Compartilhar via

Migrar de ambientes Trazer sua própria chave (BYOK) para a chave gerenciada pelo cliente

  • Artigo

Para clientes que usam o recurso gerenciar a chave de criptografia (BYOK) anterior, eles podem alterar a criptografia do ambiente para usar a nova chave gerenciada pelo cliente. Você também pode adicionar seus ambientes não-BYOK existentes para usar a nova chave gerenciada pelo cliente.

  • Adicione ambientes não-BYOK, esses são ambientes que você não criptografou com sua própria chave.
  • Migrar ambientes BYOK, esses são ambientes que você criptografou com sua própria chave.

Serviços que não funcionam em ambientes BYOK

Os ambientes dos locatários BYOK são bloqueados dos seguintes serviços, a menos que migrem para a chave gerenciada pelo cliente:

  • Auditar em firewall IP
  • Auditar dados no workspace do Synapse e no Power BI
  • Índice de pesquisa do Copilot que usa a pesquisa do Dataverse
  • AI Builder
  • Índice de pesquisa do Dataverse
  • Tabelas elásticas
  • Power BI Embedded – relatórios e painéis do Power BI de aplicativos e clientes
  • Aplicativos de tela
  • Fluxos do Power Automate

Migrar assim que possível

Para garantir um serviço ininterrupto, os clientes que atualmente usam o recurso traga sua própria chave (BYOK) devem migrar para chaves gerenciadas pelo cliente (CMK) antes de 6 de janeiro de 2026. Você pode migrar para chave gerenciada pelo cliente imediatamente, sem precisar entrar em contato com a Microsoft. Se precisar de ajuda, entre em contato com seu FastTrack ou gerente de conta ou envie um tíquete de suporte.

Qual ação preciso executar?

A partir de 6 de janeiro de 2026, descontinuaremos o suporte para o recurso traga sua própria chave (BYOK). Os clientes são incentivados a fazer a transição para chaves gerenciadas pelo cliente (CMK), uma solução aprimorada que oferece funcionalidade aprimorada, suporte mais amplo para fontes de dados e melhor desempenho.

Benefícios da migração para CMK

  • Proteção de dados aprimorada: a CMK permite que você gerencie a chave de criptografia do banco de dados para seu ambiente do Microsoft Dataverse, proporcionando maior controle sobre a segurança dos dados.
  • Sem limitações de tamanho de arquivo: a CMK remove os limites de tamanho de upload para arquivos e imagens, permitindo o gerenciamento contínuo de ativos de dados maiores.
  • Suporte de serviço mais amplo: a CMK oferece suporte a uma ampla gama de serviços primários, incluindo ambientes onde arquivos e logs são armazenados em bancos de dados SQL que não são do Azure, permitindo compatibilidade e escalabilidade.
  • Sem tempo de inatividade: não há tempo de inatividade quando você migra seu ambiente BYOK.

O que acontece se a migração não for concluída?

A partir de 1º de junho de 2025, os clientes não poderão aplicar o BYOK a ambientes de produção.

Se a migração para a CMK não for concluída até 6 de janeiro de 2026, seu ambiente será revertido automaticamente para chaves gerenciadas pela Microsoft. Embora isso garanta a continuidade da criptografia, limita o controle e a flexibilidade que você desfruta atualmente com o BYOK. Para evitar interrupções e aproveitar ao máximo os recursos e a segurança aprimorados oferecidos pela CMK, é altamente recomendável que você inicie seu processo de migração o mais rápido possível.

Funcionalidade de auditoria e pesquisa

Se você ativou a funcionalidade de auditoria e pesquisa no ambiente BYOK e carregou arquivos e criou um data lake, todos esses armazenamentos serão criados e criptografados automaticamente com a chave de criptografia gerenciada pelo cliente.

Da mesma forma, se você não ativou as funcionalidades de auditoria ou pesquisa ou as ativou depois que seu ambiente foi criptografado com esse recurso, todos esses armazenamentos são criados automaticamente e criptografados com a chave de criptografia.

Etapas da migração

  1. Crie uma nova chave de criptografia e uma nova política corporativa ou use uma chave e uma política corporativa existentes. Saiba mais em Criar chave de criptografia e conceder acesso e Criar política empresarial.
  2. Configure o ambiente não-BYOK ou BYOK como um Ambiente Gerenciado. Saiba mais em Ativar Ambiente Gerenciado.
  3. Adicione o ambiente não-BYOK ou BYOK à política da empresa para criptografar dados. Saiba mais em Adicionar um ambiente à política corporativa para criptografar dados.

Depois da migração

Depois de concluir a migração, observe o seguinte:

  • Quando um ambiente BYOK é migrado para chave gerenciada pelo cliente, o ambiente aparece na lista Ambientes com políticas w mostra que ela é gerenciada por ClienteViaMicrosoft na página Configurações do Ambiente\Criptografia do Ambiente.

  • Após a conclusão da migração do seu último ambiente BYOK, crie um tíquete de suporte e solicite à Microsoft que remova a opção BYOK do seu centro de administração do Power Platform. A Microsoft também removerá a restrição de serviço SQL de todos os seus ambientes restantes e excluirá os cofres de chaves de BYOK de seu locatário, após 28 dias a partir da data em que o ambiente de BYOK final foi migrado.

  • Depois que um ambiente é migrado para a chave gerenciada pelo cliente, o log de auditoria é movido automaticamente para o Azure CosmosDB e os arquivos e imagens de upload são movidos para o armazenamento de arquivos e são criptografados automaticamente com a chave gerenciada pelo cliente. O ambiente migrado não pode ser criptografado novamente com a chave BYOK. O ambiente também não pode ser revertido para a chave gerenciada pela Microsoft por pelo menos sete dias.

  • Quando os ambientes habilitados para BYOK são migrados para esse recurso de gerenciamento de chaves, a chave BYOK no cofre de chaves da Microsoft é retida por pelo menos 28 dias para que o suporte esteja disponível para restaurar o ambiente.

  • Além de ter a capacidade de usar chaves de criptografia diferentes ou múltiplas para ambientes separados e melhor gerenciamento de sua chave de criptografia em seu próprio cofre de chaves, atualizar BYOK para chave gerenciada pelo cliente abre seus ambientes para todos os outros serviços do Power Platform que usam armazenamento não SQL. Por exemplo, Customer Insights and Analytics, tamanhos de upload de arquivo maiores, armazenamento de auditoria mais econômico com retenção de auditoria, serviços de tabela elástica, pesquisa do Dataverse e retenção de longo prazo estão disponíveis.

Próximas etapas

Gerenciar sua chave de criptografia gerenciada pelo cliente