独自のキーを使って Defender for Cloud Apps の保存データを暗号化する (BYOK)

  • [アーティクル]

この記事では、収集したデータを保存中に独自のキーを使って暗号化するように Defender for Cloud Apps を構成する方法について説明します。 クラウド アプリの格納データへの暗号化の適用に関するドキュメントをお探しの場合は、「Microsoft Purview の統合」を参照してください。

Defender for Cloud Apps は、セキュリティとプライバシーを重大視しています。 そのため、Defender for Cloud Apps では、データの収集を開始すると、データ セキュリティとプライバシー ポリシーに従って、独自のマネージド キーを使用してデータを保護します。 Defender for Cloud Apps では、さらに、保存データを独自の Azure Key Vault キーを使用して暗号化することでさらに保護できます。

重要

Azure Key Vault キーへのアクセスに問題がある場合、Defender for Cloud Apps はデータの暗号化に失敗し、テナントが 1 時間以内にロック ダウンされます。 テナントがロック ダウンされると、原因が解決されるまで、テナントへのすべてのアクセスがブロックされます。 キーに再びアクセスできるようになると、テナントへのフル アクセスが復元されます。

この手順は Microsoft Defender ポータルでのみ使用でき、従来の Microsoft Defender for Cloud Apps ポータルでは実行できません。

前提条件

Defender for Cloud Apps テナントに関連付けられているテナントの Microsoft Entra ID に Microsoft Defender for Cloud Apps - BYOK アプリを登録する必要があります。

アプリを登録するには

  1. Microsoft Graph PowerShell をインストールします。

  2. PowerShell ターミナルを開き、次のコマンドを実行します。

    Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Create a new service principal
New-MgServicePrincipal -AppId 6a12de16-95c8-4e42-a451-7dbbc34634cd

# Update Service Principal
$servicePrincipalId = Get-MgServicePrincipal -Filter "AppId eq '6a12de16-95c8-4e42-a451-7dbbc34634cd'" | Select Id
$params = @{
	accountEnabled = $true
}

Update-MgServicePrincipal -ServicePrincipalId $servicePrincipalId.Id -BodyParameter $params

    ServicePrincipalId には、前のコマンド (New-MgServicePrincipal) で返された ID を指定します。

Note

  • Defender for Cloud Apps では、すべての新しいテナントの保存データが暗号化されます。
  • Defender for Cloud Apps に 48 時間以上存在するデータがすべて暗号化されます。

Azure Key Vault キーをデプロイする

  1. 新しい Key Vault論理的な削除消去保護のオプションを有効にして作成します。

  2. 新しく生成された Key Vault で、[アクセス ポリシー] ペインを開き、[+ アクセス ポリシーの追加] を選択します。

    1. [キーのアクセス許可] を選択し、ドロップダウン メニューから次のアクセス許可を選択します。

      セクション 必要なアクセス許可
      キーの管理操作 - リスト
      暗号化操作 - キーを折り返す
      - キーの折り返しを解除

      キーのアクセス許可の選択を示すスクリーンショット。

    2. [プリンシパルの選択] で、[Microsoft Defender for Cloud Apps - BYOK] または [Microsoft Cloud App Security - BYOK] を選択します。

      アクセス ポリシーの追加ページを示すスクリーンショット。

    3. [保存] を選択します。

  3. 新しい RSA キーを作成し、次の操作を行います。

    Note

    RSA キーのみがサポートされています。

    1. キーを作成したら、新しく生成されたキーを選択し、現在のバージョンを選択すると、[許可された操作] が表示されます。

    2. [許可された操作] で、次のオプションが有効になっていることを確認します。

      • キーを折り返す
      • キーの折り返しを解除

    3. [キー識別子] の URI をコピーします。 この情報は後で必要になります。

    キーの設定ページを示すスクリーンショット。

  4. 必要に応じて、選択したネットワークにファイアウォールを使用する場合は、次のファイアウォール設定を構成して、Defender for Cloud Apps に、指定したキーへのアクセス権を付与し、[保存] をクリックします。

    1. 仮想ネットワークが選択されていないことを確認します。
    2. 次の IP アドレスを追加します。
      • 13.66.200.132
      • 23.100.71.251
      • 40.78.82.214
      • 51.105.4.145
      • 52.166.166.111
      • 13.72.32.204
      • 52.244.79.38
      • 52.227.8.45
    3. [Allow trusted Microsoft services to bypass this firewall](信頼された Microsoft サービスがこのファイアウォールをバイパスすることを許可する) を選択します。

    タスファイアウォール構成を示すスクリーンショット。

Defender for Cloud Apps でデータ暗号化を有効にする

データ暗号化を有効にするとすぐに、Defender for Cloud Apps では、Azure Key Vault キーを使用して保存データを暗号化します。 キーは暗号化プロセスに不可欠であるため、指定した Key Vault とキーに常にアクセスできるように確保することが重要です。

データの暗号化を有効にするには

  1. Microosft Defender ポータルで、[設定]>>[Cloud Apps]> [データ暗号化を有効にする] を選択します。

  2. [Azure Key Vault キー URI] ボックスに、先ほどコピーしたキー識別子の URI 値を貼り付けます。 Defender for Cloud Apps では、URI で指定されているキー バージョンに関係なく、常に最新のキー バージョンが使用されます。

  3. URI の検証が完了したら、[有効にする] を選択します。

Note

データ暗号化を無効にすると、Defender for Cloud Apps では、保存データから独自のキーを使って暗号化を削除します。 ただし、データは Defender for Cloud Apps マネージド キーによって暗号化されたままです。

データ暗号化を無効にするには[データ暗号化]タブに移動し、[データの暗号化を無効にする] をクリックします。

キー ロールの処理

データ暗号化用に構成されたキーの新しいバージョンを作成するたびに、Defender for Cloud Apps によって、自動的に最新バージョンのキーにロールされます。

データ暗号化エラーを処理する方法

Azure Key Vault キーへのアクセスに問題がある場合、Defender for Cloud Apps はデータの暗号化に失敗し、テナントが 1 時間以内にロック ダウンされます。 テナントがロック ダウンされると、原因が解決されるまで、テナントへのすべてのアクセスがブロックされます。 キーに再びアクセスできるようになると、テナントへのフル アクセスが復元されます。 データ暗号化エラーの処理については、「独自のキーを使ったデータ暗号化のトラブルシューティング」を参照してください。