将创建自己的密钥 (BYOK) 环境迁移到客户管理的密钥
对于使用以前的管理加密密钥 (BYOK) 功能的客户,他们可以更改启用 BYOK 的环境的加密,以使用新的客户管理的密钥。 您还可以添加现有的支持非 BYOK 的环境以使用新的客户管理的密钥。
- 添加支持非 BYOK 的环境 - 您尚未使用自己的密钥加密这些环境。
- 迁移支持 BYOK 的环境 - 您已经使用自己的密钥加密这些环境。
备注
BYOK 租户的环境无法使用以下服务,除非他们迁移到客户管理的密钥:
- IP 防火墙中的审核
- Synapse 工作区和 Power BI 中的审核数据
- 使用 Dataverse 搜索的 Copilot 搜索索引
- AI Builder
- Dataverse 搜索索引
- 弹性表
- Power BI embedded - 应用和客户 Power BI 报告和控制面板
- 画布应用
- Power Automate 流
重要提示
您可以立即迁移到 客户管理的密钥 ,而无需联系 Microsoft。 如果您需要帮助,请与您的 FastTrack 或客户经理联系,或提交支持票证。
完成最后一个 BYOK 环境的迁移后,请创建支持票证并请求 Microsoft 从 Power Platform 管理中心中删除 BYOK 选项。 Microsoft 还将从所有剩余环境中删除 SQL 服务限制,并在最终 BYOK 环境迁移之日起 28 天后从租户中删除 BYOK 密钥保管库。
当环境迁移到客户管理的密钥后,审核日志会自动移动到 Azure CosmosDB,上载文件和图像会移至文件存储中,并且使用客户管理的密钥自动进行加密。 无法使用 BYOK 密钥对迁移后的环境进行重新加密。 环境在至少 7 天内也无法恢复为 Microsoft 托管密钥。
当启用了 BYOK 的环境迁移到此密钥管理功能时,密钥保管库中的 Microsoft BYOK 密钥将保留至少 28 天,以便支持还原环境。
除了能够使用不同的或多个加密密钥在单独的环境中并更好地管理您自己的密钥保管库中的加密密钥,将 BYOK 升级到客户管理的密钥可打开您的环境,以使用非 SQL 存储的所有其他 Power Platform 服务。 例如,提供 Customer Insights 和分析、较大的文件上载大小、通过审核保留提高审核效率的审核存储、弹性表服务、Dataverse 搜索和长期保留。
如果在 BYOK 环境中启用了审核和搜索功能,并且上传了文件并创建了数据湖,则所有这些存储将自动创建并使用客户管理的加密密钥加密。
同样,如果您没有启用这些审核或搜索功能,并在使用此功能加密您的环境后启用这些功能,则所有这些存储将自动创建并使用加密密钥加密。
- 创建新的加密密钥和新的企业策略,或使用现有密钥与企业策略。 详细信息:创建加密密钥并授予访问权限和创建企业策略。
- 作为托管环境启用非 BYOK 或 BYOK 环境。 详细信息:启用托管环境。
- 将非 BYOK 或 BYOK 环境添加到策略或企业策略中以加密数据:详细信息:将环境添加到企业策略以加密数据。
备注
迁移 BYOK 环境时不会缩短故障时间。
当 BYOK 环境迁移到客户管理的密钥时,该环境会在具有策略的环境列表中显示,并且显示在环境设置\环境加密页面上由 CustomerViaMicrosoft 管理。