Freigeben über

Bring Your Own Key(BYOK)-Umgebungen auf vom Kunden verwaltete Schlüssel migrieren

  • Artikel

Kunden, die das vorherige Feature zum Verwalten des Schlüssels (BYOK) verwenden, können die Verschlüsselung ihrer Umgebung ändern, um den neuen kundenseitig verwalteten Schlüssel zu verwenden. Sie können auch Ihre vorhandenen Nicht-BYOK-Umgebungen hinzufügen, sodass sie den neuen kundenseitig verwalteten Schlüssel verwenden.

  • Fügen Sie Nicht-BYOK-Umgebungen hinzu: Dies sind Umgebungen, die Sie nicht mit Ihrem eigenen Schlüssel verschlüsselt haben.
  • Migrieren Sie BYOK-Umgebungen: Dies sind Umgebungen, die Sie mit Ihrem eigenen Schlüssel verschlüsselt haben.

Services, die in BYOK-Umgebungen nicht funktionieren

Die Umgebungen der BYOK-Mandanten sind von den folgenden Diensten ausgeschlossen, sofern sie nicht zu einem kundenseitig verwalteten Schlüssel migrieren:

  • In IP-Firewall überwachen
  • Daten im Synapse-Arbeitsbereich und Power BI überwachen
  • Copilot-Suchindex, der die Dataverse-Suche verwendet
  • AI Builder
  • Dataverse-Suchindex
  • Elastische Tabelle
  • Power BI Embedded – Anwendungen und Power BI-Berichte und -Dashboards der Kundschaft
  • Canvas-Apps
  • Power Automate-Flows

So bald wie möglich migrieren

Um einen unterbrechungsfreien Service zu gewährleisten, müssen Kunden, die derzeit das Bring-Your-Own-Key-Feature (BYOK) verwenden, vor dem 6. Januar 2026 auf kundenseitig verwaltete Schlüssel (CMK) migrieren. Sie können sofort zum kundenseitig verwalteten Schlüssel migrieren, ohne dass Sie sich an Microsoft wenden müssen. Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren FastTrack- oder Account Manager oder reichen Sie ein Supportticket ein.

Welche Maßnahmen muss ich ergreifen?

Ab dem 6. Januar 2026 werden wir die BYOK-Funktion (Bring-Your-Own-Key) nicht mehr unterstützen. Kunden wird empfohlen, auf kundenseitig verwaltete Schlüssel (CMK) umzusteigen, eine erweiterte Lösung, die verbesserte Funktionalität, breitere Unterstützung für Datenquellen und bessere Leistung bietet.

Vorteile der Migration zu CMK

  • Verbesserter Datenschutz: Mit CMK können Sie den Datenbankschlüssel für Ihre Microsoft Dataverse-Umgebung verwalten und so eine bessere Kontrolle über Ihre Datensicherheit erhalten.
  • Keine Dateigrößenbeschränkungen: CMK hebt die Größenbeschränkungen beim Hochladen von Dateien und Bildern auf und ermöglicht so die nahtlose Verwaltung größerer Datenbestände.
  • Umfassendere Dienstunterstützung: CMK unterstützt eine breitere Palette von Diensten von Erstanbietern, darunter auch Umgebungen, in denen Dateien und Protokolle in Nicht-Azure-SQL-Datenbanken gespeichert werden, was Kompatibilität und Skalierbarkeit ermöglicht.
  • Keine Ausfallzeiten: Es gibt keine Ausfallzeiten, wenn Sie Ihre BYOK-Umgebung migrieren.

Was passiert, wenn die Migration nicht abgeschlossen wird?

Ab dem 1. Juni 2025 können Kunden BYOK nicht mehr auf Produktionsumgebungen anwenden.

Wenn Ihre Migration zum CMK nicht bis zum 6. Januar 2026 abgeschlossen ist, wird Ihre Umgebung automatisch auf von Microsoft verwaltete Schlüssel zurückgesetzt. Dies gewährleistet zwar die Kontinuität der Verschlüsselung, schränkt jedoch die Kontrolle und Flexibilität ein, die Sie derzeit mit BYOK genießen. Um Unterbrechungen zu vermeiden und die erweiterten Features und die Sicherheit von CMK voll ausschöpfen zu können, empfehlen wir Ihnen dringend, so bald wie möglich mit dem Migrationsprozess zu beginnen.

Überwachungs- und Suchfunktionen

Wenn Sie Überwachungs- und Suchfunktionen in der BYOK-Umgebung aktiviert und Dateien hochgeladen und einen Data Lake erstellt haben, werden alle diese Speicher automatisch erstellt und mit dem kundenseitig verwalteten Schlüssel verschlüsselt.

Wenn Sie die Überwachungs- oder Suchfunktionen nicht oder erst aktiviert haben, nachdem Ihre Umgebung mit diesem Feature verschlüsselt wurde, werden alle diese Speicher auf ähnliche Weise automatisch erstellt und mit dem Schlüssel verschlüsselt.

Migrationsschritte

  1. Erstellen Sie einen neuen Verschlüsselungsschlüssel und eine neue Unternehmensrichtlinie, oder verwenden Sie einen vorhandenen Schlüssel und eine Unternehmensrichtlinie. Weitere Informationen finden Sie unter Schlüssel und Zugriff erstellen und Eine Unternehmensrichtlinie erstellen.
  2. Konfigurieren Sie die Nicht-BYOK- oder BYOK-Umgebung als Verwaltete Umgebung. Weitere Informationen finden Sie unter Verwaltete Umgebung aktivieren.
  3. Fügen Sie die Nicht-BYOK- oder BYOK-Umgebung zur Unternehmensrichtlinie hinzu, um Daten zu verschlüsseln. Weitere Informationen finden Sie unter Eine Umgebung zur Unternehmensrichtlinie zum Verschlüsseln von Daten hinzufügen.

Nach der Migration

Beachten Sie nach Abschluss der Migration Folgendes:

  • Wenn eine BYOK-Umgebung auf einen vom Kunden bzw. der Kundin verwalteten Schlüssel migriert wird, wird die Umgebung in der Liste Umgebungen mit Richtlinien angezeigt, und sie zeigt an, dass sie von CustomerViaMicrosoft auf der Seite Umgebungseinstellungen\Umgebungsverschlüsselung verwaltet wird.

  • Erstellen Sie nach Abschluss der Migration Ihrer letzten BYOK-Umgebung ein Supportticket und fordern Sie Microsoft auf, die BYOK-Option aus Ihrem Power Platform Admin Center zu entfernen. Microsoft entfernt auch die SQL-Dienstbeschränkung aus allen Ihren verbleibenden Umgebungen und löscht die BYOK-Schlüsseltresore aus Ihrem Mandanten, und zwar 28 Tage nach dem Datum, an dem die endgültige BYOK-Umgebung migriert wurde.

  • Sobald eine Umgebung zum vom Kunden bzw. von der Kundin verwalteten Schlüssel migriert wird, wird das Überwachungsprotokoll automatisch nach Azure CosmosDB verschoben und die hochgeladenen Dateien und Bilder werden in den Dateispeicher verschoben und automatisch mit dem vom Kunden bzw. von der Kundin verwalteten Schlüssel verschlüsselt. Die migrierte Umgebung kann nicht mit dem BYOK-Schlüssel erneut verschlüsselt werden. Die Umgebung kann außerdem mindestens sieben Tage lang nicht auf einen von Microsoft verwalteten Schlüssel zurückgesetzt werden.

  • Wenn BYOK-fähige Umgebungen zu dieser Schlüsselverwaltungsfunktion migriert werden, wird der BYOK-Schlüssel im Microsoft-Schlüsseltresor mindestens 28 Tage lang aufbewahrt, damit Unterstützung für die Wiederherstellung der Umgebung verfügbar ist.

  • Neben der Möglichkeit, unterschiedliche oder mehrere Verschlüsselungsschlüssel für separate Umgebungen zu verwenden und Ihren Verschlüsselungsschlüssel in Ihrem eigenen Schlüsseltresor besser zu verwalten, öffnet das Upgrade von BYOK auf einen vom Kunden bzw. von einer Kundin verwalteten Schlüssel Ihre Umgebungen für alle anderen Power Platform-Services, die Nicht-SQL-Speicher verwenden. Zum Beispiel Customer Insights und Analytics, größere Dateiupload-Größen, kosteneffizientere Überwachungsspeicherung mit Überwachungsaufbewahrung, elastische Tabellendienste, Dataverse-Suche und Langzeitaufbewahrung sind verfügbar.

Nächste Schritte,

Kundenseitig verwalteten Verschlüsselungsschlüssel verwalten