カスタマーキーの管理

Customer Key を設定した後、次の手順では、1 つ以上の データ暗号化ポリシー (DEP) を作成して割り当てます。割り当てられたら、この記事の説明に従って暗号化キーとポリシーを管理できます。

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、organizationのセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細については、こちらをご覧ください。

Microsoft Purview カスタマーキーでは、Windows 365クラウド PC もサポートされています。詳細については、「Windows 365 クラウド PC の Microsoft Purview カスタマーキー」を参照してください。

カスタマーキーの概念と設定の詳細については、このページの最後にある関連記事を参照してください。

すべてのテナントユーザーに対して複数のワークロードで使用する DEP を作成する

続行する前に、顧客キーのセットアップ手順を完了します。ガイダンスについては、「顧客キーの設定」を参照してください。

DEP を作成するには、セットアップ中に取得したKey Vault URI が必要です。手順については、「各Azure Key Vault キーの URI を取得する」を参照してください。

ローカルコンピューターで、コンプライアンス管理者のアクセス許可を持つ職場または学校アカウントを使用してサインインし、Exchange Online PowerShell に接続します。
次のコマンドレットを実行して、マルチワークロードデータ暗号化ポリシーを作成します。
```
New-M365DataAtRestEncryptionPolicy -Name <PolicyName> -AzureKeyIDs <KeyVaultURI1, KeyVaultURI2> [-Description <String>]
```
パラメーター定義:
- -Name: ポリシーに使用する名前。スペースは使用できません。
- -AzureKeyIDs: ポリシーで使用される 2 つのAzure Key Vault キーの URI をコンマで区切って指定します。
  
  例: "https://contosoCentralUSvault1.vault.azure.net/keys/Key_02""https://contosoWestUSvault1.vault.azure.net/keys/Key_01"
- Description (省略可能): ポリシーの人間が判読できる説明。
  
  例: "Policy for multiple workloads for all users in the tenant."
```
New-M365DataAtRestEncryptionPolicy -Name "Contoso_Global" -AzureKeyIDs "https://contosoWestUSvault1.vault.azure.net/keys/Key_01","https://contosoCentralUSvault1.vault.azure.net/keys/Key_02" -Description "Policy for multiple workloads for all users in the tenant."
```

マルチワークロードポリシーを割り当てる

マルチワークロードデータ暗号化ポリシー (DEP) を作成した後、 Set-M365DataAtRestEncryptionPolicyAssignment コマンドレットを使用して割り当てます。割り当て後、Microsoft 365 は DEP で指定されたキーを使用して、organizationのデータを暗号化します。

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy <PolicyName or ID>

<PolicyName or ID>をポリシーの名前または GUID に置き換えます。

例:

Set-M365DataAtRestEncryptionPolicyAssignment -DataEncryptionPolicy "Contoso_Global"

Windows 365 クラウド PC:

ポリシーを割り当てた後、Intune 管理センターに更新プログラムを反映させるには、3 ~ 4 時間を許可します。更新が完了したら、管理センターの手順に従って既存のクラウド PC を暗号化します。

詳細については、「Windows 365 クラウド PC のカスタマーキーを設定する」を参照してください。

Exchange メールボックスで使用する DEP を作成する

開始する前に、必要なセットアップ手順を完了します。詳細については、「顧客キーの設定」を参照してください。 DEP を作成するには、セットアップ中に取得したAzure Key Vault URI が必要です。詳細については、「Azure Key Vault キーごとに URI を取得する」を参照してください。

Exchange メールボックスの DEP を作成するには、次の手順に従います。

ローカルコンピューターで、Exchange 管理者アクセス許可を持つ職場または学校アカウントを使用して、PowerShell Exchange Onlineに接続します。

New-DataEncryptionPolicy コマンドレットを使用して DEP を作成します。

New-DataEncryptionPolicy -Name <PolicyName> -Description "Policy Description" -AzureKeyIDs <KeyVaultURI1>, <KeyVaultURI2>

パラメーター	説明	例
`-Name`	ポリシーの名前を入力します。名前にスペースを含めることはできません。	`USA_mailboxes`
`-AzureKeyIDs`	2 つのキーの URI を個別のAzure Key Vault に入力します。コンマとスペースで区切ります。	`https://contosoEastUSvault01.vault.azure.net/keys/USA_key_01`, `https://contosoEastUS2vault01.vault.azure.net/keys/USA_key_02`
`-Description`	ポリシーの目的を識別するのに役立つわかりやすい説明。	`"Root key for mailboxes in USA and its territories"`

例:

New-DataEncryptionPolicy -Name USA_mailboxes -Description "Root key for mailboxes in USA and its territories" -AzureKeyIDs https://contoso_EastUSvault02.vault.azure.net/keys/USA_key_01, https://contoso_CentralUSvault02.vault.azure.net/keys/USA_Key_02

構文とパラメーターの情報については、「 New-DataEncryptionPolicy」を参照してください。

メールボックスに DEP を割り当てる

Set-Mailbox コマンドレットを使用して DEP を割り当てます。ポリシーを割り当てると、Microsoft 365 は DEP で識別されたキーを使用してメールボックスを暗号化します。

Set-Mailbox -Identity <MailboxIdParameter> -DataEncryptionPolicy <PolicyName>

パラメーター	説明
`-Identity`	DEP を割り当てるメールボックスを指定します。有効なユーザー識別子を使用します。
`-DataEncryptionPolicy`	メールボックスに割り当てるデータ暗号化ポリシー (DEP) の名前。

詳細については、「Set-Mailbox」を参照してください。

ハイブリッドメールボックスに DEP を割り当てる

ハイブリッド環境では、Set-MailUser コマンドレットを使用して、同期されたオンプレミスのメールボックスデータに DEP を割り当てます。

Set-MailUser -Identity <MailUserIdParameter> -DataEncryptionPolicy <PolicyName>

パラメーター	説明
`-Identity`	DEP を割り当てるメールユーザー (メールが有効なユーザー) を指定します。
`-DataEncryptionPolicy`	メールユーザーに割り当てるデータ暗号化ポリシー (DEP) の名前。

詳細については、「 Set-MailUser」を参照してください。

ハイブリッドメールボックスのサポートの詳細については、「 Outlook for iOS と Android とハイブリッドモダン認証を使用したオンプレミスメールボックス」を参照してください。

クラウドにメールボックスを移行する前に DEP を割り当てる

メールボックスを移行する前にデータ暗号化ポリシー (DEP) を割り当てると、移行中にメールボックスの内容が確実に暗号化されます。この方法は、移行後に DEP を割り当てるよりも効率的です。これにより、暗号化プロセスの完了中に遅延が発生する可能性があります。

organizationで適切なアクセス許可を持つ職場または学校アカウントを使用して、Exchange Online PowerShell に接続します。

次のコマンドを実行します。

Set-MailUser -Identity <GeneralMailboxOrMailUserIdParameter> -DataEncryptionPolicy <DataEncryptionPolicyIdParameter>

パラメーター	説明
`-Identity`	ユーザーメールボックス (またはメールが有効なユーザー) を指定します
`-DataEncryptionPolicy`	適用するデータ暗号化ポリシーの名前または ID。

詳細については、「 Set-MailUser」を参照してください。

Exchange メールボックス用に作成した DEP を表示する

PowerShell を使用して、Exchange メールボックス用に作成されたすべてのデータ暗号化ポリシー (DEP) を表示できます。

organizationで適切なアクセス許可を持つ職場または学校アカウントを使用して、Exchange Online PowerShell に接続します。
organization内のすべての DEP を返すには、次のコマンドを実行します。
```
Get-DataEncryptionPolicy
```
コマンドレットの詳細については、「 Get-DataEncryptionPolicy」を参照してください。

メールボックスに割り当てられた DEP を決定する

メールボックスに割り当てられている DEP を確認するには、Get-MailboxStatistics コマンドレットを使用します。コマンドレットは、一意識別子 (GUID) を返します。

organizationで適切なアクセス許可を持つ職場または学校アカウントを使用して、Exchange Online PowerShell に接続します。

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl DataEncryptionPolicyID

パラメーター	説明
`-Identity`	ユーザーメールボックス (またはメールが有効なユーザー) を指定します
`DataEncryptionPolicyID`	DEP の GUID を返します。

Get-MailboxStatistics コマンドレットの詳細については、「 Get-MailboxStatistics」を参照してください。

Get-DataEncryptionPolicy コマンドレットを実行して、メールボックスが割り当てられている DEP のフレンドリ名を確認します。
```
Get-DataEncryptionPolicy <GUID>
```
ここで、GUID は、前の手順の Get-MailboxStatistics コマンドレットによって返される GUID です。

SharePoint と OneDrive で使用する DEP を作成する

開始する前に、必要なセットアップ手順を完了してください。詳細については、「顧客キーの設定」を参照してください。

SharePoint と OneDrive のカスタマーキーを構成するには、SharePoint PowerShell を使用します。

データ暗号化ポリシーについて:

データ暗号化ポリシー (DEP) は、個別の Azure Key Vault に格納されている 2 つのキーに関連付けられています。これらのキーは、geo 冗長性を回避するために、異なるAzureリージョンに存在する必要があります。

単一 geo テナント: geo 内のすべてのデータを保護するために、1 つの DEP を作成できます。
複数地域テナント: geo ごとに 1 つの DEP を作成し、それぞれ異なるキーを使用します。

両方のキーにKey Vault URI が必要です。詳細については、「各Azure Key Vault キーの URI を取得する」を参照してください。

ローカルコンピューターで、organizationで適切なアクセス許可を持つ職場または学校アカウントを使用して、SharePoint PowerShell に接続します。

Register-SPODataEncryptionPolicy コマンドレットを使用して DEP を登録します。

Register-SPODataEncryptionPolicy -PrimaryKeyVaultName <PrimaryKeyVaultName> -PrimaryKeyName <PrimaryKeyName> -PrimaryKeyVersion <PrimaryKeyVersion> -SecondaryKeyVaultName <SecondaryKeyVaultName> -SecondaryKeyName <SecondaryKeyName> -SecondaryKeyVersion <SecondaryKeyVersion>

例:

Register-SPODataEncryptionPolicy -PrimaryKeyVaultName 'stageRG3vault' -PrimaryKeyName 'SPKey3' -PrimaryKeyVersion 'f635a23bd4a44b9996ff6aadd88d42ba' -SecondaryKeyVaultName 'stageRG5vault' -SecondaryKeyName 'SPKey5' -SecondaryKeyVersion '2b3e8f1d754f438dacdec1f0945f251a'

マネージド HSM を使用する場合: 各コンテナーのバージョンを含むキーの完全な URL を使用します。

Register-SPODataEncryptionPolicy -PrimaryKeyVaultUri <PrimaryKeyVaultURL> -SecondaryKeyVaultUri <SecondaryKeyVaultURL>

例:

Register-SPODataEncryptionPolicy -PrimaryKeyVaultURL https://M365-Test.managedhsm.azure.net/keys/Sharepoint-01/aaaa5513974f4780ea67b2f5d8c3dd -SecondaryKeyVaultURL https://M365-Test-02.managedhsm.azure.net/keys/Sharepoint-02/7d8f30343bed4e44a57225bae2012388

注:

DEP が登録されると、geo のデータの暗号化が開始されます。このプロセスには時間がかかる場合があります。

完全なコマンドレットリファレンスについては、「 Register-SPODataEncryptionPolicy」を参照してください。

カスタマーキーによる暗号化が完了したことを確認する

顧客キーのローリング、新しいデータ暗号化ポリシー (DEP) の割り当て、またはメールボックスの移行後、このセクションの手順に従って暗号化が完了したことを確認します。

Exchange メールボックスの暗号化が完了したかどうかを確認する

メールボックスの暗号化には時間がかかる場合があります。初回暗号化の場合、暗号化を完了するには、メールボックスを新しいデータベースに完全に移動する必要があります。

メールボックスが暗号化されているかどうかをチェックするには、Get-MailboxStatistics コマンドレットを使用します。

Get-MailboxStatistics -Identity <GeneralMailboxOrMailUserIdParameter> | fl IsEncrypted

IsEncrypted プロパティは、メールボックスが暗号化されている場合は true、そうでない場合は false を返します。

メールボックスの移動を完了するために必要な時間は、初めて暗号化されるメールボックスの数とそのサイズによって異なります。データ暗号化ポリシー (DEP) を割り当ててから 1 週間以内にメールボックスが暗号化されていない場合は、Microsoft サポートにお問い合わせください。

注:

New-MoveRequest コマンドレットは、ローカルメールボックスの移動では使用できなくなりました。詳細については、このお知らせを参照してください。

SharePoint と OneDrive の暗号化が完了することを確認する

Get-SPODataEncryptionPolicy コマンドレットを次のように実行して、暗号化の状態を確認します。

   Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>

このコマンドレットの出力には、次のものが含まれます。

主キー URI

主キーの URI。
セカンダリキー URI

主キーの URI。
geo の暗号化の状態

状態は、次のいずれかの状態にすることができます。
- 未登録： カスタマーキー暗号化は適用されません。
- 登録： カスタマーキーの暗号化が進行中です。 geo のキーが登録されている場合、進行状況を監視できるように、暗号化されたサイトの割合が出力に含まれます。
- 登録： 顧客キーの暗号化が完了しました。すべてのサイト内のすべてのファイルが暗号化されます。
- ローリング： キーロールが進行中です。 geo のキーがローリングしている場合、進行状況を監視できるように、完了したサイトロールアウトの割合が出力に含まれます。
オンボードされたサイト

暗号化のためにオンボードされたサイトの割合。

複数のワークロードで使用する DEP の詳細を取得する

複数のワークロードで使用するために作成した DEP の詳細を表示するには、次の手順に従います。

ローカルコンピューターで、コンプライアンス管理者のアクセス許可を持つ職場または学校アカウントを使用して、powerShell Exchange Online接続します。
次のコマンドを実行して、organization内のすべてのマルチワークロード DEP を一覧表示します。
```
Get-M365DataAtRestEncryptionPolicy
```
特定の DEP に関する詳細を表示するには、次のコマンドを使用します。この例では、 Contoso_Global という名前の DEP の情報を示します。
```
Get-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global"
```

マルチワークロード DEP 割り当て情報を取得する

テナントに現在割り当てられている DEP を特定するには、次の手順に従います。

ローカルコンピューターで、コンプライアンス管理者のアクセス許可を持つ職場または学校アカウントを使用して、powerShell Exchange Online接続します。

次のコマンドを実行します。

Get-M365DataAtRestEncryptionPolicyAssignment

マルチワークロード DEP を無効にする

マルチワークロード DEP を無効にする前に、テナント内のワークロードから DEP の割り当てを解除します。複数のワークロードで使用される DEP を無効にするには、次の手順を実行します。

ローカルコンピューターで、コンプライアンス管理者のアクセス許可を持つ職場または学校アカウントを使用して、powerShell Exchange Online接続します。

次のコマンドを実行し、 PolicyName をポリシーの名前または一意の ID (たとえば、 Contoso_Global) に置き換えます。

Set-M365DataAtRestEncryptionPolicy -[Identity] "PolicyName" -Enabled $false

例:

Set-M365DataAtRestEncryptionPolicy -Identity "Contoso_Global" -Enabled $false

Azure Key Vault キーを復元する

復元を実行する前に、論理的な削除機能を使用して、可能な場合はキーを回復します。 Customer Key で使用されるすべてのキーでは、論理的な削除が有効になっている必要があります。ごみ箱のような論理的な削除機能を使用すると、完全な復元を必要とせずに、削除されたキーを最大90日間回復できます。

キーの復元は、キーまたはキーコンテナーが完全に失われた場合など、まれまたは例外的な場合にのみ必要です。

Azure PowerShellを使用してキーを復元するには、次のコマンドを実行します。

Restore-AzKeyVaultKey -VaultName <vault name> -InputFile <filename>

例:

Restore-AzKeyVaultKey -VaultName Contoso-O365EX-NA-VaultA1 -InputFile Contoso-O365EX-NA-VaultA1-Key001-Backup-20170802.backup

重要

キーコンテナーに同じ名前のキーが既に含まれている場合、復元操作は失敗します。 Restore-AzKeyVaultKey コマンドレットは、メタデータと名前を含むすべてのバージョンのキーを復元します。

キーコンテナーのアクセス許可を管理する

Azure PowerShellを使用して、キーコンテナーのアクセス許可を表示または削除できます。たとえば、ユーザーがチームを離れるときに、ユーザーのアクセス権を削除する必要がある場合があります。

ヒント

Azure PowerShellの概要については、「Azure PowerShellの概要」を参照してください。

キーコンテナーのアクセス許可を表示するには、次のコマンドを実行します。

Get-AzKeyVault -VaultName <vault name>

例:

Get-AzKeyVault -VaultName Contoso-O365EX-NA-VaultA1

キーコンテナーへのユーザーのアクセス権を削除するには、次のコマンドを使用します。

Remove-AzKeyVaultAccessPolicy -VaultName <vault name> -UserPrincipalName <UPN of user>

例:

Remove-AzKeyVaultAccessPolicy -VaultName Contoso-O365EX-NA-VaultA1 -UserPrincipalName alice@contoso.com

カスタマーキーから Microsoft マネージドキーにロールバックする

必要に応じて、Microsoft マネージドキーの使用に戻すことができます。ロールバックすると、各ワークロードでサポートされている既定の暗号化方法を使用して、データが再暗号化されます。たとえば、Exchange および Windows 365 クラウド PC では、既定の暗号化に Microsoft マネージドキーが使用されます。

重要

ロールバックは、データ消去の実行と同じではありません。

データ消去では、organizationのデータが Microsoft 365 から完全に暗号化削除されます。
ロールバックでは暗号化は元に戻されますが、データは削除されません。
マルチワークロードポリシーのデータ消去を実行することはできません。

複数のワークロードについてカスタマーキーからロールバックする

マルチワークロードデータ暗号化ポリシー (DEP) でカスタマーキーを使用しなくなった場合は、Microsoft サポートを通じてサポートリクエストを送信します。要求に次の情報を含めます。

テナント完全修飾ドメイン名 (FQDN)
ロールバック要求のテナント連絡先
カスタマーキーを廃止する理由
インシデント番号

重要

Azure Key Vault (AKV) と暗号化キーは、適切なアクセス許可で保持する必要があります。このアクションは、Microsoft が管理するキーを使用してデータを再ラップできるようにするために必要です。

重要

Gallatin では、複数のワークロードのカスタマーキーからのロールバックはサポート されていません 。

Exchange のカスタマーキーからロールバックする

メールボックスレベルのデータ暗号化ポリシー (DEP) を使用して個々のメールボックスを暗号化しなくなった場合は、すべてのメールボックスからそれらの DEP の割り当てを解除できます。

メールボックスレベルの DEP の割り当てを解除するには、次の手順に従います。

PowerShell のアクセス許可Exchange Online必要な職場または学校アカウントを使用し、powerShell Exchange Onlineに接続します。

次のコマンドレットを実行します。

Set-Mailbox -Identity <mailbox> -DataEncryptionPolicy $null

このコマンドは、現在の DEP の割り当てを解除し、既定の Microsoft マネージドキーを使用してメールボックスを再暗号化します。

注:

Microsoft マネージドキーに関連付けられている DEP の割り当てを解除することはできません。 Microsoft マネージドキーを使用しない場合は、代わりに別の DEP をメールボックスに割り当てます。

SharePoint と OneDrive のカスタマーキーからロールバックする

カスタマーキーから Microsoft が管理するキーへのロールバックは、SharePoint または OneDrive ではサポートされていません。

キーを取り消し、データ消去パスを開始する

可用性キーを含むすべてのルートキーの失効を制御します。カスタマーキーを使用すると、多くの規制基準で必要な終了計画プロセスを制御できます。データを消去してサービスを終了するためにキーを取り消すことにした場合、データ消去プロセスが完了すると可用性キーが削除されます。

この機能は、個々のメールボックスに割り当てられたカスタマーキー DEP でのみサポートされます。

Microsoft 365 は、データ消去プロセスを監査して検証します。詳細については、サービス信頼ポータルで使用できる SSAE 18 SOC 2 レポートを参照してください。

Microsoft では、次のドキュメントも確認することをお勧めします。

重要

マルチワークロード DEP の消去はサポートされていません。これらのポリシーは、テナント内の複数のワークロードとユーザー間でデータを暗号化します。このような DEP を削除すると、すべてのワークロードのデータにアクセスできなくなります。

Microsoft 365 サービスを完全に終了する場合は、Microsoft Entra ID でテナントを削除する方法に関するページを参照してください。

Exchange のカスタマーキーと可用性キーを取り消す

Exchange のデータ消去パスを開始すると、データ暗号化ポリシー (DEP) に永続的なデータ消去要求を配置します。この操作により、その DEP に割り当てられているすべてのメールボックス内の暗号化されたデータが完全に削除されます。

PowerShell コマンドレットは一度に 1 つの DEP でのみ動作するため、データ消去プロセスを開始する前に、1 つの DEP をすべてのメールボックスに再割り当てすることを検討してください。

警告

データ消去パスを使用してメールボックスのサブセットを削除しないでください。このプロセスは、サービスを完全に終了している組織のみを対象としています。

データ消去パスを開始するには、次の手順に従います。

Azure Key Vault から O365 Exchange Onlineのラップとラップ解除のアクセス許可を削除します。
適切な Exchange Online PowerShell アクセス許可を持つ職場または学校アカウントを使用し、PowerShell Exchange Onlineに接続します。
消去するメールボックスを含む DEP ごとに、 Set-DataEncryptionPolicy コマンドレットを実行します。
```
Set-DataEncryptionPolicy <Policy ID> -PermanentDataPurgeRequested -PermanentDataPurgeReason <Reason> -PermanentDataPurgeContact <ContactName>
```
コマンドが失敗した場合は、前述のように、Exchange Onlineアクセス許可がAzure Key Vaultの両方のキーから削除されたことを確認します。 -PermanentDataPurgeRequested スイッチを使用して Set-DataEncryptionPolicy コマンドレットを実行した後、DEP をメールボックスに割り当てることはできません。
Microsoft サポートに問い合わせて、データ消去 eDocument を要求します。

Microsoft は、データの消去を確認および承認するための法的ドキュメントを送信します。これに署名する人は、通常、エグゼクティブまたはその他の法的に承認された代理人です。
担当者がドキュメントに署名したら、Microsoft に返却します (通常は電子署名を使用)。

Microsoft は、署名された eDocument を受け取ると、署名と署名者の信頼性を検証します。検証が完了したら、必要なコマンドレットを実行してデータの消去を完了します。このプロセスでは、DEP を削除し、影響を受けるメールボックスに永続的な削除をマークし、可用性キーを削除します。プロセスが完了すると、データは消去され、Exchange にアクセスできなくなり、復旧できません。

SharePoint と OneDrive のカスタマーキーと可用性キーを取り消す

SharePoint と OneDrive の DEP の消去は、カスタマーキーではサポートされていません。 Microsoft 365 サービスを完全に終了する場合は、文書化されたプロセスに従ってテナントを削除できます。

詳細については、「Microsoft Entra ID でテナントを削除する方法」を参照してください。

従来のアクセスポリシーモデルから RBAC に Key Vault を移行する

レガシアクセスポリシーモデルを使用して Customer Key にオンボードした場合は、次の手順に従って、すべてのAzure Key Vault を移行して、ロールベースのアクセス制御 (RBAC) を使用します。 2 つのモデルを比較し、Microsoft が RBAC を推奨する理由を理解するには、ロールベースのアクセス制御 (Azure RBAC) とアクセスポリシー (レガシ) のAzureに関するページを参照してください。

レガシアクセスポリシーを削除する

Key Vault から既存のアクセスポリシーを削除するには、 Remove-AzKeyVaultAccessPolicy コマンドレットを使用します。

Azure PowerShellを使用してAzure サブスクリプションにサインインします。ガイダンスについては、「Azure PowerShellでサインインする」を参照してください。
次のコマンドを実行して、 Microsoft 365 サービス プリンシパルのアクセス権を削除します。
```
Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName c066d759-24ae-40e7-a56f-027002b5d3e4
```

次のコマンドを実行して、Exchange Online プリンシパルのアクセス権を削除します。

Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName 00000002-0000-0ff1-ce00-000000000000

次のコマンドを実行して、 SharePoint および OneDrive for Work または School サービスプリンシパルのアクセスを削除します。
```
Remove-AzKeyVaultAccessPolicy -VaultName <VaultName> -ServicePrincipalName 00000003-0000-0ff1-ce00-000000000000
```

アクセス構成アクセス許可モデルの変更

アクセスポリシーを削除した後、Azure portalの各Key Vaultのアクセス許可モデルを更新します。

Azure portalで、Key Vaultに移動します。
左側のメニューの [ 設定] で、[ アクセス構成] を選択します。
[アクセス許可モデル] で、[Azureロールベースのアクセス制御] を選択します。
画面の下部にある [ 適用 ] を選択します。

RBAC アクセス許可の割り当て

アクセス許可モデルを切り替えた後、「各Key Vaultにアクセス許可を割り当てる」の手順に従って、必要なロールを付与します。

フィードバック

このページはお役に立ちましたか?

Last updated on 2025-06-03

次の方法で共有

カスタマー キーの管理

すべてのテナント ユーザーに対して複数のワークロードで使用する DEP を作成する

マルチワークロード ポリシーを割り当てる

Exchange メールボックスで使用する DEP を作成する

メールボックスに DEP を割り当てる

ハイブリッド メールボックスに DEP を割り当てる