automation-cloud
latest
false
重要 :
このコンテンツの一部は機械翻訳によって処理されており、完全な翻訳を保証するものではありません。 新しいコンテンツの翻訳は、およそ 1 ~ 2 週間で公開されます。
UiPath logo, featuring letters U and I in white

Automation Cloud 管理ガイド

最終更新日時 2025年10月3日

ALE と顧客管理のキー

「Enterprise」の画像 この機能は、Enterprise ライセンス プランのすべてのティア (Standard ティアを含む) で利用できます。

警告:

この機能を有効化すると、データ アクセスに深刻な影響があります。重要な問題が発生した場合は、データへのアクセスを失う危険性があります。

下表には、問題のある一般的なシナリオとその解決策が記載されています。

シナリオ

解決策

Azure Key Vault (AKV) にアクセスするための資格情報が期限切れか、削除されている。

まだメール アドレスとパスワードを使用してログインできる (非 SSO) 場合、以下を実行します。

組織管理者である場合は、組織の [管理] ページの [暗号化] セクションで資格情報を更新できます。

組織管理者ではない場合は、サポート チケットを使用して管理者ロールへの昇格を依頼できます。その後、組織の [管理] ページの [暗号化] セクションで資格情報を更新できます。

ログインできなくなった場合は、サポート チケットを使用して組織 ID を提供していただくと、UiPath の方で招待して管理者として昇格させることができます。その後、組織の [管理] ページの [暗号化] セクションで資格情報を更新できます。

ログイン アクセスを回復したら、新しい AKV キーと資格情報セットを作成してから、この新しい情報を使用して顧客管理のキーを設定し、他の誰も資格情報にアクセスできないようにすることをお勧めします。

AKV キーの有効期限が切れている。

顧客管理のキーは引き続き機能しますが、新しいキーに切り替えることをお勧めします。

AKV キーが削除された。

保持期間中に Azure Portal から AKV キーを復元できます。

AKV キーがパージされたが、バックアップがある。

Azure Portal のバックアップからキーを復元できます。既定では、復元したキーは元のキーと同じ ID になります。これは変更しないでください。

AKV キーがパージされ、バックアップがなかった。
警告:

このシナリオを解決する方法はありません。この状況では、UiPath® の顧客データが失われます。

概要

ストレージ レベルの標準の TDE に加えて、一部のサービスでは、暗黙的なアプリケーション レベルの暗号化 (ALE) も採用されています。つまり、データは保存される前にアプリケーション層で暗号化され、セキュリティがより一層向上します。

さらに、一部のサービス/リソースでは、任意のユーザー主導の暗号化が提供されます。これはオプショナル (オプトイン) ALE と呼ばれます。これにより、サービス/リソースで ALE を採用するかどうかを選択して決定できます。サービスやリソースのリストと、それらに関連する暗号化の種類については、暗号化対象のデータについてまとめたこちらのページをご覧ください。

ALE を使用するサービスでは、暗黙的な場合でも機能を有効化した場合でも、暗号化キーを扱うユーザーを選択できます。これは、UiPath またはユーザー自身が管理できます。これを支援するために、Azure Key Vault ではシークレットのバージョン管理がサポートされており、組織レベルでキーを設定するときに使用するシークレットを生成できます。

顧客管理のキーを有効化すると、以前にバックアップ済みのデータは再暗号化されず、既存のバックアップは有効期限が切れると削除されます。このオプションを使用して暗号化されるのは、新しいデータのみです。

顧客管理のキーの説明

顧客管理のキーのアーキテクチャでは、UiPath の製品またはプラットフォーム サービス (UiPath Orchestrator、UiPath Identity Service など) は通常、機密の顧客データを保存する前に暗号化します。データ アクセスが必要な場合、UiPath の製品またはサービスは、キー管理インフラストラクチャを呼び出して復号キーを取得します。これにより、キーを返すことをユーザーが拒否できるため、UiPath 内の暗号化データを制御できます。

このプロセスには、次のコンポーネントが関係します。

  • キー管理サービス (KMS) - キーの暗号化を目的として開発された UiPath の内部ツールです。
  • データ暗号化キー (DEK または KMS DEK) - プレーン テキスト データの暗号化に使用されます。一般的に、DEK は KMS または UiPath の内部キー コンテナーによって生成され、どこにもクリア テキストで保存されません。
  • キー暗号化キー (KEK) - DEK の暗号化に使用されます。キーを暗号化するプロセスをキー ラッピングと呼びます。一般的に、KEK はユーザーが生成して自身のキー コンテナーに保存します。KEK は、ユーザーのキー管理サービスで管理される実際の顧客管理のキーとなります。
  • 暗号化されたデータ暗号化キー (EDEK) - KEK によってラップされる DEK です。一般的に、このキーはサービス プロバイダー (Orchestrator など) によって保存されます。したがって、暗号化されたデータにアクセスする必要がある場合、サービスは常に顧客のキー管理サービスを呼び出し、EDEK の復号に必要な KEK を取得して DEK を生成し、その DEK を使用してデータを復号します。
  • UiPath 内部キー - CMK や KMS DEK などのデータ列を暗号化するために使用されます。

次の図は、顧客管理のキーを有効化する際に関係するさまざまなコンポーネントがどのように連携するかを示しています。



顧客管理のキーを有効化する

重要:

顧客管理のキー (CMK) を有効化すると、データのアクセシビリティに大きな影響を与えます。キーが利用できなくなったり、設定に誤りがあったりすると、データにアクセスできなくなる可能性があります。

キーを失うと、コンテナーに接続できなくなります。したがって、必ず、組織のセキュリティ ポリシーに従って Azure Portal 上、または Azure とは別のセキュリティで保護されたキー コンテナー内にキーのバックアップを作成する必要があります。

顧客管理のキーを有効化するには、Automation CloudTM を表す Microsoft Entra ID アプリケーションを設定して、Azure Key Vault 内のキー暗号化キーにアクセスできるようにする必要があります。

Microsoft Entra ID アプリケーションを設定するには、以下のいずれかの方法を選択できます。
  • (推奨) 自動セットアップ: UiPath で管理される Microsoft Entra ID アプリケーション (マルチテナント モデル) を使用すると、次のようなメリットがあります。
    • 管理すべきシークレットや証明書はありません。
    • 迅速かつ確実にセットアップできます。
    • UiPath が Microsoft Entra ID アプリケーションを管理します。
  • カスタム Microsoft Entra ID アプリケーションの登録による手動セットアップ: 独自の Microsoft Entra ID アプリケーションを使用し、その構成を手動で管理します。以下の点にご注意ください。
    • アプリケーションの資格情報を作成および管理する必要があります。
    • 資格情報には有効期限があるため、定期的な更新が必要です。
    • 有効期限が切れる前に資格情報が更新されない場合、ユーザーはサインインできません。

UiPath で管理される Microsoft Entra ID アプリケーションを使用した自動セットアップ (推奨)

設定を簡素化し、シークレットや証明書の管理を避けたい場合は、この方法を使用します。UiPath では、ほとんどの組織にこのアプローチを推奨しています。

Microsoft Entra ID 管理者と Automation CloudTM 管理者を兼任している場合

Microsoft Entra ID 管理者と Automation CloudTM 管理者を兼任している場合は、以下の手順に従って、UiPath で管理されるマルチテナント アプリケーションを使用して連携を設定します。

  1. Automation CloudTM で、[管理] > [セキュリティ] > [暗号化] に移動します。
  2. [顧客管理のキー] を選択し、確認ダイアログに組織名を入力して選択を確定します。
  3. [UiPath で管理されるマルチテナント アプリケーション (推奨)] を選択します。

  4. [同意する] を選択し、Microsoft Entra ID アカウントでサインインします。

    同意すると、Automation CloudTM は Azure に組織を表す Microsoft Entra ID アプリケーションを作成します。

  5. キー暗号化キーを作成し、Azure Key Vault を設定します。
  6. キー暗号化キーの Azure Key Vault キーの URI を入力します。
    • バージョンレス キーの URI を指定すると、Automation CloudTM は最新のキー バージョンを自動的に使用します (キー ローテーションが有効)。
    • バージョン管理されたキーの URI を指定すると、Automation CloudTM はその特定のキー バージョンを持つすべてのデータを暗号化します。

  7. [テストして保存] を選択して、連携をアクティブ化します。

    エラーが発生した場合は、資格情報を確認してもう一度お試しください。

専任の Automation CloudTM 管理者の場合
Microsoft Entra ID の管理者権限はないが、Automation CloudTM 管理者である場合は、以下の手順を実行して管理者の同意をリクエストし、連携を完了します。
  1. Automation CloudTM で、[管理] > [セキュリティ] > [暗号化] に移動します。
  2. [顧客管理のキー] を選択し、確認ダイアログに組織名を入力して選択を確定します。
  3. [UiPath で管理されるマルチテナント アプリケーション (推奨)] を選択します。

  4. [同意する] を選択し、Microsoft Entra ID アカウントでサインインします。

    Microsoft Entra ID の管理者権限がないため、次のいずれかのプロンプトが表示されます。

    1. [承認をリクエスト] (Microsoft のドキュメント「管理者の承認を要求する」を参照)。Microsoft Entra ID 管理者がリクエストを承認したら、次の手順に進みます。
    2. Microsoft のドキュメントに記載されているように、管理者の承認が必要です。次の手順を実行するよう、Microsoft Entra ID 管理者に依頼してください。
      1. この URL に移動して、Microsoft Entra ID の同意プロンプトを開きます。
      2. [組織の代表として同意] を選択してから [承諾] を選択します。
  5. 管理者の同意が付与されたことを確認する通知を受け取ったら、暗号化キーを作成して Azure Key Vault を設定した後、Automation CloudTM に戻って手順 1 から 4 を繰り返します。
    • サインインに成功すれば、連携は正しく設定されています。
    • サインインに失敗した場合は、Microsoft Entra ID 管理者に問い合わせて、同意が正しく付与されたことを確認してもらってください。
  6. キー暗号化キーの Azure Key Vault キーの URI を入力します。
    • バージョンレス キーの URI を指定すると、キーの自動ローテーションが有効化され、Automation CloudTM は最新のキー バージョンを使用します。
    • バージョン管理されたキーの URI を指定すると、Automation CloudTM はその特定のキー バージョンを持つすべてのデータを暗号化します。

  7. [テストして保存] を選択して、連携をアクティブ化します。

    エラーが発生した場合は、資格情報を確認してもう一度お試しください。

カスタム Microsoft Entra ID アプリケーションの登録による手動セットアップ

UiPath で管理されるマルチテナント アプリケーションを使用する代わりに、独自の Microsoft Entra ID アプリケーションを設定する場合は、次の手順を実行します。このオプションでは、自身の資格情報を管理し、長期にわたって保持する必要があります。
大事な: 手動設定で作成された資格情報は、定期的に期限切れになります。サービスの中断を避けるため、有効期限が切れる前に更新する必要があります。この運用オーバーヘッドを削減するには、 UiPath で管理される Entra ID アプリケーションを使用した自動セットアップの使用を検討してください。
  1. Microsoft Entra ID アプリの登録を作成します。
    1. Microsoft Entra 管理センターで、[アプリの登録] > [新規登録] に移動します。
    2. Automation Cloud」などの名前を入力するか、任意の名前を使用します。
    3. [サポートされているアカウントの種類][この組織ディレクトリのみに含まれるアカウント] に設定します。
    4. 登録を完了します。
  2. 資格情報を作成します。
    アプリの登録の [証明書とシークレット] に移動し、以下のいずれかの方法を選択します。
    • クライアント シークレットを使用するには、以下の手順を実行します。
      1. [新しいクライアント シークレット] を選択します。
      2. 生成されたシークレット値を保存します。これは後で必要になります。
    • 証明書を使用するには、以下の手順を実行します。
      1. 新しいブラウザー タブで、Azure Key Vault に移動します。
      2. 証明書を作成します。
        • サブジェクト: CN=uipath.com
        • コンテンツの種類: PEM
        • 最大サイズ: 10 KB 未満
      3. 証明書を .pem 形式でダウンロードします。
      4. テキスト エディターで .pem ファイルを開きます。このファイルには次のセクションがあります。
        • -----BEGIN PRIVATE KEY----- / -----END PRIVATE KEY-----
        • -----BEGIN CERTIFICATE----- / -----END CERTIFICATE-----
      5. BEGIN CERTIFICATEEND CERTIFICATE の間の行のみを含む新しい .pem ファイルを作成します。
      6. アプリの登録の [証明書とシークレット] セクションで、この新しい .pem ファイルをアップロードします。
      7. 証明書のコピーを保管します。これは、後で連携を完了するために必要になります。
    重要:

    ほとんどの資格情報の種類は最終的に期限切れになります。ユーザー サインインの問題を回避するには、資格情報の有効期限が切れる前に設定を更新してください。

    このオーバーヘッドを回避するには、 UiPath で管理される Microsoft Entra ID アプリケーションによる自動セットアップを使用します。

  3. 連携の詳細情報を収集します。
    次の値を収集して、Automation CloudTM の管理者に提供します。
    • アプリケーション (クライアント) ID
    • ディレクトリ (テナント) ID
    • クライアント シークレットまたは証明書
  4. キー暗号化キーを作成し、Azure Key Vault を設定します。
    暗号化キーを準備して、Azure Key Vault のキー識別子をメモします。次のいずれかの形式を選択します。
    • バージョンレス キーの URI: キーの自動ローテーションを有効化します。Automation CloudTM は常に最新のキー バージョンを使用します。
    • バージョン管理されたキーの URI: 暗号化を特定のキー バージョンにロックします。Automation CloudTM はそのバージョンを使用してすべてのデータを暗号化します。
  5. Automation CloudTM で連携をアクティブ化します。
    1. Automation CloudTM に管理者としてサインインします。
    2. [管理] > [セキュリティ] > [暗号化] に移動します。
    3. [顧客管理のキー] を選択し、組織名を入力して選択を確定します。
    4. [カスタム アプリケーションの登録 ID とシークレット] を選択します。
    5. 先ほど収集した次の詳細情報を入力します。
      • ディレクトリ (テナント) ID
      • アプリケーション (クライアント) ID
      • クライアント シークレットまたは証明書
      • Azure Key Vault のキー識別子

    6. [テストして保存] を選択して、連携をアクティブ化します。

      エラー メッセージが表示された場合は、資格情報を確認してもう一度お試しください。

キー暗号化キーを作成し、Azure Key Vault を設定する

開始する前に、Automation CloudTM と Azure Key Vault を使用するための以下の要件と推奨事項を確認してください。
  • Key Vault は任意のリージョンで作成できますが、Automation CloudTM の組織と同じリージョンを使用することをお勧めします。
  • UiPath では、顧客管理のキーに使用されるキー コンテナーにアクセスする必要があります。範囲を制限するには、この目的専用のコンテナーを作成することをお勧めします。
  • この機能は、Azure Key Vault でサポートされている任意のキー サイズで動作します。
  • 暗号化操作を実行するには、キーを折り返すキーの折り返しを解除の権限を付与する必要があります。これらの権限は、Azure RBAC (ロールベースのアクセス制御) またはキー コンテナー アクセス ポリシーのどちらを使用してアクセスを管理するかに関係なく必要です。
キー暗号化キーを作成し、Azure Key Vault を設定するには、次の手順を実行します。
  1. Microsoft Azure PortalAzure Key Vault に移動し、既存のコンテナーを選択するか、新しいコンテナーを作成します。
  2. 新しいキーを作成し、キーの URI をコピーします。Automation CloudTM で設定する URI が必要です。
    キーの URI として以下のいずれかのオプションを選択します。
    • バージョンレス キーの URI: キーの自動ローテーションを有効化します。Automation CloudTM は常に最新バージョンのキーを使用します。
    • バージョン管理されたキーの URI: 暗号化を特定のキー バージョンにロックします。Automation CloudTM はそのバージョンを使用してすべてのデータを暗号化します。
  3. 前に作成した Microsoft Entra ID アプリケーションへのアクセス権を付与します。
    Azure RBAC またはキー コンテナー アクセス ポリシーを使用して、必要な権限を付与します。
  4. Automation CloudTM に戻り、設定を完了します。

顧客管理のキーを編集する

このオプションを有効化すると、接続に関連する詳細を編集することもできるようになります。そのためには、[顧客管理のキー] オプションの [接続を編集] を選択し、必要に応じて任意の情報を変更します。

キーのローテーション

キーを定期的にローテーションし、暗号化されたデータを潜在的な侵害から継続的に保護することをお勧めします。

手動キーローテーション

手動キー ローテーションでは、CMK 構成自体を変更する必要があります。構成全体を変更することもできますが、重大な変更を最小限に抑えるために、キー識別子またはキーのバージョンのみを変更することをお勧めします。

キーの手動ローテーションを実行するには、次の手順を実行します。

  1. 前に設定した Azure Key Vault 内に新しいキーを作成します。

  2. Automation CloudTM の組織で、[管理] > [セキュリティ] に移動します。

  3. [顧客管理のキー][接続を編集] を選択します。

  4. 既存のキー識別子を新しいキーの URI に置き換えます。
注: キー ローテーションは、古いキーと新しいキーの両方が引き続き有効な場合にのみ機能します。

キーの自動ローテーション

キーの自動ローテーションにより、Automation CloudTM は Azure Key Vault で定義されたローテーション ポリシーに基づいて自動的に最新バージョンのキーを使用できます。このアプローチにより、手動での作業が減り、セキュリティが向上します。

キーの自動ローテーション プロセスを有効化するには、次の手順を実行します。

  1. Azure Key Vault で、キーのローテーション ポリシーを作成します。

  2. Automation Cloud で、[顧客管理のキー] 設定に移動してバージョンレス キーの識別子を指定します。

    設定手順については、「 顧客管理のキーを有効化する」をご覧ください。

  3. Azure Key Vault でキーがローテーションされるたびに、Automation CloudTM が最新のキー バージョンを自動的に取得して適用します。

    Automation CloudTM は、新しいキーのバージョンを 1 時間ごとに自動的に確認します。新しいバージョンが利用可能になると、自動で取得・適用されます。

重要:
  • 古いキー バージョンのアクセス権限を無効化または変更しないでください。ローテーション プロセス中に暗号化されたデータへのアクセスが中断されないようにするには、以前のキー バージョンと現在のキー バージョンの両方にアクセス可能な状態を維持する必要があります。
  • 顧客管理のキー設定の手動変更 (キー識別子の更新など) とキーの自動ローテーション イベントは、どちらも Automation CloudTM[管理] にある [監査ログ] セクションで確認できます。

ライセンスのダウングレード

Enterprise プランの有効期限が切れると、自動的に Free プランにダウングレードされます。データの暗号化の観点から期待できる点は次のとおりです。

  • [顧客管理のキー] オプションは依然として有効化されていますが、インターフェイスで灰色表示になります。このため、Key Vault の詳細の変更など、値の編集はできなくなります。
  • [UiPath で管理されるキー (既定)] に切り替えることはできますが、プランを Enterprise にアップグレードするまで [顧客管理のキー] に戻すことができなくなります。

顧客管理のキーを使用するためのベスト プラクティス

顧客管理のキーの使用を開始する前に、留意すべき重要な詳細事項がいくつかあります。

  • キー ローテーション プロセスの一環として新しいキーの使用を開始すると、古いキーを使用してデータにアクセスしたり暗号化したりできなくなります。したがって、古いキーをキー コンテナー内に保持すること、つまり古いキーを削除するのではなく無効化することが重要です。これは特に障害復旧のシナリオで重要になります。この場合、UiPath はデータベースの古いバージョンのバックアップに戻さなければならないことがあります。そのバックアップで古いキーのいずれかが使用されていれば、そのキーにローテーションしてデータ アクセスを回復できます。

    キーを削除する場合は、論理的な削除機能を使用することが重要です。

  • キーを失うと、コンテナーに接続できなくなります。したがって、必ず、組織のセキュリティ ポリシーに従って Azure Portal 上、または Azure とは別のセキュリティで保護されたキー コンテナー内にキーのバックアップを作成する必要があります。
  • シングル サインオンを利用して UiPath のサービスにアクセスしている場合は、緊急アクセス用 (Break Glass) アカウントとして機能するローカル アカウントを作成することを検討できます。外部 ID プロバイダーの情報は、顧客管理のキーで暗号化されたデータに含まれているため、キー コンテナーにアクセスできないと SSO アカウントがアクセス不能になります。
  • セキュリティ上の理由から、最上位レベルの管理者権限を持たないユーザーには顧客管理のキーに対するパージ権限を付与しないようにする必要があります。

  • UiPath がデータにアクセスできないようにする場合、次の図に示すように Azure Key Vault からキーを無効化できます。



    詳しくは、Azure Key Vault の回復操作について説明されたこちらのページをご覧ください。

このページは役に立ちましたか?

サポートとサービス
サポートを受ける
UiPath アカデミー
RPA について学ぶ - オートメーション コース
UiPath フォーラム
UiPath コミュニティ フォーラム
Uipath Logo
信頼とセキュリティ
利用規約
プライバシー ポリシー
Cookie ポリシー
© 2005-2025 UiPath. All rights reserved.