Chiffrement de données personnelles
À compter de Windows 11, version 22H2, le chiffrement des données personnelles est une fonctionnalité de sécurité qui fournit des fonctionnalités de chiffrement des données basées sur des fichiers à Windows.
Le chiffrement des données personnelles utilise Windows Hello Entreprise pour lier des clés de chiffrement de données aux informations d’identification de l’utilisateur. Lorsqu’un utilisateur se connecte à un appareil à l’aide de Windows Hello Entreprise, les clés de déchiffrement sont libérées et les données chiffrées sont accessibles à l’utilisateur.
Lorsqu’un utilisateur se déconnecte, les clés de déchiffrement sont ignorées et les données sont inaccessibles, même si un autre utilisateur se connecte à l’appareil.
L’utilisation de Windows Hello Entreprise offre les avantages suivants :
- Cela réduit le nombre d’informations d’identification pour accéder au contenu chiffré : les utilisateurs n’ont besoin de se connecter qu’avec Windows Hello Entreprise
- Les fonctionnalités d’accessibilité disponibles lors de l’utilisation de Windows Hello Entreprise s’étendent au contenu protégé par le chiffrement des données personnelles
Le chiffrement des données personnelles diffère de BitLocker en ce qu’il chiffre les fichiers au lieu de volumes et de disques entiers. Le chiffrement des données personnelles se produit en plus d’autres méthodes de chiffrement telles que BitLocker.
Contrairement à BitLocker qui libère des clés de chiffrement des données au démarrage, le chiffrement des données personnelles ne libère pas de clés de chiffrement des données tant qu’un utilisateur ne se connecte pas à l’aide de Windows Hello Entreprise.
Conditions préalables
Pour utiliser le chiffrement des données personnelles, les conditions préalables suivantes doivent être remplies :
- Windows 11, version 22H2 et ultérieures
- Les appareils doivent être Microsoft Entra joints. Les appareils joints à un domaine et Microsoft Entra hybrides joints ne sont pas pris en charge
- Les utilisateurs doivent se connecter à l’aide de Windows Hello Entreprise
Important
Si vous vous connectez avec un mot de passe ou une clé de sécurité, vous ne pouvez pas accéder au contenu protégé par Personal Data Encryption.
Conditions d'octroi de licence d'édition Windows
Le tableau suivant répertorie les éditions de Windows qui prennent en charge le chiffrement des données personnelles (PDE) :
| Windows Pro | Windows Entreprise | Windows Pro Education/SE | Windows Éducation |
|---|---|---|---|
| Non | Oui | Non | Oui |
Les droits de licence de chiffrement des données personnelles (PDE) sont accordés par les licences suivantes :
| Windows Pro/Professionnel Éducation/SE | Windows Entreprise E3 | Windows Entreprise E5 | Windows Éducation A3 | Windows Éducation A5 |
|---|---|---|---|---|
| Non | Oui | Oui | Oui | Oui |
Pour plus d’informations à propos des licences Windows, consultez Vue d’ensemble des licences Windows.
Niveaux de protection du chiffrement des données personnelles
Le chiffrement des données personnelles utilise AES-CBC avec une clé 256 bits pour protéger le contenu et offre deux niveaux de protection. Le niveau de protection est déterminé en fonction des besoins de l’organisation. Ces niveaux peuvent être définis via les API de chiffrement des données personnelles.
| Élément | Niveau 1 | Niveau 2 |
|---|---|---|
| Données protégées accessibles lorsque l’utilisateur s’est connecté via Windows Hello Entreprise | Oui | Oui |
| Les données protégées sont accessibles à l’écran de verrouillage Windows | Oui | Les données sont accessibles pendant une minute après le verrouillage, puis elles ne sont plus disponibles |
| Les données protégées sont accessibles une fois que l’utilisateur se déconnecte de Windows | Non | Non |
| Les données protégées sont accessibles lorsque l’appareil est arrêté | Non | Non |
| Les données protégées sont accessibles via des chemins UNC | Non | Non |
| Les données protégées sont accessibles lors de la signature avec un mot de passe Windows au lieu de Windows Hello Entreprise | Non | Non |
| Les données protégées sont accessibles via la session Bureau à distance | Non | Non |
| Clés de déchiffrement utilisées par le chiffrement des données personnelles ignorées | Une fois que l’utilisateur s’est déconnecté de Windows | Une minute après l’activation de l’écran de verrouillage de Windows ou une fois que l’utilisateur se déconnecte de Windows |
Accessibilité du contenu protégé par le chiffrement des données personnelles
Lorsqu’un fichier est protégé par le chiffrement des données personnelles, son icône affiche un cadenas. Si l’utilisateur ne s’est pas connecté localement avec Windows Hello Entreprise ou si un utilisateur non autorisé tente d’accéder au contenu protégé par le chiffrement des données personnelles, l’accès au contenu lui sera refusé.
Les scénarios où un utilisateur se voit refuser l’accès au contenu protégé par le chiffrement des données personnelles sont les suivants :
- L’utilisateur s’est connecté à Windows via un mot de passe au lieu de se connecter avec Windows Hello Entreprise biométrie ou un code confidentiel
- S’il est protégé par le biais d’une protection de niveau 2, lorsque l’appareil est verrouillé
- Lorsque vous essayez d’accéder au contenu sur l’appareil à distance. Par exemple, les chemins d’accès réseau UNC
- Sessions Bureau à distance
- D’autres utilisateurs sur l’appareil qui ne sont pas propriétaires du contenu, même s’ils sont connectés via Windows Hello Entreprise et disposent des autorisations nécessaires pour accéder au contenu protégé par le chiffrement des données personnelles
Différences entre le chiffrement des données personnelles et BitLocker
Le chiffrement des données personnelles est destiné à fonctionner avec BitLocker. Le chiffrement des données personnelles ne remplace pas BitLocker, pas plus que BitLocker ne remplace le chiffrement des données personnelles. L’utilisation de ces deux fonctionnalités offre une meilleure sécurité que l’utilisation de BitLocker ou du chiffrement des données personnelles seul. Toutefois, il existe des différences entre BitLocker et le chiffrement des données personnelles et leur fonctionnement. Ces différences expliquent pourquoi les utiliser ensemble offre une meilleure sécurité.
| Élément | Chiffrement de données personnelles | BitLocker |
|---|---|---|
| Libération de la clé de déchiffrement | À la connexion de l’utilisateur via Windows Hello Entreprise | Au démarrage |
| Clés de déchiffrement ignorées | Quand l’utilisateur se déconnecte de Windows ou une minute après l’activation de l’écran de verrouillage Windows | À l’arrêt |
| Contenu protégé | Tous les fichiers dans des dossiers protégés | Volume/lecteur entier |
| Authentification pour accéder au contenu protégé | Windows Hello Entreprise | Lorsque BitLocker avec TPM + CODE CONFIDENTIEL est activé, code confidentiel BitLocker et connexion Windows |
Différences entre le chiffrement des données personnelles et EFS
La main différence entre la protection des fichiers avec le chiffrement des données personnelles au lieu d’EFS est la méthode qu’ils utilisent pour protéger le fichier. Le chiffrement des données personnelles utilise Windows Hello Entreprise pour sécuriser les clés qui protègent les fichiers. EFS utilise des certificats pour sécuriser et protéger les fichiers.
Pour voir si un fichier est protégé par le chiffrement des données personnelles ou efs :
- Ouvrir les propriétés du fichier
- Sous l’onglet Général , sélectionnez Avancé...
- Dans les fenêtres Attributs avancés , sélectionnez Détails
Pour les fichiers protégés par le chiffrement des données personnelles, sous Protection status : il y aura un élément répertorié comme Chiffrement des données personnelles : et il aura l’attribut Activé.
Pour les fichiers protégés par EFS, sous Utilisateurs qui peuvent accéder à ce fichier : une empreinte de certificat s’affiche en regard des utilisateurs ayant accès au fichier. Il y aura également une section en bas intitulée Certificats de récupération pour ce fichier, comme défini par la stratégie de récupération :
Les informations de chiffrement, notamment la méthode de chiffrement utilisée pour protéger le fichier, peuvent être obtenues avec la cipher.exe /c commande .
Recommandations relatives à l’utilisation du chiffrement des données personnelles
Voici des recommandations pour l’utilisation du chiffrement des données personnelles :
- Activez le chiffrement de lecteur BitLocker. Bien que le chiffrement des données personnelles fonctionne sans BitLocker, il est recommandé d’activer BitLocker. Le chiffrement des données personnelles est destiné à fonctionner avec BitLocker pour renforcer la sécurité, il n’est pas un remplacement pour BitLocker
- Solution de sauvegarde telle que OneDrive dans Microsoft 365. Dans certains scénarios, tels que les réinitialisations TPM ou les réinitialisations destructrices du code confidentiel, les clés utilisées par le chiffrement des données personnelles pour protéger le contenu seront perdues, rendant tout contenu protégé inaccessible. La seule façon de récupérer ce contenu est à partir d’une sauvegarde. Si les fichiers sont synchronisés avec OneDrive, pour récupérer l’accès, vous devez resynchroniser OneDrive
- Windows Hello Entreprise service de réinitialisation du code confidentiel. Les réinitialisations destructrices du code confidentiel entraînent la perte des clés utilisées par le chiffrement des données personnelles pour protéger le contenu, rendant inaccessible tout contenu protégé par le chiffrement des données personnelles. Après une réinitialisation destructrice du code confidentiel, le contenu protégé par le chiffrement des données personnelles doit être récupéré à partir d’une sauvegarde. Pour cette raison, Windows Hello Entreprise service de réinitialisation de code confidentiel est recommandé, car il fournit des réinitialisations de code confidentiel non destructrices
- Windows Hello sécurité de connexion renforcée offre une sécurité supplémentaire lors de l’authentification avec Windows Hello Entreprise via la biométrie ou le code confidentiel
Applications Windows prêtes à l’emploi qui prennent en charge le chiffrement des données personnelles
Certaines applications Windows prennent en charge le chiffrement des données personnelles prête à l’emploi. Si le chiffrement des données personnelles est activé sur un appareil, ces applications utilisent le chiffrement des données personnelles :
| Nom de l’application | Détails |
|---|---|
| Prend en charge la protection des corps des e-mails et des pièces jointes |
Étapes suivantes
- Découvrez les options disponibles pour configurer le chiffrement des données personnelles et comment les configurer via Microsoft Intune ou le fournisseur de services de configuration (CSP) : paramètres et configuration du chiffrement des données personnelles
- Consultez le FAQ sur le chiffrement des données personnelles