Bring Your Own Key (BYOK) 環境をカスタマー マネージド キーに移行する
以前の暗号キーの管理 (BYOK) 機能を使用している場合、BYOK 対応環境の暗号化を変更して、新しい カスタマー マネージド キーを使用できます。 既存の非 BYOK 対応環境を追加して、新しいカスタマー マネージド キーを使用することもできます。
- 非 BYOK 対応環境を追加します。これらは、独自のキーで暗号化していない環境です。
- BYOK 対応環境を移行します。これらは、独自のキーで暗号化している環境です。
注意
BYOK テナントの環境は、顧客管理キーに移行しない限り、次のサービスからロックアウトされます。
- IP ファイアウォールで監査する
- Synapse ワークスペースと Power BI の監査データ
- Copilot 検索インデックスは Dataverse 検索を使用します
- AI Builder
- Dataverse 検索インデックス
- エラスティック テーブル
- Power BI embedded – アプリケーションと顧客の Power BI レポートとダッシュボード
- キャンバス アプリ
- Power Automate フロー
重要
マイクロソフトに問い合わせることなく、カスタマー マネージド キー にすぐに移行できます。 サポートが必要な場合は、FastTrack またはアカウント マネージャーに連絡するか、サポート チケットを送信してください。
最後の BYOK 環境の移行が完了したら、サポート チケットを作成し、Power Platform 管理センターから BYOK オプションを削除するようマイクロソフトにリクエストします。 マイクロソフトは、最後の BYOK 環境が移行された日から 28 日後に、残りのすべての環境から SQL サービス制限を削除し、テナントから BYOK キー コンテナーを削除します。
環境がカスタマー マネージド キーに移行されると、監査ログは自動的に Azure Cosmos DB に移動され、アップロード ファイルと画像はファイル ストレージに移動され、カスタマー マネージド キーで自動的に暗号化されます。 移行した環境は、BYOK キーを使用して再暗号化することはできません。 また、少なくとも 7 日間は、環境を Microsoft 管理のキーに戻すこともできません。
BYOK が有効な環境がこのキー管理機能に移行されると、Microsoft キー コンテナーの BYOK キーは少なくとも 28 日間保持されるため、環境の復元のサポートを利用できます。
BYOK をカスタマー マネージド キーにアップグレードすると、個別の環境で異なるまたは複数の暗号化キーを使用できるようになり、独自の Key Vault で暗号化キーをより適切に管理できるだけでなく、非 SQL ストレージを使用する他のすべての Power Platform サービスを環境で利用できるようになります。 たとえば、Customer Insights と Analytics、大規模なファイル アップロード サイズ、監査保持機能を備えたコスト効率の高い監査ストレージ、柔軟なテーブル サービス、Dataverse 検索、長期保有を使用できます。
BYOK 環境で監査と検索を有効にし、ファイルをアップロードしてデータ レイクを作成した場合、これらのストレージはすべて自動的に作成され、顧客管理の暗号化キーで暗号化されます。
同様に、これらの監査または検索機能を有効にせず、環境がこの機能で暗号化された後に有効にした場合、これらのすべてのストレージが自動的に作成され、暗号化キーで暗号化されます。
- 新しい暗号化キーと新しいエンタープライズ ポリシーを作成するか、既存のキーとエンタープライズ ポリシーを使用します。 詳細については、暗号化キーの作成とアクセスの許可 と エンタープライズ ポリシーを作成する を参照してください。
- 非 BYOK または BYOK 環境を 管理対象環境 として有効にします。 詳細については、環境でマップを有効にする を参照してください。
- 非 BYOK または BYOK 環境をエンタープライズ ポリシーのポリシーに追加して、データを暗号化します。詳細については、エンタープライズ ポリシーに環境を追加して、データを暗号化する を参照してください。
注意
BYOK 環境を移行するときにダウンタイムは発生しません。
BYOK 環境がカスタマー マネージド キーに移行されると、環境はポリシーのある環境 リストに表示され、環境設定\環境暗号化 ページで CustomerViaMicrosoft が管理していることを示します。