Crittografia dei dati personali
A partire da Windows 11 versione 22H2, Personal Data Encryption è una funzionalità di sicurezza che offre funzionalità di crittografia dei dati basate su file a Windows.
Personal Data Encryption usa Windows Hello for Business per collegare le chiavi di crittografia dei dati con le credenziali utente. Quando un utente accede a un dispositivo usando Windows Hello for Business, le chiavi di decrittografia vengono rilasciate e i dati crittografati sono accessibili all'utente.
Quando un utente si disconnette, le chiavi di decrittografia vengono rimosse e i dati non sono accessibili, anche se un altro utente accede al dispositivo.
L'uso di Windows Hello for Business offre i vantaggi seguenti:
- Riduce il numero di credenziali per accedere al contenuto crittografato: gli utenti devono accedere solo con Windows Hello for Business
- Le funzionalità di accessibilità disponibili quando si usano Windows Hello for Business si estendono al contenuto protetto di Crittografia dati personali
Personal Data Encryption differisce da BitLocker perché crittografa i file anziché interi volumi e dischi. La crittografia dei dati personali si verifica in aggiunta ad altri metodi di crittografia, ad esempio BitLocker.
A differenza di BitLocker che rilascia le chiavi di crittografia dei dati all'avvio, Personal Data Encryption non rilascia le chiavi di crittografia dei dati finché un utente non accede usando Windows Hello for Business.
Prerequisiti
Per usare Personal Data Encryption, è necessario soddisfare i prerequisiti seguenti:
- Windows 11 versione 22H2 e successive
- I dispositivi devono essere Microsoft Entra aggiunti. I dispositivi aggiunti a un dominio e Microsoft Entra aggiunti ibridi non sono supportati
- Gli utenti devono accedere usando Windows Hello for Business
Importante
Se si accede con una password o una chiave di sicurezza, non è possibile accedere al contenuto protetto di Crittografia dati personali.
Requisiti di licenza ed edizione di Windows
Nella tabella seguente sono elencate le edizioni di Windows che supportano Crittografia dei dati personali:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| No | Sì | No | Sì |
I diritti di licenza per Crittografia dei dati personali sono concessi dalle licenze seguenti:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| No | Sì | Sì | Sì | Sì |
Per ulteriori informazioni sulle licenze di Windows, vedi Panoramica delle licenze di Windows.
Livelli di protezione della crittografia dei dati personali
Personal Data Encryption usa AES-CBC con una chiave a 256 bit per proteggere il contenuto e offre due livelli di protezione. Il livello di protezione è determinato in base alle esigenze dell'organizzazione. Questi livelli possono essere impostati tramite le API di crittografia dei dati personali.
| Item | Livello 1 | Livello 2 |
|---|---|---|
| Dati protetti accessibili quando l'utente ha eseguito l'accesso tramite Windows Hello for Business | Sì | Sì |
| I dati protetti sono accessibili nella schermata di blocco di Windows | Sì | I dati sono accessibili per un minuto dopo il blocco, quindi non sono più disponibili |
| I dati protetti sono accessibili dopo che l'utente si disconnette da Windows | No | No |
| I dati protetti sono accessibili quando il dispositivo viene arrestato | No | No |
| I dati protetti sono accessibili tramite percorsi UNC | No | No |
| I dati protetti sono accessibili quando si firma con la password di Windows anziché Windows Hello for Business | No | No |
| I dati protetti sono accessibili tramite la sessione desktop remoto | No | No |
| Chiavi di decrittografia usate dalla crittografia dei dati personali ignorate | Dopo che l'utente si disconnette da Windows | Un minuto dopo l'attivazione della schermata di blocco di Windows o dopo che l'utente si disconnette da Windows |
Accessibilità del contenuto protetto di Personal Data Encryption
Quando un file è protetto con Crittografia dati personali, la relativa icona mostrerà un lucchetto. Se l'utente non ha eseguito l'accesso in locale con Windows Hello for Business o un utente non autorizzato tenta di accedere al contenuto protetto da Crittografia dati personali, verrà loro negato l'accesso al contenuto.
Gli scenari in cui a un utente verrà negato l'accesso al contenuto protetto di Crittografia dati personali includono:
- L'utente ha eseguito l'accesso a Windows tramite password invece di accedere con Windows Hello for Business biometrico o PIN
- Se protetto tramite protezione di livello 2, quando il dispositivo è bloccato
- Quando si prova ad accedere al contenuto nel dispositivo in remoto. Ad esempio, i percorsi di rete UNC
- Sessioni desktop remoto
- Altri utenti nel dispositivo che non sono proprietari del contenuto, anche se hanno eseguito l'accesso tramite Windows Hello for Business e hanno le autorizzazioni per passare al contenuto protetto di Crittografia dati personali
Differenze tra Personal Data Encryption e BitLocker
Personal Data Encryption è progettato per funzionare insieme a BitLocker. Personal Data Encryption non sostituisce BitLocker, né BitLocker è un sostituto di Personal Data Encryption. L'uso di entrambe le funzionalità offre una sicurezza migliore rispetto all'uso di BitLocker o della crittografia dei dati personali da solo. Esistono tuttavia differenze tra BitLocker e Personal Data Encryption e il loro funzionamento. Queste differenze sono il motivo per cui l'uso combinato offre una maggiore sicurezza.
| Item | Crittografia dei dati personali | BitLocker |
|---|---|---|
| Rilascio della chiave di decrittografia | All'accesso utente tramite Windows Hello for Business | All'avvio |
| Chiavi di decrittografia eliminate | Quando l'utente si disconnette da Windows o un minuto dopo l'attivazione della schermata di blocco di Windows | Al momento dell'arresto |
| Contenuto protetto | Tutti i file in cartelle protette | Intero volume/unità |
| Autenticazione per accedere al contenuto protetto | Windows Hello for Business | Quando BitLocker con TPM + PIN è abilitato, il PIN di BitLocker più l'accesso a Windows |
Differenze tra Crittografia dati personali ed EFS
La differenza principale tra la protezione dei file con Personal Data Encryption anziché EFS è il metodo usato per proteggere il file. Personal Data Encryption usa Windows Hello for Business per proteggere le chiavi che proteggono i file. EFS usa i certificati per proteggere i file.
Per verificare se un file è protetto con Personal Data Encryption o con EFS:
- Aprire le proprietà del file
- Nella scheda Generale selezionare Avanzate
- Nelle finestre Attributi avanzati selezionare Dettagli
Per i file protetti da Crittografia dati personali, in Stato protezione : sarà presente un elemento elencato come Crittografia dati personali: e avrà l'attributo On.
Per i file protetti da EFS, in Utenti che possono accedere a questo file:, accanto agli utenti con accesso al file verrà visualizzata un'identificazione personale del certificato. Nella parte inferiore sarà inoltre presente una sezione con etichetta Certificati di ripristino per questo file, in base a quanto definito dai criteri di ripristino:.
Le informazioni di crittografia, incluso il metodo di crittografia usato per proteggere il file, possono essere ottenute con il cipher.exe /c comando .
Consigli per l'uso della crittografia dei dati personali
Di seguito sono riportati i consigli per l'uso della crittografia dei dati personali:
- Abilitare Crittografia unità BitLocker. Anche se Crittografia dati personali funziona senza BitLocker, è consigliabile abilitare BitLocker. Personal Data Encryption è progettato per funzionare insieme a BitLocker per una maggiore sicurezza in quanto non è un sostituto di BitLocker
- Soluzione di backup, ad esempio OneDrive in Microsoft 365. In alcuni scenari, ad esempio la reimpostazione del TPM o la reimpostazione distruttiva del PIN, le chiavi usate da Personal Data Encryption per proteggere il contenuto andranno perse rendendo inaccessibile qualsiasi contenuto protetto. L'unico modo per ripristinare tale contenuto è da un backup. Se i file sono sincronizzati con OneDrive, per ottenere nuovamente l'accesso è necessario sincronizzare di nuovo OneDrive
- Windows Hello for Business servizio di reimpostazione del PIN. La reimpostazione distruttiva del PIN causerà la perdita delle chiavi usate da Personal Data Encryption per proteggere il contenuto, rendendo inaccessibile qualsiasi contenuto protetto con Personal Data Encryption. Dopo una reimpostazione distruttiva del PIN, il contenuto protetto con Personal Data Encryption deve essere recuperato da un backup. Per questo motivo, è consigliabile Windows Hello for Business servizio di reimpostazione del PIN perché fornisce reimpostazioni non distruttive del PIN
- Windows Hello sicurezza avanzata per l'accesso offre sicurezza aggiuntiva durante l'autenticazione con Windows Hello for Business tramite biometrica o PIN
Applicazioni windows predefinite che supportano la crittografia dei dati personali
Alcune applicazioni Windows supportano la crittografia dei dati personali. Se La crittografia dei dati personali è abilitata in un dispositivo, queste applicazioni utilizzeranno Crittografia dati personali:
| Nome dell'app | Dettagli |
|---|---|
| Supporta la protezione sia dei corpi che degli allegati dei messaggi di posta elettronica |
Passaggi successivi
- Informazioni sulle opzioni disponibili per configurare la crittografia dei dati personali e su come configurarle tramite Microsoft Intune o provider di servizi di configurazione: impostazioni e configurazione di Crittografia dati personali
- Esaminare le domande frequenti sulla crittografia dei dati personali