Impostazioni e configurazione di Personal Data Encryption
Questo articolo descrive le impostazioni di Crittografia dati personali e come configurarle tramite Microsoft Intune o provider di servizi di configurazione (CSP).
Nota
La crittografia dei dati personali può essere configurata usando i criteri CSP. Il contenuto da proteggere da Personal Data Encryption può essere specificato usando Personal Data Encryption per le cartelle note e le API di crittografia dei dati personali.
Le API di crittografia dei dati personali possono essere usate per creare applicazioni e script personalizzati per specificare il contenuto da proteggere e a quale livello proteggere il contenuto. Inoltre, le API di crittografia dei dati personali non possono essere usate per proteggere il contenuto fino a quando i criteri di crittografia dei dati personali non sono abilitati.
Impostazioni di Crittografia dati personali
Nella tabella seguente sono elencate le impostazioni necessarie per abilitare La crittografia dei dati personali.
Nome dell'impostazione | Descrizione |
---|---|
Abilitare la crittografia dei dati personali | Crittografia dati personali non è abilitata per impostazione predefinita. Prima di poter usare La crittografia dei dati personali, è necessario abilitarla. |
Accedere e bloccare l'ultimo utente interattivo automaticamente dopo un riavvio | L'accesso al riavvio automatico di Winlogon (ARSO) non è supportato per l'uso con Personal Data Encryption. Per usare La crittografia dei dati personali, ARSO deve essere disabilitato. |
Crittografia dati personali per le impostazioni delle cartelle note
Nella tabella seguente sono elencate le impostazioni per configurare Crittografia dati personali per le cartelle note.
Nome dell'impostazione | Descrizione |
---|---|
Proteggere desktop | Abilitare Personal Data Encryption nella cartella Desktop. |
Proteggere i documenti | Abilitare Crittografia dati personali nella cartella Documenti. |
Proteggere le immagini | Abilitare Crittografia dati personali nella cartella Immagini. |
Raccomandazioni per la protezione avanzata della crittografia dei dati personali
Nella tabella seguente sono elencate le impostazioni consigliate per migliorare la sicurezza di Personal Data Encryption.
Nome dell'impostazione | Descrizione |
---|---|
Dump di arresto anomalo in modalità kernel e dump live | I dump di arresto anomalo in modalità kernel e i dump live possono potenzialmente causare l'esposizione delle chiavi usate da Personal Data Encryption per proteggere il contenuto. Per una maggiore sicurezza, disabilitare i dump di arresto anomalo in modalità kernel e i dump live. |
Segnalazione errori Windows (WER)/dump degli arresti anomali in modalità utente | La disabilitazione di Segnalazione errori Windows impedisce i dump di arresto anomalo in modalità utente. I dump di arresto anomalo in modalità utente possono potenzialmente causare l'esposizione delle chiavi usate da Personal Data Encryption per proteggere il contenuto. Per una maggiore sicurezza, disabilitare i dump di arresto anomalo in modalità utente. |
Ibernazione | I file di ibernazione possono potenzialmente causare l'esposizione delle chiavi usate da Personal Data Encryption per proteggere il contenuto. Per una maggiore sicurezza, disabilitare l'ibernazione. |
Consente agli utenti di scegliere se richiedere l'immissione di una password quando si riprendono le attività dopo una fase di standby connesso | Quando questo criterio non è configurato in Microsoft Entra dispositivi aggiunti, gli utenti di un dispositivo standby connesso possono modificare la quantità di tempo dopo la disattivazione dello schermo del dispositivo prima che sia necessaria una password per riattivare il dispositivo. Durante il momento in cui lo schermo si disattiva, ma non è necessaria una password, le chiavi usate da Personal Data Encryption per proteggere il contenuto potrebbero essere esposte. È consigliabile disabilitare in modo esplicito questo criterio in Microsoft Entra dispositivi aggiunti. |
Configurare la crittografia dei dati personali con Microsoft Intune
Se si usa Microsoft Intune per gestire i dispositivi, è possibile configurare Crittografia dati personali usando un criterio di crittografia del disco, un criterio del catalogo delle impostazioni o un profilo personalizzato.
Criteri di crittografia del disco
Per configurare i dispositivi usando un criterio di crittografia del disco, passare aCrittografia dischidi sicurezza> degli endpoint e selezionare Crea criterio:
- Piattaforma>Finestre
- Profilo>Crittografia dei dati personali
Specificare un nome e selezionare Avanti. Nella pagina Impostazioni di configurazione selezionare Abilita crittografia dati personali e configurare le impostazioni in base alle esigenze.
Assegnare il criterio a un gruppo che contenga come membri i dispositivi o gli utenti da configurare.
Criteri del catalogo delle impostazioni
Per configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:
Categoria | Nome dell'impostazione | Valore |
---|---|---|
Crittografia dei dati personali | Abilitare la crittografia dei dati personali (utente) | Abilitare la crittografia dei dati personali |
Crittografia dei dati personali | Proteggere desktop (utente) | Abilitare la protezione per la cartella Desktop |
Crittografia dei dati personali | Proteggere i documenti (utente) | Abilitare la protezione per la cartella Documenti |
Crittografia dei dati personali | Proteggere le immagini (utente) | Abilitare la protezione per la cartella Immagini |
Modelli > amministrativi Componenti di > Windows Opzioni di accesso di Windows | Accedere e bloccare l'ultimo utente interattivo automaticamente dopo un riavvio | Disabilitato |
Dump della memoria | Consenti dump live | Blocca |
Dump della memoria | Consenti dump di arresto anomalo | Blocca |
Modelli > amministrativi Componenti > di Windows Segnalazione errori Windows | Disabilitare Segnalazione errori Windows | Abilitato |
Power | Consenti ibernazione | Blocca |
Accesso di sistema > dei modelli amministrativi > | Consente agli utenti di scegliere se richiedere l'immissione di una password quando si riprendono le attività dopo una fase di standby connesso | Disattivato |
Assegnare il criterio a un gruppo che contenga come membri i dispositivi o gli utenti da configurare.
Suggerimento
Usare la chiamata Graph seguente per creare automaticamente i criteri del catalogo delle impostazioni nel tenant senza assegnazioni né tag di ambito.
Quando si usa questa chiamata, eseguire l'autenticazione nel tenant nella finestra Esplora grafici. Se è la prima volta che si usa Graph Explorer, potrebbe essere necessario autorizzare l'applicazione ad accedere al tenant o a modificare le autorizzazioni esistenti. Questa chiamata a grafo richiede le autorizzazioni DeviceManagementConfiguration.ReadWrite.All .
POST https://graph.microsoft.com/beta/deviceManagement/configurationPolicies
Content-Type: application/json
{ "id": "00-0000-0000-0000-000000000000", "name": "_MSLearn_PDE", "description": "", "platforms": "windows10", "technologies": "mdm", "roleScopeTagIds": [ "0" ], "settings": [ { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowcrashdump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowcrashdump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowlivedump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowlivedump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "user_vendor_msft_pde_enablepersonaldataencryption", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "user_vendor_msft_pde_enablepersonaldataencryption_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_power_allowhibernate", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_power_allowhibernate_0", "children": [] } } } ] }
Configurare la crittografia dei dati personali con CSP
In alternativa, è possibile configurare i dispositivi usando il provider di servizi di configurazione criteri e il provider di servizi di crittografia dei dati personali.
URI OMA | Formato | Value |
---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 1 |
./User/Vendor/MSFT/PDE/ProtectFolders/ProtectDesktop |
int | 1 |
./User/Vendor/MSFT/PDE/ProtectFolders/ProtectDocuments |
int | 1 |
./User/Vendor/MSFT/PDE/ProtectFolders/ProtectPictures |
int | 1 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/AllowAutomaticRestartSignOn |
stringa | <disabled/> |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowCrashDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowLiveDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ErrorReporting/DisableWindowsErrorReporting |
stringa | <enabled/> |
./Device/Vendor/MSFT/Policy/Config/Power/AllowHibernate |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/AllowDomainDelayLock |
stringa | <disabled/> |
Esperienza utente
Quando la crittografia dei dati personali è abilitata, l'esperienza utente è la seguente:
- L'accesso al contenuto protetto di Crittografia dati personali è possibile solo quando gli utenti accedono usando Windows Hello (biometrica o PIN). Se gli utenti accedono senza Windows Hello, non possono aprire contenuto crittografato
- Se un utente tenta di accedere senza Windows Hello, nella schermata di accesso viene visualizzato un messaggio che indica che per accedere al contenuto crittografato l'utente deve accedere con Windows Hello
- I dati protetti da Personal Data Encryption hanno un lucchetto sull'icona del file o della cartella. L'icona del lucchetto viene visualizzata in Esplora file e sul desktop
Disabilitare la crittografia dei dati personali
Una volta abilitata la crittografia dei dati personali, non è consigliabile disabilitarla. Tuttavia, se è necessario disabilitare La crittografia dei dati personali, è possibile eseguire questa operazione seguendo questa procedura.
Disabilitare la crittografia dei dati personali con un criterio di crittografia del disco
Per disabilitare i dispositivi di crittografia dei dati personali usando un criterio di crittografia del disco, passare aCrittografia dischidi sicurezza> degli endpoint e selezionare Crea criterio:
- Piattaforma>Finestre
- Profilo>Crittografia dei dati personali
Specificare un nome e selezionare Avanti. Nella pagina Impostazioni di configurazione selezionare Disabilita crittografia dati personali.
Assegnare il criterio a un gruppo che contenga come membri i dispositivi o gli utenti da configurare.
Disabilitare la crittografia dei dati personali con un criterio del catalogo delle impostazioni in Intune
Per configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:
Categoria | Nome dell'impostazione | Valore |
---|---|---|
Crittografia dei dati personali | Abilitare la crittografia dei dati personali (utente) | Disabilitare la crittografia dei dati personali |
Assegnare il criterio a un gruppo che contenga come membri i dispositivi o gli utenti da configurare.
Disabilitare la crittografia dei dati personali con CSP
È possibile disabilitare Personal Data Encryption con CSP usando l'impostazione seguente:
URI OMA | Formato | Value |
---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 0 |
Decrittografare il contenuto crittografato
Quando si disabilita Crittografia dati personali, il contenuto crittografato tramite Crittografia dati personali per le cartelle note viene decrittografato automaticamente. Tuttavia, il contenuto crittografato usando le API di crittografia dei dati personali non viene decrittografato automaticamente. Per decrittografare questo contenuto, seguire questa procedura:
- Aprire le proprietà del file
- Nella scheda Generale selezionare Avanzate
- Deselezionare l'opzione Crittografa il contenuto per proteggere i dati
- Selezionare OK e quindi di nuovo OK
I file protetti possono anche essere decrittografati usando cipher.exe
, che può essere utile negli scenari seguenti:
- Decrittografia di un numero elevato di file in un dispositivo
- Decrittografia di file in più dispositivi
Per decrittografare i file in un dispositivo usando cipher.exe
:
Decrittografare tutti i file in una directory, incluse le sottodirectory:
cipher.exe /d /s:<path_to_directory>
Decrittografare un singolo file o tutti i file nella directory specificata, ma non tutte le sottodirectory:
cipher.exe /d <path_to_file_or_directory>
Importante
Quando un utente sceglie di decrittografare manualmente un file, l'utente non può proteggere manualmente il file usando Crittografia dati personali.