premises, convert, and then transfer to Key Vault as an HSM-protected key. このオプションがサポートされるのは、Active Directory Rights Management サービス (AD RMS) から移行する場合のみです。This option is supported only when you migrate from Active Directory Rights Management Services (AD RMS).

    • オンプレミスで作成し、ソフトウェア保護キーとして Key Vault にインポートするソフトウェア保護キー。A software-protected key that you create on-premises and import to Key Vault as a software-protected key. このオプションには .PFX 証明書ファイルが必要です。This option requires a .PFX certificate file.

  • Key Vault で作成するキー:A key that you create in Key Vault:

    • Key Vault で作成する HSM 保護キー。An HSM-protected key that you create in Key Vault.

    • Key Vault で作成するソフトウェア保護キー。A software-protected key that you create in Key Vault.

これらの BYOK オプションの中で最も一般的なのは、オンプレミスで作成し、HSM 保護キーとして Key Vault に転送する HSM 保護キーです。Of these BYOK options, the most typical is an HSM-protected key that you create on-premises and transfer to Key Vault as an HSM-protected key. このオプションの場合、管理オーバーヘッドが最大になりますが、特定の規制に準拠するために組織で必要になる場合があります。Although this option has the greatest administrative overheads, it might be required for your organization to comply with specific regulations. Azure Key Vault で使用されている HSM は FIPS 140-2 レベル 2 検証済みです。The HSMs that are used by Azure Key Vault are FIPS 140-2 Level 2 validated.

この方法では、次の状況が発生します。With this option, the following happens:

  1. 社内で IT ポリシーとセキュリティ ポリシーに沿ってテナント キーを作成します。You generate your tenant key on your premises, in line with your IT policies and security policies. このキーはマスター コピーです。This key is the master copy. オンプレミスで保持され、ユーザーがバックアップを行います。It remains on-premises and you are responsible for backing it up.

  2. このキーのコピーを作成して、HSM から Azure Key Vault にこのコピーを安全に転送します。You create a copy of this key, and securely transfer this copy from your HSM to Azure Key Vault. このプロセス全体で、このキーのマスター コピーがハードウェア保護境界の外に置かれることはありません。Throughout this process, the master copy of this key never leaves the hardware protection boundary.

  3. キーのコピーは Azure Key Vault で保護されます。The copy of the key is protected by Azure Key Vault.

注意

追加の保護措置として、Azure Key Vault では北米、EMEA (ヨーロッパ、中東、アフリカ)、アジアなどの地域のデータ センターで独立したセキュリティ ドメインを使用しています。As an additional protection measure, Azure Key Vault uses separate security domains for its data centers in regions such as North America, EMEA (Europe, Middle East and Africa), and Asia. また、Azure Key Vault では、Microsoft Azure Germany や Azure Government など、Azure のさまざまなインスタンスを使用します。Azure Key Vault also uses different instances of Azure, such as Microsoft Azure Germany, and Azure Government.

オプションとして、テナント キーの使用状況と使用時期を正確に把握するために Azure Information Protection のほぼリアルタイムの使用状況ログを使用することもできます。Although it’s optional, you will also probably want to use the near real-time usage logs from Azure Information Protection to see exactly how and when your tenant key is being used.

Azure Information Protection テナントキーの BYOK を使用する場合、信頼された発行ドメイン (TPD) をエクスポートすることはできません。When you use BYOK for your Azure Information Protection tenant key, you can't export your trusted publishing domain (TPD). Azure Information Protection を使用しない場合でも、Azure Information Protection によって保護されていたコンテンツの暗号化を解除できる必要がある場合は、TPD が必要です。The TPD is needed if you decide to no longer use Azure Information Protection but must still be able to decrypt content that was protected by Azure Information Protection. 適切な TPD を事前に作成してこのシナリオを準備するには、次の手順に従って、 Azure Information Protection "Cloud Exit" プランを準備する方法を参照してください。To prepare for this scenario by creating a suitable TPD ahead of time, see the following instructions How to prepare an Azure Information Protection "Cloud Exit" plan.

テナント キー トポロジを決定した場合When you have decided your tenant key topology

Microsoft でテナント キーを管理するようにした場合:If you decide to let Microsoft manage your tenant key:

  • AD RMS から移行する場合を除き、テナントのキーの生成に関する操作は不要です。次のステップに進んでください。Unless you are migrating from AD RMS, no further action is required for you to generate the key for your tenant and you can go straight to Next steps.

  • 現在 AD RMS を所有していて、Azure Information Protection に移行する場合は、「AD RMS から Azure Information Protection への移行」に記載されている移行手順を使用します。If you currently have AD RMS and want to migrate to Azure Information Protection, use the migration instructions: Migrating from AD RMS to Azure Information Protection.

テナント キーを自主管理する場合、詳細については以下のセクションを参照してください。If you decide to manage your tenant key yourself, read the following sections for more information.

Azure Information Protection テナント キーの BYOK を実装するImplementing BYOK for your Azure Information Protection tenant key

このセクションでは、テナント キーの生成と管理を行う場合、つまり BYOK (Bring Your Own Key) シナリオについて説明します。Use the information and procedures in this section if you have decided to generate and manage your tenant key; the bring your own key (BYOK) scenario:

注意

Microsoft によって管理されるテナント キーを使用して Azure Information Protection を使用開始していて、テナント キーを (BYOK に移動して) 管理したい場合、以前保護されていたドキュメントや電子メールには、アーカイブされたキーを使用して引き続きアクセスできます。If you have started to use Azure Information Protection with a tenant key that is managed by Microsoft and you now want to manage your tenant key (move to BYOK), your previously protected documents and emails will remain accessible by using an archived key.

BYOK の前提条件Prerequisites for BYOK

次の表に BYOK (Bring Your Own Key) の前提条件を示します。See the following table for a list of prerequisites for bring your own key (BYOK).

要件Requirement 説明を見るMore information
Azure Information Protection テナントには Azure サブスクリプションが必要です。Your Azure Information Protection tenant must have an Azure subscription. ない場合は、無料アカウントにサインアップできます。If you do not have one, you can sign up for a free account.

HSM 保護キーを使用するには、Azure Key Vault Premium サービス レベルが必要です。To use an HSM-protected key, you must have the Azure Key Vault Premium service tier.
Azure Active Directory の構成と、Azure Rights Management カスタム テンプレートの構成にアクセスできる無料の Azure サブスクリプション (Azure Active Directory へのアクセス権) では、Azure Key Vault を使用できません。The free Azure subscription that provides access to configure Azure Active Directory and configuration of Azure Rights Management custom templates (Access to Azure Active Directory) is not sufficient to use Azure Key Vault. BYOK に使用できる Azure サブスクリプションがあることを確認するには、 Azure PowerShellコマンドレットを使用します。To confirm that you have an Azure subscription that you can use for BYOK, use Azure PowerShell cmdlets:

1. [管理者として実行] オプションを使用して Azure PowerShell セッションを開始し、Connect-AzAccount を使用して Azure Information Protection テナントのグローバル管理者としてサインインし、結果として得られたトークン文字列をコピーして、ブラウザーを使用して https://microsoft.com/deviceloginに貼り付けます。1. Start an Azure PowerShell session with the Run as administrator option, and sign in as a global admin for your Azure Information Protection tenant by using Connect-AzAccount and then copy and paste the resulting token string into https://microsoft.com/deviceloginby using a browser.

詳細については、「 Azure PowerShell でのサインイン」を参照してください。For more information, see Sign in with Azure PowerShell.

2. 次のように入力し、サブスクリプション名と ID、Azure Information Protection テナント ID の値が表示されていること、および状態が有効になっていることを確認します。 Get-AzSubscription2. Type the following and confirm that you see values displayed for your subscription name and ID, your Azure Information Protection tenant ID, and that the state is enabled: Get-AzSubscription

値が表示されず、プロンプトに戻るだけの場合は、BYOK に使用できる Azure サブスクリプションがありません。If no values are displayed and you are just returned to the prompt, you do not have an Azure subscription that can be used for BYOK.

: byok の前提条件に加えて、ソフトウェアキーを使用して AD RMS から Azure Information Protection に移行する場合は、HSM で Thales ファームウェアを使用している場合は、11.62 の最小バージョンが必要です。Note: In addition to the BYOK prerequisites, if you are migrating from AD RMS to Azure Information Protection by using software key to hardware key, you must have a minimum version of 11.62 if you are using Thales firmware for your HSM.
オンプレミスで作成する HSM 保護キーを使用するには:To use an HSM-protected key that you create on-premises:

- Key Vault の BYOK のすべての前提条件の一覧。- All the prerequisites listed for Key Vault BYOK.
Azure Key Vault のドキュメントの「BYOK の前提条件」を参照してください。See Prerequisites for BYOK from the Azure Key Vault documentation.

: byok の前提条件に加えて、ソフトウェアキーを使用して AD RMS から Azure Information Protection に移行する場合は、HSM で Thales ファームウェアを使用している場合は、11.62 の最小バージョンが必要です。Note: In addition to the BYOK prerequisites, if you are migrating from AD RMS to Azure Information Protection by using software key to hardware key, you must have a minimum version of 11.62 if you are using Thales firmware for your HSM.
テナント キーを含むキー コンテナーが Azure Key Vault の仮想ネットワーク サービス エンドポイントを使用する場合:If the key vault to contain your tenant key uses Virtual Network Service Endpoints for Azure Key Vault:

- 信頼された Microsoft サービスを許可して、このファイアウォールをバイパスします。- Allow trusted Microsoft services to bypass this firewall.
詳細については、「Virtual Network Service Endpoints for Azure Key Vault」(Azure Key Vault の仮想ネットワーク サービス エンドポイント) をご覧ください。For more information, see Virtual Network Service Endpoints for Azure Key Vault.
Azure Information Protection 用の AIPService PowerShell モジュール。The AIPService PowerShell module for Azure Information Protection. インストール手順については、「 AIPService PowerShell モジュールのインストール」を参照してください。For installation instructions, see Installing the AIPService PowerShell module.

NCipher nShield ハードウェアセキュリティモジュール (HSM) の詳細および Azure Key Vault での使用方法については、 nCipher の web サイトを参照してください。For more information about nCipher nShield hardware security module (HSM) and how they are used with Azure Key Vault, see the nCipher website.

Key Vault の場所の選択Choosing your key vault location

Azure Information のテナント キーとして使用するキーを含む Key Vault を作成する場合は、場所を指定する必要があります。When you create a key vault to contain the key to be used as your tenant key for Azure Information, you must specify a location. この場所は Azure リージョン、または Azure インスタンスです。This location is an Azure region, or Azure instance.

まず、コンプライアンスについて選択し、ネットワーク待機時間を最小限に抑えます。Make your choice first for compliance, and then to minimize network latency:

  • コンプライアンス上の理由で BYOK キー トポロジを選択した場合、コンプライアンス要件により、Azure Information Protection テナント キーを格納する Azure リージョンまたは Azure インスタンスが要求される可能性があります。If you have chosen the BYOK key topology for compliance reasons, those compliance requirements might mandate the Azure region or Azure instance that stores your Azure Information Protection tenant key.

  • 保護のためのすべての暗号化呼び出しは Azure Information Protection テナント キーにチェーンされるため、これらの呼び出しで発生するネットワーク待機時間を最小限に抑える必要があります。Because all cryptographic calls for protection chain to your Azure Information Protection tenant key, you want to minimize the network latency that these calls incur. そのためには、Azure Information Protection テナントと同じ Azure リージョンまたはインスタンスに Key Vault を作成します。To do that, create your key vault in the same Azure region or instance as your Azure Information Protection tenant.

Azure Information Protection テナントの場所を特定するには、 AipServiceConfiguration PowerShell コマンドレットを使用して、url からリージョンを識別します。To identify the location of your Azure Information Protection tenant, use the Get-AipServiceConfiguration PowerShell cmdlet and identify the region from the URLs. たとえば、次のようになります。For example:

LicensingIntranetDistributionPointUrl : https://5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

リージョンは rms.na.aadrm.com から特定できます。この例では、北米となります。The region is identifiable from rms.na.aadrm.com, and for this example, it is in North America.

次の表を使用して、ネットワーク待機時間を最小限に抑えるのに推奨される Azure リージョンまたはインスタンスを特定します。Use the following table to identify which Azure region or instance is recommended to minimize network latency.

Azure リージョンまたはインスタンスAzure region or instance Key Vault に推奨される場所Recommended location for your key vault
rms.na.aadrm.comrms.na.aadrm.com 米国中北部または米国東部North Central US or East US
rms.eu.aadrm.comrms.eu.aadrm.com 北ヨーロッパまたは西ヨーロッパNorth Europe or West Europe
rms.ap.aadrm.comrms.ap.aadrm.com 東アジアまたは東南アジアEast Asia or Southeast Asia
rms.sa.aadrm.comrms.sa.aadrm.com 米国西部または米国東部West US or East US
rms.govus.aadrm.comrms.govus.aadrm.com 米国中部または米国東部 2Central US or East US 2
aadrm.usrms.aadrm.us US Gov バージニアまたはUS Gov アリゾナUS Gov Virginia or US Gov Arizona
aadrm.cnrms.aadrm.cn 中国東部 2または中国北部 2China East 2 or China North 2

BYOK の手順Instructions for BYOK

Azure Key Vault ドキュメントを使用して、Azure Information Protection で使用するキーと Key Vault を作成します。Use the Azure Key Vault documentation to create a key vault and the key that you want to use for Azure Information Protection. 例については、「Azure Key Vault の概要」を参照してください。For example, see Get started with Azure Key Vault.

キーの長さが 2048 ビット (推奨) または 1024 ビットであることを確認してください。Make sure that the key length is 2048 bits (recommended) or 1024 bits. Azure Information Protection ではその他のキーの長さはサポートされていません。Other key lengths are not supported by Azure Information Protection.

1024ビットキーは、適切なレベルの保護が提供されると見なされるため、アクティブなテナントキーとして使用しないでください。Don't use a 1024-bit key as your active tenant key because it is considered to offer an inadequate level of protection. マイクロソフトは、1024ビットの RSA キーなどの下位キーの長さの使用を保証していません。また、SHA-1 など、不適切なレベルの保護を提供するプロトコルの使用については推奨しません。Microsoft doesn’t endorse the use of lower key lengths such as 1024-bit RSA keys and the associated use of protocols that offer inadequate levels of protection, such as SHA-1. 上位のキー長に移行することをお勧めします。We recommend moving to a higher key length.

オンプレミスで HSM 保護キーを作成し、HSM 保護キーとして Key Vault に転送する場合は、「Azure Key Vault の HSM 保護キーを生成し、転送する方法」の手順に従ってください。To create an HSM-protected key on-premises and transfer it to your key vault as an HSM-protected key, follow the procedures in How to generate and transfer HSM-protected keys for Azure Key Vault.

Azure Information Protection でキーを使用するには、キーに対して Key Vault のすべての操作が許可される必要があります。For Azure Information Protection to use the key, all Key Vault operations must be permitted for the key. これは既定の構成であり、操作は暗号化、暗号化解除、wrapKey、unwrapKey、署名、および検証です。This is the default configuration and the operations are encrypt, decrypt, wrapKey, unwrapKey, sign, and verify. 次の PowerShell コマンドを使用して、キーの許可された操作を確認できます: (Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOpsYou can check the permitted operations of a key by using the following PowerShell command: (Get-AzKeyVaultKey -VaultName <key vault name> -Name <key name>).Attributes.KeyOps. 必要に応じて、 AzKeyVaultKeykeyopsパラメーターを使用して、許可される操作を追加します。If necessary, add permitted operations by using Update-AzKeyVaultKey and the KeyOps parameter.

Key Vault に格納されているキーにはキー ID があります。A key that is stored in Key Vault has a key ID. このキー ID は、Key Vault の名前、キー コンテナー、キーの名前、およびキーのバージョンが含まれる URL です。This key ID is a URL that contains the name of the key vault, the keys container, the name of the key, and the key version. たとえば、 https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 です。For example: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. キー コンテナー URL を指定して、このキーを使用するように Azure Information Protection を構成する必要があります。You must configure Azure Information Protection to use this key, by specifying its key vault URL.

Azure Information Protection でキーを使用するには、Azure Rights Management サービスが組織の Key Vault にあるキーの使用を承認されている必要があります。Before Azure Information Protection can use the key, the Azure Rights Management service must be authorized to use the key in your organization's key vault. そのために、Azure Key Vault 管理者は Azure portal または Azure PowerShell を使用できます。To do this, the Azure Key Vault administrator can use the Azure portal, or Azure PowerShell:

Azure portal を使用した構成:Configuration by using the Azure portal:

  1. [キー コンテナー] > <ご使用のキー コンテナー名> > [アクセス ポリシー] > [新規追加] に移動します。Navigate to Key vaults > <your key vault name> > Access policies > Add new.

  2. [アクセスポリシーの追加] ウィンドウで、 [テンプレートからの構成 (オプション)] ボックスの一覧から [Azure Information Protection byok] を選択し、 [OK] をクリックします。From the Add access policy pane, select Azure Information Protection BYOK from the Configure from template (optional) list box, and click OK.

    選択したテンプレートには次の構成が含まれます。The selected template has the following configuration:

    • [プリンシパルの選択] に対して、 [Microsoft Rights Management Services] が自動的に割り当てられます。Microsoft Rights Management Services is automatically assigned for Select principal.
    • [取得][暗号化解除] 、および [サイン] に対して、キーのアクセス許可が自動的に選択されます。Get, Decrypt, and Sign is automatically selected for the key permissions.

PowerShell を使用した構成:Configuration by using PowerShell:

  • GUID 00000012-0000-0000-c000-000000000000を使用して、Key Vault PowerShell コマンドレットAzKeyVaultAccessPolicyを実行し、Azure Rights Management サービスプリンシパルにアクセス許可を付与します。Run the Key Vault PowerShell cmdlet, Set-AzKeyVaultAccessPolicy, and grant permissions to the Azure Rights Management service principal, by using the GUID 00000012-0000-0000-c000-000000000000. たとえば、次のようになります。For example:

      Set-AzKeyVaultAccessPolicy -VaultName 'ContosoRMS-kv' -ResourceGroupName 'ContosoRMS-byok-rg' -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
    

このキーを組織の Azure Information Protection テナント キーとして使用するように、Azure Information Protection を構成できるようになったとします。You're now ready to configure Azure Information Protection to use this key as your organization's Azure Information Protection tenant key. Azure RMS コマンドレットを使用するには、まず Azure Rights Management サービスに接続してサインインします。Using Azure RMS cmdlets, first connect to the Azure Rights Management service and sign in:

Connect-AipService

次に、キー URL を指定して、 AipServiceKeyVaultKey コマンドレットを実行します。Then run the Use-AipServiceKeyVaultKey cmdlet, specifying the key URL. たとえば、次のようになります。For example:

Use-AipServiceKeyVaultKey -KeyVaultKeyUrl "https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333"

重要

この例では、"aaaabbbbcccc111122223333" は使用するキーのバージョンです。In this example, "aaaabbbbcccc111122223333" is the version of the key to use. バージョンを指定しない場合は、現在のバージョンのキーが警告なしで使用され、機能するコマンドが表示されます。If you do not specify the version, the current version of the key is used without warning and the command appears to work. ただし、Key Vault のキーが後で更新 (更新) された場合、AipServiceKeyVaultKey コマンドをもう一度実行しても、Azure Rights Management サービスはテナントに対して機能しなくなります。However, if your key in Key Vault is later updated (renewed), the Azure Rights Management service will stop working for your tenant, even if you run the Use-AipServiceKeyVaultKey command again.

このコマンドを実行する場合は、キー名だけでなく、キーのバージョンを指定することを確認してください。Make sure that you specify the key version, in addition to the key name when you run this command. Azure Key Vault cmd AzKeyVaultKeyを使用して、現在のキーのバージョン番号を取得できます。You can use the Azure Key Vault cmd, Get-AzKeyVaultKey, to get the version number of the current key. たとえば次のようになります。Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'For example: Get-AzKeyVaultKey -VaultName 'contosorms-kv' -KeyName 'contosorms-byok'

キーの URL が Azure Information Protection に対して正しく設定されていることを確認する必要がある場合: Azure Key Vault で、 AzKeyVaultKeyを実行してキーの url を確認します。If you need to confirm that the key URL is set correctly for Azure Information Protection: In Azure Key Vault, run Get-AzKeyVaultKey to see the key URL.

最後に、Azure Rights Management サービスが既にアクティブ化されている場合は、 Set-AipServiceKeyPropertiesを実行して、このキーを azure Rights Management サービスのアクティブなテナントキーとして使用するように Azure Information Protection に指示します。Finally, if the Azure Rights Management service is already activated, run Set-AipServiceKeyProperties to tell Azure Information Protection to use this key as the active tenant key for the Azure Rights Management service. この手順を行わないと、Azure Information Protection は、テナントに対して自動的に作成された、既定の Microsoft 管理キーを使用し続けます。If you do not do this step, Azure Information Protection will continue to use the default Microsoft-managed key that was automatically created for your tenant.

次のステップNext steps

テナント キーを計画および必要に応じて作成して構成した後は、次の操作を行います。Now that you've planned for and if necessary, created and configured your tenant key, do the following:

  1. テナント キーの使用を開始します。Start to use your tenant key:

    • 保護サービスをまだアクティブにしていない場合は、この段階で Rights Management サービスをアクティブにして、組織が Azure Information Protection の使用を開始できるようにする必要があります。If the protection service isn't already activated, you must now activate the Rights Management service so that your organization can start to use Azure Information Protection. ユーザーはすぐに (Azure Key Vault の自主管理、または Microsoft 管理による) テナント キーの使用を開始します。Users immediately start to use your tenant key (managed by Microsoft, or managed by you in Azure Key Vault).

      ライセンス認証の詳細については、「 Azure Information Protection からの保護サービスのアクティブ化」を参照してください。For more information about activation, see Activating the protection service from Azure Information Protection.

    • 既に Rights Management サービスをアクティブにしていてテナント キーを自主管理する場合、ユーザーは古いテナント キーから新しいテナント キーへと段階的に移行します。If the Rights Management service was already activated and then you decided to manage your own tenant key, users gradually transition from the old tenant key to the new tenant key. この段階的な移行は、完了するまでに数週間かかる場合があります。This staggered transition can take a few weeks to complete. 古いテナント キーで保護されていたドキュメントやファイルは、権限のあるユーザーが引き続きアクセスできます。Documents and files that were protected with the old tenant key remains accessible to authorized users.

  2. 使用状況のログを使用することを検討します。このログには Azure Rights Management サービスで実行されるすべてのトランザクションが記録されます。Consider using usage logging, which logs every transaction that the Azure Rights Management service performs.

    テナント キーを自主管理する場合、ログにはテナント キーの使用に関する情報が記録されます。If you decided to manage your own tenant key, logging includes information about using your tenant key. Excel で表示されるログ ファイルで次のスニペットを参照してください。要求の種類である KeyVaultDecryptRequest および KeyVaultSignRequest では、テナント キーが使用されています。See the following snippet from a log file displayed in Excel where the KeyVaultDecryptRequest and KeyVaultSignRequest request types show that the tenant key is being used.

    Excel のログ ファイル、テナント キーが使用されていることがわかる

    使用状況ログの詳細については、「 Azure Information Protection からの保護の使用状況のログと分析」を参照してください。For more information about usage logging, see Logging and analyzing the protection usage from Azure Information Protection.

  3. テナント キーを管理します。Manage your tenant key.

    テナント キーのライフ サイクル操作の詳細については、「Azure Information Protection テナント キーに対する操作」を参照してください。For more information about the life cycle operations for your tenant key, see Operations for your Azure Information Protection tenant key.