Tarifs et restrictions BYOKBYOK pricing and restrictions

S’applique à : Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Les organisations qui ont un abonnement incluant Azure Information Protection peuvent configurer leur locataire Azure Information Protection pour utiliser une clé gérée par le client (BYOK) et consigner son utilisation dans un journal sans frais supplémentaires.Organizations that have a subscription that includes Azure Information Protection can configure their Azure Information Protection tenant to use a customer-managed key (BYOK) and log its usage at no extra charge.

La clé doit être stockée dans Azure Key Vault, ce qui nécessite un abonnement Azure.The key must be stored in Azure Key Vault, which requires an Azure subscription. Pour utiliser une clé protégée par module HSM, vous devez utiliser le niveau de service Azure Key Vault Premium.To use an HSM-protected key, you must use the Azure Key Vault Premium service tier. L’utilisation d’une clé dans Azure Key Vault entraîne des frais mensuels.Using a key in Azure Key Vault incurs a monthly charge. Pour plus d’informations, consultez la page Tarification d’Azure Key Vault.For more information, see the Azure Key Vault Pricing page.

Quand vous utilisez Azure Key Vault pour votre clé de locataire Azure Information Protection, nous vous recommandons d’utiliser un coffre de clés dédié à cette clé, avec un abonnement dédié.When you use Azure Key Vault for your Azure Information Protection tenant key, we recommend that you use a dedicated key vault for this key with a dedicated subscription. Cette configuration permet de garantir qu’elle est utilisée seulement par le service Azure Rights Management.This configuration helps to ensure that it's used by only the Azure Rights Management service.

Avantages de l’utilisation d’Azure Key VaultBenefits of using Azure Key Vault

En plus de la journalisation de l’utilisation d’Azure Information Protection, vous pouvez doubler avec la journalisation d’Azure Key Vault pour surveiller de façon indépendante que seul le service Azure Rights Management utilise cette clé.In addition to using Azure Information Protection usage logging, for additional assurance, you can cross-reference this with Azure Key Vault logging to independently monitor that only the Azure Rights Management service is using this key. Si nécessaire, vous pouvez révoquer immédiatement l’accès à la clé en supprimant les autorisations sur le coffre de clés.If necessary, you can immediately revoke access to the key by removing the permissions on the key vault.

Voici d’autres avantages de l’utilisation d’Azure Key Vault pour votre clé de locataire Azure Information Protection :Other benefits of using Azure Key Vault for your Azure Information Protection tenant key:

  • Azure Key Vault fournit une solution centralisée et cohérente de gestion de clés pour de nombreux services cloud et même locaux utilisant le chiffrement.Azure Key Vault provides a centralized key management solution that offers a consistent management solution for many cloud-based and even on-premises services that use encryption.

  • Azure Key Vault prend en charge plusieurs interfaces intégrées pour la gestion de clés, notamment PowerShell, CLI, les API REST et le portail Azure.Azure Key Vault supports a number of built-in interfaces for key management, including PowerShell, CLI, REST APIs, and the Azure portal. D’autres outils et services sont intégrés à Azure Key Vault dans le but de fournir des fonctionnalités optimisées pour des tâches spécifiques, comme la surveillance.Other services and tools have integrated with Key Vault, to provide capabilities that are optimized for specific tasks, such as monitoring. Par exemple, vous pouvez analyser vos journaux d’utilisation des clés via Log Analytics à partir d’Operations Management Suite, définir des alertes quand des critères spécifiés sont remplis, etc.For example, you can analyze your key usage logs via Log analytics from the Operations Management Suite, set alerts when specified criteria are met, and so on.

  • Azure Key Vault offre une séparation des rôles, qui est une bonne pratique reconnue en matière de sécurité.Azure Key Vault provides role separation, as a recognized security best practice. Les administrateurs d’Azure Information Protection peuvent se concentrer sur la gestion de la protection et la classification des données, tandis que les administrateurs d’Azure Key Vault peuvent se concentrer sur la gestion des clés de chiffrement et des stratégies spéciales qui peuvent nécessiter une sécurité ou une conformité.Azure Information Protection administrators can focus on managing data classification and protection, and Azure Key Vault administrators can focus on managing encryption keys and any special policies that they might require for security or compliance.

  • Certaines organisations ont des restrictions quant à l’emplacement où doit se trouver leur clé principale.Some organizations have restrictions where their master key must live. Azure Key Vault offre un niveau élevé de contrôle quant à l’emplacement où la clé principale est stockée car le service est disponible dans de nombreuses régions Azure.Azure Key Vault provides a high level of control where to store the master key because the service is available in many Azure regions. Actuellement, vous pouvez choisir parmi 28 régions Azure. Attendez-vous à ce que ce nombre augmente.Currently, you can choose from 28 [Azure regions and you can expect this number to increase. Pour plus d’informations, consultez la page Disponibilité des produits par région sur le site Azure.For more information, see the Products available by region page on the Azure site.

Outre la gestion des clés, Azure Key Vault offre à vos administrateurs de sécurité la même expérience de gestion pour stocker, utiliser et gérer les certificats et les secrets (comme les mots de passe) pour d’autres services et applications qui utilisent le chiffrement.In addition to managing keys, Azure Key Vault offers your security administrators the same management experience to store, access, and manage certificates and secrets (such as passwords) for other services and applications that use encryption.

Pour plus d’informations sur Azure Key Vault, consultez Qu’est-ce qu’Azure Key Vault ? et visitez le blog de l’équipe Azure Key Vault pour obtenir les informations les plus récentes et découvrir comment d’autres services utilisent cette technologie.For more information about Azure Key Vault, see What is Azure Key Vault? and visit the Azure Key Vault team blog for the latest information and to learn how other services use this technology.

Restrictions lors de l’utilisation de BYOKRestrictions when using BYOK

BYOK et la journalisation de l’utilisation fonctionnent de façon homogène avec chaque application qui s’intègre au service Azure Rights Management utilisé par Azure Information Protection.BYOK and usage logging work seamlessly with every application that integrates with the Azure Rights Management service that is used by Azure Information Protection. Ceci comprend des services cloud comme SharePoint Online, les serveurs locaux exécutant Exchange et SharePoint qui utilisent le service Azure Rights Management avec le connecteur RMS, et des applications clientes comme Office 2016 et Office 2013.This includes cloud services such as SharePoint Online, on-premises servers that run Exchange and SharePoint that use the Azure Rights Management service by using the RMS connector, and client applications such as Office 2016 and Office 2013. Vous obtenez des journaux d’utilisation de la clé, quelle que soit l’application effectuant des demandes au service Azure Rights Management.You will get key usage logs regardless of which application makes requests to the Azure Rights Management service.

Si vous avez activé Exchange Online IRM en important votre domaine de publication approuvé à partir d’Azure RMS, suivez les instructions dans Configurer de nouvelles fonctionnalités de chiffrement de messages Office 365 reposant sur Azure Information Protection pour activer les nouvelles fonctionnalités dans Exchange Online qui prennent en charge BYOK pour Azure Information Protection.If you have previously enabled Exchange Online IRM by importing your trusted publishing domain (TPD) from Azure RMS, follow the instructions in Set up new Office 365 Message Encryption capabilities built on top of Azure Information Protection to enable the new capabilities in Exchange Online that support using BYOK for Azure Information Protection.

Étapes suivantesNext steps

Si vous avez décidé de gérer votre propre clé, accédez à Implémentation de votre clé de client Azure Rights Management.If you've made the decision to manage your own key, go to Implementing your Azure Rights Management tenant key.

Si vous souhaitez que Microsoft gère votre clé de client (configuration par défaut), consultez la section Étapes suivantes de l’article Planification et implémentation de votre clé de client Azure Rights Management.If you've decided to stay with the default configuration where Microsoft manages your tenant key, see the Next steps section of the Planning and implementing your Azure Rights Management tenant key article.

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.