Impostazioni e configurazione di Personal Data Encryption
Questo articolo descrive le impostazioni di Crittografia dati personali e come configurarle tramite Microsoft Intune o provider di servizi di configurazione (CSP).
Nota
La crittografia dei dati personali può essere configurata usando i criteri MDM. Il contenuto da proteggere da Personal Data Encryption può essere specificato usando le API di crittografia dei dati personali. In Windows non è disponibile un'interfaccia utente per abilitare la crittografia dei dati personali o proteggere il contenuto tramite Crittografia dati personali.
Le API di crittografia dei dati personali possono essere usate per creare applicazioni e script personalizzati per specificare il contenuto da proteggere e a quale livello proteggere il contenuto. Inoltre, le API di crittografia dei dati personali non possono essere usate per proteggere il contenuto fino a quando i criteri di crittografia dei dati personali non sono stati abilitati.
Impostazioni di Crittografia dati personali
Nella tabella seguente sono elencate le impostazioni necessarie per abilitare La crittografia dei dati personali.
| Nome dell'impostazione | Descrizione |
|---|---|
| Abilitare la crittografia dei dati personali | Crittografia dati personali non è abilitata per impostazione predefinita. Prima di poter usare La crittografia dei dati personali, è necessario abilitarla. |
| Accedere e bloccare l'ultimo utente interattivo automaticamente dopo un riavvio | L'accesso al riavvio automatico di Winlogon (ARSO) non è supportato per l'uso con Personal Data Encryption. Per usare La crittografia dei dati personali, ARSO deve essere disabilitato. |
Raccomandazioni per la protezione avanzata della crittografia dei dati personali
Nella tabella seguente sono elencate le impostazioni consigliate per migliorare la sicurezza di Personal Data Encryption.
| Nome dell'impostazione | Descrizione |
|---|---|
| Dump di arresto anomalo in modalità kernel e dump live | I dump di arresto anomalo in modalità kernel e i dump live possono potenzialmente causare l'esposizione delle chiavi usate da Personal Data Encryption per proteggere il contenuto. Per una maggiore sicurezza, disabilitare i dump di arresto anomalo in modalità kernel e i dump live. |
| Segnalazione errori Windows (WER)/dump degli arresti anomali in modalità utente | La disabilitazione di Segnalazione errori Windows impedisce i dump di arresto anomalo in modalità utente. I dump di arresto anomalo in modalità utente possono potenzialmente causare l'esposizione delle chiavi usate da Personal Data Encryption per proteggere il contenuto. Per una maggiore sicurezza, disabilitare i dump di arresto anomalo in modalità utente. |
| Ibernazione | I file di ibernazione possono potenzialmente causare l'esposizione delle chiavi usate da Personal Data Encryption per proteggere il contenuto. Per una maggiore sicurezza, disabilitare l'ibernazione. |
| Consente agli utenti di scegliere se richiedere l'immissione di una password quando si riprendono le attività dopo una fase di standby connesso | Quando questo criterio non è configurato in Microsoft Entra dispositivi aggiunti, gli utenti di un dispositivo standby connesso possono modificare la quantità di tempo dopo la disattivazione dello schermo del dispositivo prima che sia necessaria una password per riattivare il dispositivo. Durante il momento in cui lo schermo si disattiva, ma non è necessaria una password, le chiavi usate da Personal Data Encryption per proteggere il contenuto potrebbero essere esposte. È consigliabile disabilitare in modo esplicito questo criterio in Microsoft Entra dispositivi aggiunti. |
Configurare la crittografia dei dati personali con Microsoft Intune
Se si usa Microsoft Intune per gestire i dispositivi, è possibile configurare Crittografia dati personali usando un criterio di crittografia del disco, un criterio del catalogo delle impostazioni o un profilo personalizzato.
Criteri di crittografia del disco
Per configurare i dispositivi usando un criterio di crittografia del disco, passare aCrittografia dischidi sicurezza> degli endpoint e selezionare Crea criterio:
- Piattaforma>Finestre
- Profilo>Crittografia dei dati personali
Specificare un nome e selezionare Avanti. Nella pagina Impostazioni di configurazione selezionare Abilita crittografia dati personali e configurare le impostazioni in base alle esigenze.
Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare.
Criteri del catalogo delle impostazioni
Per configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:
| Categoria | Nome dell'impostazione | Valore |
|---|---|---|
| PDE | Abilitare la crittografia dei dati personali (utente) | Abilitare la crittografia dei dati personali |
| Modelli > amministrativi Componenti di > Windows Opzioni di accesso di Windows | Accedere e bloccare l'ultimo utente interattivo automaticamente dopo un riavvio | Disabilitato |
| Dump della memoria | Consenti dump live | Blocca |
| Dump della memoria | Consenti dump di arresto anomalo | Blocca |
| Modelli > amministrativi Componenti > di Windows Segnalazione errori Windows | Disabilitare Segnalazione errori Windows | Abilitato |
| Power | Consenti ibernazione | Blocca |
| Accesso di sistema > dei modelli amministrativi > | Consente agli utenti di scegliere se richiedere l'immissione di una password quando si riprendono le attività dopo una fase di standby connesso | Disattivato |
Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare.
Suggerimento
Usare la chiamata Graph seguente per creare automaticamente i criteri del catalogo delle impostazioni nel tenant senza assegnazioni né tag di ambito.
Quando si usa questa chiamata, eseguire l'autenticazione nel tenant nella finestra Esplora grafici. Se è la prima volta che si usa Graph Explorer, potrebbe essere necessario autorizzare l'applicazione ad accedere al tenant o a modificare le autorizzazioni esistenti. Questa chiamata a grafo richiede le autorizzazioni DeviceManagementConfiguration.ReadWrite.All .
POST https://graph.microsoft.com/beta/deviceManagement/configurationPolicies
Content-Type: application/json
{ "id": "00-0000-0000-0000-000000000000", "name": "_MSLearn_PDE", "description": "", "platforms": "windows10", "technologies": "mdm", "roleScopeTagIds": [ "0" ], "settings": [ { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowcrashdump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowcrashdump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowlivedump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowlivedump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "user_vendor_msft_pde_enablepersonaldataencryption", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "user_vendor_msft_pde_enablepersonaldataencryption_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_power_allowhibernate", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_power_allowhibernate_0", "children": [] } } } ] }
Configurare la crittografia dei dati personali con CSP
In alternativa, è possibile configurare i dispositivi usando il provider di servizi di configurazione criteri e il provider di servizi di crittografia dei dati personali.
| URI OMA | Formato | Value |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 1 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/AllowAutomaticRestartSignOn |
stringa | <disabled/> |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowCrashDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowLiveDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ErrorReporting/DisableWindowsErrorReporting |
stringa | <enabled/> |
./Device/Vendor/MSFT/Policy/Config/Power/AllowHibernate |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/AllowDomainDelayLock |
stringa | <disabled/> |
Disabilitare la crittografia dei dati personali
Una volta abilitata la crittografia dei dati personali, non è consigliabile disabilitarla. Tuttavia, se è necessario disabilitare La crittografia dei dati personali, è possibile eseguire questa operazione seguendo questa procedura.
Disabilitare la crittografia dei dati personali con un criterio di crittografia del disco
Per disabilitare i dispositivi di crittografia dei dati personali usando un criterio di crittografia del disco, passare aCrittografia dischidi sicurezza> degli endpoint e selezionare Crea criterio:
- Piattaforma>Finestre
- Profilo>Crittografia dei dati personali
Specificare un nome e selezionare Avanti. Nella pagina Impostazioni di configurazione selezionare Disabilita crittografia dati personali.
Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare.
Disabilitare la crittografia dei dati personali con un criterio del catalogo delle impostazioni in Intune
Per configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:
| Categoria | Nome dell'impostazione | Valore |
|---|---|---|
| PDE | Abilitare la crittografia dei dati personali (utente) | Disabilitare la crittografia dei dati personali |
Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare.
Disabilitare la crittografia dei dati personali con CSP
È possibile disabilitare Personal Data Encryption con CSP usando l'impostazione seguente:
| URI OMA | Formato | Value |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 0 |
Decrittografare il contenuto crittografato
La disabilitazione della crittografia dei dati personali non decrittografa alcun contenuto protetto da Crittografia dati personali. Impedisce solo all'API Crittografia dati personali di proteggere eventuali contenuti aggiuntivi. I file protetti da Pprotect possono essere decrittografati manualmente seguendo questa procedura:
- Aprire le proprietà del file
- Nella scheda Generale selezionare Avanzate
- Deselezionare l'opzione Crittografa il contenuto per proteggere i dati
- Selezionare OK e quindi di nuovo OK
I file protetti possono anche essere decrittografati usando cipher.exe, che può essere utile negli scenari seguenti:
- Decrittografia di un numero elevato di file in un dispositivo
- Decrittografia di file in più dispositivi
Per decrittografare i file in un dispositivo usando cipher.exe:
Decrittografare tutti i file in una directory, incluse le sottodirectory:
cipher.exe /d /s:<path_to_directory>Decrittografare un singolo file o tutti i file nella directory specificata, ma non tutte le sottodirectory:
cipher.exe /d <path_to_file_or_directory>
Importante
Quando un utente sceglie di decrittografare manualmente un file, l'utente non sarà in grado di proteggere manualmente il file usando Crittografia dati personali.