Configuración y configuración de Cifrado de datos personales
En este artículo se describen las opciones de cifrado de datos personales y cómo configurarlas a través de Microsoft Intune o proveedores de servicios de configuración (CSP).
Nota
El cifrado de datos personales se puede configurar mediante directivas MDM. El contenido que se va a proteger mediante el cifrado de datos personales se puede especificar mediante las API de cifrado de datos personales. No hay ninguna interfaz de usuario en Windows para habilitar el cifrado de datos personales o proteger el contenido mediante cifrado de datos personales.
Las API de cifrado de datos personales se pueden usar para crear scripts y aplicaciones personalizados para especificar qué contenido proteger y en qué nivel proteger el contenido. Además, las API de cifrado de datos personales no se pueden usar para proteger el contenido hasta que se haya habilitado la directiva de cifrado de datos personales.
Configuración de cifrado de datos personales
En la tabla siguiente se enumeran los valores necesarios para habilitar el cifrado de datos personales.
| Nombre del valor de configuración | Descripción |
|---|---|
| Habilitación del cifrado de datos personales | El cifrado de datos personales no está habilitado de forma predeterminada. Para poder usar el cifrado de datos personales, debe habilitarlo. |
| Inicio de sesión y bloqueo automático del último usuario interactivo después de un reinicio | El inicio de sesión de reinicio automático de Winlogon (ARSO) no se admite para su uso con el cifrado de datos personales. Para usar el cifrado de datos personales, ARSO debe estar deshabilitado. |
Recomendaciones de protección de cifrado de datos personales
En la tabla siguiente se enumeran los valores recomendados para mejorar la seguridad del cifrado de datos personales.
| Nombre del valor de configuración | Descripción |
|---|---|
| Volcados de memoria en modo kernel y volcados en directo | Los volcados de memoria en modo kernel y los volcados en directo pueden hacer que las claves usadas por El cifrado de datos personales protejan el contenido que se va a exponer. Para una mayor seguridad, deshabilite los volcados de memoria en modo kernel y los volcados dinámicos. |
| Informe de errores de Windows (WER)/volcados de memoria del modo de usuario | Deshabilitar el informe de errores de Windows evita volcados de memoria en modo de usuario. Los volcados de memoria en modo de usuario pueden hacer que las claves usadas por El cifrado de datos personales protejan el contenido que se va a exponer. Para una mayor seguridad, deshabilite los volcados de memoria en modo de usuario. |
| Hibernación | Los archivos de hibernación pueden hacer que las claves usadas por El cifrado de datos personales protejan el contenido que se va a exponer. Para una mayor seguridad, deshabilite la hibernación. |
| Permitir que los usuarios seleccionen cuándo se requiere una contraseña al reanudar desde un modo de espera conectado | Cuando esta directiva no está configurada en Microsoft Entra dispositivos unidos, los usuarios de un dispositivo en espera conectado pueden cambiar la cantidad de tiempo después de que la pantalla del dispositivo se apague antes de que se requiera una contraseña para reactivar el dispositivo. Durante el tiempo en que la pantalla se apaga, pero no se requiere una contraseña, es posible que se expongan las claves usadas por El cifrado de datos personales para proteger el contenido. Se recomienda deshabilitar explícitamente esta directiva en Microsoft Entra dispositivos unidos. |
Configuración del cifrado de datos personales con Microsoft Intune
Si usa Microsoft Intune para administrar los dispositivos, puede configurar el cifrado de datos personales mediante una directiva de cifrado de disco, una directiva de catálogo de configuración o un perfil personalizado.
Directiva de cifrado de disco
Para configurar dispositivos mediante una directiva de cifrado de disco, vaya a Seguridad> del punto de conexiónCifrado de disco y seleccione Crear directiva:
- Plataforma>Windows
- Perfil>Cifrado de datos personales
Proporcione un nombre y seleccione Siguiente. En la página Configuración , seleccione Habilitar cifrado de datos personales y configure los valores según sea necesario.
Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.
Directiva de catálogo de configuración
Para configurar dispositivos con Microsoft Intune, cree una directiva de catálogo configuración y use la siguiente configuración:
| Categoría | Nombre del valor de configuración | Valor |
|---|---|---|
| PDE | Habilitar el cifrado de datos personales (usuario) | Habilitación del cifrado de datos personales |
| Plantillas > administrativas Opciones de inicio de sesión de Windows para componentes > de Windows | Inicio de sesión y bloqueo automático del último usuario interactivo después de un reinicio | Deshabilitado |
| Volcado de memoria | Permitir volcado dinámico | Bloquear |
| Volcado de memoria | Permitir volcado de memoria | Bloquear |
| Plantillas > administrativas Componentes > de Windows Informe de errores de Windows | Deshabilitar Informe de errores de Windows | Habilitado |
| Inicio/apagado | Permitir hibernación | Bloquear |
| Inicio de sesión del sistema > de plantillas > administrativas | Permitir que los usuarios seleccionen cuándo se requiere una contraseña al reanudar desde un modo de espera conectado | Deshabilitada |
Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.
Sugerencia
Use la siguiente llamada a Graph para crear automáticamente la directiva de catálogo de configuración en el inquilino sin asignaciones ni etiquetas de ámbito.
Al usar esta llamada, autentíquese en el inquilino en la ventana del Explorador de Graph. Si es la primera vez que usa el Explorador de Graph, es posible que tenga que autorizar a la aplicación para que acceda a su inquilino o para modificar los permisos existentes. Esta llamada al grafo requiere permisos DeviceManagementConfiguration.ReadWrite.All .
POST https://graph.microsoft.com/beta/deviceManagement/configurationPolicies
Content-Type: application/json
{ "id": "00-0000-0000-0000-000000000000", "name": "_MSLearn_PDE", "description": "", "platforms": "windows10", "technologies": "mdm", "roleScopeTagIds": [ "0" ], "settings": [ { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowcrashdump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowcrashdump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowlivedump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowlivedump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "user_vendor_msft_pde_enablepersonaldataencryption", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "user_vendor_msft_pde_enablepersonaldataencryption_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_power_allowhibernate", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_power_allowhibernate_0", "children": [] } } } ] }
Configuración del cifrado de datos personales con CSP
Como alternativa, puede configurar dispositivos mediante csp de directivas y CSP de cifrado de datos personales.
| OMA-URI | Formato | Valor |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
entero | 1 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/AllowAutomaticRestartSignOn |
string | <disabled/> |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowCrashDump |
entero | 0 |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowLiveDump |
entero | 0 |
./Device/Vendor/MSFT/Policy/Config/ErrorReporting/DisableWindowsErrorReporting |
string | <enabled/> |
./Device/Vendor/MSFT/Policy/Config/Power/AllowHibernate |
entero | 0 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/AllowDomainDelayLock |
string | <disabled/> |
Deshabilitar el cifrado de datos personales
Una vez habilitado el cifrado de datos personales, no se recomienda deshabilitarlo. Sin embargo, si necesita deshabilitar el cifrado de datos personales, puede hacerlo mediante los pasos siguientes.
Deshabilitación del cifrado de datos personales con una directiva de cifrado de disco
Para deshabilitar dispositivos de cifrado de datos personales mediante una directiva de cifrado de disco, vaya a Seguridad > del punto de conexiónCifrado dedisco y seleccione Crear directiva:
- Plataforma>Windows
- Perfil>Cifrado de datos personales
Proporcione un nombre y seleccione Siguiente. En la página Configuración , seleccione Deshabilitar cifrado de datos personales.
Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.
Deshabilitar el cifrado de datos personales con una directiva de catálogo de configuración en Intune
Para configurar dispositivos con Microsoft Intune, cree una directiva de catálogo configuración y use la siguiente configuración:
| Categoría | Nombre del valor de configuración | Valor |
|---|---|---|
| PDE | Habilitar el cifrado de datos personales (usuario) | Deshabilitar el cifrado de datos personales |
Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.
Deshabilitación del cifrado de datos personales con CSP
Puede deshabilitar el cifrado de datos personales con CSP mediante la siguiente configuración:
| OMA-URI | Formato | Valor |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
entero | 0 |
Descifrar contenido cifrado
Deshabilitar el cifrado de datos personales no descifra ningún contenido protegido de Cifrado de datos personales. Solo impide que la API de cifrado de datos personales pueda proteger cualquier contenido adicional. Los archivos protegidos se pueden descifrar manualmente mediante los pasos siguientes:
- Abre las propiedades del archivo
- En la pestaña General, seleccione Opciones avanzadas...
- Desactive la opción Cifrar contenido para proteger los datos.
- Seleccione Aceptar y, a continuación, Aceptar de nuevo.
Los archivos protegidos también se pueden descifrar mediante cipher.exe, lo que puede resultar útil en los siguientes escenarios:
- Descifrado de un gran número de archivos en un dispositivo
- Descifrado de archivos en varios dispositivos
Para descifrar archivos en un dispositivo mediante cipher.exe:
Descifre todos los archivos de un directorio, incluidos los subdirectorios:
cipher.exe /d /s:<path_to_directory>Descifre un único archivo o todos los archivos del directorio especificado, pero no los subdirectorios:
cipher.exe /d <path_to_file_or_directory>
Importante
Una vez que un usuario selecciona descifrar manualmente un archivo, el usuario no podrá volver a proteger manualmente el archivo mediante el cifrado de datos personales.