顧客キーを使用して Office 365 のデータを制御する

注: 最新のヘルプ コンテンツをできるだけ早く、お客様がお使いの言語で提供したいと考えております。このページは、自動翻訳によって翻訳されているため、文章校正のエラーや不正確な情報が含まれている可能性があります。私たちの目的は、このコンテンツがお客様の役に立つようにすることです。お客様にとって役立つ情報であったかどうかを、このページの下部でお知らせください。簡単に参照できるように、こちらに英語の記事があります。

顧客キーを使用して、組織の暗号化キーを制御しを使用して他の Microsoft のデータ センターでデータを暗号化する Office 365 を構成します。残りの部分にあるデータには、Exchange Online と Skype for Business と SharePoint Online に保存されているファイルのメールボックスに格納されていると OneDrive for Business からのデータが含まれます。

Office 365 のお客様のキーを使用する前に、Azure をセットアップする必要があります。ここでは、作成し、必要な Azure リソースを構成するために必要な手順について説明し、Office 365 で顧客キーを設定するための手順を説明します。Azure のセットアップを完了すると、どのポリシーとそのため、するメールボックスと、組織内のファイルへの割り当て、キーを決定します。メールボックスとファイルのポリシーを割り当てるしない制御マイクロソフトが管理される暗号化ポリシーが使用されます。詳細については、顧客キー、または一般的な概要については、表示、 Office 365 のよく寄せられる質問の顧客キー

重要: このトピックのベスト プラクティスに従うことを強くお勧めします。これらは、ヒント重要なタスクと呼び出されます。スコープ ルート暗号化キーを制御するキーにより、お客様は、組織全体と同じ大きさできます。つまり、これらのキーによるミス広範な影響を与えることができますサービス中断またはデータの損失を取り消し可能性があります。

顧客キーの設定を開始する前に

作業を開始する前に、組織の適切なライセンスがあることを確認してください。Office 365 で顧客キーは、Office 365 E5 または高度なコンプライアンス SKU で提供されています。

次に、このトピックで、概念を理解するAzure キー コンテナーのドキュメントを確認します。また、使い慣れた Azure、たとえば、テナントで使用される用語のようになります。

ドキュメントを含む、顧客キーに関するフィードバックを入力するには、customerkeyfeedback@microsoft.com に自分のアイデア、提案、パースペクティブを送信します。

Office 365 のお客様のキーの設定の概要

顧客キーを設定するのには、次のタスクを完了します。このトピックの残りの部分では、各タスクでは、またはプロセスに含まれる各手順の詳細についてをリンクする詳細な手順を提供します。

Azure と Microsoft FastTrack 場合。   

これらのタスクのほとんどは、リモート PowerShell Azure に接続して完了します。Azure PowerShell 後でまたは最適な結果を得る 4.4.0 バージョンを使用します。

Office 365。   

Exchange Online と Skype for Business の場合:

SharePoint Online と OneDrive for Business の場合:

Azure キー ボルトおよび顧客のキーに Microsoft FastTrack でタスクを完了

Office 365 のお客様のキーを設定するために、Azure キー ボルトで次のタスクを実行します。キーを設定顧客の Exchange Online と Skype for Business または SharePoint Online と OneDrive for Business または Office 365 でサポートされているすべてのサービスにするかどうかに関係なく、次の手順を完了する必要があります。

2 つの新規 Azure サブスクリプションを作成します。

2 つの Azure サブスクリプションでは、顧客のキーに必要があります。ベスト プラクティスとして、顧客のキーを使用するための新しい Azure サブスクリプションを作成することをお勧めします。同じ Azure Active Directory (AAD) テナント アプリケーションの承認のみ azure キー ボルト キー、DEPs が割り当てられる、Office 365 組織で使用される同じ Azure AD テナントを使用して新しいサブスクリプションを作成する必要があります。たとえば、グローバル管理者権限を持つ、Office 365 の組織内で、職場または学校のアカウントを使用します。詳細な手順については、組織の Azure にサインアップするを参照してください。

重要: 

  • 顧客のキーには、各データの暗号化ポリシー (DEP) の 2 つのキーが必要です。これを実現するために Azure の 2 つのサブスクリプションを作成する必要があります。ベスト プラクティスとして、組織のサブスクリプションに 1 つのキーを構成する別のメンバーであることをお勧めします。さらに、これらの Azure サブスクリプションの Office 365 の暗号化キーを管理するのには、使用するのみ必要があります。これにより、誤ってまたは意図的に、悪意を削除したり、それ以外の場合、キーを行っているユーザーの責任を mismanages、演算子のいずれかの場合に、組織が保護されます。

  • 顧客のキーを使って Azure キー ボルト リソースを管理するためだけに使用される新規 Azure サブスクリプションを設定することをお勧めします。実用的な組織用に作成できる Azure のサブスクリプションの数の制限はありません。次のベスト プラクティスを最小限に抑える人的エラーの影響顧客キーで使用されているリソースを管理しながらします。

Office 365 for 顧客キーをライセンス認証を要求を送信します。

Azure 手順が完了したら、 Microsoft FastTrack ポータルでサービス要求を送信する必要があります。FastTrack web ポータルを通じて、出席依頼を送信した後、Microsoft を実現する Azure キー ボルト構成のデータと連絡先情報を確認します。組織の承認された監督に関するプラン フォームの選択内容は重要な顧客キー登録の実行に必要なします。フォームで選択した組織の担当者が失効および顧客キー データの暗号化のポリシーで使用されるすべてのキーを破棄するための要求の信頼性を確認するために使用されます。Exchange Online と Skype for Business の範囲と、もう一度 SharePoint Online と OneDrive for Business for 顧客キーをライセンス認証を for 顧客キーをライセンス認証を 1 回、この手順を実行する必要があります。

顧客キーのライセンス認証の提供を送信するには、次の手順を実行します。

  1. グローバル管理者権限を持つ組織の Office 365 の職場または学校のアカウントを使用して、 Microsoft FastTrack ポータルにログインします。

  2. 後で、ログインしているダッシュ ボードを参照します。

  3. 提供] を選択し、現在のプランの一覧を確認します。

  4. 該当するプランの詳細を選択します。

    • Exchange Online と Skype for Business: Exchange の顧客キープランの詳細] を選びます。

    • SharePoint Online と OneDrive for Business: SharePoint と OneDrive for Business の顧客キープランの詳細を選択します。

  5. [詳細情報を提供する] ページで、リクエストを作成] を選びます。

  6. すべての該当する詳細情報とプラン フォームで必要な情報を入力します。特定の注意を元に戻すこと、永続的な暗号化キーとデータの破棄を承認する承認するのには、組織のどの担当者の選択してください。フォームが完了したら、[送信を] を選びます。

    Microsoft は、出席依頼の通知と最大 5 つのビジネス日かかることができます。

  7. 次の必須の保持期間セクションに進みます。

必須の保存期間を使用する Azure サブスクリプションを登録します。

ルート暗号化キーの一時的なまたは永続的な損失ことが非常に停止またはサービスにも大規模なでき、データの損失が発生することができます。このため、顧客キーで使用するリソースには、強力な保護が必要があります。顧客キーで使用されているすべての Azure リソースは、この後の既定の構成の保護メカニズムを提供します。Azure サブスクリプションは、タグ付けまたはキャンセル通知をすぐに、取り消しができるようにする方法に登録されていることができます。これは必須の保持期間の登録と呼ばれます。必須の保持期間の Azure サブスクリプションを登録するための手順では、Office 365 チームとの共同作業が必要です。この処理は、1 ~ 5 つのビジネス日かかることができます。以前は、これとも呼ば「キャンセルすれば」します。

Office 365 チームに問い合わせる前に顧客キーと共に使うことの Azure サブスクリプションごとに、次の手順を行う必要があります。

  1. Azure PowerShell で Azure サブスクリプションにログインします。手順については、 PowerShell Azure でログインを参照してください。

  2. 必須の保持期間を使用してサブスクリプションを登録する登録 AzureRmProviderFeature コマンドレットを実行します。

    Register-AzureRmProviderFeature -FeatureName mandatoryRetentionPeriodEnabled -ProviderNamespace Microsoft.Resources
  3. Microsoft プロセスを完了にお問い合わせください。SharePoint と OneDrive for Business のチームでは、 spock@microsoft.comをに問い合わせてください。Exchange Online と Skype for Business exock@microsoft.comをに問い合わせてください。サービス レベル契約 (SLA)、必須の保持期間を使用するサブスクリプションを登録するこのプロセスの実行には、Microsoft がされた通知 (と確認済み) を 5 営業日します。電子メールで、次をとおり

    件名: <tenantの完全修飾ドメイン名> の顧客キー

    本文: サブスクリプション Id が必須の保持期間の終了します。

  4. 登録が完了している Microsoft からの通知が表示されたら、次のように、Get AzureRmProviderFeature コマンドレットを実行して、登録の状態を確認します。

    Get-AzureRmProviderFeature -ProviderNamespace Microsoft.Resources -FeatureName mandatoryRetentionPeriodEnabled
  5. 後取得 AzureRmProviderFeature コマンドレットからの登録状態プロパティが登録されているの値を返すことを確認するには、プロセスを完了するには、次のコマンドを実行します。

    Register-AzureRmResourceProvider -ProviderNamespace "Microsoft.KeyVault"

各サブスクリプションの premium の Azure キー コンテナーを作成します。

Azure キー コンテナーの使用を開始する] をインストール、Azure PowerShell を起動する、Azure サブスクリプションへの接続、リソースをグループを作成するにキー ボルトを作成するキーのコンテナーを作成する手順が記載されています[リソース グループ]。

キー コンテナーを作成すると SKU を選択する必要があります。 標準または Premium のいずれかです。標準的な SKU – ハードウェア セキュリティ モジュール (HSM) キーの保護がない – ソフトウェアで保護するのには Azure キー ボルト キーを使うと、Premium SKU キー ボルト キーの保護に Hsm を使用できます。顧客キーは、Premium SKU のみを使用することを強くお勧めしている場合に、いずれかの SKU を使用するキーのボルトを受け入れます。いずれかの種類のキー操作のコストは、コストの唯一の違いは各 HSM で保護されたキーには、1 か月あたりのコスト、同じです。詳細については、キー コンテナーの価格を参照してください。

重要: 本番データの Premium SKU キー ボルトと HSM で保護されたキーを使用し、テストおよび検証目的のみ標準 SKU キー ボルトとキーを使用します。

顧客キーを使用する Office 365 サービスごとに作成した 2 つの Azure サブスクリプションの各キー コンテナーを作成します。たとえば、Exchange Online とは Skype for Business にのみ、または SharePoint Online と OneDrive for Business にのみ、ボルトの 1 つだけのペアを作成します。Exchange Online と SharePoint Online の顧客キーを有効にする、2 組のキーのボルトを作成します。

されたボルトに関連付けることが DEP の用途を表すキー ボルトの名前付け規則を使用します。命名規則の推奨事項以下のベスト プラクティスのセクションを参照してください。

各データの暗号化ポリシーのボルト一連の独立した、2 組の対応を作成します。Exchange online では、メールボックスにポリシーを割り当てるときに自分でデータの暗号化ポリシーの範囲が選択されます。メールボックスが割り当てられている、1 つのポリシーを設定して、50 台までのポリシーを作成することができます。SharePoint Online のポリシーのスコープとは、すべての地理的位置、または地域で組織内のデータです。

キー ボルトの作成は、キー ボルト (ただし、非常に小さい) ストレージ容量が必要なキー コンテナーのログを有効にした場合もデータを生成保存されているため、Azure リソース グループの作成が必要です。ベスト プラクティスとして、個別の管理者を使用して、関連するすべての顧客キー リソース管理の管理者のセットに揃えて配置された管理をリソース グループごとを管理するをお勧めします。

重要: 

  • 空き時間情報を最大化するのには、Office 365 サービスの近くにある地域で、キー、ボルトがあります。たとえば、北米での Exchange Online 組織の場合は、北米で、キーのボルトを配置します。ヨーロッパの Exchange Online 組織がある場合は、ヨーロッパのキー、ボルトを配置します。

  • キーのボルトに一般的なプレフィックスを使用し、使用の省略形などの重要なコンテナーとキーの範囲 (北米、名前の考えられるペア内のボルトの場所、Contoso SharePoint サービスは Contoso O365SP NA VaultA1 のなど、Contoso O365SP-NA VaultA2 します。ボルト名は、目的の名前が Azure 他のユーザーが既に要求している場合に、目的の名前のバリエーションを試す必要がありますのでの Azure 内のグローバル一意識別文字列です。年 2017年 7 月におけるボルト名前は変更できません、ため、セットアップのプランを作成し、2 番目のユーザーを使用してプランが正しく実行されたことを確認することをお勧めします。

  • 可能であれば、以外のペアリング領域で、ボルトを作成します。Azure 2 組の対応の地域では、サービスの障害のドメインに可用性を提供します。このため、互いのバックアップ領域にするには、地域のペアを考えます。これは、1 つの領域に配置されている Azure のリソースが自動的に 2 組の対応の地域によってフォールト トレランスを取得していることを意味します。このため、地域の空き時間情報の 2 つの領域の合計値のみを使用している 2 組の対応することを意味 DEP で使用される 2 つのボルトの領域を選択します。ほとんどの地域では、2 つの領域のみがあるため、まだ以外のペアリング地域を選択することはできません。可能な場合は、次の 2 つのボルトを DEP と使用の以外のペアリング 2 つの領域を選択します。これは、4 つの領域の利用可能時間の合計を利用できます。詳細については、次を参照してください。ビジネス継続性と障害復旧 (BCDR): Azure 経由でペアリング地域地域のペアの現在のリストにします。

各キー ボルトに権限を割り当てる

各キーのボルトの 3 つの独立した顧客のキーには、実装によってのアクセス許可のセットを定義する必要があります。たとえば、次のそれぞれのアクセス許可の 1 つのセットを定義する必要があります。

  • 組織のキー、コンテナーの管理を日常的には、キー ボルト管理者です。これらのタスクのバックアップ、作成、取得、] ボックスの一覧をインポートおよび復元します。

    重要: キー コンテナーの管理者に割り当てられた権限を設定するには、キーを削除するのには、権限は含まれません。これは、意図的なと、重要な実習します。暗号化キーを削除する通常は行わないと、データを破棄するために完全に実行するためです。ベスト プラクティスとしてはこのアクセス権を付与キー コンテナーの管理者に既定でします。代わりに、キー ボルト投稿者に見せるし、のみに割り当てる短期的な単位で管理者と、結果を明確に理解が認識します。

    Office 365 の組織内のユーザーに、これらの権限を割り当てる Azure PowerShell で Azure サブスクリプションにログインします。手順については、 PowerShell Azure でログインを参照してください。

  • 必要な権限を割り当てるセット AzureRmKeyVaultAccessPolicy コマンドレットを実行します。

    Set-AzureRmKeyVaultAccessPolicy -VaultName <vaultname> 
    -UserPrincipalName <UPN of user> -PermissionsToKeys create,import,list,get,backup,restore
    

    Set-AzureRmKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 
    -UserPrincipalName alice@contoso.com -PermissionsToKeys create,import,list,get,backup,restore
    
  • アクセス許可を変更、Azure キー ボルトに自体キー ボルト投稿者します。ほとんどの場合に、キーの保管管理者正当な必要があることアクセス許可を削除または復元するキーまたは従業員ままにしたり、チームに参加する、または次の権限を変更する必要があります。この一連のキー ボルト投稿者のニーズ、キーのボルトに投稿者の役割を付与します。Azure リソース マネージャーを使用してこの役割を割り当てることができます。詳細な手順については、 Use Role-Based へのアクセス制御 Azure サブスクリプション リソースへのアクセスを管理するを参照してください。サブスクリプションを作成する管理者は、投稿者の役割を他の管理者を割り当てる機能だけでなく、暗黙的にこのアクセス権を持ちます。

  • Exchange Online と Skype for Business 顧客キーを使用する場合は、ビジネスの Exchange Online と Skype の代理キー ボルトを使用する Office 365 へのアクセス許可を与えるする必要があります。同様に、SharePoint Online と OneDrive for Business 顧客キーを使用する場合は向け SharePoint Online と OneDrive の代理キー ボルトを使用する Office 365 のアクセス許可を追加する必要があります。Office 365 に権限を割り当てるには、次の構文を使用してSet-AzureRmKeyVaultAccessPolicyコマンドレットを実行します。

    Set-AzureRmKeyVaultAccessPolicy –VaultName <vaultname> -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName <Office 365 appID>

    各要素の意味:

    • vaultnameは、作成したキー ボルトの名前です。

    • Exchange Online と Skype for Business、 Office 365 appIDを置き換えます00000002-0000-0ff1-ce00-000000000000

    • SharePoint Online と OneDrive for Business、 Office 365 appIDを置き換えます00000003-0000-0ff1-ce00-000000000000

    例: は、Exchange Online と Skype for Business の権限を設定します。

    Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365EX-NA-VaultA1 
    -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

    例: SharePoint Online と OneDrive for Business のアクセス許可を設定します。

    Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365SP-NA-VaultA1 
    -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000

有効にして、次に [キー、ボルトのぼかしの削除を確認

キーをすばやく回復できますが、ときに、拡張サービスの障害悪意または誤って削除したキーが原因で発生する可能性が低くしています。呼ばれるソフト削除では、顧客のキーを使って、キーを使用する前に、この設定を有効にする必要があります。ソフト削除を有効にするには、削除から 90 日以内のバックアップから復元することがなくキーまたはボルトを復元することができます。

キー、ボルトでソフト削除を有効にするには、次の手順を実行します。

  1. Windows Powershell で Azure サブスクリプションにログインします。手順については、 PowerShell Azure でログインを参照してください。

  2. 次のように、 Get AzureRmKeyVaultコマンドレットを実行します。

    $v = Get-AzureRmKeyVault -VaultName <vaultname>
    $r = Get-AzureRmResource -ResourceId $v.ResourceId
    $r.Properties | Add-Member -MemberType NoteProperty -Name enableSoftDelete -Value 'True'
    Set-AzureRmResource -ResourceId $r.ResourceId -Properties $r.Properties

    Vaultnameは、通常の削除を有効にするキーのコンテナーの名前です。

  3. Get-AzureRmKeyVaultコマンドレットを実行してキー ボルトのぼかしの削除が構成されていることを確認するには。

    Get-AzureRmKeyVault -VaultName <vaultname> | fl

    キー ボルトのソフトの削除を適切に構成する場合、 Soft Delete Enabled?プロパティはの値を返します。

各キー ボルトにいずれかの作成またはインポート キーで、キーを追加します。

Azure キー ボルトの場合は、キーを追加する 2 つの方法があります。キーを作成するには、キー ボルトで直接、またはキーをインポートすることができます。簡単な方法では、全体を制御キーを生成する方法は、キーをインポートするがキー コンテナーに直接キーを作成します。

キーをコンテナーに直接キーを作成するには、次のように追加 AzureKeyVaultKeyコマンドレットを実行します。

Add-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname> -Destination <HSM|Software> -KeyOps wrapKey,unwrapKey

各要素の意味:

  • vaultnameは、キーを作成するキーのコンテナーの名前です。

  • キー名は、新しいキーを提供する名前です。

    ヒント: キーのボルト上記のような名前付け規則を使用して、キーの名前を付けます。この方法では、キー名のみを表示するツール] の文字列が自己記述します。

  • キー HSM を保護する場合は、ソフトウェアを指定することはDestinationパラメーターの値としてHSMを指定することを確認します。

次に例を示します。

Add-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -Destination Software -KeyOps wrapKey,unwrapKey

キーをインポートするには、キー コンテナーに直接、Thales nShield ハードウェア セキュリティ モジュールにする必要があります。

組織によっては、キーと、次の provenance を確立するには、このアプローチを選択する方法には、次のも用意されています。

  • インポート用ツールセットでは、Thales を生成するキーの暗号化に使用するキー Exchange キー (KEK) は、エクスポートできませんから陣が含まれています、Thales 製を正規 HSM 内生成されます。

  • ツールセットには、Azure キー ボルト セキュリティ世界が Thales 製正規 HSM に生成されたも Thales から陣が含まれています。この証明は、Microsoft も正規 Thales ハードウェアを使用していることに証明されます。

上記 attestations が必要なかどうかを確認するには、セキュリティ グループを確認してください。キー内部設置型を作成し、キー コンテナーにインポートして詳細な手順については、生成し、Azure キー ボルト HSM で保護されたキーを転送する方法を参照してください。Azure の手順を使用して、各キー コンテナーにキーを作成します。

キーの回復のレベルを確認します。

Office 365 では、Azure キー ボルト サブスクリプションがキャンセルしないでに設定されていると、顧客キーを使用するキーがあるソフトの削除を有効になっている必要があります。これを回復レベルを調べて、キーを確認できます。

Azure PowerShell] で、キーの回復のレベルを確認するのには、次のように Get AzureKeyVaultKey コマンドレットを実行します。

(Get-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname>).Attributes 

Recovery Levelプロパティ以外の値が回復不可能な + ProtectedSubscriptionの場合、このトピックを参照して、実行したすべてのサブスクリプションをキャンセルしないで一覧上に配置する手順とがあることを確認する必要があります。各キー、ボルトに有効になっている通常の削除します。

バックアップの Azure キー ボルト

キーを作成または変更のすぐ後のバックアップを実行し、バックアップ、オンラインとオフラインの両方のコピーを保存します。オフライン コピーする必要があります接続していない任意のネットワークになど物理安全または商用ストレージ施設にします。障害アクセスできる場所には、バックアップの 1 つ以上のコピーを保存する必要があります。単独キー ボルト キーを完全に破棄されるか、それ以外の場合動作しなくキーを復元するバックアップ blob は。Azure キー ボルトに外部し、Azure キー ボルトにインポートされたキーは、外部キーを使用して顧客のキー、キーを使用するために必要なメタデータが存在しないため、バックアップとして対象外です。顧客のキーを使用して復元操作の Azure キー コンテナーから作成されたバックアップのみを使用できます。このため、キーのアップロードまたは作成したら Azure キー コンテナーのバックアップを行うことが重要です。

Azure キー ボルト キーのバックアップを作成するには、次のように、バックアップ AzureKeyVaultKeyコマンドレットを実行します。

Backup-AzureKeyVaultKey -VaultName <vaultname> -Name <keyname> 
-OutputFile <filename.backup>

出力ファイルがサフィックス.backupを使用していることを確認します。

このコマンドレットの出力ファイルが暗号化されており、Azure キー コンテナーの外部では使用できません。バックアップが作成された Azure サブスクリプションにのみ、バックアップを復元できます。

ヒント: ファイルに出力するボルト名や名前のキーの組み合わせを選択します。そうと、ファイル名自己記述します。バックアップ ファイル名が競合していないことを確認してもします。

Backup-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -OutputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

Azure キー コンテナーの設定を検証します。

DEP、キーを使用する前に入力規則の操作を実行するはオプションですが、強くお勧めします。具体的には、このトピックで説明したものよりもその他のキーとボルトを設定する手順を使用する場合、顧客キーを構成する前に、Azure キー ボルト リソースの正常性を検証する必要があります。

キーがある、wrapKey、および unwrapKey の操作を有効になっていることを確認するには。

次のように、 Get AzureRmKeyVaultコマンドレットを実行します。

Get-AzureRMKeyVault -VaultName <vaultname>

出力では、適切なアクセス ポリシーと、Exchange Online の id (GUID) または SharePoint Online (GUID) を確認します。上記のアクセス許可の 3 つは必要があります [権限] でのキーに表示されます。

アクセス ポリシーの構成が正しくない場合は、次のように設定 AzureRmKeyVaultAccessPolicy コマンドレットを実行します。

Set-AzureRmKeyVaultAccessPolicy –VaultName <vaultname> -PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName <Office 365 appID>

たとえば、Exchange Online と Skype for Business:

Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365EX-NA-VaultA1 
-PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

たとえば、SharePoint Online と OneDrive for Business:

Set-AzureRmKeyVaultAccessPolicy –VaultName Contoso-O365SP-NA-VaultA1 
-PermissionsToKeys wrapKey,unwrapKey,get -ServicePrincipalName TBD

キーの有効期限が設定されていないことを確認します。

次のように、 Get AzureKeyVaultKeyコマンドレットを実行します。

Get-AzureKeyVaultKey -VaultName <vaultname> 

顧客キーでは、有効期限が切れたキーを使用できず、有効期限が切れたキーで操作が失敗し、サービスが停止で発生する可能性があります。顧客キーを使用するキーには、有効期限がないことを強くお勧めします。期限、セットは、削除することはできませんが、別の日付に変更できます。キーを使用する有効期限を設定する場合は、12/31/9999 有効期限の値を変更します。期限を持つキーは、12/31/9999 は Office 365 の入力規則を通過しません以外の日付に設定します。

12/31/9999 以外の値に設定されている有効期限を変更するには、次のように設定 AzureKeyVaultKeyAttributeコマンドレットを実行します。

Set-AzureKeyVaultKeyAttribute –VaultName <vaultname> -Name <keyname> 
-Expires (Get-Date -Date “12/31/9999”)

警告: 顧客キーを使用する暗号化キーの有効期限を設定しません。

各 Azure キー ボルト キーの URI を取得します。

キーのボルトを設定する Azure 内のすべての手順を完了すると、キーを追加、各キー コンテナー内のキーの URI を取得するには、次のコマンドを実行します。これらを使用する必要があります。 Uri を作成して、後で、各 DEP を割り当てる場合は、を安全な場所でこの情報を保存するようにします。各キー コンテナーには、このコマンドを実行してください。

Azure PowerShell: で

(Get-AzureKeyVaultKey -VaultName <vaultname>).Id

Office 365: Exchange Online と Skype for Business の顧客キーを設定します。

作業を開始する前に、Azure キー コンテナーを設定するために必要なタスクを完了していることを確認します。詳しくは、 Azure キー ボルトおよび顧客のキーに Microsoft FastTrack でタスクを完了を参照してください。

Exchange Online と Skype for Business 用の顧客キーを設定するには、リモートで Windows PowerShell で Exchange Online に接続して、次の手順を実行する必要があります。

Exchange Online と Skype for Business の使用のデータ暗号化ポリシー (DEP) を作成します。

DEP のでは、Azure キー コンテナーに格納されているキーのセットに関連付けられます。Office 365 にメールボックスを DEP を割り当てます。Office 365 メールボックスを暗号化するのには、ポリシーで識別されるキーが使用されます。[DEP を作成するには、キー ボルト Uri それ以前のバージョンを取得する必要があります。手順については、取得 Azure キー ボルト キーの URIを参照してください。

注意してください。DEP を作成するときは、次の 2 つの異なる Azure キー ボルト内に存在する 2 つのキーを指定します。地域冗長を確実に 2 つの独立した Azure 地域で、これらのキーがあることを確認します。

DEP を作成するには、次の手順を実行します。

  1. ローカル コンピューターにExchange Online PowerShell への接続を Windows PowerShell を開いて、次のコマンドを実行して、Office 365 組織内のグローバル管理者のアクセス許可を持つ職場または学校のアカウントを使用します。

    $UserCredential = Get-Credential
  2. Windows PowerShell の資格情報の要求] ダイアログ ボックスで、作業内容を入力または学校のアカウント情報、 [OK] をクリックし、次のコマンドを入力します。

    $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
  3. 次のコマンドを実行します。

    Import-PSSession $Session
  4. DEP を作成するには、次のコマンドを入力して新規 DataEncryptionPolicy コマンドレットを使用します。

    New-DataEncryptionPolicy -Name <PolicyName> -Description "PolicyDescription" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>

    各要素の意味:

    • グループは、ポリシーを使用する名前です。名前には、スペースを含めることはできません。たとえば、USA_mailboxes です。

    • ドキュメントは、向けのポリシーを覚えておくために役立つ、ポリシーのわかりやすい説明です。説明のスペースを含めることができます。たとえば、アメリカ合衆国とその地域内のメールボックスのキーのルートします。

    • KeyVaultURI1は、ポリシーの最初のキーの URI です。たとえば、https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01 します。

      KeyVaultURI2は、ポリシーの 2 番目のキーの URI です。たとえば、https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02 します。2 つの Uri カンマとスペースで区切ります。

例:

New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault01.vault.azure.net/keys/USA_key_01, https://contoso_EastUS2vault01.vault.azure.net/keys/USA_Key_02

メールボックスを DEP を割り当てる

メールボックスにセット メールボックス コマンドレットを使用して、DEP を割り当てます。Office 365 が、DEP. で指定したキーを使って、メールボックスを暗号化ポリシーを割り当てる

Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>

場所MailboxIdParameterは、メールボックスを指定します。セット メールボックス コマンドレットの詳細については、一連のメールボックスを参照してください。

メールボックスの暗号化を検証します。

メールボックスを暗号化すると、時間がかかることができます。初めてポリシーの割り当て、メールボックスする必要がありますも移動を完了 1 つのデータベースから他のサービスが、メールボックスを暗号化する前にします。

72 時間後、DEP を変更することも、2 回目のメールボックスに、DEP を割り当てることは、暗号化を検証する前に待機することをお勧めします。

メールボックスが暗号化されていることを確認するには、Get-mailboxstatistics コマンドレットを使用します。

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

暗号化されたチャレンジ プロパティでは、メールボックスが暗号化されていない場合の条件を満たす場合は、メールボックスが暗号化されているとfalseの値を返します。

メールボックスの移動を完了するには、メールボックスのサイズと同様に、初めて、DEP を割り当てるメールボックスの数によって異なります。[DEP が割り当てられている場合は、時刻から 1 週間後のメールボックスが暗号化されていなければ、新規 MoveRequest コマンドレットを使用して暗号化されていないメールボックスのメールボックスの移動を開始します。

New-MoveRequest <mailbox alias>

Office 365: SharePoint Online と OneDrive for Business の顧客キーを設定します。

作業を開始する前に、Azure キー コンテナーを設定するために必要なタスクを完了していることを確認します。詳しくは、 Azure キー ボルトおよび顧客のキーに Microsoft FastTrack でタスクを完了を参照してください。

SharePoint Online と OneDrive for Business の顧客キーを設定するには、リモートで Windows PowerShell で SharePoint Online に接続して、次の手順を実行する必要があります。

各 SharePoint Online と OneDrive for Business 地域のデータ暗号化ポリシー (DEP) を作成します。

DEP のでは、Azure キー コンテナーに格納されているキーのセットに関連付けられます。すべてのデータに、地域とも呼ばれる 1 つの地理的な場所に、DEP を適用します。(プレビュー版) の現在の Office 365 マルチ地域機能を使用する場合は、地域ごとの 1 つの DEP を作成できます。マルチ地域を使用していない場合は、向け SharePoint Online と OneDrive を使用する Office 365 で 1 つの DEP を作成できます。Office 365 でその地理データを暗号化するのには、DEP で識別されるキーが使用されます。[DEP を作成するには、キー ボルト Uri それ以前のバージョンを取得する必要があります。手順については、取得 Azure キー ボルト キーの URIを参照してください。

注意してください。DEP を作成するときは、次の 2 つの異なる Azure キー ボルト内に存在する 2 つのキーを指定します。地域冗長を確実に 2 つの独立した Azure 地域で、これらのキーがあることを確認します。

DEP を作成するには、リモートで Windows PowerShell を使用して SharePoint Online に接続する必要があります。

  1. ローカル コンピューター上には、グローバル管理者権限を持つ Office 365 組織でSharePoint Online Powershell への接続職場または学校のアカウントを使っています。

  2. Microsoft SharePoint Online Management Shell] では、次のように登録 SPODataEncryptionPolicyコマンドレットを実行します。

    Register-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl> -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>

    登録すると、DEP、暗号化を地域のデータを開始します。これにより、少し時間がかかることができます。

サイトをグループ化、チーム サイト、OneDrive for Business の暗号化を検証します。

次のように、Get SPODataEncryptionPolicy コマンドレットを実行して、暗号化の状態を確認できます。

Get-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl>

このコマンドレットの出力が含まれます。

  • 主キーの URI。

  • 2 番目のキーの URI。

  • [地域の暗号化状態です。可能な状態は次のとおりです。

    • 未登録:顧客キー暗号化はまだ適用されません。

    • 登録:顧客キー暗号化が適用されているし、ファイルが暗号化されています。地域がこの状態である場合は、情報を暗号化の進捗状況を監視することができるように、サイトの地域でのパーセンテージが完了に表示されるもされます。

    • 登録:顧客キー暗号化が適用され、すべてのサイト内のすべてのファイルが暗号化されています。

    • ローリング:キーのロール進行中です。地域がこの状態である場合も表示されます情報サイトの割合でキー操作が完了した場合、進捗状況を監視するされるようにします。

Office 365 のお客様のキーを管理します。

顧客キー Office 365 のようにセットアップした後は、これらの他の管理タスクを行うことができます。

Azure キー ボルト キーを復元します。

復元を行う前に、ソフト削除によって提供される回復機能を使用します。顧客キーで使用されるすべてのキーは、ソフトの削除を有効にする必要があります。ソフト削除ごみ箱のように動作でき、回復 90 日間復元する必要はありません。復元が極端なまたは例外的な状況、たとえばキーまたはキー コンテナーが失われた場合にのみ必要。顧客キーを使用するためのキーを復元する必要がある場合 Azure PowerShell のコマンドレットを実行復元 AzureKeyVaultKey とおり。

Restore-AzureKeyVaultKey -VaultName <vaultname> -InputFile <filename>

Restore-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

キーのボルトに同じ名前のキーが既に存在する場合は、復元操作は失敗します。復元 AzureKeyVaultKey では、すべてのバージョンをキーとキー名を含む、キーのすべてのメタデータを復元します。

ローリングまたは Azure キー ボルト顧客キーと共に使うことで、キーを回転します。

ローリング キーでは、いずれかの Azure キー ボルト、顧客キーは必要ありません。さらに、HSM で保護されているキーでは、侵害ほぼことはありません。ルート キーが、悪意のあるアクターを所有している場合でも、可能な Office 365 のコードのみが使用する方法を知っているため、データの暗号化を解除する方法はありません。ただし、ローリング キーは顧客キーをサポートします。

警告: 

  • チェック ボックスをオフに技術的な理由が存在するか、法令遵守要件ロール キーがあることを決定するときに、顧客キーを使ってに使用する暗号化キーを重ねのみ。さらに、またはポリシーに関連付けられたキーは削除ください。あるは、キーに移動するとコンテンツ暗号化前のキーがあります。たとえば、アクティブなメールボックス再暗号化される多くの場合、無効になっているときと無効になっているメールボックスもで暗号化されます以前キーします。SharePoint Online のバックアップを実行コンテンツ復元と回復のためにもありますアーカイブされたコンテンツが古いキーを使用するようにします。

  • データの安全を確保するには、SharePoint Online、同時進行中に複数のキーが正しく動作操作できます。最初のロールのキー操作が待機する必要がありますキー コンテナーのキーの両方を展開する場合は、完了します。推奨は、異なる間隔で、ロールのキー操作の時差を設定する問題はありません。

キーに移動すると、新しいバージョンの既存のキーを要求します。既存のキーの新しいバージョンを要求するためにそもそもキーの作成に使用した同じ構文を使用して追加 AzureKeyVaultKey、同じコマンドレットを使用します。

Add-AzureKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -Name Contoso-O365EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @(‘wrapKey’,’unwrapKey’) -NotBefore (Get-Date -Date “12/27/2016 12:01 AM”)

この例では、 Contoso O365EX NA VaultA1ボルトでContoso-O365EX-NA-VaultA1-Key001を既にというキーが存在するため、新しいキー バージョンに作成されます。操作は、新しいキー バージョンを追加します。この操作は、そのキーを使用して暗号化されたデータは引き続き復号化できるように、キーのバージョン履歴] にキー以前のバージョンを保持します。ローリングする DEP に関連付けられている任意のキーが完了したら、[顧客キーは、この新しいキーの使用を開始することを確認するの他のコマンドレットを実行する必要があります。

Exchange Online と Skype for Business ロールまたは Azure キー コンテナーのキーに回転した後、新しいキーを使用して有効にします。

いずれかに移動すると、DEP に関連付けられている Azure キー ボルト キーおよびで使用される Exchange Online Skype for Business、DEP を更新して、新しいキーの使用を開始する Office 365 を有効にするのには、次のコマンドを実行する必要があります。

顧客のキーに新しいキーを使用して、コマンドレットを実行する DataEncryptionPolicy 次のように、Office 365 のメールボックスを暗号化するように指示。

Set-DataEncryptionPolicy <policyname> -Refresh 

48 時間以内このポリシーを使用して暗号化のアクティブなメールボックスは、更新されたキーに関連付けられたになります。メールボックスの DataEncryptionPolicyID プロパティの値を確認する、メールボックスに割り当てられている DEP を確認するの手順を実行します。更新されたキーが適用された後、このプロパティの値が変更されます。

SharePoint Online と OneDrive for Business ロールまたは Azure キー コンテナーのキーに回転した後、新しいキーを使用して有効にします。

いずれかに移動すると、向け SharePoint Online と OneDrive を使って、DEP に関連付けられている Azure キー ボルト キーが使用されている、DEP を更新し、新しいキーの使用を開始する Office 365 を有効にする更新 SPODataEncryptionPolicyコマンドレットを実行する必要があります。

Update-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>

SharePoint Online と OneDrive for Business のキー操作を開始します。このアクションでは、すぐにできません。操作を重ね、キーの進捗状況を表示するには、次のように、Get SPODataEncryptionPolicy コマンドレットを実行します。

Get-SPODataEncryptionPolicy -Identity <SPOAdminSiteUrl>

キー コンテナーの権限を管理します。

利用できるいくつかのコマンドレットを表示し、必要に応じて、キー コンテナーのアクセス許可を削除することができます。従業員がチームなど、アクセス許可を削除する必要があります。

キー コンテナーの権限を表示するには、Get AzureRmKeyVault コマンドレットを実行します。

Get-AzureRmKeyVault -VaultName <vaultname>

Get-AzureRmKeyVault -VaultName Contoso-O365EX-NA-VaultA1

管理者の権限を削除するには、削除 AzureRmKeyVaultAccessPolicy コマンドレットを実行します。

Remove-AzureRmKeyVaultAccessPolicy -VaultName <vaultname> 
-UserPrincipalName <UPN of user>

Remove-AzureRmKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 
-UserPrincipalName alice@contoso.com

メールボックスに割り当てられている DEP を決定します。

メールボックスに割り当てられている DEP を確認するのには、Get-mailboxstatistics コマンドレットを使用します。コマンドレットでは、一意の識別子 (GUID) を返します。

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl DataEncryptionPolicyID

場所GeneralMailboxOrMailUserIdParameterは、メールボックスを指定します。Get-mailboxstatistics コマンドレットの詳細については、 Get-mailboxstatisticsを参照してください。

次のコマンドレットを実行して、指定したメールボックスが割り当てられている DEP のわかりやすい名前を確認するのには、GUID を使用します。

Get-DataEncryptionPolicy <GUID>

GUIDは、前の手順で Get-mailboxstatistics コマンドレットによって返される GUID は、します。

Office のスキルを磨く
トレーニングの探索
新機能を最初に入手
Office Insider に参加する

この情報は役に立ちましたか?

ご意見をいただきありがとうございます。

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×