Preços e restrições de BYOKBYOK pricing and restrictions

Aplica-se a: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

As organizações que têm uma subscrição que inclui o Azure Information Protection podem configurar o respetivo inquilino do Azure Information Protection para utilizar uma chave gerida pelo cliente (BYOK) e registar a sua utilização sem custos adicionais.Organizations that have a subscription that includes Azure Information Protection can configure their Azure Information Protection tenant to use a customer-managed key (BYOK) and log its usage at no extra charge.

A chave tem de ser armazenada no Azure Key Vault, o que requer uma subscrição paga (ou de avaliação) do Azure além de que tem de utilizar a camada de serviço Azure Key Vault Premium para suportar chaves protegidas por HSM.The key must be stored in Azure Key Vault, which requires a paid (or trial) Azure subscription and you must use the Azure Key Vault Premium service tier to support HSM-protected keys. A utilização de uma chave protegida por HSM no Azure Key Vault implica um custo mensal.Using an HSM-protected key in Azure Key Vault incurs a monthly charge. Para obter mais informações, veja a página de Preços do Azure Key Vault.For more information, see the Azure Key Vault Pricing page.

Quando utilizar o Azure Key Vault para a sua chave de inquilino do Azure Information Protection, recomendamos que tenha um cofre de chaves dedicado para esta chave com uma subscrição dedicada, para garantir que só é utilizada pelo serviço Azure Rights Management.When you use Azure Key Vault for your Azure Information Protection tenant key, we recommend that you use a dedicated key vault for this key with a dedicated subscription, to ensure that it's used by only the Azure Rights Management service.

Vantagens de utilizar o Azure Key VaultBenefits of using Azure Key Vault

Além de utilizar o registo de utilização do Azure Information Protection, para uma segurança adicional, pode utilizá-lo como referência cruzada com o registo do Azure Key Vault para monitorizar de forma independente e certificar-se de que apenas o serviço Azure Rights Management está a utilizar esta chave.In addition to using Azure Information Protection usage logging, for additional assurance, you can cross-reference this with Azure Key Vault logging to independently monitor that only the Azure Rights Management service is using this key. Se for necessário, pode revogar imediatamente o acesso à chave ao remover as permissões no cofre de chaves.If necessary, you can immediately revoke access to the key by removing the permissions on the key vault.

Outras vantagens de utilizar o Azure Key Vault para a sua chave de inquilino do Azure Information Protection:Other benefits of using Azure Key Vault for your Azure Information Protection tenant key:

  • O Azure Key Vault fornece uma solução de gestão de chaves centralizada que proporciona uma solução de gestão consistente para muitos serviços baseados na cloud e até serviços no local que utilizem encriptação.Azure Key Vault provides a centralized key management solution that offers a consistent management solution for many cloud-based and even on-premises services that use encryption.

  • O Azure Key Vault suporta diversas interfaces incorporadas para a gestão de chaves, incluindo o PowerShell, a CLI, APIs REST e o portal do Azure.Azure Key Vault supports a number of built-in interfaces for key management, including PowerShell, CLI, REST APIs, and the Azure portal. Foram integrados outros serviços e ferramentas com o Cofre de Chaves, para fornecer funcionalidades que sejam otimizadas para tarefas específicas, tais como a monitorização.Other services and tools have integrated with Key Vault, to provide capabilities that are optimized for specific tasks, such as monitoring. Por exemplo, pode analisar os registos de utilização da sua chave através do Log Analytics do Operations Management Suite, definir alertas quando os critérios especificados forem correspondidos, entre outras tarefas.For example, you can analyze your key usage logs via Log analytics from the Operations Management Suite, set alerts when specified criteria are met, and so on.

  • O Azure Key Vault proporciona uma separação de funções, como melhor prática de segurança comprovada.Azure Key Vault provides role separation, as a recognized security best practice. Os administradores do Azure Information Protection podem concentrar-se na gestão da proteção e classificação de dados e os administradores do Azure Key Vault podem concentrar-se na gestão de chaves de encriptação e todas as políticas especiais que possam ser necessárias para a segurança ou conformidade.Azure Information Protection administrators can focus on managing data classification and protection, and Azure Key Vault administrators can focus on managing encryption keys and any special policies that they might require for security or compliance.

  • Algumas organizações têm restrições relativamente ao local em que a chave mestra tem de ser armazenada.Some organizations have restrictions where their master key must live. O Azure Key Vault fornece um elevado nível de controlo sobre o local onde armazena a chave mestra, uma vez que o serviço se encontra disponível em muitas regiões do Azure.Azure Key Vault provides a high level of control where to store the master key because the service is available in many Azure regions. Neste momento, dispõe de 28 regiões à escolha [regiões do Azure e é provável que este número aumente.Currently, you can choose from 28 [Azure regions and you can expect this number to increase. Para mais informações, consulte a página Produtos disponíveis por região no site do Azure.For more information, see the Products available by region page on the Azure site.

Além da gestão de chaves, o Azure Key Vault proporciona aos seus administradores de segurança a mesma experiência em gestão para armazenar, aceder e gerir certificados e segredos (por exemplo, palavras-passe) de outros serviços e aplicações que utilizam encriptação.In addition to managing keys, Azure Key Vault offers your security administrators the same management experience to store, access, and manage certificates and secrets (such as passwords) for other services and applications that use encryption.

Para mais informações sobre o Azure Key Vault, consulte O que é o Azure Key Vault? e aceda ao blogue de equipa do Azure Key Vault para consultar as informações mais recentes e saber como os outros serviços utilizam esta tecnologia.For more information about Azure Key Vault, see What is Azure Key Vault? and visit the Azure Key Vault team blog for the latest information and to learn how other services use this technology.

Restrições de utilização de BYOKRestrictions when using BYOK

O BYOK e o registo de utilização funcionam perfeitamente com todas as aplicações integradas no serviço Azure Rights Management (Azure RMS) utilizado pelo Azure Information Protection.BYOK and usage logging work seamlessly with every application that integrates with the Azure Rights Management service (Azure RMS) that is used by Azure Information Protection. Isto inclui serviços na cloud como o SharePoint Online, servidores no local que executam o Exchange e SharePoint e que funcionam com o Azure RMS ao utilizar o conector RMS e aplicações de cliente como o Office 2016 e o Office 2013.This includes cloud services such as SharePoint Online, on-premises servers that run Exchange and SharePoint that work with Azure RMS by using the RMS connector, and client applications such as Office 2016 and Office 2013. Irá obter registos de utilização da chave, independentemente da aplicação que efetua os pedidos do Azure RMS.You will get key usage logs regardless of which application makes requests of Azure RMS.

Existe uma exceção: atualmente, o BYOK do Azure RMS não é compatível com o Exchange Online:There is one exception: Currently, Azure RMS BYOK is not compatible with Exchange Online:

O BYOK não suporta o Exchange Online

Se desejar utilizar o Exchange Online, recomendamos que implemente agora o Azure RMS no modo de gestão de chaves predefinido, em que a Microsoft gera e faz a gestão da sua chave.If you want to use Exchange Online, we recommend that you deploy Azure RMS in the default key management mode now, where Microsoft generates and manages your key. Pode mudar para o BYOK posteriormente, por exemplo, quando o Exchange Online suportar o BYOK do Azure RMS.You have the option to move to BYOK later, for example, when Exchange Online does support Azure RMS BYOK. No entanto, se não puder aguardar, pode implementar o Azure RMS com o BYOK agora, com a funcionalidade do RMS reduzida no Exchange Online (os e-mails e anexos desprotegidos permanecem totalmente funcionais):However, if you cannot wait, another option is to deploy Azure RMS with BYOK now, with reduced RMS functionality for Exchange Online (unprotected emails and unprotected attachments remain fully functional):

  • Os e-mails e anexos protegidos no Outlook Web Access não podem ser apresentados.Protected emails or protected attachments in Outlook Web Access cannot be displayed.

  • Os e-mails protegidos em dispositivos móveis que utilizem a IRM do Exchange ActiveSync não podem ser apresentados.Protected emails on mobile devices that use Exchange ActiveSync IRM cannot be displayed.

  • Não é possível realizar a desencriptação de transporte (por exemplo, para procurar software maligno) e a desencriptação do diário, por isso, os e-mails e anexos protegidos serão ignorados.Transport decryption (for example, to scan for malware) and journal decryption is not possible, so protected emails and protected attachments will be skipped.

  • As regras de proteção de transporte e a prevenção de perda de dados (DLP) que impõem as políticas IRM não podem ser executadas, pelo que não é possível aplicar a proteção RMS com estes métodos.Transport protection rules and data loss prevention (DLP) that enforce IRM policies is not possible, so RMS protection cannot be applied by using these methods.

  • A pesquisa baseada no servidor não abrange e-mails protegidos, por isso, estes serão ignorados.Server-based search for protected emails, so protected emails will be skipped.

Quando utilizar o BYOK do Azure RMS com funcionalidade reduzida do RMS no Exchange Online, o RMS irá funcionar com os clientes de e-mail no Outlook, Windows e Mac e noutros clientes de e-mail que não utilizem a IRM do Exchange ActiveSync.When you use Azure RMS BYOK with reduced RMS functionality for Exchange Online, RMS will work with email clients in Outlook on Windows and Mac, and on other email clients that don't use Exchange ActiveSync IRM.

Caso esteja a migrar para o Azure RMS a partir do AD RMS, pode ter importado a chave como um domínio de publicação fidedigno (TPD) para o Exchange Online (também denominado BYOK na terminologia do Exchange, que é diferente do BYOK do Azure Key Vault).If you are migrating to Azure RMS from AD RMS, you might have imported your key as a trusted publishing domain (TPD) to Exchange Online (also called BYOK in Exchange terminology, which is separate from Azure Key Vault BYOK). Neste cenário, tem de remover o TPD do Exchange Online para evitar que os modelos e políticas entrem em conflito.In this scenario, you must remove the TPD from Exchange Online to avoid conflicting templates and policies. Para mais informações, consulte Remove-RMSTrustedPublishingDomain na biblioteca de cmdlets do Exchange Online.For more information, see Remove-RMSTrustedPublishingDomain from the Exchange Online cmdlets library.

Por vezes, a exceção do BYOK do Azure RMS para o Exchange Online não é um problema a níveis práticos.Sometimes, the Azure RMS BYOK exception for Exchange Online is not a problem in practice. Por exemplo, as organizações que precisam do BYOK e do registo executam as suas aplicações de dados (Exchange, SharePoint, Office) no local e utilizam o Azure RMS para obter funcionalidades que não estão facilmente disponíveis no AD RMS no local (por exemplo, a colaboração com outras empresas e o acesso a partir de clientes móveis).For example, organizations that need BYOK and logging run their data applications (Exchange, SharePoint, Office) on-premises, and use Azure RMS for functionality that is not easily available with on-premises AD RMS (for example, collaboration with other companies and access from mobile clients). O BYOK e o registo funcionam bem neste cenário e permitem que a organização tenha um controlo total sobre a sua subscrição do Azure RMS.Both BYOK and logging work well in this scenario and allow the organization to have full control over their Azure RMS subscription.

Passos seguintesNext steps

Se tiver tomado a decisão de gerir a sua própria chave, aceda a Implementar a sua chave de inquilino do Azure Rights Management.If you've made the decision to manage your own key, go to Implementing your Azure Rights Management tenant key.

Se tiver decidido manter a configuração predefinida, em que a Microsoft gere a sua chave de inquilino, consulte a secção Passos seguintes do artigo Planear e implementar a sua chave de inquilino do Azure Rights Management.If you've decided to stay with the default configuration where Microsoft manages your tenant key, see the Next steps section of the Planning and implementing your Azure Rights Management tenant key article.

ComentáriosComments

Antes de inserir um comentário, pedimos-lhe que reveja as nossas Regras básicas.Before commenting, we ask that you review our House rules.