Ceny a omezení funkce BYOKBYOK pricing and restrictions

Platí pro: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Organizace, které mají předplatné, které zahrnuje Azure Information Protection můžete nakonfigurovat jejich klienta Azure Information Protection pomocí klíče spravovaného zákazníkem (BYOK) a protokolovat její použití.Organizations that have a subscription that includes Azure Information Protection can configure their Azure Information Protection tenant to use a customer-managed key (BYOK) and log its usage.

Klíč musí být uložen v Azure Key Vault, který vyžaduje předplatné Azure.The key must be stored in Azure Key Vault, which requires an Azure subscription. Chcete-li použít klíč chráněný HSM, je nutné použít vrstvě služby Azure Key Vault Premium.To use an HSM-protected key, you must use the Azure Key Vault Premium service tier. Za použití klíče ve službě Azure Key Vault se účtují měsíční poplatky.Using a key in Azure Key Vault incurs a monthly charge. Další informace najdete na stránce s informacemi o cenách služby Azure Key Vault.For more information, see the Azure Key Vault Pricing page.

Při použití Azure Key Vault pro váš klíč klienta Azure Information Protection, doporučujeme použít vyhrazený trezor klíčů pro tento klíč k zajištění, že je používána pouze službu Azure Rights Management.When you use Azure Key Vault for your Azure Information Protection tenant key, we recommend that you use a dedicated key vault for this key to help ensure that it's used by only the Azure Rights Management service. Tato konfigurace zajistí, že volání v případě ostatních služeb nevedou k překročení omezení služby pro trezor klíčů, který může omezit dobu odezvy na službu Azure Rights Management.This configuration ensures that calls by other services do not result in exceeding the service limits for the key vault, which could throttle the response times for the Azure Rights Management service.

Kromě toho každá služba, která používá Azure Key Vault obvykle obsahuje požadavky na jiné správy klíčů, a proto doporučujeme samostatné předplatné Azure pro tento trezor klíčů, což zajistí ochranu proti chybné konfigurace.In addition, because each service that uses Azure Key Vault typically has different key management requirements, we recommend a separate Azure subscription for this key vault to help safeguard against misconfiguration.

Pokud chcete sdílet s jinými službami, které používají Azure Key Vault předplatné Azure, ale ujistěte, že předplatné sdílí společnou sadu správci.However, if you want to share an Azure subscription with other services that use Azure Key Vault, make sure that the subscription shares a common set of administrators. Toto opatření znamená, že správci, kteří používají toto předplatné mít dostatečné povědomí o všechny klíče, aby měli přístup, tak, aby byly méně pravděpodobné, že je misconfigure.This precaution means that the administrators who use that subscription have a good understanding of all the keys that they have access to, so that they are less likely to misconfigure them. Například sdílené Azure předplatné, pokud jsou správci pro váš klíč klienta Azure Information Protection stejné lidé, kteří spravovat klíče pro klíč zákazníků Office 365 a CRM Online.For example, a shared Azure subscription if the administrators for your Azure Information Protection tenant key are the same people who administer keys for Office 365 Customer Key and CRM Online. Ale pokud správci, kteří spravují klíče pro klíč zákazníka nebo CRM Online nejsou stejné lidé, kteří spravovat klíč klienta Azure Information Protection, pak doporučujeme, abyste že nesdílíte vašeho předplatného Azure pro Azure Information Protection.But if the administrators who manage the keys for Customer Key or CRM Online are not the same people who administer your Azure Information Protection tenant key, then we recommend you do not share your Azure subscription for Azure Information Protection.

Výhody používání služby Azure Key VaultBenefits of using Azure Key Vault

Kromě protokolování využití služby Azure Information Protection můžete pro zvýšení zajištění používat také protokolování služby Azure Key Vault a nezávisle tak monitorovat, že tento klíč používá jenom služba Azure Rights Management.In addition to using Azure Information Protection usage logging, for additional assurance, you can cross-reference this with Azure Key Vault logging to independently monitor that only the Azure Rights Management service is using this key. V případě potřeby můžete okamžitě odvolat přístup ke klíči odebráním oprávnění ve službě Key Vault.If necessary, you can immediately revoke access to the key by removing the permissions on the key vault.

Další výhody používání služby Azure Key Vault pro klíč tenanta služby Azure Information Protection:Other benefits of using Azure Key Vault for your Azure Information Protection tenant key:

  • Služba Azure Key Vault poskytuje centralizovanou správu klíčů, která nabízí jednotné řešení správy pro mnoho cloudových a dokonce i místních služeb využívajících šifrování.Azure Key Vault provides a centralized key management solution that offers a consistent management solution for many cloud-based and even on-premises services that use encryption.

  • Služba Azure Key Vault podporuje řadu integrovaných rozhraní pro správu klíčů, včetně PowerShellu, CLI, rozhraní REST API a portálu Azure Portal.Azure Key Vault supports a number of built-in interfaces for key management, including PowerShell, CLI, REST APIs, and the Azure portal. Ve službě Key Vault jsou integrované další služby a nástroje, které nabízejí funkce optimalizované pro specifické úlohy, třeba pro monitorování.Other services and tools have integrated with Key Vault, to provide capabilities that are optimized for specific tasks, such as monitoring. Můžete třeba prostřednictvím Log Analytics v Operations Management Suite analyzovat protokoly použití klíče, nastavit upozornění při splnění určitých kritérií a podobně.For example, you can analyze your key usage logs via Log analytics from the Operations Management Suite, set alerts when specified criteria are met, and so on.

  • Jako nejvhodnější postup z hlediska zabezpečení nabízí služba Azure Key Vault oddělení rolí.Azure Key Vault provides role separation, as a recognized security best practice. Správci služby Azure Information Protection se můžou zaměřit na správu klasifikace dat a jejich ochrany a správci služby Azure Key Vault se můžou zaměřit na správu šifrovacích klíčů a všech zvláštních zásad, které se můžou vyžadovat pro zabezpečení nebo dodržování předpisů.Azure Information Protection administrators can focus on managing data classification and protection, and Azure Key Vault administrators can focus on managing encryption keys and any special policies that they might require for security or compliance.

  • Některé organizace mají omezení, že jejich hlavní klíč musí být aktivní.Some organizations have restrictions where their master key must live. Služba Azure Key Vault nabízí vysokou úroveň řízení pro určení místa uložení hlavního klíče, protože je dostupná v mnoha oblastech Azure.Azure Key Vault provides a high level of control where to store the master key because the service is available in many Azure regions. V současné době můžete vybrat z 28 oblastí Azure a můžete očekávat, že tento počet zvýšit.Currently, you can choose from 28 Azure regions and you can expect this number to increase. Další informace najdete v tématu produkty dostupné podle oblasti na webu Azure.For more information, see the Products available by region page on the Azure site.

Kromě správy klíčů nabízí služba Azure Key Vault správcům zabezpečení stejné prostředí pro ukládání, přístup a správu certifikátů a tajných kódů (například hesel) pro další služby a aplikace, které používají šifrování.In addition to managing keys, Azure Key Vault offers your security administrators the same management experience to store, access, and manage certificates and secrets (such as passwords) for other services and applications that use encryption.

Další informace o službě Azure Key Vault najdete v článku Co je Azure Key Vault. Nejnovější informace o této službě a informace o tom, jak tuto technologii používají jiné služby, najdete v blogu týmu Azure Key Vault.For more information about Azure Key Vault, see What is Azure Key Vault? and visit the Azure Key Vault team blog for the latest information and to learn how other services use this technology.

Omezení při použití funkce BYOKRestrictions when using BYOK

BYOK a protokolování využití bezproblémově pracovat s každou aplikaci, která spolupracuje se službou Azure Rights Management, který se používá služba Azure Information Protection.BYOK and usage logging work seamlessly with every application that integrates with the Azure Rights Management service that is used by Azure Information Protection. To zahrnuje cloudové služby jako SharePoint Online, místní servery se systémem Exchange a SharePoint, které používají službu Azure Rights Management pomocí konektoru služby RMS a klientské aplikace, třeba Office 2016 a Office 2013.This includes cloud services such as SharePoint Online, on-premises servers that run Exchange and SharePoint that use the Azure Rights Management service by using the RMS connector, and client applications such as Office 2016 and Office 2013. Zobrazí se bez ohledu na to, které aplikace zadává požadavky na službu Azure Rights Management protokoly o použití klíče.You get key usage logs regardless of which application makes requests to the Azure Rights Management service.

Pokud jste povolili dříve Exchange Online IRM importováním svou důvěryhodnou doménu publikování (TPD) ze služby Azure RMS, postupujte podle pokynů v nastavit nové možnosti šifrování zpráv Office 365 postavená na Azure Information Protection povolit nové funkce v systému Exchange Online, které podporují použití funkce BYOK pro Azure Information Protection.If you have previously enabled Exchange Online IRM by importing your trusted publishing domain (TPD) from Azure RMS, follow the instructions in Set up new Office 365 Message Encryption capabilities built on top of Azure Information Protection to enable the new capabilities in Exchange Online that support using BYOK for Azure Information Protection.

Další krokyNext steps

Pokud jste udělali rozhodnutí ohledně spravovat vlastní klíč, přejděte na implementace klíče klienta Azure Information Protection.If you've made the decision to manage your own key, go to Implementing your Azure Information Protection tenant key.

Pokud jste se rozhodli zůstat u výchozí konfigurace, kde Microsoft spravuje vaše klienta klíče najdete v tématu další kroky části plánování a implementace váš článek klíče klienta Azure Information Protection.If you've decided to stay with the default configuration where Microsoft manages your tenant key, see the Next steps section of the Planning and implementing your Azure Information Protection tenant key article.

KomentářeComments

Před přidáním komentáře se podívejte na naše pravidla organizace.Before commenting, we ask that you review our House rules.