Azure Information Protection の Hold Your Own Key (HYOK) の詳細
Hold Your Own Key (HYOK) 構成を使用すると、クラシック クライアントを使用する AIP のお客様は、キーのフル コントロールを維持しながら、機密性の高いコンテンツを保護できます。 HYOK では、オンプレミスに保存されている、お客様が保持する機密性の高いコンテンツ用の追加のキーと、他のコンテンツに使用される既定のクラウドベースの保護が一緒に使用されます。
HYOK 保護でアクセスできるのはオンプレミスのアプリケーションとサービスのデータだけなので、HYOK を使用するお客様は、クラウド ドキュメント用にクラウドベースのキーも持っています。
HYOK は、次のようなドキュメントに使用します。
- 少数のユーザーだけに制限されている
- 組織の外部と共有されていない
- 内部ネットワークでのみ使用される。
これらのドキュメントは、通常、組織内で "トップ シークレット" として最高位に分類されます。
HYOK 保護を使用してコンテンツを暗号化できるのは、クラシック クライアントを使用している場合のみです。 ただし、HYOK で保護されたコンテンツの表示は、クラシックと統合ラベル付けの両方のクライアントでできます。
既定のクラウドベースのテナント ルート キーの詳細については、「Azure Information Protection テナント キーを計画して実装する」を参照してください。
クラウドベースの保護と HYOK
通常、Azure Information Protection を使用して機密ドキュメントやメールを保護するには、Microsoft によって生成されるか、BYOK 構成を使用して顧客によって生成されるクラウドベースのキーが使用されます。
クラウドベースのキーは Azure Key Vault で管理され、お客様には次の利点があります。
サーバー インフラストラクチャの要件なし。 クラウド ソリューションでは、オンプレミスのソリューションよりもデプロイと保守が迅速でコスト効率が高くなります。
クラウドベースの認証を使用すると、パートナーや他の組織のユーザーとの共有が簡単になります。
検索、Web ビューアー、ピボット ビュー、マルウェア対策、電子情報開示、Delve など、他の Azure や Microsoft 365 サービスとの密接な統合。
共有した機密ドキュメントのドキュメント追跡、取り消し、メール通知。
ただし、一部の組織の規制の要件では、クラウドから分離されたキーを使用した特定のコンテンツの暗号化が必要な場合があります。 この分離は、暗号化されたコンテンツが、オンプレミスのアプリケーションとオンプレミスのサービスでのみ読み読み取り可能であることを意味します。
HYOK 構成では、顧客テナントには、クラウドに保存できるコンテンツで使用するクラウドベースのキーと、オンプレミスでのみ保護する必要があるコンテンツのオンプレミス キーの両方があります。
HYOK のガイダンスとベスト プラクティス
HYOK を構成する場合は、次の推奨事項を考慮してください。
重要
Azure Information Protection の HYOK 構成は、AD RMS と Azure Information Protection の完全なデプロイに代わるものでも、AD RMS から Azure Information Protection への移行の代替手段でもありません。
HYOK はラベルを適用することでのみサポートされ、AD RMS に機能パリティを提供せず、すべての AD RMS デプロイの構成をサポートしているわけではありません。
HYOK に適したコンテンツ
HYOK 保護ではクラウドベースの保護の利点が提供されません。コンテンツにはオンプレミスのアプリケーションとサービスでのみアクセスできるので、多くの場合、"データの不透明度" という代償を伴います。 HYOK 保護を使用している組織であっても、通常は、ドキュメントの数が少ない場合にのみ適しています。
HYOK は、次の条件に一致するコンテンツにのみ使用することをお勧めします。
- 組織内で最上位に分類され ("極秘")、アクセスは数名だけに制限されているコンテンツ
- 組織外で共有されることはないコンテンツ
- 内部ネットワークでのみ使用されるコンテンツ。
HYOK で構成されたラベルを表示できるユーザーを定義する
HYOK で構成されたラベルが、HYOK 保護を適用する必要があるユーザーにのみ表示されるようにするには、スコープ付きポリシーを持つユーザーのポリシーを構成します。
HYOK とメールのサポート
Microsoft 365 サービスとその他のオンライン サービスでは、HYOK で保護されたコンテンツの暗号化を解除できません。
メールで失われる機能には、マルウェア スキャナー、暗号化のみの保護、データ損失防止 (DLP) ソリューション、メール ルーティング規則、ジャーナル、電子情報開示、アーカイブ ソリューション、Exchange ActiveSync が含まれます。
ユーザーは、HYOK で保護されたメールを一部のデバイスで開けない理由がわからず、ヘルプ デスクへの問い合わせが増える可能性があります。 メールで HYOK 保護を構成する場合は、これらの重大な制限に注意してください。
ADRMS からの移行
HYOK でクラシック クライアントを使用していて、AD RMS から移行した場合は、リダイレクトが設定されており、使用する AD RMS クラスターには、移行したクラスター内の URL に対して異なるライセンス URL が必要です。
詳細については、Azure Information Protection ドキュメントの AD RMS からの移行に関するページを参照してください。
HYOK でサポートされるアプリケーション
特定の文書とメールに HYOK を適用するには、Azure Information Protection のラベルを使用します。 HYOK は、Office バージョン 2013 以降でサポートされています。
HYOK はラベルの管理者構成オプションであり、コンテンツをクラウドベースのキーとして使用するのか HYOK として使用するのかにかからわず、ワークフローは変わりません。
次の表に、HYOK で構成されたラベルを使用してコンテンツを保護および使用するためのサポートされるシナリオを示します。
- Windows アプリケーションでの HYOK のサポート
- macOS アプリケーションでの HYOK のサポート
- iOS アプリケーションでの HYOK のサポート
- Android アプリケーションでの HYOK のサポート
注意
Office Web とユニバーサル アプリケーションは HYOK ではサポートされていません。
Windows アプリケーションでの HYOK のサポート
| Application | 保護 | 従量課金 |
|---|---|---|
| Azure Information Protection クライアントと Microsoft 365 アプリ、Office 2019、Office 2016、Office 2013: Word、Excel、PowerPoint、Outlook |
 |
|
| Azure Information Protection クライアントとファイル エクスプローラー | |
|
| Azure Information Protection ビューアー | 適用できません | |
| Azure Information Protection クライアントと PowerShell のラベル付けコマンドレット | |
|
| Azure Information Protection スキャナー | |
|
macOS アプリケーションでの HYOK のサポート
| Application | 保護 | 従量課金 |
|---|---|---|
| Office for Mac: Word、Excel、PowerPoint、Outlook |
 |
|
iOS アプリケーションでの HYOK のサポート
| Application | 保護 | 従量課金 |
|---|---|---|
| Office Mobile: Word、Excel、PowerPoint |
|
|
| Office Mobile: Outlook のみ |
|
|
| Azure Information Protection ビューアー | 適用できません | |
Android アプリケーションでの HYOK のサポート
| Application | 保護 | 従量課金 |
|---|---|---|
| Office Mobile: Word、Excel、PowerPoint |
|
|
| Office Mobile: Outlook のみ |
|
|
| Azure Information Protection ビューアー | 適用できません | |
HYOK を実装する
Azure Information Protection では、下に一覧表示されている要件すべてに準拠する Active Directory Rights Management サービス (AD RMS) がある場合に、HYOK がサポートされます。
使用権限ポリシーとそのポリシーを保護する組織の秘密キーの管理と保存はオンプレミスで行われますが、ラベル付けと分類の Azure Information Protection ポリシーの管理と保存は引き続き Azure で行われます。
HYOK 保護を実装するには:
準備ができたら、「Rights Management による保護でラベルを構成する方法」に進みます。
HYOK をサポートするための AD RMS の要件
Azure Information Protection ラベルに HYOK 保護を適用するには、AD RMS のデプロイで次の要件を満たす必要があります。
| 要件 | 説明 |
|---|---|
| AD RMS の構成 | HYOK をサポートするには、AD RMS システムを特定の方法で構成する必要があります。 詳細については、下記を参照してください。 |
| ディレクトリ同期 | オンプレミスの Active Directory と Azure Active Directory の間でディレクトリ同期を構成する必要があります。 HYOK 保護ラベルを使用するユーザーのシングル サインオンが構成されている必要があります。 |
| 明示的に定義された信頼の構成 | HYOK で保護されたコンテンツを組織外の他のユーザーと共有する場合は、他の組織との直接のポイントツーポイントの関係で、明示的に定義された信頼に対して AD RMS を構成する必要があります。 これを行うには、信頼されたユーザー ドメイン (TUD)、または Active Directory フェデレーション サービス (AD FS) を使用して作成したフェデレーションによる信頼を使用します。 |
| Microsoft Office のサポートされるバージョン | HYOK で保護されたコンテンツを保護または使用するユーザーには、次のものが必要です。 - Information Rights Management (IRM) をサポートする Office のバージョン - Windows 7 Service Pack 1 以降で実行されている、Service Pack 1 の Microsoft Office Professional Plus バージョン 2013 以降。 - Office 2016 の Microsoft インストーラー (.msi) ベースのエディションの場合、2018 年 3 月 6 日にリリースされた Microsoft Office 2016 の更新プログラム 4018295 が必要です。 注:Office 2010 と Office 2007 はサポートされません。 詳細については、「AIP と従来の Windows および Office バージョン」を参照してください。 |
重要
HYOK の保護によって提供される高い確実性を実現するには、次のことをお勧めします。
AD RMS サーバーを DMZ の外部に配置し、マネージド デバイスでのみ使用されるようにします。
ハードウェア セキュリティ モジュール (HSM) を使用して AD RMS クラスターを構成します。 これで、AD RMS のデプロイが侵入または侵害されても、サーバー ライセンサー証明書 (SLC) の秘密キーが公開または盗難されることがないようにできます。
ヒント
AD RMS のデプロイの情報と手順については、Windows Server ライブラリの「Active Directory Rights Management Services の概要」を参照してください。
AD DS の構成の要件
HYOK をサポートするには、AD RMS システムが次の構成になっていることを確認します。
| 要件 | 説明 |
|---|---|
| Windows バージョン | 少なくとも次のいずれかの Windows バージョン: 運用環境: Windows Server 2012 R2 テスト/評価環境: Windows Server 2008 R2 Service Pack 1 |
| トポロジ | HYOK には、次のいずれかのトポロジが必要です。 - 1 つの AD RMS クラスターを持つ 1 つのフォレスト - それぞれが AD RMS クラスターを持つ複数のフォレスト。 複数のフォレスト用のライセンス 複数のフォレストがある場合、各 AD RMS クラスターでは、同じ AD RMS クラスターを指すライセンス URL を共有します。 この AD RMS クラスターで、その他のすべての AD RMS クラスターからすべての信頼されたユーザー ドメイン (TUD) の証明書をインポートします。 このトポロジの詳細については、信頼されたユーザー ドメインに関するページをご覧ください。 複数のフォレスト用のグローバル ポリシー ラベル 個々のフォレスト内に複数の AD RMS クラスターがある場合は、HYOK (AD RMS) 保護を適用するグローバル ポリシー内のラベルを削除し、クラスターごとにスコープ付きポリシーを構成します。 各クラスターのユーザーを、対応するスコープ付きポリシーに割り当てて、ユーザーが複数のスコープ付きポリシーに割り当てられることになるグループを使用しないようにします。 結果として、各ユーザーは 1 つの AD RMS クラスターについてのみラベルを持ちます。 |
| 暗号化モード | AD RMS は、暗号化モード 2 で構成する必要があります。 AD RMS クラスター プロパティの [全般] タブを調べてモードを確認します。 |
| 証明書 URL の構成 | 各 AD RMS サーバーが証明書の URL 用に構成されている必要があります。 詳細については、下記を参照してください。 |
| サービス接続ポイント | サービス接続ポイント (SCP) は、Azure Information Protection で AD RMS 保護を使用する場合には使用されません。 AD RMS デプロイに SCP を登録している場合、Azure Rights Management 保護のサービス検索を正常に実行するには、これを削除します。 HYOK の新しい AD RMS クラスターをインストールする場合は、最初のノードの構成時に SCP を登録しないでください。 各追加ノードについて、AD RMS の役割を追加して、既存のクラスターに参加する前に、証明書の URL についてサーバーが構成されていることを確認します。 |
| SSL/TLS | 運用環境では、AD RMS サーバーは、接続先のクライアントによって信頼されている有効な x.509 証明書が含まれる SSL/TLS を使用するように構成されている必要があります。 これは、テストまたは評価のためには必要ありません。 |
| 権限テンプレート | AD RMS に対して権限テンプレートを構成しておく必要があります。 |
| Exchange IRM | AD RMS を Exchange IRM 用に構成することはできません。 |
| モバイル デバイス/Mac コンピューター | Active Directory Rights Management サービス モバイル デバイス拡張機能がインストールされ構成されている必要があります。 |
証明書の URL を確認するように AD RMS サーバーを構成する
クラスターの各 AD RMS サーバーで、次のレジストリ エントリを作成します。
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\DRMS\GICURL = "<string>"`<文字列値> の場合、次のいずれかの文字列を指定します。
環境 文字列値 運用
(SSL/TLS を使用した AD RMS クラスター)https://<cluster_name>/_wmcs/certification/certification.asmxテスト/評価
(SSL/TLS なし)http://<cluster_name>/_wmcs/certification/certification.asmxIIS を再起動します。
Azure Information Protection ラベルによる AD RMS の保護を指定する情報の確認
HYOK の保護ラベルを構成するには、AD RMS クラスターのライセンス URL を指定する必要があります。
さらに、ユーザーに付与するアクセス許可を使用して構成したテンプレートを指定するか、ユーザーがアクセス許可とユーザーを定義できるようにする必要があります。
Active Directory Rights Management サービス コンソールからテンプレート GUID とライセンス URL の値を見つけるには、次を行います。
テンプレート GUID を確認する
クラスターを展開し、[権利ポリシー テンプレート] をクリックします。
[配布権利ポリシー テンプレート] の情報から、使用するテンプレートの GUID をコピーします。
例: 82bf3474-6efe-4fa1-8827-d1bd93339119
ライセンス URL を確認する
クラスター名をクリックします。
[クラスターの詳細] の情報から、[ライセンス] 値の /_wmcs/licensing 文字列以外をコピーします。
例: https://rmscluster.contoso.com
注意
エクストラネットとイントラネットのライセンスの値が異なるときは、保護されたコンテンツをパートナーと共有する場合にのみ、エクストラネットの値を指定します。 保護されたコンテンツを共有するパートナーは、明示的なポイントツーポイントの信頼で定義する必要があります。
保護されたコンテンツを共有していない場合は、イントラネットの値を使用して、Azure Information Protection で AD RMS 保護を使用しているすべてのクライアント コンピューターが、イントラネット接続経由で接続するようにします。 たとえば、リモート コンピューターでは VPN 接続を使用する必要があります。
次の手順
HYOK をサポートするためのシステムの構成が完了したら、HYOK 保護のラベルの構成を続行します。 詳しくは、「Rights Management による保護を適用するようにラベルを構成する方法」を参照してください。