Перевод сред с собственным ключом (BYOK) на управляемый клиентом ключ
Клиенты, использующие предыдущую функцию управления ключом шифрования (BYOK), могут изменить шифрование своей среды, чтобы использовать новый ключ, управляемый клиентом. Вы также можете добавить существующие среды, отличные от BYOK, чтобы использовать новый ключ, управляемый клиентом.
- Добавьте среды, отличные от BYOK — это среды, которые вы не зашифровали с помощью собственного ключа.
- Миграция сред BYOK — это среды, которые вы зашифровали с помощью собственного ключа.
Службы, которые не работают в средах BYOK
В средах клиентов BYOK недоступны следующие службы, если они не перейдут на использование ключа, управляемого клиентом:
- Аудит в IP-брандмауэре
- Аудит данных в рабочей области Synapse и Power BI
- Индекс поиска Copilot, использующий поиск Dataverse
- AI Builder
- Индекс поиска Dataverse
- Эластичные таблицы
- Power BI Embedded — приложения, отчеты и панели мониторинга клиентов Power BI
- Приложения холста
- Потоки Power Automate
Перейдите как можно скорее
Чтобы обеспечить бесперебойную работу, клиенты, которые в настоящее время используют функцию использования собственных ключей (BYOK), должны перейти на ключи, управляемые клиентом (CMK) до 6 января 2026 года. Вы можете перейти на ключ, управляемый клиентом, немедленно, без необходимости обращаться в Microsoft. Если вам нужна помощь, обратитесь к своему менеджеру FastTrack или менеджеру по работе с клиентами либо отправьте запрос в службу поддержки.
Какие действия нужно предпринять?
С 6 января 2026 г. мы прекратим поддержку функции использования собственных ключей (BYOK). Клиентам рекомендуется перейти на управляемые клиентом ключи (CMK) — расширенное решение, которое предлагает улучшенные функциональные возможности, более широкую поддержку источников данных и более высокую производительность.
Преимущества перехода на CMK
- Улучшенная защита данных: CMK позволяет управлять ключом шифрования базы данных для вашей среды Microsoft Dataverse, обеспечивая больший контроль над безопасностью данных.
- Нет ограничений по размеру файлов: CMK снимает ограничения на размер загружаемых файлов и изображений, обеспечивая беспрепятственное управление большими ресурсами данных.
- Расширенная поддержка служб: CMK поддерживает более широкий спектр собственных служб, включая среды, в которых файлы и журналы хранятся в базах данных SQL, отличных от Azure, что обеспечивает совместимость и масштабируемость.
- Отсутствие простоев: при переносе среды BYOK простоев не происходит.
Что произойдет, если миграция не будет завершена?
С 1 июня 2025 г. клиенты не смогут применять BYOK в производственных средах.
Если миграция на CMK не будет завершена до 6 января 2026 г., среда автоматически вернется к ключам, управляемым корпорацией Майкрософт. Несмотря на то, что это обеспечивает непрерывность шифрования, это ограничивает контроль и гибкость, которыми вы в настоящее время пользуетесь при использовании BYOK. Чтобы избежать сбоев и в полной мере воспользоваться расширенными функциями и безопасностью, предлагаемыми CMK, настоятельно рекомендуется начать процесс миграции как можно скорее.
Функции аудита и поиска
Если вы включили функции аудита и поиска в среде BYOK, а также загрузили файлы и создали озеро данных, все эти хранилища автоматически создаются и шифруются с помощью ключа шифрования, управляемого клиентом.
Аналогичным образом, если вы не включили функции аудита или поиска или включили их после шифрования среды с помощью этой функции, все эти хранилища будут автоматически созданы и зашифрованы с помощью ключа шифрования.
Шаги переноса
- Создайте новый ключ шифрования и новую корпоративную политику или используйте существующий ключ и корпоративную политику. Дополнительные сведения см. в статьях Создание ключа шифрования и предоставление доступа и Создание корпоративной политики.
- Настройте среду, отличную от BYOK, или среду BYOK как управляемую среду. Подробнее см. в разделе Включение управляемой среды.
- Добавьте среду, отличную от BYOK, или среду BYOK в корпоративную политику для шифрования данных. Дополнительные сведения см. в статье Добавление среды в корпоративную политику для шифрования данных.
Действия после миграции
После завершения миграции обратите внимание на следующее:
Когда среда BYOK переносится на ключ, управляемый клиентом, среда отображается в списке Среды с политиками, и указывается, что ей управляет CustomerViaMicrosoft на странице Параметры среды\Шифрование среды.
После завершения миграции последней среды BYOK создайте запрос в службу поддержки и попросите Microsoft удалить параметр BYOK из вашего Центра администрирования Power Platform. Microsoft также снимет ограничение службы SQL со всех оставшихся сред и удалит хранилища ключей BYOK из вашего клиента по истечении 28 дней с даты переноса окончательной среды BYOK.
После переноса среды на ключ, управляемый клиентом, журнал аудита автоматически перемещается в Azure CosmosDB, а загружаемые файлы и изображения перемещаются в хранилище файлов и автоматически шифруются с помощью ключа, управляемого клиентом. Перенесенную среду невозможно повторно зашифровать с помощью ключа BYOK. Среда также не может быть возвращена к ключу, управляемому Microsoft, в течение как минимум семи дней.
Когда среды с поддержкой BYOK переносятся на эту функцию управления ключами, ключ BYOK в хранилище ключей Microsoft сохраняется не менее 28 дней, чтобы была доступна поддержка для восстановления среды.
В дополнение к возможности использовать разные ключи шифрования для отдельных сред и более эффективно управлять вашим ключом шифрования в собственном хранилище ключей, обновление BYOK до ключа, управляемого клиентом, открывает ваши среды для всех других служб Power Platform, использующих хранилище, отличное от SQL. Например, доступны следующие возможности: Customer Insights и Analytics, возможность отправки больших файлов, более экономичное хранилище аудита с определенным периодом хранения аудита, службы эластичных таблиц, поиск Dataverse и долгосрочное хранение.