個人データ暗号化の概要
個人データ暗号化は、ファイル ベースのデータ暗号化機能を Windows に提供するセキュリティ機能です。 Windows Hello for Businessを利用して、データ暗号化キーをユーザー資格情報とリンクします。 ユーザーがWindows Helloを使用してデバイスにサインインすると、暗号化解除キーが解放され、暗号化されたデータにユーザーがアクセスできるようになります。 逆に、ユーザーがサインアウトすると、復号化キーが破棄され、別のユーザーがデバイスにサインインしてもデータにアクセスできなくなります。 これにより、機密情報は常に保護されます。
個人データ暗号化の利点は重要です。 暗号化されたコンテンツにアクセスするために必要な資格情報の数を減らすことで、ユーザーはWindows Helloでサインインするだけで済みます。 さらに、Windows Helloで利用できるアクセシビリティ機能は、個人用データ暗号化で保護されたコンテンツにも拡張されます。
ボリュームとディスク全体を暗号化する BitLocker とは異なり、個人用データ暗号化は個々のファイルに焦点を当て、別のセキュリティ層を提供します。 この機能は、データ保護を強化するだけでなく、個人情報の保護に対する強いコミットメントも示します。
既知のフォルダーの個人データ暗号化
Windows 11バージョン 24H2 以降、個人用データ暗号化は、既知のフォルダーの個人データ暗号化を使用してさらに強化されています。 有効にすると、Windows フォルダー のデスクトップ、 ドキュメント、 および画像とその内容が自動的に暗号化されます。 この機能を使用すると、一般的に使用されるフォルダーにセキュリティの追加レイヤーを迅速かつ簡単に追加できます。
前提条件
個人データ暗号化を使用するには、次の前提条件を満たす必要があります。
- Windows 11バージョン 22H2 以降
- 既知のフォルダーの個人データ暗号化は、バージョン 24H2 以降のWindows 11でのみ使用できます
- デバイスは、Microsoft Entra参加済みであるか、ハイブリッドに参加Microsoft Entra必要があります。 ドメイン参加済みデバイスはサポートされていません
- ユーザーは、Windows Helloを使用してサインインする必要があります
重要
パスワードまたは FIDO2 セキュリティ キーを使用してサインインする場合、個人用データ暗号化で保護されたコンテンツにアクセスすることはできません。
Windows エディションとライセンスに関する要件
次の表に、個人データ暗号化をサポートする Windows エディションを示します。
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| なし | はい | なし | はい |
個人データ暗号化ライセンスの権利は、次のライセンスによって付与されます。
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| なし | はい | はい | はい | はい |
Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。
個人データ暗号化保護レベル
個人データ暗号化では、256 ビット キーを持つ AES-CBC を使用してコンテンツを保護し、2 つのレベルの保護を提供します。 保護のレベルは、組織のニーズに基づいて決定されます。 これらのレベルは、 個人データ暗号化 API を使用して設定できます。
| 項目 | レベル 1 | レベル 2 |
|---|---|---|
| ユーザーが Windows Hello 経由でサインインするときにアクセス可能な保護されたデータ | はい | はい |
| 保護されたデータは、Windows ロック画面でアクセスできます | はい | ロック後 1 分間データにはアクセスできなくなり、使用できなくなります |
| 保護されたデータは、ユーザーが Windows からサインアウトした後にアクセスできます | なし | なし |
| 保護されたデータは、デバイスがシャットダウンされたときにアクセスできます | なし | なし |
| 保護されたデータには UNC パスを使用してアクセスできます | なし | なし |
| 保護されたデータは、Windows Helloではなく Windows パスワードを使用して署名するときにアクセスできます | なし | なし |
| 保護されたデータは、リモート デスクトップ セッションを介してアクセスできます | なし | なし |
| 個人データ暗号化によって使用される暗号化解除キーが破棄されました | ユーザーが Windows からサインアウトした後 | Windows ロック画面がエンゲージされた後、またはユーザーが Windows からサインアウトしてから 1 分後 |
個人データ暗号化で保護されたコンテンツ のアクセシビリティ
ファイルが個人データ暗号化で保護されている場合、そのアイコンに南京錠が表示されます。 ユーザーがWindows Helloでローカルにサインインしていない場合、または未承認のユーザーが保護されたコンテンツにアクセスしようとすると、アクセスが拒否されます。
ユーザーが個人データ暗号化で保護されたコンテンツへのアクセスを拒否されるシナリオは次のとおりです。
- ユーザーは、Windows Hello (生体認証または PIN) を使用する代わりにパスワードでサインインします
- レベル 2 の保護で保護されている場合、デバイスがロックされている場合
- デバイス上のコンテンツにリモートでアクセスしようとするとき。 たとえば、UNC ネットワーク パス
- リモート デスクトップ セッション
- Windows Hello経由でサインインしていて、個人データ暗号化で保護されたコンテンツに移動するアクセス許可を持っている場合でも、コンテンツの所有者ではないデバイス上の他のユーザー
個人データ暗号化と BitLocker の違い
個人データ暗号化は、BitLocker と共に動作することを目的とします。 個人データ暗号化は BitLocker に代わるものではなく、BitLocker は個人データ暗号化の代わりにもなります。 両方の機能を組み合わせて使用すると、BitLocker または個人用データ暗号化のみを使用するよりもセキュリティが向上します。 ただし、BitLocker と個人データの暗号化と動作方法には違いがあります。 これらの違いがあるからこそ、これらを組み合わせて使用するとセキュリティが向上します。
| 個人データ暗号化 | BitLocker | |
|---|---|---|
| 暗号化解除キーのリリース | Windows Helloを使用したユーザー サインイン時 | 起動時 |
| 暗号化解除キーが破棄されました | ユーザーが Windows からサインアウトしたとき、または Windows ロック画面がエンゲージされてから 1 分後に | シャットダウン時 |
| 保護されたコンテンツ | 保護されたフォルダー内のすべてのファイル | ボリューム/ドライブ全体 |
| 保護されたコンテンツにアクセスするための認証 | Windows Hello for Business | TPM + PIN を使用した BitLocker が有効になっている場合、BitLocker PIN と Windows サインイン |
個人データ暗号化と EFS の違い
EFS ではなく個人用データ暗号化を使用してファイルを保護する場合のメイン違いは、ファイルを保護するために使用する方法です。 個人データ暗号化では、Windows Hello for Businessを使用して、ファイルを保護するキーをセキュリティで保護します。 EFS では、証明書を使用してファイルをセキュリティで保護します。
ファイルが個人データ暗号化または EFS で保護されているかどうかを確認するには:
- ファイルのプロパティを開く
- [全般] タブで、[詳細...] を選択します
- [詳細属性] ウィンドウで、[詳細] を選択します。
[個人データ暗号化で保護されたファイル] の場合、[ 保護の状態]: [ 個人データの暗号化] が [オン] として一覧表示されている項目があります。
EFS で保護されたファイルの場合、[ このファイルにアクセスできるユーザー] の下に、ファイルへのアクセス権を持つユーザーの横に 証明書の拇印 があります。 回復 ポリシーで定義されているこのファイルの [回復証明書] というラベルのセクションもあります。
ファイルを保護するために使用されている暗号化方法を含む暗号化情報は、 cipher.exe /c コマンドを使用して取得できます。
個人データ暗号化の使用に関する推奨事項
個人データ暗号化を使用するための推奨事項を次に示します。
- BitLocker ドライブ暗号化を有効にします。 個人データ暗号化は BitLocker なしで動作しますが、BitLocker を有効にすることをお勧めします。 個人データ暗号化は、BitLocker と共に動作し、セキュリティを強化することを目的としているため、BitLocker の代わりではありません
- Microsoft 365 の OneDrive などのバックアップ ソリューション。 TPM リセットや破壊的 PIN リセットなどの特定のシナリオでは、個人データ暗号化によってコンテンツを保護するために使用されるキーが失われ、保護されたコンテンツにアクセスできなくなります。 そのようなコンテンツを回復する唯一の方法は、バックアップからです。 ファイルが OneDrive に同期されている場合、アクセスを回復するには、OneDrive を再同期する必要があります
- PIN リセット サービスをWindows Hello for Businessします。 破壊的 PIN リセットにより、個人データ暗号化で使用されるキーが失われ、個人データ暗号化で保護されたコンテンツにアクセスできなくなります。 破壊的な PIN のリセット後、個人データ暗号化で保護されたコンテンツをバックアップから回復する必要があります。 このため、非破壊的な PIN リセットを提供するため、WINDOWS HELLO FOR BUSINESS PIN リセット サービスをお勧めします
- Windows Hello 強化されたサインイン セキュリティにより、生体認証または PIN を使用してWindows Helloで認証する際のセキュリティが強化されます
次のステップ
- 個人用データ暗号化を構成するための使用可能なオプションと、Microsoft Intuneまたは構成サービス プロバイダー (CSP) を使用して構成する方法について説明します:個人データ暗号化の設定と構成
- 個人データ暗号化に関する FAQ を確認する