Microsoft 365 では、BitLocker と分散キー マネージャー (DKM) を使用したベースラインのボリューム レベルの暗号化が提供されます。 Windows 365 Enterpriseおよび Business Cloud PC ディスクは、Azure Storage サーバー側の暗号化 (SSE) を使用して暗号化されます。
Microsoft 365 では、より詳細な制御を行うために、カスタマー キーを使用してコンテンツの暗号化レイヤーを追加することもできます。 このコンテンツには、Microsoft Exchange、SharePoint、OneDrive、Teams、Windows 365 クラウド PC (Enterprise) のデータが含まれます。これには、Windows 365現場専用モードと共有モードが含まれます。
BitLocker は、Windows 365クラウド PC の暗号化オプションとしてサポートされていません。 詳細については、「IntuneでのWindows 10仮想マシンの使用」を参照してください。
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、組織のセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細をご覧ください。
サービス暗号化、BitLocker、SSE、カスタマー キーの連携
Microsoft 365 データは、常に BitLocker と分散キー マネージャー (DKM) を使用して保存時に暗号化されます。 詳細については、「 Exchange がメール シークレットをセキュリティで保護する方法」を参照してください。
カスタマー キーを使用すると、データへの不正アクセスに対する保護が強化されます。 これは、Microsoft データ センターの BitLocker ディスク暗号化とサーバー側暗号化 (SSE) を補完します。 カスタマー キーは、アプリケーション レベルでルート暗号化キーを制御できるようにすることで、コンプライアンスまたは規制の要件を満たすのに役立ちます。
Microsoft 365 が暗号化キーを使用して、電子情報開示、マルウェア対策、スパム対策、検索インデックス作成などの付加価値サービスを提供することを明示的に承認します。 Microsoft 365 では、 オンライン サービス条項 (OST) で説明されているように、保存データを暗号化するためにこれらのキーを使用します。
ハイブリッド展開を使用したカスタマー キー
カスタマー キーは、クラウド内の保存データのみを暗号化します。 オンプレミスのメールボックスやファイルは保護されません。 オンプレミスのデータを保護するには、BitLocker などの別のメソッドを使用します。
データ暗号化ポリシーについて学習する
データ暗号化ポリシー (DEP) は、暗号化階層を定義します。 サービスでは、この階層を使用して、管理するキーと Microsoft が保護する可用性キーの両方を使用してデータを暗号化します。 PowerShell コマンドレットを使用して DEP を作成し、それを割り当ててアプリケーション データを暗号化します。
カスタマー キーでは、3 種類の DEP がサポートされています。 型ごとに異なるコマンドレットを使用し、異なる種類のデータを保護します。
複数の Microsoft 365 ワークロードの DEP
これらの DEP は、テナント内のすべてのユーザーに対して、複数の Microsoft 365 ワークロードにわたってデータを暗号化します。
- Windows 365 クラウド PC (Enterprise) (現場専用モードと共有モードを含む) (詳細)
- Teams: チャット メッセージ、メディア メッセージ、通話/会議の記録 (Teams ストレージ内)、通知、Cortana の提案、ステータス メッセージ
- Microsoft 365 Copilot操作
- Exchange: メールボックス DEP の対象外のユーザー/シグナル情報とメールボックス
- Microsoft Purview Information Protection: EDM データ (スキーマ、ルール パッケージ、塩)、秘密度ラベルの構成
注:
EDM と Teams の場合、DEP は割り当てから新しいデータを暗号化します。 Exchange の場合、既存のデータと新しいデータをすべて暗号化します。
マルチワークロード DEP (他の方法で保護) によって暗号化されていません 。
- SharePoint データと OneDrive データ (SharePoint DEP を使用)
- SharePoint/OneDrive に保存された Teams ファイルと記録
- Teams ライブ イベント、Viva Engage、Planner
テナントごとに複数の DEP を作成できますが、一度に割り当てるのは 1 つだけです。 割り当て後に暗号化が自動的に開始されます。
Exchange メールボックスの DEP
メールボックス DEP を使用すると、個々のExchange Onlineメールボックスをより詳細に制御できます。 これらを使用して、UserMailbox、MailUser、Group、PublicFolder、および Shared メールボックスのデータを暗号化できます。
テナントごとに最大 50 個のアクティブなメールボックス DEP を使用できます。 複数のメールボックスに 1 つの DEP を割り当てることができますが、メールボックスごとに 1 つの DEP のみを割り当てることができます。
既定では、Exchange メールボックスは Microsoft が管理するキーを使用して暗号化されます。 カスタマー キー DEP を割り当てると、サービスは次のアクセス時に既存の暗号化されたメールボックスを再ラップします。 暗号化されていないメールボックスは移動の対象としてマークされ、移動が完了した後に暗号化が発生します。 移動の優先順位の詳細については、「 Microsoft 365 サービスでの移動要求」を参照してください。
後で「Office 365のカスタマー キーを管理する」の説明に従って、DEP を更新するか、別の DEP を割り当てることができます。
各メールボックスは、カスタマー キーを使用するためにライセンス要件を満たす必要があります。 詳細については、「 前提条件」を参照してください。
テナントがユーザー メールボックスのライセンス要件を満たしている限り、DEP を共有メールボックス、パブリック フォルダーメールボックス、グループ メールボックスに割り当てることができます。 ユーザー固有以外のメールボックスに個別のライセンスは必要ありません。
また、サービスを終了するときに、Microsoft が特定の DEP を消去することを要求することもできます。 キーへのアクセスを取り消した場合、可用性キーの削除がトリガーされ、暗号化によってデータが削除されます。 詳細については、「 キーを取り消し、データ消去パス プロセスを開始する」を参照してください。
SharePoint と OneDrive の DEP
この DEP は、SharePoint と OneDrive に格納されているコンテンツ (SharePoint に格納されている Teams ファイルを含む) を暗号化します。 複数地域テナントは、geo ごとに 1 つの DEP を作成できます。単一 geo テナントは、1 つの DEP を作成できます。 セットアップ手順については、「 顧客キーの設定」を参照してください。
顧客キーで使用される暗号化暗号
Customer Key では、次の図に示すように、さまざまな暗号化暗号を使用してキーを保護します。
複数の Microsoft 365 ワークロード間でデータを暗号化する DEP に使用されるキー階層は、個々の Exchange メールボックスに使用されるキー階層と似ています。 対応する Microsoft 365 ワークロード キーによってメールボックス キーが置き換えられます。
Exchange のキーを暗号化するために使用される暗号化暗号
SharePoint と OneDrive のキーを暗号化するために使用される暗号化暗号
