AvePoint Online Services 暗号化プロファイルでは、Azure Key Vault を使用してバックアップ データおよびテナントの機密情報 (Google Workspace または Microsoft 365 のユーザー名、パスワードなど) を暗号化します。データの暗号化にカスタム キー コンテナーを使用する場合は、暗号化プロファイルでキー コンテナー情報を提供します。
組織のキー ローテーション要件やその他の理由により、Azure Key Vault でキー コンテナーまたはキーを変更する必要性が生じる場合があります。Azure Key Vault でキー コンテナーまたはキーを変更する必要がある場合、AvePoint Online Services 機能が正常に機能し、データが保護されていることを確認するために、以下のシナリオの手順に従う必要があります。
バックアップ データおよびテナントの機密情報 (Google Workspace または Microsoft 365 のユーザー名、パスワードなど) の暗号化に使用するキーを変更する必要がある場合、以下の手順を実行してください。
1. Azure Key Vault で、新しいキーを作成するか、AvePoint Online Services 暗号化プロファイルで使用されているキー コンテナーの新しいバージョンを作成します。
*注意: キーが既に用意されている場合は、このステップをスキップしてください。
2. AvePoint Online Services > 管理 > 暗号化管理 の順に移動し、新しい暗号化プロファイルを作成します。詳細については、暗号化プロファイルの作成 を参照してください。
3. 暗号化管理 ページで、新規作成されたプロファイルを選択し、リボン上で [適用] をクリックして古いキーを新しいキーに切り替えます。
*注意: [適用] をクリックすると、キーの適用が開始され、新しいプロファイル名の横に 適用中 ラベルが表示されます。AvePoint Online Services が新しいプロファイル内のキーを適用してデータを再暗号化する際に、古いプロファイル内のキーが引き続き使用されます。AvePoint Online Services が正常に機能しており、データが保護されていることを確認するため、キーの適用中に、古いプロファイルおよび Azure Key Vault 内の古いキーを削除しないでください。バックエンドの再暗号化プロセスが完了するまで、古いプロファイルおよび古いキーを使用可能な状態に保持する必要があります。
4. 新しい暗号化プロファイルの状態が 適用中 から 使用中 に変更されると、新しいプロファイル内のキーが正常に適用されたことを示します。多くの組織では、キーの保持ポリシーに従って、古いキーを一定期間に保持することが要求されていますが、古い暗号化プロファイルで使用されているキーまたは古い暗号化プロファイルを削除する必要がある場合、現在削除しても構いません。
キー コンテナーの設定を変更する必要があるが、関連するアプリケーションまたはキーを変更しない場合、AvePoint Online Services 暗号化プロファイルを変更する必要はありません。
Azure Key Vault 内のキー コンテナーを変更する必要があるが、関連するキーを変更しない場合、以下の手順を実行してください。
1. Microsoft Entra 管理センター (または Microsoft Azure ポータル) で、新しいアプリケーションを作成します。
*注意: 既存のアプリケーションを使用する場合は、このステップをスキップしてください。
2. アプリケーションのクライアント ID をコピーします。
3. アプリケーションのクライアント シークレットを追加します。
*注意: 有効なクライアント シークレットを既に持っている既存のアプリケーションを使用する場合は、このステップをスキップしてください。
4. クライアント シークレットをコピーします。
*注意: クライアント シークレットの生成時にのみ、クライアント シークレットをコピーすることができます。別の操作を実行するか、ページを終了すると、クライアント シークレットが非表示になります。
5. キー コンテナーの RBAC (ロールベースのアクセス制御) またはアクセス ポリシーを編集して、新しいロールを割り当てるか、新しいアプリケーション用のアクセス ポリシーを追加します。
6. AvePoint Online Services > 管理 >暗号化管理 の順に移動し、カスタム暗号化プロファイルを編集し、クライアント ID およびクライアント シークレットを更新します。
新しいキー コンテナーを使用して元のキー コンテナーを置き換える必要がある場合は、以下の手順に従ってください。
1. Microsoft Entra 管理センター (または Microsoft Azure ポータル) で、新しいキー コンテナーを作成します。詳細については、Azure でのキー コンテナーの作成 を参照してください。
2. AvePoint Online Services > 管理 > 暗号化管理 の順に移動し、新しい暗号化プロファイルを作成します。詳細については、暗号化プロファイルの作成 を参照してください。
3. 暗号化管理 ページで、新規作成されたプロファイルを選択し、リボン上で [適用] をクリックして古いキー コンテナーを新しいキー コンテナーに切り替えます。
*注意: [適用] をクリックすると、キー コンテナーの適用が開始され、適用中 ラベルが新しいプロファイル名の横に表示されます。AvePoint Online Services が新しいプロファイル内のキーを適用してデータを再暗号化する際に、古いプロファイル内のキーが引き続き使用されます。AvePoint Online Services が正常に機能しており、データが保護されていることを確認するため、AvePoint Online Services がキーを適用する際に、古いプロファイル、古いキー コンテナー、Azure Key Vault 内の古いキーを削除しないでください。バックエンドの再暗号化プロセスが完了するまで、古いプロファイルおよび古いキーを使用可能な状態に保持する必要があります。
4. 新しい暗号化プロファイルの状態が 適用中 から 使用中 に変更されると、新しいプロファイル内のキーが正常に適用されたことを示します。多くの組織では、キーの保持ポリシーに従って、古いキーを一定期間に保持することが要求されていますが、古い暗号化プロファイルで使用されているキー、古いキー コンテナー、古い暗号化プロファイルを削除する必要がある場合、現在削除しても構いません。