BYOK fiyatlandırması ve kısıtlamalarıBYOK pricing and restrictions

Uygulama hedefi: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Azure Information Protection içeren bir aboneliği olan kuruluşlar, kendi Azure Information Protection kiracısını müşteri tarafından yönetilen bir anahtarı (BYOK) kullanacak şekilde yapılandırabilir ve kullanımını oturum.Organizations that have a subscription that includes Azure Information Protection can configure their Azure Information Protection tenant to use a customer-managed key (BYOK) and log its usage.

Anahtar Azure anahtar bir Azure aboneliği gerektiren Kasası'nda depolanması gerekir.The key must be stored in Azure Key Vault, which requires an Azure subscription. Bir HSM korumalı anahtarı kullanmak için Azure anahtar kasası Premium Hizmet katmanını kullanmanız gerekir.To use an HSM-protected key, you must use the Azure Key Vault Premium service tier. Azure Anahtar Kasası’nda anahtar kullanımı aylık olarak ücretlendirilir.Using a key in Azure Key Vault incurs a monthly charge. Daha fazla bilgi edinmek için bkz. Azure Anahtar Kasası Fiyatlandırma sayfası.For more information, see the Azure Key Vault Pricing page.

Azure Information Protection Kiracı anahtarınızı Azure anahtar kasası kullandığınızda, yalnızca Azure Rights Management hizmeti tarafından kullanılmasını sağlamaya yardımcı olmak için bu anahtar için ayrılmış bir anahtar kasanızın kullanmanızı öneririz.When you use Azure Key Vault for your Azure Information Protection tenant key, we recommend that you use a dedicated key vault for this key to help ensure that it's used by only the Azure Rights Management service. Bu yapılandırma, diğer hizmetler tarafından çağrıları aşılmasıyla sonuçlanıyor neden olduğunu sağlar hizmet sınırları key vault için hangi kısıtlama Azure Rights Management hizmeti için yanıt süreleri.This configuration ensures that calls by other services do not result in exceeding the service limits for the key vault, which could throttle the response times for the Azure Rights Management service.

Farklı anahtar yönetimi gereksinimleri genellikle Azure Key Vault kullanan her bir hizmet olduğundan, ayrıca, yanlış yapılandırma karşı koruma sağlanmasına yardımcı olmak bu anahtar kasası için ayrı bir Azure aboneliği öneririz.In addition, because each service that uses Azure Key Vault typically has different key management requirements, we recommend a separate Azure subscription for this key vault to help safeguard against misconfiguration.

Ancak, Azure aboneliğinin Azure Key Vault kullanan diğer hizmetleri ile paylaşmak istiyorsanız, abonelik yöneticileri ortak bir dizi paylaşır emin olun.However, if you want to share an Azure subscription with other services that use Azure Key Vault, make sure that the subscription shares a common set of administrators. Bu önlem, böylece bunları misconfigure daha düşüktür, abonelik kullanan yöneticiler için erişime sahip oldukları tüm anahtarları iyi anlamış olduğu anlamına gelir.This precaution means that the administrators who use that subscription have a good understanding of all the keys that they have access to, so that they are less likely to misconfigure them. Yöneticiler, Azure Information Protection Kiracı anahtarınızı için Office 365 müşteri anahtarı ve CRM Online için anahtarları yönetmek aynı kişilerin varsa, bir paylaşılan Azure aboneliği.For example, a shared Azure subscription if the administrators for your Azure Information Protection tenant key are the same people who administer keys for Office 365 Customer Key and CRM Online. Ancak, müşteri anahtarı veya CRM Online için anahtarları yöneten yöneticiler, Azure Information Protection Kiracı anahtarınızı yönetmek aynı kişilerin emin değilseniz, sonra Azure Information Protection için Azure aboneliğinizi paylaşmayın öneririz.But if the administrators who manage the keys for Customer Key or CRM Online are not the same people who administer your Azure Information Protection tenant key, then we recommend you do not share your Azure subscription for Azure Information Protection.

Azure Anahtar Kasası kullanmanın avantajlarıBenefits of using Azure Key Vault

Azure Information Protection kullanım günlüğü kullanmanın yanı sıra, bu anahtarın yalnızca Azure Rights Management hizmeti tarafından kullanıldığını bağımsız olarak izlemek için Azure Anahtar Kasası günlüğü kullanarak daha fazla güvenlik sağlayabilirsiniz.In addition to using Azure Information Protection usage logging, for additional assurance, you can cross-reference this with Azure Key Vault logging to independently monitor that only the Azure Rights Management service is using this key. Gerekirse, anahtar kasasındaki izinleri kaldırarak anahtara erişimi hemen iptal edebilirsiniz.If necessary, you can immediately revoke access to the key by removing the permissions on the key vault.

Azure Information Protection kiracı anahtarınız için Azure Anahtar Kasası kullanmanın diğer avantajları:Other benefits of using Azure Key Vault for your Azure Information Protection tenant key:

  • Azure Anahtar Kasası, şifreleme kullanan birçok bulut tabanlı hizmete ve hatta şirket içi hizmetlere yönelik tutarlı bir yönetim çözümü sunan merkezi bir anahtar yönetimi çözümü sağlar.Azure Key Vault provides a centralized key management solution that offers a consistent management solution for many cloud-based and even on-premises services that use encryption.

  • Azure Anahtar Kasası, anahtar yönetimi için PowerShell, CLI, REST API ve Azure portalı gibi çok sayıda yerleşik arabirimi destekler.Azure Key Vault supports a number of built-in interfaces for key management, including PowerShell, CLI, REST APIs, and the Azure portal. İzleme gibi belirli görevler için iyileştirilmiş özellikler sağlamak amacıyla diğer hizmet ve araçlar da Anahtar Kasası ile tümleştirilmiştir.Other services and tools have integrated with Key Vault, to provide capabilities that are optimized for specific tasks, such as monitoring. Örneğin, anahtar kullanım günlüklerinizi Operations Management Suite’te sunulan Log Analytics ile çözümleyebilir, belirtilen kriterler karşılandığında tetiklenecek uyarılar oluşturabilir ve diğer benzer işlemleri yapabilirsiniz.For example, you can analyze your key usage logs via Log analytics from the Operations Management Suite, set alerts when specified criteria are met, and so on.

  • Azure Anahtar Kasası, güvenlik alanında kabul gören bir en iyi yöntem olarak rol ayırma olanağı sunar.Azure Key Vault provides role separation, as a recognized security best practice. Azure Information Protection yöneticileri veri sınıflandırmasını ve korumasını yönetme işlemlerine, Azure Anahtar Kasası yöneticileri ise güvenlik veya uyumluluk için ihtiyaç duyabilecekleri şifrelemeyi ve tüm özel ilkeleri yönetme işlemlerine odaklanabilir.Azure Information Protection administrators can focus on managing data classification and protection, and Azure Key Vault administrators can focus on managing encryption keys and any special policies that they might require for security or compliance.

  • Bazı kuruluşların, kendi ana anahtarlarının bulunması gereken yerlere ilişkin kısıtlamaları bulunur.Some organizations have restrictions where their master key must live. Azure Anahtar Kasası, hizmetin birçok Azure bölgesinde kullanılabilmesi nedeniyle ana anahtarın depolanacağı yere ilişkin yüksek düzeyde denetim sağlar.Azure Key Vault provides a high level of control where to store the master key because the service is available in many Azure regions. Şu anda 28 Azure bölgelerinden seçebilir ve artırmak için bu sayıyı bekleyebilirsiniz.Currently, you can choose from 28 Azure regions and you can expect this number to increase. Daha fazla bilgi için bölgelere göre kullanılabilir ürünler sayfa Azure sitesindeki.For more information, see the Products available by region page on the Azure site.

Azure Anahtar Kasası, güvenlik yöneticilerinize anahtar yönetiminde sunduğu yönetim deneyimini, şifreleme kullanan diğer hizmet ve uygulamaların sertifikalarını ve gizli dizilerini (parolalar gibi) depolama, yönetme ve bunlara erişme işlemleri için de sunar.In addition to managing keys, Azure Key Vault offers your security administrators the same management experience to store, access, and manage certificates and secrets (such as passwords) for other services and applications that use encryption.

Azure Anahtar Kasası hakkında daha fazla bilgi için, Azure Anahtar Kasası nedir? kısmına bakın ve en yeni bilgilerin yanı sıra diğer hizmetlerin bu teknolojiyi nasıl kullandığını öğrenmek için Azure Anahtar Kasası ekibi blogunu ziyaret edin.For more information about Azure Key Vault, see What is Azure Key Vault? and visit the Azure Key Vault team blog for the latest information and to learn how other services use this technology.

BYOK kullanımına yönelik kısıtlamalarRestrictions when using BYOK

BYOK ve Kullanım günlüğü, Azure Information Protection tarafından kullanılan Azure Rights Management hizmeti ile tümleşen her uygulamayla sorunsuz bir şekilde çalışır.BYOK and usage logging work seamlessly with every application that integrates with the Azure Rights Management service that is used by Azure Information Protection. Bu SharePoint Online gibi bulut Hizmetleri, şirket içi RMS bağlayıcısını ve Office 2019, Office 2016 ve Office 2013 gibi istemci uygulamalarını kullanarak Azure Rights Management hizmetini kullanan çalışan Exchange ve SharePoint'i çalıştıran sunucular.This includes cloud services such as SharePoint Online, on-premises servers that run Exchange and SharePoint that use the Azure Rights Management service by using the RMS connector, and client applications such as Office 2019, Office 2016, and Office 2013. Bağımsız olarak ve uygulama istekleri için Azure Rights Management hizmeti oluşturan anahtar kullanımı günlükleri alırsınız.You get key usage logs regardless of which application makes requests to the Azure Rights Management service.

Azure RMS'den güvenilen yayımlama etki alanınızı (TPD) içeri aktararak Exchange Online IRM'nin daha önce etkinleştirdiyseniz, yönergeleri izleyin Azure Information ProtectionüzerinekuruluyeniOffice365iletişifrelemeözellikleriniayarlama Exchange Online'da Azure Information Protection için BYOK kullanarak destekleyen yeni özellikleri etkinleştirmek için.If you have previously enabled Exchange Online IRM by importing your trusted publishing domain (TPD) from Azure RMS, follow the instructions in Set up new Office 365 Message Encryption capabilities built on top of Azure Information Protection to enable the new capabilities in Exchange Online that support using BYOK for Azure Information Protection.

Sonraki adımlarNext steps

Kendi anahtarınızı yönetme kararı aldıysanız, Git Azure Information Protection Kiracı anahtarınızı uygulama.If you've made the decision to manage your own key, go to Implementing your Azure Information Protection tenant key.

Microsoft, Kiracı anahtarı, bkz: yönettiği yerdir varsayılan yapılandırma ile kalmayı verdiyseniz sonraki adımlar planlama ve Azure Information Protection Kiracı anahtarı Makalenizi uygulama bölümü.If you've decided to stay with the default configuration where Microsoft manages your tenant key, see the Next steps section of the Planning and implementing your Azure Information Protection tenant key article.