Tarifs et restrictions BYOKBYOK pricing and restrictions

S’applique à : Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Les organisations qui ont un abonnement incluant Azure Information Protection peuvent configurer leur locataire Azure Information Protection pour utiliser une clé gérée par le client (BYOK) et consigner son utilisation dans un journal sans frais supplémentaires.Organizations that have a subscription that includes Azure Information Protection can configure their Azure Information Protection tenant to use a customer-managed key (BYOK) and log its usage at no extra charge.

La clé doit être stockée dans Azure Key Vault, qui nécessite un abonnement Azure payant (ou d’évaluation), et vous devez utiliser le niveau de service Premium d’Azure Key Vault pour prendre en charge les clés protégées par HSM.The key must be stored in Azure Key Vault, which requires a paid (or trial) Azure subscription and you must use the Azure Key Vault Premium service tier to support HSM-protected keys. L’utilisation d’une clé protégée par HSM dans Azure Key Vault entraîne des frais mensuels.Using an HSM-protected key in Azure Key Vault incurs a monthly charge. Pour plus d’informations, consultez la page Tarification d’Azure Key Vault.For more information, see the Azure Key Vault Pricing page.

Quand vous utilisez Azure Key Vault pour votre clé de locataire Azure Information Protection, nous vous recommandons d’utiliser un coffre de clés dédié à cette clé avec un abonnement dédié, pour garantir qu’il est utilisé seulement par le service Azure Rights Management.When you use Azure Key Vault for your Azure Information Protection tenant key, we recommend that you use a dedicated key vault for this key with a dedicated subscription, to ensure that it's used by only the Azure Rights Management service.

Avantages de l’utilisation d’Azure Key VaultBenefits of using Azure Key Vault

En plus de la journalisation de l’utilisation d’Azure Information Protection, vous pouvez doubler avec la journalisation d’Azure Key Vault pour surveiller de façon indépendante que seul le service Azure Rights Management utilise cette clé.In addition to using Azure Information Protection usage logging, for additional assurance, you can cross-reference this with Azure Key Vault logging to independently monitor that only the Azure Rights Management service is using this key. Si nécessaire, vous pouvez révoquer immédiatement l’accès à la clé en supprimant les autorisations sur le coffre de clés.If necessary, you can immediately revoke access to the key by removing the permissions on the key vault.

Voici d’autres avantages de l’utilisation d’Azure Key Vault pour votre clé de locataire Azure Information Protection :Other benefits of using Azure Key Vault for your Azure Information Protection tenant key:

  • Azure Key Vault fournit une solution centralisée et cohérente de gestion de clés pour de nombreux services cloud et même locaux utilisant le chiffrement.Azure Key Vault provides a centralized key management solution that offers a consistent management solution for many cloud-based and even on-premises services that use encryption.

  • Azure Key Vault prend en charge plusieurs interfaces intégrées pour la gestion de clés, notamment PowerShell, CLI, les API REST et le portail Azure.Azure Key Vault supports a number of built-in interfaces for key management, including PowerShell, CLI, REST APIs, and the Azure portal. D’autres outils et services sont intégrés à Azure Key Vault dans le but de fournir des fonctionnalités optimisées pour des tâches spécifiques, comme la surveillance.Other services and tools have integrated with Key Vault, to provide capabilities that are optimized for specific tasks, such as monitoring. Par exemple, vous pouvez analyser vos journaux d’utilisation des clés via Log Analytics à partir d’Operations Management Suite, définir des alertes quand des critères spécifiés sont remplis, etc.For example, you can analyze your key usage logs via Log analytics from the Operations Management Suite, set alerts when specified criteria are met, and so on.

  • Azure Key Vault offre une séparation des rôles, qui est une bonne pratique reconnue en matière de sécurité.Azure Key Vault provides role separation, as a recognized security best practice. Les administrateurs d’Azure Information Protection peuvent se concentrer sur la gestion de la protection et la classification des données, tandis que les administrateurs d’Azure Key Vault peuvent se concentrer sur la gestion des clés de chiffrement et des stratégies spéciales qui peuvent nécessiter une sécurité ou une conformité.Azure Information Protection administrators can focus on managing data classification and protection, and Azure Key Vault administrators can focus on managing encryption keys and any special policies that they might require for security or compliance.

  • Certaines organisations ont des restrictions quant à l’emplacement où doit se trouver leur clé principale.Some organizations have restrictions where their master key must live. Azure Key Vault offre un niveau élevé de contrôle quant à l’emplacement où la clé principale est stockée car le service est disponible dans de nombreuses régions Azure.Azure Key Vault provides a high level of control where to store the master key because the service is available in many Azure regions. Actuellement, vous pouvez choisir parmi 28 régions Azure. Attendez-vous à ce que ce nombre augmente.Currently, you can choose from 28 [Azure regions and you can expect this number to increase. Pour plus d’informations, consultez la page Disponibilité des produits par région sur le site Azure.For more information, see the Products available by region page on the Azure site.

Outre la gestion des clés, Azure Key Vault offre à vos administrateurs de sécurité la même expérience de gestion pour stocker, utiliser et gérer les certificats et les secrets (comme les mots de passe) pour d’autres services et applications qui utilisent le chiffrement.In addition to managing keys, Azure Key Vault offers your security administrators the same management experience to store, access, and manage certificates and secrets (such as passwords) for other services and applications that use encryption.

Pour plus d’informations sur Azure Key Vault, consultez Qu’est-ce qu’Azure Key Vault ? et visitez le blog de l’équipe Azure Key Vault pour obtenir les informations les plus récentes et découvrir comment d’autres services utilisent cette technologie.For more information about Azure Key Vault, see What is Azure Key Vault? and visit the Azure Key Vault team blog for the latest information and to learn how other services use this technology.

Restrictions lors de l’utilisation de BYOKRestrictions when using BYOK

BYOK et la journalisation de l’utilisation fonctionnent de façon transparente avec chaque application qui s’intègre au service Azure Rights Management (Azure RMS) utilisé par Azure Information Protection.BYOK and usage logging work seamlessly with every application that integrates with the Azure Rights Management service (Azure RMS) that is used by Azure Information Protection. Sont compris : les services cloud, comme SharePoint Online, les serveurs locaux exécutant Exchange et SharePoint qui fonctionnent avec Azure RMS grâce au connecteur RMS, et les applications clientes comme Office 2016 et Office 2013.This includes cloud services such as SharePoint Online, on-premises servers that run Exchange and SharePoint that work with Azure RMS by using the RMS connector, and client applications such as Office 2016 and Office 2013. Vous obtenez des journaux d'utilisation de la clé, quelle que soit l'application effectuant des requêtes Azure RMS.You will get key usage logs regardless of which application makes requests of Azure RMS.

Il existe une exception : Actuellement, la solution Azure RMS BYOK n'est pas compatible avec Exchange Online :There is one exception: Currently, Azure RMS BYOK is not compatible with Exchange Online:

BYOK ne prend pas en charge Exchange Online

Si vous souhaitez utiliser Exchange Online, nous vous recommandons de déployer Azure RMS maintenant en mode de gestion de clés par défaut dans lequel Microsoft génère et gère votre clé.If you want to use Exchange Online, we recommend that you deploy Azure RMS in the default key management mode now, where Microsoft generates and manages your key. Vous avez la possibilité de passer à la solution BYOK ultérieurement, par exemple, quand Exchange Online prend en charge Azure RMS BYOK.You have the option to move to BYOK later, for example, when Exchange Online does support Azure RMS BYOK. Toutefois, si vous ne pouvez pas attendre, une autre option consiste à déployer Azure RMS avec la solution BYOK et des fonctionnalités RMS réduites pour Exchange Online (les pièces jointes et messages électroniques non protégés restent entièrement fonctionnels) :However, if you cannot wait, another option is to deploy Azure RMS with BYOK now, with reduced RMS functionality for Exchange Online (unprotected emails and unprotected attachments remain fully functional):

  • Il n'est pas possible d'afficher les pièces jointes ou messages électroniques protégés dans Outlook Web Access.Protected emails or protected attachments in Outlook Web Access cannot be displayed.

  • Il n'est pas possible d'afficher les messages électroniques protégés sur des appareils mobiles utilisant l'IRM Exchange ActiveSync.Protected emails on mobile devices that use Exchange ActiveSync IRM cannot be displayed.

  • Le déchiffrement du transport (par exemple, pour détecter des logiciels malveillants) et le déchiffrement du journal étant impossibles, les messages électroniques et pièces jointes protégés sont ignorés.Transport decryption (for example, to scan for malware) and journal decryption is not possible, so protected emails and protected attachments will be skipped.

  • Les règles de protection du transport et la protection contre la perte de données (DLP) qui appliquent les stratégies IRM ne sont pas disponibles. La protection RMS ne peut donc pas être appliquée à l'aide de ces méthodes.Transport protection rules and data loss prevention (DLP) that enforce IRM policies is not possible, so RMS protection cannot be applied by using these methods.

  • La recherche basée sur les serveurs de messages électroniques protégés n’est pas disponible. Les messages électroniques protégés sont donc ignorés.Server-based search for protected emails, so protected emails will be skipped.

Lorsque vous utilisez la solution BYOK Azure RMS avec des fonctionnalités RMS réduites pour Exchange Online, RMS fonctionne avec les clients de messagerie dans Outlook sur Mac et Windows et sur d'autres clients de messagerie qui n'utilisent pas Exchange ActiveSync IRM.When you use Azure RMS BYOK with reduced RMS functionality for Exchange Online, RMS will work with email clients in Outlook on Windows and Mac, and on other email clients that don't use Exchange ActiveSync IRM.

Si vous effectuez une migration vers Azure RMS depuis AD RMS, vous avez peut-être importé votre clé comme domaine de publication approuvé (TPD) dans Exchange Online (également appelé BYOK dans la terminologie d’Exchange, qui est distincte du BYOK d’Azure Key Vault).If you are migrating to Azure RMS from AD RMS, you might have imported your key as a trusted publishing domain (TPD) to Exchange Online (also called BYOK in Exchange terminology, which is separate from Azure Key Vault BYOK). Dans ce scénario, vous devez supprimer le domaine de publication approuvé d'Exchange Online afin d'éviter les modèles et stratégies en conflit.In this scenario, you must remove the TPD from Exchange Online to avoid conflicting templates and policies. Pour plus d’informations, consultez Remove-RMSTrustedPublishingDomain dans la bibliothèque d’applets de commande Exchange Online.For more information, see Remove-RMSTrustedPublishingDomain from the Exchange Online cmdlets library.

Parfois, l'exception BYOK d'Azure RMS pour Exchange Online n'est pas un problème dans la pratique.Sometimes, the Azure RMS BYOK exception for Exchange Online is not a problem in practice. Par exemple, les organisations qui souhaitent utiliser la solution BYOK et la journalisation exécutent leurs applications de données (Exchange, SharePoint, Office) en local et utilisent Azure RMS pour les fonctionnalités qui ne sont pas facilement disponibles avec AD RMS en local (par exemple, collaboration avec d'autres sociétés et accès à partir de clients mobiles).For example, organizations that need BYOK and logging run their data applications (Exchange, SharePoint, Office) on-premises, and use Azure RMS for functionality that is not easily available with on-premises AD RMS (for example, collaboration with other companies and access from mobile clients). La solution BYOK et la journalisation fonctionnent bien dans ce scénario et offrent aux organisations un contrôle total sur leur abonnement Azure RMS.Both BYOK and logging work well in this scenario and allow the organization to have full control over their Azure RMS subscription.

Étapes suivantesNext steps

Si vous avez décidé de gérer votre propre clé, accédez à Implémentation de votre clé de client Azure Rights Management.If you've made the decision to manage your own key, go to Implementing your Azure Rights Management tenant key.

Si vous souhaitez que Microsoft gère votre clé de client (configuration par défaut), consultez la section Étapes suivantes de l’article Planification et implémentation de votre clé de client Azure Rights Management.If you've decided to stay with the default configuration where Microsoft manages your tenant key, see the Next steps section of the Planning and implementing your Azure Rights Management tenant key article.

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.