Compartir vía

Migrar entornos de traiga su propia clave (BYOK) a una clave administrada por el cliente

  • Artículo

Para los clientes que usaban la característica anterior de administrar la clave de cifrado (BYOK), pueden cambiar el cifrado de su entorno para usar la nueva clave administrada por el cliente. También puede agregar sus entornos existentes que no son BYOK para usar la nueva clave administrada por el cliente.

  • Agregue entornos que no sean BYOK: estos son entornos que no ha cifrado con su propia clave.
  • Migre entornos BYOK: estos son entornos que ha cifrado con su propia clave.

Servicios que no funcionan en entornos BYOK

Los entornos de los inquilinos de BYOK no pueden acceder a los siguientes servicios a menos que migren a una clave administrada por el cliente:

  • Auditar en el firewall de IP
  • Auditar datos en el espacio de trabajo de Synapse y Power BI
  • Índice de búsqueda de Copilot que utiliza la búsqueda de Dataverse
  • AI Builder
  • Índice de búsqueda de Dataverse
  • Tablas elásticas
  • Power BI Embedded: aplicaciones e informes y paneles de control de Power BI de los clientes
  • Aplicaciones de lienzo
  • Flujos de Power Automate

Migre lo antes posible

Para garantizar un servicio ininterrumpido, los clientes que actualmente utilizan la característica "traiga su propia clave" (BYOK) deben migrar a claves administradas por el cliente (CMK) antes del 6 de enero de 2026. Puede migrar a clave administrada por el cliente inmediatamente sin necesidad de comunicarse con Microsoft. Si necesita ayuda, contacte con su FastTrack o gerente de cuenta, o envíe una incidencia de soporte técnico.

¿Qué debo hacer?

A partir del 6 de enero de 2026, dejaremos de admitir la función "traiga su propia llave" (BYOK). Se anima a los clientes a realizar la transición a claves administradas por el cliente (CMK), una solución mejorada que ofrece una funcionalidad mejorada, una compatibilidad más amplia con los orígenes de datos y un mejor rendimiento.

Beneficios de migrar a CMK

  • Protección de datos mejorada: CMK permite administrar la clave de cifrado de la base de datos para su entorno de Microsoft Dataverse, lo que proporciona un mayor control sobre la seguridad de sus datos.
  • Sin limitaciones de tamaño de archivo: CMK elimina los límites de tamaño de carga para archivos e imágenes, lo que permite una administración perfecta de activos de datos más grandes.
  • Soporte de servicio más amplio: CMK admite una gama más amplia de servicios propios, incluidos entornos donde los archivos y registros se almacenan en bases de datos SQL que no son de Azure, lo que permite compatibilidad y escalabilidad.
  • Sin tiempo de inactividad: no hay tiempo de inactividad cuando migra su entorno BYOK.

¿Qué sucede si no se completa la migración?

A partir del 1 de junio de 2025, los clientes no podrán aplicar BYOK a los entornos de producción.

Si la migración a CMK no se completa antes del 6 de enero de 2026, el entorno vuelve automáticamente a las claves administradas por Microsoft. Si bien esto garantiza la continuidad del cifrado, limita el control y la flexibilidad de los que disfruta actualmente con BYOK. Para evitar interrupciones y aprovechar al máximo las funciones mejoradas y la seguridad que ofrece CMK, le recomendamos encarecidamente que comience el proceso de migración lo antes posible.

Funcionalidad de auditoría y búsqueda

Si ha activado la funcionalidad de auditoría y búsqueda en el entorno BYOK y ha cargado archivos y creado un lago de datos, todos estos almacenamientos se crean y cifran automáticamente con la clave de cifrado administrada por el cliente.

Del mismo modo, si no activó las funcionalidades de auditoría o búsqueda o las activó después de cifrar su entorno con esta característica, todos estos almacenamientos se crean y cifran automáticamente con la clave de cifrado.

Pasos de migración

  1. Cree una nueva clave de cifrado y una nueva directiva empresarial, o use una clave y una directiva empresarial ya existentes. Obtenga más información en Crear clave de cifrado y conceder acceso y Crear directiva empresarial.
  2. Configurar el entorno no BYOK o BYOK como un entorno administrado. Más información en Habilitar entorno administrado.
  3. Agregue el entorno no BYOK o BYOK a la directiva de la empresa para cifrar los datos. Obtenga más información en Agregar un entorno a la directiva empresarial para cifrar datos.

Después de la migración

Después de completar la migración, tenga en cuenta lo siguiente:

  • Cuando un entorno BYOK se migra a una clave administrada por el cliente, el entorno aparece en la lista Entornos con políticas y muestra que es administrado por CustomerViaMicrosoft en la página Configuración del entorno\Cifrado del entorno.

  • Al finalizar la migración de su último entorno BYOK, cree una incidencia de soporte y solicite a Microsoft que elimine la opción BYOK de su centro de administración Power Platform. Microsoft también quitará la restricción del servicio SQL de todos sus entornos restantes y eliminará los almacenes de claves BYOK de su arrendatario, después de 28 días a partir de la fecha en que se migró el entorno BYOK final.

  • Una vez que un entorno se migra a la clave administrada por el cliente, el registro de auditoría se mueve automáticamente a Azure CosmosDB y los archivos e imágenes cargados se mueven al almacenamiento de archivos y se cifran automáticamente con la clave administrada por el cliente. El entorno migrado no se puede volver a cifrar con la clave BYOK. El entorno tampoco se puede revertir a la clave administrada por Microsoft durante al menos siete días.

  • Cuando los entornos habilitados para BYOK se migran a esta característica de administración de claves, la clave BYOK en el almacén de claves de Microsoft se retiene durante al menos 28 días para que el soporte esté disponible para restaurar el entorno.

  • Además de tener la capacidad de usar claves de cifrado diferentes o múltiples para entornos separados y una mejor administración de su clave de cifrado en su propio almacén de claves, actualizar BYOK a una clave administrada por el cliente abre sus entornos a todos los demás servicios de Power Platform que utilizan almacenamiento no SQL. Por ejemplo, Customer Insights and Analytics, tamaños de carga de archivos más grandes, almacenamiento de auditoría más rentable con retención de auditoría, servicios de tablas elásticas, la búsqueda de Dataverse y la retención a largo plazo están disponibles.

Pasos siguientes

Administrar su clave de encriptación administrada por el cliente