Condividi tramite


Impostazioni e configurazione di Personal Data Encryption

Questo articolo descrive le impostazioni di Crittografia dati personali e come configurarle tramite Microsoft Intune o provider di servizi di configurazione (CSP).

Nota

La crittografia dei dati personali può essere configurata usando i criteri CSP. Il contenuto da proteggere da Personal Data Encryption può essere specificato usando Personal Data Encryption per le cartelle note e le API di crittografia dei dati personali.

Le API di crittografia dei dati personali possono essere usate per creare applicazioni e script personalizzati per specificare il contenuto da proteggere e a quale livello proteggere il contenuto. Inoltre, le API di crittografia dei dati personali non possono essere usate per proteggere il contenuto fino a quando i criteri di crittografia dei dati personali non sono abilitati.

Impostazioni di Crittografia dati personali

Nella tabella seguente sono elencate le impostazioni necessarie per abilitare La crittografia dei dati personali.

Nome dell'impostazione Descrizione
Abilitare la crittografia dei dati personali Crittografia dati personali non è abilitata per impostazione predefinita. Prima di poter usare La crittografia dei dati personali, è necessario abilitarla.
Accedere e bloccare l'ultimo utente interattivo automaticamente dopo un riavvio L'accesso al riavvio automatico di Winlogon (ARSO) non è supportato per l'uso con Personal Data Encryption. Per usare La crittografia dei dati personali, ARSO deve essere disabilitato.

Crittografia dati personali per le impostazioni delle cartelle note

Nella tabella seguente sono elencate le impostazioni per configurare Crittografia dati personali per le cartelle note.

Nome dell'impostazione Descrizione
Proteggere desktop Abilitare Personal Data Encryption nella cartella Desktop.
Proteggere i documenti Abilitare Crittografia dati personali nella cartella Documenti.
Proteggere le immagini Abilitare Crittografia dati personali nella cartella Immagini.

Raccomandazioni per la protezione avanzata della crittografia dei dati personali

Nella tabella seguente sono elencate le impostazioni consigliate per migliorare la sicurezza di Personal Data Encryption.

Nome dell'impostazione Descrizione
Dump di arresto anomalo in modalità kernel e dump live I dump di arresto anomalo in modalità kernel e i dump live possono potenzialmente causare l'esposizione delle chiavi usate da Personal Data Encryption per proteggere il contenuto. Per una maggiore sicurezza, disabilitare i dump di arresto anomalo in modalità kernel e i dump live.
Segnalazione errori Windows (WER)/dump degli arresti anomali in modalità utente La disabilitazione di Segnalazione errori Windows impedisce i dump di arresto anomalo in modalità utente. I dump di arresto anomalo in modalità utente possono potenzialmente causare l'esposizione delle chiavi usate da Personal Data Encryption per proteggere il contenuto. Per una maggiore sicurezza, disabilitare i dump di arresto anomalo in modalità utente.
Ibernazione I file di ibernazione possono potenzialmente causare l'esposizione delle chiavi usate da Personal Data Encryption per proteggere il contenuto. Per una maggiore sicurezza, disabilitare l'ibernazione.
Consente agli utenti di scegliere se richiedere l'immissione di una password quando si riprendono le attività dopo una fase di standby connesso Quando questo criterio non è configurato in Microsoft Entra dispositivi aggiunti, gli utenti di un dispositivo standby connesso possono modificare la quantità di tempo dopo la disattivazione dello schermo del dispositivo prima che sia necessaria una password per riattivare il dispositivo. Durante il momento in cui lo schermo si disattiva, ma non è necessaria una password, le chiavi usate da Personal Data Encryption per proteggere il contenuto potrebbero essere esposte. È consigliabile disabilitare in modo esplicito questo criterio in Microsoft Entra dispositivi aggiunti.

Configurare la crittografia dei dati personali con Microsoft Intune

Se si usa Microsoft Intune per gestire i dispositivi, è possibile configurare Crittografia dati personali usando un criterio di crittografia del disco, un criterio del catalogo delle impostazioni o un profilo personalizzato.

Criteri di crittografia del disco

Per configurare i dispositivi usando un criterio di crittografia del disco, passare aCrittografia dischidi sicurezza> degli endpoint e selezionare Crea criterio:

  • Piattaforma>Finestre
  • Profilo>Crittografia dei dati personali

Specificare un nome e selezionare Avanti. Nella pagina Impostazioni di configurazione selezionare Abilita crittografia dati personali e configurare le impostazioni in base alle esigenze.

Assegnare il criterio a un gruppo che contenga come membri i dispositivi o gli utenti da configurare.

Criteri del catalogo delle impostazioni

Per configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:

Categoria Nome dell'impostazione Valore
Crittografia dei dati personali Abilitare la crittografia dei dati personali (utente) Abilitare la crittografia dei dati personali
Crittografia dei dati personali Proteggere desktop (utente) Abilitare la protezione per la cartella Desktop
Crittografia dei dati personali Proteggere i documenti (utente) Abilitare la protezione per la cartella Documenti
Crittografia dei dati personali Proteggere le immagini (utente) Abilitare la protezione per la cartella Immagini
Modelli > amministrativi Componenti di > Windows Opzioni di accesso di Windows Accedere e bloccare l'ultimo utente interattivo automaticamente dopo un riavvio Disabilitato
Dump della memoria Consenti dump live Blocca
Dump della memoria Consenti dump di arresto anomalo Blocca
Modelli > amministrativi Componenti > di Windows Segnalazione errori Windows Disabilitare Segnalazione errori Windows Abilitato
Power Consenti ibernazione Blocca
Accesso di sistema > dei modelli amministrativi > Consente agli utenti di scegliere se richiedere l'immissione di una password quando si riprendono le attività dopo una fase di standby connesso Disattivato

Assegnare il criterio a un gruppo che contenga come membri i dispositivi o gli utenti da configurare.

Suggerimento

Usare la chiamata Graph seguente per creare automaticamente i criteri del catalogo delle impostazioni nel tenant senza assegnazioni né tag di ambito.

Quando si usa questa chiamata, eseguire l'autenticazione nel tenant nella finestra Esplora grafici. Se è la prima volta che si usa Graph Explorer, potrebbe essere necessario autorizzare l'applicazione ad accedere al tenant o a modificare le autorizzazioni esistenti. Questa chiamata a grafo richiede le autorizzazioni DeviceManagementConfiguration.ReadWrite.All .

POST https://graph.microsoft.com/beta/deviceManagement/configurationPolicies
Content-Type: application/json

{ "id": "00-0000-0000-0000-000000000000", "name": "_MSLearn_PDE", "description": "", "platforms": "windows10", "technologies": "mdm", "roleScopeTagIds": [ "0" ], "settings": [ { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowcrashdump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowcrashdump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowlivedump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowlivedump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "user_vendor_msft_pde_enablepersonaldataencryption", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "user_vendor_msft_pde_enablepersonaldataencryption_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_power_allowhibernate", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_power_allowhibernate_0", "children": [] } } } ] }

Configurare la crittografia dei dati personali con CSP

In alternativa, è possibile configurare i dispositivi usando il provider di servizi di configurazione criteri e il provider di servizi di crittografia dei dati personali.

URI OMA Formato Value
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption int 1
./User/Vendor/MSFT/PDE/ProtectFolders/ProtectDesktop int 1
./User/Vendor/MSFT/PDE/ProtectFolders/ProtectDocuments int 1
./User/Vendor/MSFT/PDE/ProtectFolders/ProtectPictures int 1
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/AllowAutomaticRestartSignOn stringa <disabled/>
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowCrashDump int 0
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowLiveDump int 0
./Device/Vendor/MSFT/Policy/Config/ErrorReporting/DisableWindowsErrorReporting stringa <enabled/>
./Device/Vendor/MSFT/Policy/Config/Power/AllowHibernate int 0
./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/AllowDomainDelayLock stringa <disabled/>

Esperienza utente

Quando la crittografia dei dati personali è abilitata, l'esperienza utente è la seguente:

  • L'accesso al contenuto protetto di Crittografia dati personali è possibile solo quando gli utenti accedono usando Windows Hello (biometrica o PIN). Se gli utenti accedono senza Windows Hello, non possono aprire contenuto crittografato
  • Se un utente tenta di accedere senza Windows Hello, nella schermata di accesso viene visualizzato un messaggio che indica che per accedere al contenuto crittografato l'utente deve accedere con Windows Hello Screenshot della schermata di accesso. Se un utente tenta di accedere con una password, un messaggio indica che i file protetti da Crittografia dati personali non sono accessibili.
  • I dati protetti da Personal Data Encryption hanno un lucchetto sull'icona del file o della cartella. L'icona del lucchetto viene visualizzata in Esplora file e sul desktop Screenshot di Esplora file con alcuni file protetti da Crittografia dati personali, che visualizza un lucchetto.

Disabilitare la crittografia dei dati personali

Una volta abilitata la crittografia dei dati personali, non è consigliabile disabilitarla. Tuttavia, se è necessario disabilitare La crittografia dei dati personali, è possibile eseguire questa operazione seguendo questa procedura.

Disabilitare la crittografia dei dati personali con un criterio di crittografia del disco

Per disabilitare i dispositivi di crittografia dei dati personali usando un criterio di crittografia del disco, passare aCrittografia dischidi sicurezza> degli endpoint e selezionare Crea criterio:

  • Piattaforma>Finestre
  • Profilo>Crittografia dei dati personali

Specificare un nome e selezionare Avanti. Nella pagina Impostazioni di configurazione selezionare Disabilita crittografia dati personali.

Assegnare il criterio a un gruppo che contenga come membri i dispositivi o gli utenti da configurare.

Disabilitare la crittografia dei dati personali con un criterio del catalogo delle impostazioni in Intune

Per configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:

Categoria Nome dell'impostazione Valore
Crittografia dei dati personali Abilitare la crittografia dei dati personali (utente) Disabilitare la crittografia dei dati personali

Assegnare il criterio a un gruppo che contenga come membri i dispositivi o gli utenti da configurare.

Disabilitare la crittografia dei dati personali con CSP

È possibile disabilitare Personal Data Encryption con CSP usando l'impostazione seguente:

URI OMA Formato Value
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption int 0

Decrittografare il contenuto crittografato

Quando si disabilita Crittografia dati personali, il contenuto crittografato tramite Crittografia dati personali per le cartelle note viene decrittografato automaticamente. Tuttavia, il contenuto crittografato usando le API di crittografia dei dati personali non viene decrittografato automaticamente. Per decrittografare questo contenuto, seguire questa procedura:

  1. Aprire le proprietà del file
  2. Nella scheda Generale selezionare Avanzate
  3. Deselezionare l'opzione Crittografa il contenuto per proteggere i dati
  4. Selezionare OK e quindi di nuovo OK

I file protetti possono anche essere decrittografati usando cipher.exe, che può essere utile negli scenari seguenti:

  • Decrittografia di un numero elevato di file in un dispositivo
  • Decrittografia di file in più dispositivi

Per decrittografare i file in un dispositivo usando cipher.exe:

  • Decrittografare tutti i file in una directory, incluse le sottodirectory:

    cipher.exe /d /s:<path_to_directory>
    
  • Decrittografare un singolo file o tutti i file nella directory specificata, ma non tutte le sottodirectory:

    cipher.exe /d <path_to_file_or_directory>
    

Importante

Quando un utente sceglie di decrittografare manualmente un file, l'utente non può proteggere manualmente il file usando Crittografia dati personali.

Passaggi successivi