カスタマー キーまたは可用性キーをローリングまたはローテーションする
注意
セキュリティまたはコンプライアンスの要件でキーをロールする必要があると規定されている場合にのみ、Customer Key で使用する暗号化キーをロールします。 ポリシーに関連付けられているキー (以前のバージョンのキーを含む) は削除または無効にしないでください。 キーをロールすると、前のキーで暗号化されたコンテンツがあります。 たとえば、アクティブなメールボックスは頻繁に再暗号化されますが、非アクティブ、切断、無効なメールボックスは、以前のキーで暗号化されている可能性があります。 Microsoft SharePoint は、復元と回復のためにコンテンツのバックアップを実行するため、古いキーを使用してアーカイブされたコンテンツが残っている可能性があります。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview 試用版ハブから開始します。 サインアップと試用期間の詳細については、こちらをご覧ください。
Microsoft Purview カスタマー キーのWindows 365サポートはパブリック プレビュー段階であり、変更される可能性があります。
可用性キーのローリングについて
Microsoft では、可用性キーの直接制御をお客様に公開していません。 たとえば、Azure Key Vaultで所有しているキーのみをロール (ローテーション) できます。 Microsoft 365 は、内部的に定義されたスケジュールで可用性キーをロールします。 これらのキー ロールには、顧客向けのサービス レベル アグリーメント (SLA) はありません。 Microsoft 365 は、自動化されたプロセスで Microsoft 365 サービス コードを使用して可用性キーをローテーションします。 Microsoft 管理者はロール プロセスを開始できます。 キーは、キー ストアに直接アクセスすることなく、自動化されたメカニズムを使用してロールされます。 可用性キー シークレット ストアへのアクセスは、Microsoft 管理者にプロビジョニングされません。 可用性キーのローリングでは、最初にキーを生成するために使用されるものと同じメカニズムが適用されます。 可用性キーの詳細については、「可用性キー について」を参照してください。
重要
Exchange 可用性キーは、作成する DEP ごとに一意の可用性キーが生成されるため、新しい DEP を作成するお客様が効果的にロールできます。 SharePoint と OneDrive のカスタマー キーの可用性キーはフォレスト レベルで存在し、DEP と顧客間で共有されます。つまり、ローリングは Microsoft の内部で定義されたスケジュールでのみ行われます。 新しい DEP が作成されるたびに可用性キーをロールしないリスクを軽減するために、SharePoint、OneDrive、Teams は、新しい DEP が作成されるたびに、顧客のルート キーと可用性キーによってラップされたキーであるテナント中間キー (TIK) をロールします。
カスタマー マネージド ルート キーのローリングについて
カスタマー マネージド ルート キーをロールするには、新しいバージョンのキーを要求して DEP を更新するか、新しく生成されたキーと DEP を作成して使用するかの 2 つの方法があります。 キーをローリングする各方法の手順については、次のセクションを参照してください。
ロールする既存の各ルート キーの新しいバージョンを要求する
既存のキーの新しいバージョンを要求するには、最初にキーの作成に使用した構文とキー名と同じコマンドレット Add-AzKeyVaultKey を使用します。 データ暗号化ポリシー (DEP) に関連付けられているキーのローリングが完了したら、別のコマンドレットを実行して既存の DEP を更新し、カスタマー キーで新しいキーが使用されていることを確認します。 各 Azure Key Vault (AKV) でこの手順を実行します。
以下に例を示します。
Azure PowerShellを使用して Azure サブスクリプションにサインインします。 手順については、「Azure PowerShellでサインインする」を参照してください。
次の例に示すように、Add-AzKeyVaultKey コマンドレットを実行します。
Add-AzKeyVaultKey -VaultName Contoso-CK-EX-NA-VaultA1 -Name Contoso-CK-EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date -Date "12/27/2016 12:01 AM")
この例では、 Contoso-CK-EX-NA-VaultA1-Key001 という名前のキーが Contoso-CK-EX-NA-VaultA1 コンテナーに存在するため、コマンドレットによって新しいバージョンのキーが作成されます。 この操作では、キーのバージョン履歴に以前のキー バージョンが保持されます。 まだ暗号化されているデータを復号化するには、以前のキー バージョンが必要です。 DEP に関連付けられているキーのローリングが完了したら、追加のコマンドレットを実行して、Customer Key が新しいキーの使用を開始することを確認します。 以降のセクションでは、コマンドレットについて詳しく説明します。
マルチワークロード DEP のキーを更新する
複数のワークロードで使用される DEP に関連付けられている Azure Key Vault キーのいずれかをロールする場合は、新しいキーをポイントするように DEP を更新する必要があります。 このプロセスでは、可用性キーはローテーションされません。 DataEncryptionPolicyID プロパティは、同じキーの新しいバージョンで更新しても変更されません。
新しいキーを使用して複数のワークロードを暗号化するように Customer Key に指示するには、次の手順を実行します。
ローカル コンピューターで、organizationでグローバル管理者またはコンプライアンス管理者のアクセス許可を持つ職場または学校アカウントを使用して、Exchange PowerShell に接続します。
Set-M365DataAtRestEncryptionPolicy コマンドレットを実行します。
Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Refresh
[ ポリシー] は、ポリシーの名前または一意の ID です。
Exchange DEP のキーを更新する
Exchange で使用される DEP に関連付けられている Azure Key Vault キーのいずれかをロールする場合は、新しいキーをポイントするように DEP を更新する必要があります。 このアクションでは、可用性キーはローテーションされません。 メールボックスの DataEncryptionPolicyID プロパティは、同じキーの新しいバージョンで更新しても変更されません。
新しいキーを使用してメールボックスを暗号化するように顧客キーに指示するには、次の手順を実行します。
ローカル コンピューターで、organizationでグローバル管理者またはコンプライアンス管理者のアクセス許可を持つ職場または学校アカウントを使用して、Exchange PowerShell に接続します。
Set-DataEncryptionPolicy コマンドレットを実行します。
Set-DataEncryptionPolicy -Identity <Policy> -Refresh
[ ポリシー] は、ポリシーの名前または一意の ID です。
DEP に新しく生成されたキーを使用する
既存のキーを更新するのではなく、新しく生成されたキーを使用することを選択する場合、データ暗号化ポリシーを更新するプロセスは異なります。 既存のポリシーを更新するのではなく、新しいキーに合わせた新しいデータ暗号化ポリシーを作成して割り当てる必要があります。
新しいキーを作成してキー コンテナーに追加するには、「キーを 作成またはインポートして、各キー コンテナーにキーを追加する」の手順に従います。
キー コンテナーに追加したら、新しく作成されたキーのキー URI を使用して 、新 しいデータ暗号化ポリシーを作成する必要があります。 データ暗号化ポリシーの作成と割り当ての手順については、「 Microsoft 365 のカスタマー キーの管理」を参照してください。
SharePoint と OneDrive のキーを更新する
SharePoint では、一度に 1 つのキーのみをロールできます。 キー コンテナーで両方のキーをロールする場合は、最初の操作が完了するまで待ちます。 Microsoft では、この問題を回避するために、操作をずらすようお勧めします。 SharePoint と OneDrive で使用される DEP に関連付けられている Azure Key Vault キーのいずれかをロールする場合は、新しいキーをポイントするように DEP を更新する必要があります。 このアクションでは、可用性キーはローテーションされません。
Update-SPODataEncryptionPolicy コマンドレットを次のように実行します。
Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>
このコマンドレットは SharePoint と OneDrive のキー ロール操作を開始しますが、アクションはすぐには完了しません。
キー ロール操作の進行状況を確認するには、次のように Get-SPODataEncryptionPolicy コマンドレットを実行します。
Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>