Paramètres et configuration du chiffrement des données personnelles
Cet article décrit les paramètres de chiffrement des données personnelles et comment les configurer via Microsoft Intune ou les fournisseurs de services de configuration (CSP).
Remarque
Le chiffrement des données personnelles peut être configuré à l’aide de stratégies GPM. Le contenu à protéger par le chiffrement des données personnelles peut être spécifié à l’aide des API de chiffrement des données personnelles. Il n’existe aucune interface utilisateur dans Windows pour activer le chiffrement des données personnelles ou protéger le contenu à l’aide du chiffrement des données personnelles.
Les API de chiffrement des données personnelles peuvent être utilisées pour créer des applications et des scripts personnalisés afin de spécifier le contenu à protéger et à quel niveau protéger le contenu. En outre, les API de chiffrement des données personnelles ne peuvent pas être utilisées pour protéger le contenu tant que la stratégie de chiffrement des données personnelles n’a pas été activée.
Paramètres de chiffrement des données personnelles
Le tableau suivant répertorie les paramètres requis pour activer le chiffrement des données personnelles.
| Nom du paramètre | Description |
|---|---|
| Activer le chiffrement des données personnelles | Le chiffrement des données personnelles n’est pas activé par défaut. Avant de pouvoir utiliser le chiffrement des données personnelles, vous devez l’activer. |
| Se connecter et verrouiller automatiquement le dernier utilisateur interactif après un redémarrage | L’authentification à redémarrage automatique winlogon (ARSO) n’est pas prise en charge pour une utilisation avec le chiffrement des données personnelles. Pour utiliser le chiffrement des données personnelles, ARSO doit être désactivé. |
Recommandations relatives au renforcement du chiffrement des données personnelles
Le tableau suivant répertorie les paramètres recommandés pour améliorer la sécurité du chiffrement des données personnelles.
| Nom du paramètre | Description |
|---|---|
| Vidages sur incident en mode noyau et vidages en direct | Les vidages sur incident en mode noyau et les vidages dynamiques peuvent potentiellement entraîner l’exposition des clés utilisées par le chiffrement des données personnelles pour protéger le contenu. Pour une sécurité optimale, désactivez les vidages sur incident en mode noyau et les vidages en direct. |
| Rapport d'erreurs Windows (WER)/vidages sur incident en mode utilisateur | La désactivation de Rapport d'erreurs Windows empêche les vidages sur incident en mode utilisateur. Les vidages sur incident en mode utilisateur peuvent potentiellement entraîner l’exposition des clés utilisées par Le chiffrement des données personnelles pour protéger le contenu. Pour une sécurité optimale, désactivez les vidages sur incident en mode utilisateur. |
| Hibernation | Les fichiers de mise en veille prolongée peuvent potentiellement entraîner l’exposition des clés utilisées par le chiffrement des données personnelles pour protéger le contenu. Pour une sécurité optimale, désactivez la mise en veille prolongée. |
| Permettre aux utilisateurs de choisir si un mot de passe doit être saisi lors de la reprise après une veille connectée | Lorsque cette stratégie n’est pas configurée sur Microsoft Entra appareils joints, les utilisateurs d’un appareil de secours connecté peuvent modifier la durée après que l’écran de l’appareil s’est éteint avant qu’un mot de passe ne soit requis pour sortir l’appareil. Pendant le temps où l’écran s’éteint mais qu’aucun mot de passe n’est requis, les clés utilisées par le chiffrement des données personnelles pour protéger le contenu peuvent être exposées. Il est recommandé de désactiver explicitement cette stratégie sur Microsoft Entra appareils joints. |
Configurer le chiffrement des données personnelles avec Microsoft Intune
Si vous utilisez Microsoft Intune pour gérer vos appareils, vous pouvez configurer le chiffrement des données personnelles à l’aide d’une stratégie de chiffrement de disque, d’une stratégie de catalogue de paramètres ou d’un profil personnalisé.
Stratégie de chiffrement de disque
Pour configurer des appareils à l’aide d’une stratégie de chiffrement de disque, accédez à Sécurité du point de terminaison>Chiffrement de disque et sélectionnez Créer une stratégie :
- Plateforme>Windows
- Profil>Chiffrement des données personnelles
Fournissez un nom, puis sélectionnez Suivant. Dans la page Paramètres de configuration , sélectionnez Activer le chiffrement des données personnelles et configurez les paramètres en fonction des besoins.
Affectez la stratégie à un groupe qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.
Stratégie de catalogue des paramètres
Pour configurer des appareils avec Microsoft Intune, créez une stratégie de catalogue Paramètres et utilisez les paramètres suivants :
| Catégorie | Nom du paramètre | Valeur |
|---|---|---|
| PDE | Activer le chiffrement des données personnelles (utilisateur) | Activer le chiffrement des données personnelles |
| Modèles d’administration > Composants > Windows Options d’ouverture de session Windows | Se connecter et verrouiller automatiquement le dernier utilisateur interactif après un redémarrage | Désactivés |
| Image mémoire | Autoriser le vidage en direct | Bloquer |
| Image mémoire | Autoriser le vidage sur incident | Bloquer |
| Modèles d’administration > Composants > Windows Rapport d'erreurs Windows | Désactiver Rapport d'erreurs Windows | Activé |
| Marche/Arrêt | Autoriser la mise en veille prolongée | Bloquer |
| Ouverture de session système > de modèles > d’administration | Permettre aux utilisateurs de choisir si un mot de passe doit être saisi lors de la reprise après une veille connectée | Désactivé |
Affectez la stratégie à un groupe qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.
Astuce
Utilisez l’appel Graph suivant pour créer automatiquement la stratégie de catalogue de paramètres dans votre locataire sans affectations ni balises d’étendue.
Lorsque vous utilisez cet appel, authentifiez-vous auprès de votre locataire dans la fenêtre Explorer Graph. Si vous utilisez Graph Explorer pour la première fois, vous devrez peut-être autoriser l’application à accéder à votre locataire ou modifier les autorisations existantes. Cet appel de graphe nécessite les autorisations DeviceManagementConfiguration.ReadWrite.All .
POST https://graph.microsoft.com/beta/deviceManagement/configurationPolicies
Content-Type: application/json
{ "id": "00-0000-0000-0000-000000000000", "name": "_MSLearn_PDE", "description": "", "platforms": "windows10", "technologies": "mdm", "roleScopeTagIds": [ "0" ], "settings": [ { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowcrashdump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowcrashdump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowlivedump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowlivedump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "user_vendor_msft_pde_enablepersonaldataencryption", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "user_vendor_msft_pde_enablepersonaldataencryption_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_power_allowhibernate", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_power_allowhibernate_0", "children": [] } } } ] }
Configurer le chiffrement des données personnelles avec csp
Vous pouvez également configurer des appareils à l’aide du csp Policy et du csp Personal Data Encryption.
| OMA-URI | Format | Valeur |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
entier | 1 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/AllowAutomaticRestartSignOn |
chaîne | <disabled/> |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowCrashDump |
entier | 0 |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowLiveDump |
entier | 0 |
./Device/Vendor/MSFT/Policy/Config/ErrorReporting/DisableWindowsErrorReporting |
chaîne | <enabled/> |
./Device/Vendor/MSFT/Policy/Config/Power/AllowHibernate |
entier | 0 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/AllowDomainDelayLock |
chaîne | <disabled/> |
Désactiver le chiffrement des données personnelles
Une fois le chiffrement des données personnelles activé, il n’est pas recommandé de le désactiver. Toutefois, si vous devez désactiver le chiffrement des données personnelles, vous pouvez le faire en procédant comme suit.
Désactiver le chiffrement des données personnelles avec une stratégie de chiffrement de disque
Pour désactiver les appareils de chiffrement des données personnelles à l’aide d’une stratégie de chiffrement de disque, accédez à Sécurité du point de terminaison>Chiffrement de disque et sélectionnez Créer une stratégie :
- Plateforme>Windows
- Profil>Chiffrement des données personnelles
Fournissez un nom, puis sélectionnez Suivant. Dans la page Paramètres de configuration , sélectionnez Désactiver le chiffrement des données personnelles.
Affectez la stratégie à un groupe qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.
Désactiver le chiffrement des données personnelles avec une stratégie de catalogue de paramètres dans Intune
Pour configurer des appareils avec Microsoft Intune, créez une stratégie de catalogue Paramètres et utilisez les paramètres suivants :
| Catégorie | Nom du paramètre | Valeur |
|---|---|---|
| PDE | Activer le chiffrement des données personnelles (utilisateur) | Désactiver le chiffrement des données personnelles |
Affectez la stratégie à un groupe qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.
Désactiver le chiffrement des données personnelles avec csp
Vous pouvez désactiver le chiffrement des données personnelles avec csp à l’aide du paramètre suivant :
| OMA-URI | Format | Valeur |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
entier | 0 |
Déchiffrer le contenu chiffré
La désactivation du chiffrement des données personnelles ne déchiffre aucun contenu protégé par le chiffrement des données personnelles. Cela empêche uniquement l’API de chiffrement des données personnelles de pouvoir protéger tout contenu supplémentaire. Les fichiers Pprotected peuvent être déchiffrés manuellement en procédant comme suit :
- Ouvrir les propriétés du fichier
- Sous l’onglet Général , sélectionnez Avancé...
- Décochez l’option Chiffrer le contenu pour sécuriser les données
- Sélectionnez OK, puis appuyez de nouveau OK .
Les fichiers protégés peuvent également être déchiffrés à l’aide cipher.exede , ce qui peut être utile dans les scénarios suivants :
- Déchiffrement d’un grand nombre de fichiers sur un appareil
- Déchiffrement de fichiers sur plusieurs appareils
Pour déchiffrer des fichiers sur un appareil à l’aide de cipher.exe:
Déchiffrez tous les fichiers sous un répertoire, y compris les sous-répertoires :
cipher.exe /d /s:<path_to_directory>Déchiffrez un seul fichier ou tous les fichiers du répertoire spécifié, mais pas les sous-répertoires :
cipher.exe /d <path_to_file_or_directory>
Important
Une fois qu’un utilisateur choisit de déchiffrer manuellement un fichier, il ne peut plus protéger manuellement le fichier à l’aide du chiffrement des données personnelles.
Étapes suivantes
- Consultez le FAQ sur le chiffrement des données personnelles