サービス暗号化

ボリューム レベルの暗号化、Exchange Online、Microsoft Teams、SharePoint Online、OneDrive for Businessの使用に加えて、Service Encryption を使用して顧客データを暗号化することもできます。 Service Encryption では、次の 2 つのキー管理オプションを使用できます。

ヒント

E5 のお客様でない場合は、Microsoft Purview のすべてのプレミアム機能を無料で試すことができます。 90 日間の Purview ソリューション試用版を使用して、堅牢な Purview 機能が組織がデータのセキュリティとコンプライアンスのニーズを管理するのにどのように役立つかを調べます。 Microsoft Purview コンプライアンス ポータル試用版ハブから今すぐ開始します。 サインアップと試用版の条件の詳細について説明します。

Microsoft マネージド キー

Microsoftは、サービス暗号化のルート キーを含むすべての暗号化キーを管理します。 このオプションは現在、Exchange Online、SharePoint Online、OneDrive for Businessで既定で有効になっています。 Microsoftマネージド キーは、カスタマー キーを使用してオンボードする場合を除き、既定のサービス暗号化を提供します。 後日、データ消去パスに従わずにカスタマー キーの使用を停止することにした場合、データは Microsoft マネージド キーを使用して暗号化された状態を維持します。 データは、少なくともこの既定のレベルで常に暗号化されます。

顧客キー

サービス暗号化で使用されるルート キーを指定し、Azure Key Vaultを使用してこれらのキーを管理します。 Microsoftは、他のすべてのキーを管理します。 このオプションは Customer Key と呼ばれ、現在、Exchange Online、SharePoint Online、OneDrive for Businessで使用できます。 (以前は BYOK を使用した高度な暗号化と呼ばられていた)。

サービス暗号化には、複数の利点があります。

  • BitLocker の上に追加された保護レイヤーを提供します。

  • オペレーティング システムによって格納または処理されるアプリケーション データへのアクセスから Windows オペレーティング システム管理者を分離します。

  • マルチテナント サービスがテナントごとのキー管理を提供できるようにするカスタマー キー オプションが含まれています。

  • 暗号化に関する特定のコンプライアンス要件を持つ顧客の要求を満たすために、Microsoft 365 の機能を強化します。

Customer Key を使用すると、独自の暗号化キーを生成できます。 オンプレミスのハードウェア サービス モジュール (HSM) または Azure Key Vault (AKV) を使用して、キーを生成できます。 AKV を使用すると、Microsoft 365 で使用される暗号化キーを制御および管理できます。 Customer Key は、AKV に格納されているキーを、メールボックスのデータまたはファイルを暗号化するキーチェーンのルートとして使用します。

カスタマー キーを使用すると、データMicrosoft処理方法をより詳細に制御できます。 たとえば、Microsoftでサービスを終了する場合や、クラウドに格納されているデータの一部を削除する場合は、カスタマー キーを技術コントロールとして使用できます。 データを削除すると、Microsoftを含む誰もデータにアクセスしたり処理したりできなくなります。 カスタマー キーは、顧客ロックボックスに加えて補完的であり、Microsoft担当者によるデータへのアクセスを制御するために使用します。

Exchange Online、Microsoft Teams、SharePoint Online、チーム サイト、OneDrive for Businessなどの顧客キーを設定する方法については、次の記事を参照してください。