注意
顧客キーで使用される暗号化キーは、organizationのセキュリティまたはコンプライアンス ポリシーで必要な場合にのみロールします。
SharePoint 暗号化ポリシーに関連付けられているキー (以前のバージョンを含む) は削除または無効にしないでください。
例:
- SharePoint では、復元と回復のためにバックアップ コンテンツが保持されます。これは、古いキーにも依存する可能性があります。
前提条件
キーをロールまたは回転する前に、次のことを確認します。
- アクセス許可: グローバル管理者または適切な Exchange アクセス許可
-
インストールされている PowerShell モジュール:
- Azure Key Vault操作のAzure PowerShell
- PowerShell をExchange Onlineして、指定されたコマンドレットを実行する
- Azure Key Vaultへのアクセス: キー コンテナーに新しいキー バージョンを作成するためのアクセス許可が必要です
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、組織のセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細をご覧ください。
クイック リファレンス: ワークロード別のコマンド
次の表を使用して、ワークロードとシナリオに基づいて必要なコマンドをすばやく見つけます。
| Workload | シナリオ | command |
|---|---|---|
| マルチワークロード | 新しいキー バージョンで DEP を更新する | Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Refresh |
| マルチワークロード | DEP のキーを置き換える | Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Replace -AzureKeyIDs <KeyURI1>,<KeyURI2> |
| Exchange | 新しいキー バージョンで DEP を更新する | Set-DataEncryptionPolicy -Identity <Policy> -Refresh |
| Exchange | DEP のキーを置き換える | Set-DataEncryptionPolicy -Identity <Policy> -Replace -AzureKeyIDs <KeyURI1>,<KeyURI2> |
| SharePoint/OneDrive | キーをロール/回転する | Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultName <Name> -KeyName <Name> -KeyVersion <Version> -KeyType <Primary \| Secondary> |
| SharePoint/OneDrive | ロールの進行状況を確認する | Get-SPODataEncryptionPolicy <SPOAdminSiteUrl> |
| Azure Key Vault | 新しいキー バージョンを作成する | Add-AzKeyVaultKey -VaultName <VaultName> -Name <KeyName> -Destination HSM -KeyOps @('wrapKey','unwrapKey') |
キーのローリング方法を選択する
カスタマー マネージド ルート キーをロールするには、2 つの方法があります。 このガイダンスを使用して、シナリオに適した方法を決定します。
| メソッド | いつ使用するか | 動作 |
|---|---|---|
| 既存のキーを更新 する (新しいバージョンを作成する) | 定期的なキーのローテーション。同じキー名を維持する | 既存のキーの新しいバージョンを作成します。 DEP は同じキー名を参照しますが、更新後に新しいバージョンを使用します。 |
| を新しいキーに置き換える | 侵害されたキー。キー コンテナーを変更する。組織再編 | 新しい名前を持つ完全に新しいキーを作成します。 DEP が更新され、新しいキー URI が参照されます。 |
可用性キーのローリングについて
可用性キーを直接ロールすることはできません。 ロール キーは、Azure Key Vaultでのみ実行できます。
Microsoft 365 は、顧客向けの SLA なしで、内部スケジュールで可用性キーを自動的にロールします。 管理者はキー ストアに直接アクセスできません。 詳細については、「 可用性キーについて」を参照してください。
重要
Exchange の場合、新しい DEP を作成すると、新しいデータ暗号化ポリシー (DEP) ごとに一意の可用性キーが生成されるため、可用性キーが効果的にロールされます。
SharePoint と OneDrive の場合、可用性キーはフォレスト レベルで作成され、DEP 間で共有されます。 これらのキーは Microsoft の内部スケジュールでのみロールされますが、SharePoint、OneDrive、Teams は、新しい DEP ごとにテナント中間キー (TIK) をロールしてこれを軽減します。
カスタマー マネージド ルート キーをロールする
方法 1: 既存のキーを更新する (新しいバージョンを作成する)
既存のキーの新しいバージョンを作成するには、このメソッドを使用します。 この方法は、定期的なキーローテーションに推奨されます。
手順 1: Azure Key Vaultで新しいキー バージョンを作成する
既存のキーの新しいバージョンを要求するには、元のキーの作成時に使用したのと同じキー名を持つ Add-AzKeyVaultKey コマンドレットを使用します。
Azure PowerShellを使用してAzure サブスクリプションにサインインします。 手順については、「Azure PowerShellでサインインする」を参照してください。
Add-AzKeyVaultKeyコマンドレットを実行します。Add-AzKeyVaultKey -VaultName <VaultName> -Name <KeyName> -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date)例:
Add-AzKeyVaultKey -VaultName Contoso-CK-EX-NA-VaultA1 -Name Contoso-CK-EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date -Date "12/27/2016 12:01 AM")この例では、Contoso-CK-EX-NA-VaultA1-Key001 という名前のキーが Contoso-CK-EX-NA-VaultA1 コンテナーに既に存在します。 コマンドレットは、新しいバージョンのキーを作成します。 以前のバージョンは、キーのバージョン履歴に保持されます。
ロールするキーを含む各Azure Key Vaultで、この手順を繰り返します。
手順 2: 新しいキー バージョンを使用するように DEP を更新する
新しいキー バージョンを作成したら、DEP を更新して使用します。 適切なアクセス許可を持つ PowerShell Exchange Onlineに接続し、適切なコマンドレットを実行します。
マルチワークロード DEP の場合:
Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Refresh
Exchange DEP の場合:
Set-DataEncryptionPolicy -Identity <Policy> -Refresh
注:
DataEncryptionPolicyID プロパティは、同じキーの新しいバージョンで更新しても変わりません。 このアクションでは、可用性キーはローテーションされません。
SharePoint および OneDrive DEP の場合:
SharePoint では、一度に 1 つのキーのみをローリングできます。 2 番目のキーをローリングする前に、最初の操作が完了するまで待ちます。
Update-SPODataEncryptionPolicy <SPOAdminSiteUrl> -KeyVaultName <Name> -KeyName <Name> -KeyVersion <Version> -KeyType <Primary | Secondary>
マネージド HSM キーの場合は、-KeyVaultNameの代わりに -KeyVaultURL を使用します。
進行状況をチェックするには:Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>
方法 2: キーを新しく生成されたキーに置き換える
既存のキーを新しいキーに完全に置き換えるには、このメソッドを使用します。
重要
交換プロセスが完全に完了するまで、古いキーを有効にしてアクセスできるようにします。
適切なアクセス許可Exchange Online PowerShell に接続し、適切なコマンドレットを実行します。
Exchange DEP の場合:
Set-DataEncryptionPolicy -Identity <Policy> -Replace -AzureKeyIDs <KeyURI1>,<KeyURI2>
マルチワークロード DEP の場合:
Set-M365DataAtRestEncryptionPolicy -Identity <Policy> -Replace -AzureKeyIDs <KeyURI1>,<KeyURI2>
注:
キー URI の順序は関係ありません。 1 つのキーのみを置き換えるには、引き続き両方の URI を指定する必要があります。 古いキーを無効にする前に 24 時間 待ってから、削除する前に さらに 24 時間から 48 時間 待ちます。
キー ロールの状態を確認する
次のコマンドを使用して、キー ロール操作の状態を確認します。
| Workload | 検証コマンド |
|---|---|
| SharePoint/OneDrive | Get-SPODataEncryptionPolicy <SPOAdminSiteUrl> |
| Exchange | Get-DataEncryptionPolicy -Identity <Policy> |
| マルチワークロード | Get-M365DataAtRestEncryptionPolicy -Identity <Policy> |
トラブルシューティング
| 問題 | 考えられる原因 | 解決方法 |
|---|---|---|
| キー ロールがアクセス許可エラーで失敗する | Azure Key Vaultアクセス許可が不十分 | アカウントにキー コンテナーに対する wrapKey と unwrapKey のアクセス許可があることを確認する |
| DEP 更新が失敗する | 新しいキー バージョンがまだ反映されていない | 数分待ってから、refresh コマンドを再試行してください |
| SharePoint ロールには、延長時間の "進行中" が表示されます | 重要なデータを含む大規模なテナント | SharePoint キー ロールは、大規模なテナントでは時間がかかる場合があります。 監視を続行する Get-SPODataEncryptionPolicy |
| キー ロール後に暗号化されたコンテンツにアクセスできない | 古いキーがすぐに無効にされました | 古いキーを再度有効にし、もう一度無効にする前に 24 から 48 時間待ちます |