次の方法で共有

Bring Your Own Key (BYOK) 環境をカスタマー マネージド キーに移行する

  • [アーティクル]

以前の 暗号化キーの管理 (BYOK) 機能を使用している顧客は、新しい カスタマー マネージド キー を使用するように環境の暗号化を変更できます。 また、既存の非 BYOK 環境を追加して、新しいカスタマー マネージド キーを使用することもできます。

  • BYOK 以外の環境を追加する – これらは、独自のキーで暗号化されていない環境です。
  • BYOK 環境を移行する – これらは、独自のキーで暗号化した環境です。

BYOK 環境で機能しないサービス

BYOK テナントの環境は、顧客管理キーに移行しない限り、次のサービスからロックアウトされます。

  • IP ファイアウォールで監査する
  • Synapse ワークスペースと Power BI の監査データ
  • Copilot 検索インデックスは Dataverse 検索を使用します
  • AI Builder
  • Dataverse 検索インデックス
  • エラスティック テーブル
  • Power BI embedded – アプリケーションと顧客の Power BI レポートとダッシュボード
  • キャンバス アプリ
  • Power Automate フロー

できるだけ早く移行する

サービスを中断させないために、現在 Bring-Your-Own-Key (BYOK) 機能を使用しているお客様は、2026 年 1 月 6 日までにカスタマー マネージド キー (CMK) に移行する必要があります。 マイクロソフトに問い合わせることなく、カスタマー マネージド キー にすぐに移行できます。 サポートが必要な場合は、FastTrack またはアカウント マネージャーに連絡するか、サポート チケットを送信してください。

どのアクションを実行する必要がありますか?

2026 年 1 月 6 日以降、Bring Your Own Key (BYOK) 機能のサポートを終了します。 お客様には、機能の向上、データ ソースのサポートの拡大、パフォーマンスの向上を提供する拡張ソリューションであるカスタマー マネージド キー (CMK) に移行することをお勧めします。

CMK に移行するメリット

  • データ保護の強化: CMK を使用して、Microsoft Dataverse 環境のデータベース暗号化キーを管理して、データセキュリティをより詳細に制御できます。
  • ファイル サイズ制限なし: CMK では、ファイルと画像のアップロードサイズ制限がなくなり、より大きなデータ資産をシームレスに管理できます。
  • 幅広いサービスのサポート: CMK は、ファイルやログが Azure 以外の SQL データベースに格納される環境など、より幅広いファース トパーティ サービスをサポートし、互換性とスケーラビリティを実現します。
  • ダウンタイムなし: BYOK 環境の移行時にダウンタイムは発生しません。

移行が完了していない場合はどうなりますか?

2025 年 6 月 1 日以降、お客様は運用環境に BYOK を適用できなくなります。

CMK への移行が 2026 年 1 月 6 日までに完了しない場合、環境は自動的に Microsoft マネージド キーに戻ります。 これにより、暗号化の継続性は確保されますが、現在 BYOK で享受している制御と柔軟性が制限されます。 中断を回避し、CMK が提供する拡張機能とセキュリティを最大限に活用するために、できるだけ早く移行プロセスを開始することを強くお勧めします。

監査および検索機能

BYOK 環境で監査および検索機能を有効にし、ファイルをアップロードしてデータ レイクを作成した場合、これらのストレージはすべて自動的に作成され、カスタマー マネージド暗号化キーで暗号化されます。

同様に、監査機能または検索機能を有効にしなかった場合、またはこの機能で環境が暗号化された後にそれらをオンにした場合、これらのストレージはすべて自動的に作成され、暗号化キーで暗号化されます。

移行手順

  1. 新しい暗号化キーと新しいエンタープライズ ポリシーを作成するか、既存のキーとエンタープライズ ポリシーを使用します。 詳細については、暗号化キーの作成とアクセスの許可 および エンタープライズ ポリシーの作成 を参照してください。
  2. 非 BYOK または BYOK 環境を マネージド環境 として構成します。 詳細については、マネージド環境を有効化する を参照してください。
  3. 非 BYOK または BYOK 環境をエンタープライズ ポリシーへに追加してデータを暗号化します。 詳細については、環境をエンタープライズ ポリシーに追加してデータを暗号化する を参照してください。

移行後

移行が完了したら、次の点に注意してください。

  • BYOK 環境がカスタマー マネージド キーに移行されると、環境はポリシーのある環境 リストに表示され、環境設定\環境暗号化 ページで CustomerViaMicrosoft が管理していることを示します。

  • 最後の BYOK 環境の移行が完了したら、サポート チケットを作成し、Power Platform 管理センターから BYOK オプションを削除するようマイクロソフトにリクエストします。 マイクロソフトは、最後の BYOK 環境が移行された日から 28 日後に、残りのすべての環境から SQL サービス制限を削除し、テナントから BYOK キー コンテナーを削除します。

  • 環境がカスタマー マネージド キーに移行されると、監査ログは自動的に Azure Cosmos DB に移動され、アップロード ファイルと画像はファイル ストレージに移動され、カスタマー マネージド キーで自動的に暗号化されます。 移行した環境は、BYOK キーを使用して再暗号化することはできません。 また、少なくとも 7 日間は、環境を Microsoft マネージド キーに戻すことはできません。

  • BYOK が有効な環境がこのキー管理機能に移行されると、Microsoft キー コンテナーの BYOK キーは少なくとも 28 日間保持されるため、環境の復元のサポートを利用できます。

  • BYOK をカスタマー マネージド キーにアップグレードすると、個別の環境で異なるまたは複数の暗号化キーを使用できるようになり、独自の Key Vault で暗号化キーをより適切に管理できるだけでなく、非 SQL ストレージを使用する他のすべての Power Platform サービスを環境で利用できるようになります。 たとえば、Customer Insights と Analytics、大規模なファイル アップロード サイズ、監査保持機能を備えたコスト効率の高い監査ストレージ、柔軟なテーブル サービス、Dataverse 検索、長期保有を使用できます。

次の手順

顧客管理型環境の暗号化キーを管理する