Office 365 のよく寄せられる質問の顧客キーを使用してサービスの暗号化

注:  最新のヘルプ コンテンツをできるだけ早く、お客様がお使いの言語で提供したいと考えております。 このページは、自動翻訳によって翻訳されているため、文章校正のエラーや不正確な情報が含まれている可能性があります。私たちの目的は、このコンテンツがお客様の役に立つようにすることです。お客様にとって役立つ情報であったかどうかを、このページの下部でお知らせください。 簡単に参照できるように、こちらに 英語の記事 があります。

Exchange からデータを含む、Office 365 のお客様のコンテンツのアプリケーション レベルでの暗号化の追加のレイヤーを提供する Office 365 のほか、基準計画の BitLocker および分散キー マネージャー (DKM) を有効になっているボリューム レベルの暗号化オンラインで Skype for Business、SharePoint Online、OneDrive for Business します。これは、サービスの暗号化と呼ばれます。

顧客キーは、サービスの暗号化に組み込まれてし、指定して他の Office 365 でのデータを暗号化するオンライン サービス条項 (OST)で説明するように使用されるコントロール キーを有効にします。、顧客キーを使用して、コンプライアンスため、Office 365 を使用してデータの暗号化を解除する暗号化キーを制御できます。

ドキュメントを含む、顧客キーに関するフィードバックを入力するには、customerkeyfeedback@microsoft.com に自分のアイデア、提案、パースペクティブを送信します。

顧客のキーを使用してサービスの暗号化とは何ですか。

顧客キーは、プロビジョニングや他の Office 365 でのデータを暗号化するのには、使用するキーを管理できるようにする機能です。機能は、Office 365 の Exchange や SharePoint によって実行される暗号化はサービスの暗号化を活用します。サービスの暗号化と Bitlocker を提供できます - つまり、大きいで、階層型セキュリティ攻撃を超えた利点を提供します。サービスの暗号化の安全性の高い対策をしようとすべての顧客データへのアクセス要求を処理するに使用される Office 365 のアクセス制御システムを省略した場合これは、サービスの暗号化はサーバー管理者には、コントロールがないか、暗号化にもアクセス キーし、暗号化とは異なり無効に bitlocker できないためにです。したがって、サービスの暗号化を使用して暗号化された顧客データをホストするサーバーへの管理アクセス権限を持つ攻撃者を顧客データを読み取ることにすることはできません、不要なことは引き続き場合でも、サーバーから暗号化されたデータがコピーされます。

顧客キー残りの部分にどのような Office 365 のデータの対象ですか。

SharePoint Online サイトのコンテンツ、そのサイトに保存されているファイル、および OneDrive for Business にアップロードされたファイルが説明します。Exchange Online メールボックスの内容 (電子メールの本文、予定表のエントリとメールの添付ファイルの内容) が記載されています。Skype for Business からのテキストの会話網羅されますが、[レコーディングの Skype 会議メディアとコンテンツのアップロードを Skype 会議は説明しません。Skype 会議メディアと Skype 会議コンテンツのアップロードが Office 365 で、その他のすべてのコンテンツと暗号化されますが、されない現時点では、暗号化キーの顧客管理します。

顧客キーと表示する独自キー (BYOK) と Exchange Online 用の Azure 情報の保護の違いは何ですか。

両方のオプションを使用すると、提供し、独自の暗号化キーを操作するにはただし、Exchange Online 用の Azure 情報の保護と BYOK が、データの輸送を暗号化し、オンラインとオフラインを永続的な提供中には、Office 365 のサーバーの両方を内に存在する、残りの部分でのデータを暗号化顧客キーを使用してサービスの暗号化します。メール メッセージと Office 365 の添付ファイルを保護します。顧客キーと Exchange Online 用の Azure 情報の保護と BYOK は補、でき、Microsoft のサービスが管理されているキーまたは独自のキーを使用するように選択するかどうか、データの保存と送信で暗号化からの保護を追加悪意のある攻撃します。

Office 365 のメッセージの暗号化機能で Exchange Online 用の Azure 情報の保護と BYOK が提供されます。

Office 365 のメッセージの暗号化と表示する独自キー Azure 情報保護を使用した Microsoft のアプローチに変更令状などのサードパーティのデータ要求ですか。

違います。提供し、独自の暗号化キーを表示する独自キー (BYOK) Azure 情報保護 (AIP) を制御するには、office 365 のメッセージの暗号化とオプションされたできません法的強制令状に応答します。AIP の BYOK と office 365 のメッセージの暗号化が必要なコンプライアンスの内部または外部重点を置いたコンプライアンスお客様に設計されています。Microsoft は、お客様のデータのサード パーティの要求を大きく非常に移動します。クラウド サービス プロバイダーとして、おがお客様のデータのプライバシーの読む常になりました。令状をという場合に常に情報を入手する顧客にサード パーティをリダイレクトするのにはしようとします。(ブラッド Smith のブログをお読みください:政府によるから顧客データを保護)。定期的に、出席依頼を受信の詳細情報を公開して次のとおりです。

サード パーティのデータ要求に関しては、 Microsoft セキュリティ センターと「公開の顧客データ」の詳細については、オンライン サービス条項 (OST)を参照してください。

顧客のキーを使用してサービスの暗号化は令状などのサードパーティのデータ要求に Microsoft の方法を変更します。

違います。顧客キーは、法律強制令状に応答していない設計されています。これは、お客様が規制コンプライアンスの内部または外部設計されました。Microsoft は、お客様のデータのサード パーティの要求を大きく非常に移動します。クラウド サービス プロバイダーとして、おがお客様のデータのプライバシーの読む常になりました。令状をという場合に常に情報を入手する顧客にサード パーティをリダイレクトするのにはしようとします。(ブラッド Smith のブログをお読みください:政府によるから顧客データを保護)。定期的に、出席依頼を受信の詳細情報を公開して次のとおりです。

サード パーティのデータ要求に関しては、 Microsoft セキュリティ センターと「公開の顧客データ」の詳細については、オンライン サービス条項 (OST)を参照してください。

FastTrack サポートは顧客キーを実装するのですか。

違います。FastTrack のみに使用顧客キーを登録するために必要なテナントとサービスの構成情報を収集します。便利なは、同じメソッドを使用して必要な情報を送信するには、顧客やパートナー、顧客、提供サービスの指定したデータをアーカイブの簡単操作がよう FastTrack 経由で発行された顧客キーを提供します。

場合は、キーが破棄されると、どのように回復できますか。

空き時間情報キーは、予想外の損失を管理するルート キーからを復元する機能を提供します。ルート キーを紛失した場合は、連絡先の Microsoft のサポートと Microsoft 役立つ、空き時間情報キーを有効にする手順です。自分でプロビジョニング新しいキーを使用して、新しいデータの暗号化のポリシーを移行する、空き時間情報キーを使用します。

空き時間情報キーとは何ですか。

空き時間情報キーは、ルート キーがデータ暗号化ポリシーを作成するときに自動的にプロビジョニングです。空き時間情報キーが保存されているし、Office 365 によって保護されている顧客キーを使用してサービスの暗号化で使用するため、自分で提供されている 2 つのルート キーに機能的に似ています。提供し、[Azure キー コンテナーを管理するには、キーとは異なり、空き時間情報キーに直接アクセスすることはできません。ストレージと空き時間情報のキーのコントロールが 3 つの理由の Azure キー ボルト キー意図的に異なる: 空き時間情報キーが可用性機能を提供する Office 365 サービスは Azure キーでホストされているキーにアクセスできないが、最初に、ボルト次に、空き時間情報キー機能が備わっている「ガラス改」イベントで両方の Azure キー ボルト キーは失われます。3 番目に、論理コントロールの分離は階層型のセキュリティを提供し、1 つの攻撃からすべてのキーの損失や障害のポイントから保護します。あるすべてのキー (とそのため、データ) が失われたり破棄リスクを軽減最終的にキー管理、保護機能とプロセスのさまざまなを使用しながら、キーを保護する責任を共有します。Microsoft は、個人の権限を持つ、空き時間情報キーの上にします。仕様では、Microsoft では、空き時間情報キーへのアクセスを-アクセシビリティの高い Office 365 サービス コードによってのみです。

データの暗号化ポリシー (DEPs) の数を作成できますか。

Exchange Online と Skype for Business:50 DEPs を作成することができます。

SharePoint Online と OneDrive for Business:地域とも呼ばれる 1 つの地理的な場所でのデータに、DEP が適用されます。(プレビュー版) の現在の Office 365 マルチ地域機能を使用する場合は、地域ごとの 1 つの DEP を作成できます。1 つの DEP. を作成するには複数地域を使用していない場合

クラウドに移行するメールボックスを移行する前にデータの暗号化ポリシーは割り当てることができますか。

うん。データの暗号化ポリシー (DEP) を割り当てるセット ユーザの Windows PowerShell コマンドレットを使用するには、ユーザーを Office 365 にメールボックスを移行する前にします。これを行うときに、メールボックスの内容は、コンテンツの移行に割り当てられている DEP を使用して暗号化されます。メールボックスの移行後に、DEP を割り当てると、その後にかかる時間または数日間での暗号化の待機より効率的に使用できます。

顧客キーを使用して暗号化がアクティブになり、Office 365 のお客様のキーを使用して暗号化が終了したことを確認します。

Exchange Online と Skype for Business: リモート PowerShell を使用して Exchange Online に接続できるし、確認したい各メールボックスのGet-MailboxStatisticsコマンドレットを使用します。Get-mailboxstatistics コマンドレットの出力にIsEncryptedプロパティ値を返す場合はtrueメールボックスの暗号化の値がfalseがない場合はします。メールボックスが暗号化されている場合、 DataEncryptionPolicyIDプロパティの値が、メールボックスの暗号化された DEP の GUID です。このコマンドレットを実行する方法の詳細については、 Get-mailboxstatisticsと PowerShell を使用して Exchange Online の使用を参照してください。

SharePoint Online と OneDrive for Business: SharePoint Online PowerShell への接続を実行できます。 し、 Get-SPODataEncryptionPolicyコマンドレットを使用しているテナントの状態を確認します。Stateプロパティは、顧客キー暗号化を有効にして、すべてのサイト内のすべてのファイルが暗号化されている場合に登録されているの値を返します。暗号化がまだ進行中の場合は、このコマンドレットは、サイトのパーセンテージが完了の情報を説明します。

異なるキーのセットに切り替える場合は、どのくらい時間がかかるキーの新しいセットのデータを保護するですか。

Exchange Online と Skype for Business:新しい DEP がメールボックスに割り当てられている時刻からに従って、新しいデータの暗号化ポリシー (DEP) のメールボックスを保護する、最大で 72 時間かかることができます。

SharePoint Online と OneDrive for Business:最大 4 時間後、新しいキーが割り当てられている再テナント全体を暗号化するのには時間がかかることができます。

既存のデータはいつでも暗号化されていない復号化、または顧客キーを使用して暗号化中にですか。

違います。データを常に BitLocker DKM と Office 365 サービスの残りの部分で暗号化します。詳細については「セキュリティ、プライバシー、および Office 365 のコンプライアンス情報」 」および「 Exchange Online 方法をセキュリティで保護、メールの機密情報を参照してください。

顧客が管理されている暗号化キーを使用する必要がなくなった場合、できるに切り替えるにはマイクロソフトが管理されているキーですか。

Exchange Online と Skype for Business:まだです。これは、マイクロソフトが管理されているキーを使用して Office 365 のサービスの暗号化のロール アウト範囲が広後にサポートされます。展開サービスで顧客キーを使用してサービスの暗号化をリリース後と考えています。

SharePoint Online と OneDrive for Business:うん。使用するキーのマイクロソフトが管理されている個別に (マルチ地域機能を使用する) 場合は、各地域のすべてのデータの 1 つの地域である場合を元に戻すことができます。

キーを紛失したは場合、どのくらい時間がかかります回復キーを使用してサービスの可用性を復元するか。

Exchange Online と Skype for Business:空き時間情報キーを使用してコールインするとメールボックス、分以内にアクセスできます。

SharePoint Online と OneDrive for Business:この操作は、サイトがある数に比例します。空き時間情報キーを使用する Microsoft を呼び出す、約 4 時間内で完全にオンラインなります。

Exchange Online との空き時間情報のキーの使用方法

空き時間情報キーを使用する 3 つの方法があります Exchange Online を使用します。

  • Azure キー ボルト キーに到達できない場合は、空き時間情報 - のサービスを提供します。

  • アクションは、Office 365 サービス コードによって - 検索インデックスの作成などを開始またはメールボックスに移動します。

  • Azure キー ボルト キーが 1 つの DEP と関連付けられている両方の損失などのキーの損失を回復します。

Azure キー ボルト キーに到達できない場合は、イベントには、サービスの可用性の空き時間情報キーを使用します。

Office 365 では、Exchange Online のサービスを利用可能と異常な顧客キー状態から回復の両方の空き時間情報キーを使用します。顧客キーを使用するキーの階層構造があります。次の図は、この階層構造を示したものです。

空き時間情報を Office 365 が使える Azure キー コンテナーの両方のキーの 1 つのデータの暗号化ポリシー (DEP) が利用できない場合は、キーを新しい DEP. Office 365 に変更するかどうかの可用性キーを使用してサービスの利用可能かどうかによって異なりますします。ユーザーによるアクティビティ、たとえば、ユーザーは、Outlook クライアントまたはシステムによる活動、メールボックスの内容をインデックス処理など、または、電子情報開示検索結果を得るにメールをダウンロード トリガー処理されます。

Office 365 にユーザーのメールボックスの空き時間情報キーを使用するかどうかを決定するには、[アクションのユーザーによるへの応答には、このプロセス次構成されます。

  1. Office 365 メールボックスが Azure キー コンテナー内の 2 つのユーザーのキーの場所を決定するために割り当てられている DEP を読み込みます。

  2. Office 365 がランダムに、DEP から、2 つの顧客キーのいずれかを選択し、顧客キーを使用して、DEP キーの折り返しを Azure キー コンテナーに要求を送信します。

  3. Office 365 2 番目に要求を送信 Azure キー ボルト、今回は代替を使用するように指示する、DEP を折り返し、出席依頼のキーを使用している場合、顧客キーが失敗して、エラーが返されます (2 番目) の顧客キーです。

  4. 2 番目のキーを顧客が失敗したを使用して DEP キーの折り返しを要求、エラーを返します。 Office 365 には、両方の要求の結果が確認されます。

    • 判断した場合、検証エラーしないで、顧客 id で明示的な動作が反映されている、[Office 365 キーを使用して空き時間情報 DEP キーの暗号化を解除します。DEP キーは、メールボックスのキーの暗号化を解除してユーザーの要求を完了し、使用します。

      この例では、Azure キー コンテナーがいずれかに応答できないか到達不能何らかの理由によりします。Office 365 には、お客様は、キーへのアクセスと意図的に取り消されているかどうかの方法はありません。

    • チェックが示されている場合使用不可、お客様のキーの表示にする意図の操作が行われた、空き時間情報キーは使用されません、ユーザー要求が失敗すると、ログインに失敗しましたのエラー メッセージが表示されます。

      この場合、お客様はサービスへの影響は、その顧客キーの状態が認識されています。たとえば、顧客が組織内のすべてのメールボックスの 1 つの DEP を使用している場合は、お客様がありますユーザーが自分のメールボックスにアクセスできない広範囲にわたって失敗。これにより、顧客の両方のキーが正常な場合は、顧客がエラーを解決し、サービスを正常な状態に復元する必要があるに注意してください。

Office 365 サービス コードによって実行されるアクションの空き時間情報キーを使用します。

Office 365 のサービス コードは常に有効なログインのトークンが、ブロックすることはできません。このため、空き時間情報キーを削除すると、まで、開始、または、Office 365 サービス コードでは、検索インデックスの作成などを内部またはメールボックスの移動アクションの使用できます。

キーの損失を回復するには、空き時間情報キーを使用します。

両方に関連付けられている同じ DEP で説明するようよく寄せられる質問のエントリに、回答を「場合は、キーは破棄され、方法回復できますか?」Azure キー ボルト キーが失われるからを復元する空き時間情報キーを使用することができます。

空き時間情報のキーの使用方法 SharePoint Online と OneDrive を使ってビジネスですか。

SharePoint Online と OneDrive for Business アーキテクチャと実装の顧客キーと空き時間情報のキーには、Exchange Online と Skype for Business と異なります。

顧客が管理されているキーに移動すると、顧客、Office 365 は、テナントに固有の中間キー (TIK) を作成します。Office 365 暗号化 TIK、2 回、1 回顧客のキー] の各し、TIK の暗号化された 2 つのバージョンを保存します。TIK の暗号化されたバージョンのみが格納されていると顧客キーを使用して、TIK のみ解読できます。TIK は、blob キーの暗号化を使用して、[サイトのキーを暗号化するのには、使用されています。自分の blob が暗号化され、Microsoft Azure Blob ストレージ サービスに保存されます。

Office 365 では、顧客ファイルのデータが含まれている blob にアクセスするには、このプロセスを従います。

  1. 顧客キーを使用して TIK の暗号化を解除します。

  2. サイトのキーの暗号化を解除するのにには、暗号化を解除した TIK を使用します。

  3. Blob キーの暗号化を解除するのにには、暗号化を解除したサイト キーを使用します。

  4. Blob の暗号化を解除するのにには、復号化された blob キーを使用します。

TIK を解読するには、Azure キー ボルトに 2 つの復号化要求がわずかなオフセット位置の問題 Office 365 します。終了日] には、結果は、その他の要求をキャンセルを提供します。

顧客、顧客のキーにアクセスを失い、場合に、Office 365 も空き時間情報キーを使用して、TIK を暗号化し、各顧客キーを使用して暗号化 TIKs と共に格納します。空き時間情報キーで暗号化 TIK は、顧客が誤ってまたは悪意のある、そのキーにアクセスを紛失した場合、回復のパスを登録するのには、Microsoft に電話する場合にのみ使用されます。

空き時間情報と拡大/縮小の理由では、暗号化を解除した TIKs は時間制限メモリ キャッシュ キャッシュします。2 つの時間に TIK キャッシュを設定して、有効期限が切れると、Office 365 は、各 TIK を復号化を試みます。キャッシュの有効期間を拡張する、TIKs の暗号化を解除します。大量の時間の TIK 復号化が失敗した場合、Office 365 には、エンジニア リング キャッシュ有効期限が切れる前に通知する警告が生成されます。顧客が Microsoft に電話する場合にのみが Office 365 の回復の操作を開始、空き時間情報キーを使って TIK に格納されている Microsoft の秘密ストア オンボーディング、復号化を使用して再度テナント TIK しての新しいセットを復号化を含むお客様が提供される Azure キー ボルト キーです。

今日、現在は、顧客キーは Azure blob ストアが SharePoint Online リスト アイテムではなくまたは SQL データベースに格納されているメタデータに格納されている SharePoint Online のファイルのデータの暗号化および解読チェーンに関連します。Office 365 では、顧客が開始するには、上で説明したようなケース以外、空き時間情報キーの SharePoint Online または OneDrive for Business は使用しません。前述のように、顧客のロック ボックスに顧客データへのアクセスを人間が保護されています。

顧客キーのライセンスがどうですか。

顧客キーは、Office 365 Enterprise スイート、"E5"、およびコンプライアンスの高度な SKU で提供されています。さらに、お客様は、Azure キー コンテナーを使用するための適切なライセンスを購入もする必要があります。

顧客キーのメリットの各ユーザーは、顧客キーで対応する必要がある場合は、ライセンスを取得する必要があります。

SharePoint online では、顧客キーを構成する Office 365 テナント管理者はセットアップの手順を行う、ライセンスを取得するも必要です。さらに、機能の利点は、ユーザーがライセンスを取得する必要があります: サイトの所有者および顧客キーを使用して暗号化されている 1 つまたは複数のサイト上のファイルにアクセスするすべてのユーザーが含まれます。

Exchange online では、メールボックスの [ユーザー]、[ユーザーのメール] のメールボックスはライセンスが必要です。顧客キーのライセンスがある他のユーザー グループなどの共有メールボックスを必要はありません。

試用版サブスクリプションの顧客キーを有効にできますか。

違います。定義では、試用版サブスクリプションは期間があります。試用版サブスクリプションでホストされている暗号化キーは、[試用期間の最後に失われますことができます。Microsoft ができない、試用版サブスクリプションに重要な顧客データを配置することを顧客ができないため、試用版サブスクリプションを持つ顧客キーの使用は禁止されています。

顧客キー コストを使用するにはどの程度ですか。

顧客キーに必要なライセンス、に加えて顧客キー コンテナーの使用状況のコストが発生します。Azure キー コンテナーの価格の詳細は、コスト モデルを説明し、方式の見積もりをお手伝いします。正確な状況が異なるため、お客様が発生するコストを予測する方法はありません。操作には、コストが、値がきわめて低いと、通常の $0.002 に $0.005 1 か月あたりのユーザーごとの範囲と HSM バックアップ キーのコストに収まるが表示されます。コストは、お客様と Azure キー コンテナーのログの使用 Azure の記憶域の量によって選択されたログの構成によっても異なります。

詳細情報

顧客キーの使用を開始する、顧客のキーを使用して Office 365 でのデータを制御するを参照してください。

Office のスキルを磨く
トレーニングの探索
新機能を最初に入手
Office Insider に参加する

この情報は役に立ちましたか?

ご意見をいただきありがとうございます。

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×