顧客キーの管理Manage Customer Key

365 の顧客キーをOffice、この記事の説明に従ってキーを管理できます。After you've set up Customer Key for Office 365, you can manage your keys as described in this article. 関連トピックの顧客キーの詳細について説明します。Learn more about Customer Key in the related topics.

Azure Key Vault キーの復元Restore Azure Key Vault keys

復元を実行する前に、ソフト削除によって提供される回復機能を使用します。Before performing a restore, use the recovery capabilities provided by soft delete. 顧客キーと一緒に使用するキーはすべて、ソフト削除を有効にする必要があります。All keys that are used with Customer Key are required to have soft delete enabled. 削除はごみ箱のように機能し、復元する必要なしに最大 90 日間の回復を可能にします。Soft delete acts like a recycle bin and allows recovery for up to 90 days without the need to restore. キーまたはキー コンテナーが失われた場合など、極端な状況や異常な状況でのみ復元が必要です。Restore should only be required in extreme or unusual circumstances, for example if the key or key vault is lost. 顧客キーで使用するキーを復元する必要がある場合は、Azure PowerShell で、次のように Restore-AzureKeyVaultKeyコマンドレットを実行します。If you must restore a key for use with Customer Key, in Azure PowerShell, run the Restore-AzureKeyVaultKey cmdlet as follows:

Restore-AzKeyVaultKey -VaultName <vault name> -InputFile <filename>

次に例を示します。For example:

Restore-AzKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

キー コンテナーに同じ名前のキーが既に含まれている場合、復元操作は失敗します。If the key vault already contains a key with the same name, the restore operation fails. Restore-AzKeyVaultKey、すべてのキー バージョンと、キー名を含むキーのすべてのメタデータを復元します。Restore-AzKeyVaultKey restores all key versions and all metadata for the key including the key name.

キー コンテナーのアクセス許可を管理するManage key vault permissions

いくつかのコマンドレットを使用して、キー コンテナーのアクセス許可を表示したり、必要に応じて削除したりできます。Several cmdlets are available that enable you to view and, if necessary, remove key vault permissions. 従業員がチームを離れる場合など、アクセス許可を削除する必要がある場合があります。You might need to remove permissions, for example, when an employee leaves the team. これらの各タスクについて、Azure PowerShell を使用します。For each of these tasks, you will use Azure PowerShell. Azure Powershell の詳細については 、「Azure PowerShell の概要」を参照してくださいFor information about Azure Powershell, see Overview of Azure PowerShell.

キー コンテナーのアクセス許可を表示するには、次のコマンドレットGet-AzKeyVaultします。To view key vault permissions, run the Get-AzKeyVault cmdlet.

Get-AzKeyVault -VaultName <vault name>

次に例を示します。For example:

Get-AzKeyVault -VaultName Contoso-O365EX-NA-VaultA1

管理者のアクセス許可を削除するには、次のコマンドレットをRemove-AzKeyVaultAccessPolicyします。To remove an administrator's permissions, run the Remove-AzKeyVaultAccessPolicy cmdlet:

Remove-AzKeyVaultAccessPolicy -VaultName <vault name> -UserPrincipalName <UPN of user>

次に例を示します。For example:

Remove-AzKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 -UserPrincipalName alice@contoso.com

顧客キーを使用してデータ暗号化ポリシー (DEP) を管理するManage data encryption policies (DEPs) with Customer Key

顧客キーは、異なるサービス間で DEP を異なる方法で処理します。Customer Key handles DEPs differently between the different services. たとえば、異なるサービスに対して異なる数の DEP を作成できます。For example, you can create a different number of DEPs for the different services.

Exchange Online と Skype for Business: 最大 50 の DEP を作成できます。Exchange Online and Skype for Business: You can create up to 50 DEPs. 手順については、「Exchange Online および Skype for Business で使用するデータ暗号化ポリシー (DEP) の作成」を参照してくださいFor instructions, see Create a data encryption policy (DEP) for use with Exchange Online and Skype for Business.

SharePoint Online、OneDrive for Business、Teams ファイル: DEP は、地理的な場所 (geo とも呼ばれる) のデータに適用 されますSharePoint Online, OneDrive for Business, and Teams files: A DEP applies to data in one geographic location, also called a geo. 365 の複数地域機能を使用Office地域ごとに 1 つの DEP を作成できます。If you use the multi-geo feature of Office 365, you can create one DEP per geo. 複数地域を使用していない場合は、1 つの DEP を作成できます。If you are not using multi-geo, you can create one DEP. 通常、顧客キーを設定するときに DEP を作成します。Normally, you create the DEP when you set up Customer Key. 手順については 、「SharePoint Online および OneDrive for Businessgeo ごとにデータ暗号化ポリシー (DEP) を作成する」を参照してください。For instructions, see Create a data encryption policy (DEP) for each SharePoint Online and OneDrive for Business geo.

Exchange Online および Skype for Business 用に作成した DEP を表示するView the DEPs you've created for Exchange Online and Skype for Business

PowerShell コマンドレットを使用して Exchange Online および Skype for Business 用に作成したすべての DEP の一覧を表示するには、Get-DataEncryptionPolicy手順を実行します。To view a list of all the DEPs you've created for Exchange Online and Skype for Business using the Get-DataEncryptionPolicy PowerShell cmdlet, complete these steps.

  1. 組織内でグローバル管理者のアクセス許可を持つ仕事または学校のアカウントを使用して 、Exchange Online PowerShell に接続しますUsing a work or school account that has global administrator permissions in your organization, connect to Exchange Online PowerShell.

  2. 組織内のすべての DEP を返す場合は、パラメーターを指定せずに Get-DataEncryptionPolicyコマンドレットを実行します。To return all DEPs in your organization, run the Get-DataEncryptionPolicy cmdlet without any parameters.

    Get-DataEncryptionPolicy
    

    このコマンドレットの詳細についてはGet-DataEncryptionPolicy Get-DataEncryptionPolicy を参照してくださいFor more information about the Get-DataEncryptionPolicy cmdlet, see Get-DataEncryptionPolicy.

メールボックスをクラウドに移行する前に DEP を割り当てるAssign a DEP before you migrate a mailbox to the cloud

DEP を割り当てると、移行中に割り当てられた DEP を使用してメールボックスの内容が暗号化されます。When you assign the DEP, Microsoft 365 encrypts the contents of the mailbox using the assigned DEP during the migration. このプロセスは、メールボックスの移行、DEP の割り当て、暗号化の実行を待機するよりも効率的です。これには数時間または数日かかる場合があります。This process is more efficient than migrating the mailbox, assigning the DEP, and then waiting for encryption to take place, which can take hours or possibly days.

メールボックスを 365 に移行する前に DEP をOfficeするには、Exchange Online PowerShell Set-MailUserコマンドレットを実行します。To assign a DEP to a mailbox before you migrate it to Office 365, run the Set-MailUser cmdlet in Exchange Online PowerShell:

  1. 組織内でグローバル管理者のアクセス許可を持つ仕事または学校のアカウントを使用して 、Exchange Online PowerShell に接続しますUsing a work or school account that has global administrator permissions in your organization, connect to Exchange Online PowerShell.

  2. このコマンドレットをSet-MailUserします。Run the Set-MailUser cmdlet.

    Set-MailUser -Identity <GeneralMailboxOrMailUserIdParameter> -DataEncryptionPolicy <DataEncryptionPolicyIdParameter>
    

    GeneralMailboxOrMailUserIdParameter は メールボックスを指定し 、DataEncryptionPolicyIdParameter は DEP の ID です。Where GeneralMailboxOrMailUserIdParameter specifies a mailbox, and DataEncryptionPolicyIdParameter is the ID of the DEP. このコマンドレットの詳細についてはSet-MailUser Set-MailUser を参照してくださいFor more information about the Set-MailUser cmdlet, see Set-MailUser.

メールボックスに割り当てられた DEP を決定するDetermine the DEP assigned to a mailbox

メールボックスに割り当てられた DEP を確認するには、次のコマンドレットGet-MailboxStatisticsします。To determine the DEP assigned to a mailbox, use the Get-MailboxStatistics cmdlet. コマンドレットは、一意の識別子 (GUID) を返します。The cmdlet returns a unique identifier (GUID).

  1. 組織内でグローバル管理者のアクセス許可を持つ仕事または学校のアカウントを使用して 、Exchange Online PowerShell に接続しますUsing a work or school account that has global administrator permissions in your organization, connect to Exchange Online PowerShell.

    Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl DataEncryptionPolicyID
    

    GeneralMailboxOrMailUserIdParameter は メールボックスを指定し、DataEncryptionPolicyID は DEP の GUID を返します。Where GeneralMailboxOrMailUserIdParameter specifies a mailbox and DataEncryptionPolicyID returns the GUID of the DEP. このコマンドレットの詳細についてはGet-MailboxStatistics Get-MailboxStatistics を参照してくださいFor more information about the Get-MailboxStatistics cmdlet, see Get-MailboxStatistics.

  2. このコマンドレットGet-DataEncryptionPolicy実行して、メールボックスが割り当てられている DEP の表示名を確認します。Run the Get-DataEncryptionPolicy cmdlet to find out the friendly name of the DEP to which the mailbox is assigned.

    Get-DataEncryptionPolicy <GUID>
    

    ここで 、GUID は、前の手順の Get-MailboxStatisticsコマンドレットによって返される GUID です。Where GUID is the GUID returned by the Get-MailboxStatistics cmdlet in the previous step.

顧客キーが暗号化を完了したのを確認するVerify that Customer Key has finished encryption

顧客キーをロールしたばかりか、新しい DEP が割り当てられているか、メールボックスを移行したのかは、このセクションの手順を使用して、暗号化が完了します。Whether you've just rolled a Customer Key, assigned a new DEP, or migrated a mailbox, use the steps in this section to ensure that encryption completes.

Exchange Online と Skype for Business の暗号化が完了した場合の確認Verify encryption completes for Exchange Online and Skype for Business

メールボックスの暗号化には時間がかかる場合があります。Encrypting a mailbox can take some time. DEP を変更した後、または初めてメールボックスに DEP を割り当てると、暗号化の検証を試行するまで 72 時間待機することをお勧めします。We recommend that you wait 72 hours before you attempt to validate encryption after you change a DEP or the first time you assign a DEP to a mailbox.

メールボックスが暗号化Get-MailboxStatisticsを判断するには、このコマンドレットを使用します。Use the Get-MailboxStatistics cmdlet to determine if a mailbox is encrypted.

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

IsEncrypted プロパティは、メールボックスが暗号化されている場合は true、 メールボックスが暗号化されていない場合は false の値を返します。The IsEncrypted property returns a value of true if the mailbox is encrypted and a value of false if the mailbox is not encrypted.

メールボックスの移動を完了する時間は、メールボックスのサイズによって異なります。The time to complete mailbox moves depends on the size of the mailbox. 新しい DEP の割り当てから 72 時間後に顧客キーがメールボックスを完全に暗号化しない場合は、Microsoft サポートにお問い合わせください。If Customer Key hasn't completely encrypted the mailbox after 72 hours from the time you assign a new DEP, contact Microsoft support for help. このNew-MoveRequestは、ローカル メールボックスの移動に使用できなくなりました。The New-MoveRequest cmdlet is no longer available for local mailbox moves. 詳細については 、このお知 らせを参照してください。Refer to this announcement for additional information.

SharePoint Online、OneDrive for Business、Teams ファイルの暗号化が完了した場合の確認Verify encryption completes for SharePoint Online, OneDrive for Business, and Teams files

次のように、Get-SPODataEncryptionPolicyコマンドレットを実行して、暗号化の状態を確認します。Check on the status of encryption by running the Get-SPODataEncryptionPolicy cmdlet as follows:

Get-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl>

このコマンドレットの出力には、次の情報が含まれます。The output from this cmdlet includes:

  • 主キーの URI。The URI of the primary key.

  • セカンダリ キーの URI。The URI of the secondary key.

  • geo の暗号化状態。The encryption status for the geo. 可能な状態は次のとおりです。Possible states include:

    • 未登録: 顧客キーの暗号化がまだ適用されていません。Unregistered: Customer Key encryption has not yet been applied.

    • 登録: 顧客キーの暗号化が適用され、ファイルが暗号化中です。Registering: Customer Key encryption has been applied and your files are in the process of being encrypted. geo のキーが登録されている場合は、暗号化の進行状況を監視するために、geo 内のサイトが完了した割合に関する情報も表示されます。If the key for the geo is registering, you'll also be shown information on what percentage of sites in the geo are complete so that you can monitor encryption progress.

    • 登録済み: 顧客キーの暗号化が適用され、すべてのサイトのすべてのファイルが暗号化されています。Registered: Customer Key encryption has been applied, and all files in all sites have been encrypted.

    • ローリング: キー ロールが進行中です。Rolling: A key roll is in progress. geo のキーがローリングされている場合は、キー ロール操作を完了したサイトの割合に関する情報も表示され、進行状況を監視できます。If the key for the geo is rolling, you'll also be shown information on what percentage of sites have completed the key roll operation so that you can monitor progress.

顧客キーから Microsoft マネージ キーへのロールバックRoll back from Customer Key to Microsoft managed Keys

テナント レベルの顧客キーの場合は、顧客キーからの "offboarding" の要求を受け取って Microsoft に連絡する必要があります。For Customer Key at the tenant level, you'll need to reach out to Microsoft with a request for “offboarding” from Customer Key. 要求は On Call Engineering チームによって処理されます。The request will be handled by the On Call Engineering team.

アプリケーション レベルの顧客キーの場合は、Set-mailbox PowerShell コマンドレットを使用してメールボックスから DEP の割り当てを解除し、にを設定します DataEncryptionPolicy $NULLFor Customer Key at the application level, you do this by unassigning a DEP from mailboxes using the Set-mailbox PowerShell cmdlet and setting the DataEncryptionPolicy to $NULL. このコマンドレットを実行すると、現在割り当てられている DEP の割り当てを解除し、既定の Microsoft 管理キーに関連付けられた DEP を使用してメールボックスを再暗号化します。Running this cmdlet unassigns the currently assigned DEP and reencrypts the mailbox using the DEP associated with default Microsoft managed keys. Microsoft マネージ キーで使用される DEP の割り当てを解除できません。You can't unassign the DEP used by Microsoft managed keys. Microsoft 管理キーを使用しない場合は、別の顧客キー DEP をメールボックスに割り当てできます。If you don't want to use Microsoft managed keys, you can assign another Customer Key DEP to the mailbox.

PowerShell コマンドレットを使用してメールボックスから DEP の割り当てを解除Set-Mailbox手順を実行します。To unassign the DEP from a mailbox using the Set-Mailbox PowerShell cmdlet, complete these steps.

  1. 組織内でグローバル管理者のアクセス許可を持つ仕事または学校のアカウントを使用して 、Exchange Online PowerShell に接続しますUsing a work or school account that has global administrator permissions in your organization, connect to Exchange Online PowerShell.

  2. このコマンドレットをSet-Mailboxします。Run the Set-Mailbox cmdlet.

    Set-Mailbox -Identity <mailbox> -DataEncryptionPolicy $NULL
    

キーを取り消し、データ削除パス プロセスを開始するRevoke your keys and start the data purge path process

可用性キーを含むすべてのルート キーの失効を制御します。You control the revocation of all root keys including the availability key. 顧客キーは、規制要件の出口計画の側面を制御します。Customer Key provides control of the exit planning aspect of the regulatory requirements for you. データを削除してサービスを終了するためにキーを取り消す場合、データ削除プロセスが完了すると、サービスは可用性キーを削除します。If you decide to revoke your keys to purge your data and exit the service, the service deletes the availability key once the data purge process completes. テナント レベルのポリシーに対してデータ削除を実行できません。You can't perform a data purge for a tenant-level policy.

Microsoft 365 は、データ削除パスを監査および検証します。Microsoft 365 audits and validates the data purge path. 詳細については、「SSAE 18 SOC 2 Report available on the Service Trust Portal」を参照してくださいFor more information, see the SSAE 18 SOC 2 Report available on the Service Trust Portal. さらに、Microsoft では次のドキュメントを推奨しています。In addition, Microsoft recommends the following documents:

データ削除パスは、サービスによって若干異なります。The data purge path differs slightly between the different services.

Exchange Online と Skype for Business のカスタマー キーと可用性キーを取り消すRevoke your Customer Keys and the availability key for Exchange Online and Skype for Business

Exchange Online および Skype for Business のデータ削除パスを開始すると、DEP に永続的なデータ削除要求を設定します。When you initiate the data purge path for Exchange Online and Skype for Business, you set a permanent data purge request on a DEP. これにより、DEP が割り当てられているメールボックス内の暗号化されたデータが完全に削除されます。Doing so permanently deletes encrypted data within the mailboxes to which that DEP is assigned.

PowerShell コマンドレットは一度に 1 つの DEP に対してしか実行できないので、データ削除パスを開始する前に、1 つの DEP をすべてのメールボックスに再割り当てする方法を検討してください。Since you can only run the PowerShell cmdlet against one DEP at a time, consider reassigning a single DEP to all of your mailboxes before you initiate the data purge path.

警告

データ削除パスを使用して、メールボックスのサブセットを削除しない。Do not use the data purge path to delete a subset of your mailboxes. このプロセスは、サービスを終了する顧客のみを対象とします。This process is only intended for customers who are exiting the service.

データ削除パスを開始するには、次の手順を実行します。To initiate the data purge path, complete these steps:

  1. Azure Key Vaults から "O365 Exchange Online" のラップとアンラップのアクセス許可を削除します。Remove wrap and unwrap permissions for "O365 Exchange Online" from Azure Key Vaults.

  2. 組織内でグローバル管理者特権を持つ仕事または学校のアカウントを使用して 、Exchange Online PowerShell に接続しますUsing a work or school account that has global administrator privileges in your organization, connect to Exchange Online PowerShell.

  3. 削除するメールボックスを含む DEP ごとに、次のように Set-DataEncryptionPolicy コマンドレットを実行します。For each DEP that contains mailboxes that you want to delete, run the Set-DataEncryptionPolicy cmdlet as follows.

    Set-DataEncryptionPolicy <Policy ID> -PermanentDataPurgeRequested -PermanentDataPurgeReason <Reason> -PermanentDataPurgeContact <ContactName>
    

    コマンドが失敗した場合は、このタスクで前に指定したように、Azure Key Vault の両方のキーから Exchange Online のアクセス許可を削除してください。If the command fails, ensure that you've removed the Exchange Online permissions from both keys in Azure Key Vault as specified earlier in this task.Set-DataEncryptionPolicy コマンドレットを使用して PermanentDataPurgeRequested スイッチを設定すると、この DEP をメールボックスに割り当てなくなりました。 Once you've set the PermanentDataPurgeRequested switch using the Set-DataEncryptionPolicy cmdlet, you'll no longer be able to assign this DEP to mailboxes.

  4. Microsoft のサポートに問い合わせ、データ削除 eDocument を要求します。Contact Microsoft support and request the Data Purge eDocument.

    Microsoft は、要求に応じて、データの削除を承認および承認する法的文書を送信します。At your request, Microsoft sends you a legal document to acknowledge and authorize data deletion. オンボーディング中に FastTrack オファーで承認者としてサインアップした組織内のユーザーは、このドキュメントに署名する必要があります。The person in your organization who signed up as an approver in the FastTrack offer during onboarding needs to sign this document. 通常、これは会社の役員または他の指定された人物で、組織に代わって書類に署名する法的権限を持ちます。Normally, this is an executive or other designated person in your company who is legally authorized to sign the paperwork on behalf of your organization.

  5. 代理人が法的文書に署名したら、それを Microsoft に返します (通常は eDoc 署名を通じて)。Once your representative has signed the legal document, return it to Microsoft (usually through an eDoc signature).

    Microsoft が法的文書を受け取った後、Microsoft はコマンドレットを実行してデータ削除をトリガーし、最初にポリシーを削除し、メールボックスに完全な削除のマークを付け、可用性キーを削除します。Once Microsoft receives the legal document, Microsoft runs cmdlets to trigger the data purge which first deletes the policy, marks the mailboxes for permanent deletion, then deletes the availability key. データ削除プロセスが完了すると、データは削除され、Exchange Online にアクセスできなくなり、回復できません。Once the data purge process completes, the data has been purged, is inaccessible to Exchange Online, and is not recoverable.

SharePoint Online、OneDrive for Business、Teams ファイルのカスタマー キーと可用性キーを取り消すRevoke your Customer Keys and the availability key for SharePoint Online, OneDrive for Business, and Teams files

SharePoint Online、OneDrive for Business、Teams ファイルのデータ削除パスを開始するには、次の手順を実行します。To initiate the data purge path for SharePoint Online, OneDrive for Business, and Teams files, complete these steps:

  1. Azure Key Vault アクセスを取り消します。Revoke Azure Key Vault access. すべてのキー コンテナー管理者は、アクセスを取り消すことに同意する必要があります。All key vault admins must agree to revoke access.

    SharePoint Online の Azure Key Vault は削除されません。You do not delete the Azure Key Vault for SharePoint Online. キー コンテナーは、複数の SharePoint Online テナントと DEP 間で共有できます。Key vaults may be shared among several SharePoint Online tenants and DEPs.

  2. 可用性キーを削除するには、Microsoft にお問い合わせください。Contact Microsoft to delete the availability key.

    可用性キーを削除するために Microsoft に連絡すると、法的文書が送信されます。When you contact Microsoft to delete the availability key, we'll send you a legal document. オンボーディング中に FastTrack オファーで承認者としてサインアップした組織内のユーザーは、このドキュメントに署名する必要があります。The person in your organization who signed up as an approver in the FastTrack offer during onboarding needs to sign this document. 通常、これは会社の役員または他の指定された人物で、組織に代わって書類に署名する法的権限を持ちます。Normally, this is an executive or other designated person in your company who's legally authorized to sign the paperwork on behalf of your organization.

  3. 代理人が法的文書に署名したら、それを Microsoft に返します (通常は eDoc 署名を通じて)。Once your representative signs the legal document, return it to Microsoft (usually through an eDoc signature).

    Microsoft が法的文書を受け取った後、コマンドレットを実行して、テナント キー、サイト キー、およびドキュメントごとの個々のキーの暗号化削除を実行するデータ削除をトリガーし、キー階層を取り消し可能に壊します。Once Microsoft receives the legal document, we run cmdlets to trigger the data purge which performs crypto deletion of the tenant key, site key, and all individual per-document keys, irrevocably breaking the key hierarchy. データ削除コマンドレットが完了すると、データは削除されます。Once the data purge cmdlets complete, your data has been purged.