Microsoft Purview でのサービス暗号化について
Microsoft が管理するキーを利用することで、サービスの暗号化に使用するルート暗号化キーの管理や保管を Microsoft サービスが行い、暗号化キーのプロビジョニングや管理の負担を軽減することができます。 Microsoft が管理するキーは秘密キー コンテナーに保管されており、データ暗号化のために Microsoft 365 サービスから間接的にしかアクセスできないようになっています。 これらのキーは、Microsoft の従業員が直接アクセスすることはできません。
Microsoft が管理するキーは、特定のキー管理要件を持たないクラウドのお客様にとって実行可能な解決策となります。 お客様によっては、キーの管理、操作、保管に関する義務を Microsoft が管理するキーが満たさない場合があります。 これらの義務を満たすために、カスタマー キー機能を使用してお客様が管理するキーを実装することができます。
上の図の左側には、Exchange Onlineのキー階層の概要が示されています。これは、2 つの Microsoft マネージド RSA キーと 1 つの同等の AES-256 可用性キーを使用してデータ暗号化ポリシー キーを保護する方法を示しています。これにより、Exchange Onlineのメールボックスの暗号化に使用されるメールボックス キーが保護されます。 図の右側には、SQL Transparent Data Encryption を使用して SQL データベースのファイル チャンク暗号化キーを保護する SharePoint Online、OneDrive for Business、Microsoft Teams ファイルのキー階層が示されています。
Microsoft は既定でサービス レベルの暗号化キーを管理しますが、お客様によっては、独自のルート キーを管理するための内部または外部の要件がある場合があります。 次のユニットでは、顧客がこれらの要件を満たすことができますカスタマー キー機能について説明します。