個人データ暗号化 (PDE)
Windows 11 バージョン 22H2 以降、個人用データ暗号化 (PDE) は、ファイル ベースのデータ暗号化機能を Windows に提供するセキュリティ機能です。
PDE では、Windows Hello for Businessを使用して、データ暗号化キーをユーザー資格情報とリンクします。 ユーザーがWindows Hello for Businessを使用してデバイスにサインインすると、暗号化解除キーが解放され、暗号化されたデータにユーザーがアクセスできるようになります。
ユーザーがログオフすると、別のユーザーがデバイスにサインインした場合でも、復号化キーは破棄され、データにアクセスできなくなります。
Windows Hello for Businessの使用には、次の利点があります。
- これにより、暗号化されたコンテンツにアクセスするための資格情報の数が減ります。ユーザーは、Windows Hello for Businessでサインインするだけで済みます。
- Windows Hello for Businessを使用する場合に使用できるアクセシビリティ機能は、PDE で保護されたコンテンツに拡張されます
PDE は、ボリュームとディスク全体ではなくファイルを暗号化するという点で BitLocker とは異なります。 PDE は、BitLocker などの他の暗号化方法に加えて発生します。
起動時にデータ暗号化キーを解放する BitLocker とは異なり、PDE では、ユーザーが Windows Hello for Business を使用してサインインするまで、データ暗号化キーは解放されません。
前提条件
PDE を使用するには、次の前提条件を満たす必要があります。
- Windows 11バージョン 22H2 以降
- デバイスはMicrosoft Entra参加している必要があります。 ドメイン参加済みデバイスとMicrosoft Entraハイブリッド参加済みデバイスはサポートされていません
- ユーザーは、Windows Hello for Businessを使用してサインインする必要があります
重要
パスワードまたは セキュリティ キーを使用してサインインした場合、PDE で保護されたコンテンツにアクセスすることはできません。
Windows エディションとライセンスに関する要件
次の表に、個人データ暗号化 (PDE) をサポートする Windows エディションの一覧を示します。
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| なし | はい | なし | はい |
個人データ暗号化 (PDE) ライセンスの権利は、次のライセンスによって付与されます:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| なし | ○ | はい | はい | ○ |
Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。
PDE 保護レベル
PDE は、256 ビット キーを持つ AES-CBC を使用してコンテンツを保護し、2 つのレベルの保護を提供します。 保護のレベルは、組織のニーズに基づいて決定されます。 これらのレベルは、PDE API を使用して設定できます。
| 項目 | レベル 1 | レベル 2 |
|---|---|---|
| ユーザーが Windows Hello for Business 経由でサインインした場合にアクセスできる PDE で保護されたデータ | はい | はい |
| PDE で保護されたデータには Windows ロック画面でアクセス可能です | はい | ロック後 1 分間データにはアクセスできなくなり、使用できなくなります |
| PDE で保護されたデータには、ユーザーが Windows からサイン アウト後にアクセス可能です | なし | なし |
| PDE で保護されたデータには、デバイスのシャット ダウン後にアクセス可能です | なし | なし |
| PDE で保護されたデータには UNC パス経由でアクセスできます | なし | なし |
| PDE で保護されたデータには、Windows Hello for Business ではなく Windows パスワードで署名するときにアクセスできます | なし | なし |
| PDE で保護されたデータには、リモート デスクトップ セッション経由でアクセスできます | なし | なし |
| PDE によって使用される暗号化解除キーが破棄されました | ユーザーが Windows からサインアウトした後 | Windows ロック画面がエンゲージされた後、またはユーザーが Windows からサインアウトしてから 1 分後 |
PDE で保護されたコンテンツのアクセス可能性
PDE でファイルを保護すると、そのアイコンに南京錠が表示されます。 ユーザーが Windows Hello for Business でローカルにサインインしていない場合、または未承認のユーザーが PDE で保護されたコンテンツにアクセスしようとすると、コンテンツへのアクセスが拒否されます。
ユーザーが PDE で保護されたコンテンツへのアクセスを拒否されるシナリオは次のとおりです:
- ユーザーが生体認証または PIN を使用してサインインするのではなく、パスワードを使用して Windows にサインインWindows Hello for Business
- レベル 2 の保護で保護されている場合、デバイスがロックされている場合
- デバイス上のコンテンツにリモートでアクセスしようとするとき。 たとえば、UNC ネットワーク パス
- リモート デスクトップ セッション
- Windows Hello for Business経由でサインインしていて、PDE で保護されたコンテンツに移動するアクセス許可を持っている場合でも、コンテンツの所有者ではないデバイス上の他のユーザー
PDE と BitLocker の違い
PDE は BitLocker と共に動作することを目的とします。 PDE は BitLocker の代わりではなく、BitLocker が PDE の代わりにもなりません。 両方の機能を組み合わせて使用すると、BitLocker または PDE を単独で使用するよりも優れたセキュリティが提供されます。 ただし、BitLocker と PDE の動作には違いがあります。 これらの違いがあるからこそ、これらを組み合わせて使用するとセキュリティが向上します。
| 項目 | PDE | BitLocker |
|---|---|---|
| 暗号化解除キーのリリース | Windows Hello for Business を使用したユーザー サインイン時 | 起動時 |
| 暗号化解除キーが破棄されました | ユーザーが Windows からサインアウトしたとき、または Windows ロック画面がエンゲージされてから 1 分後に | シャットダウン時 |
| 保護されたコンテンツ | 保護されたフォルダー内のすべてのファイル | ボリューム/ドライブ全体 |
| 保護されたコンテンツにアクセスするための認証 | Windows Hello for Business | TPM + PIN を使用した BitLocker が有効になっている場合、BitLocker PIN と Windows サインイン |
PDE と EFS の違い
EFS ではなく PDE でファイルを保護する主な違いは、ファイルを保護するために使用する方法です。 PDE は Windows Hello for Business を使用して、ファイルを保護するキーをセキュリティで保護します。 EFS では、証明書を使用してファイルをセキュリティで保護します。
ファイルが PDE または EFS で保護されているかどうかを確認するには:
- ファイルのプロパティを開く
- [全般] タブで、[詳細...] を選択します
- [詳細属性] ウィンドウで、[詳細] を選択します。
PDE で保護されたファイルの場合、[保護の状態]: [個人データの暗号化] として一覧表示される項目があり、属性は [オン] になります。
EFS で保護されたファイルの場合、[このファイルにアクセスできるユーザー]: の下に、ファイルにアクセスできるユーザーの横に証明書の拇印が表示されます。 また、このファイルの下部には、[回復ポリシーで定義されている回復証明書]記されたセクションもあります。
ファイルを保護するために使用されている暗号化方法を含む暗号化情報は、 コマンドを使用して cipher.exe /c 取得できます。
PDE を使用するための推奨事項
PDE を使用するための推奨事項を次に示します。
- BitLocker ドライブ暗号化を有効にします。 PDE は BitLocker なしで動作しますが、BitLocker を有効にすることをお勧めします。 PDE は BitLocker と共に動作し、セキュリティを強化することを目的としているため、BitLocker の代わりではありません
- Microsoft 365 の OneDrive などのバックアップ ソリューション。 TPM リセットや破壊的 PIN リセットなどの特定のシナリオでは、コンテンツを保護するために PDE によって使用されるキーが失われ、PDE で保護されたコンテンツにアクセスできなくなります。 そのようなコンテンツを回復する唯一の方法は、バックアップからです。 ファイルが OneDrive に同期されている場合、アクセスを回復するには、OneDrive を再同期する必要があります
- PIN リセット サービスをWindows Hello for Businessします。 破壊的な PIN リセットにより、PDE によって使用されるキーによってコンテンツが失われ、PDE で保護されたコンテンツにアクセスできなくなります。 破壊的な PIN リセットの後、PDE で保護されたコンテンツをバックアップから回復する必要があります。 このため、非破壊的な PIN リセットを提供するため、WINDOWS HELLO FOR BUSINESS PIN リセット サービスをお勧めします
- Windows Hello 強化されたサインイン セキュリティは、生体認証または PIN を使用してWindows Hello for Businessで認証するときに追加のセキュリティを提供します
PDE をサポートする Windows の、すぐに使用できるアプリケーション
一部の Windows アプリケーションでは、既定で PDE がサポートされています。 デバイスで PDE が有効になっている場合、これらのアプリケーションは PDE を利用します。
| アプリ名 | 詳細 |
|---|---|
| メール | メール本文と添付ファイルの両方の保護をサポートします |
次のステップ
- 個人用データ暗号化 (PDE) を構成するための使用可能なオプションと、Microsoft Intuneまたは構成サービス プロバイダー (CSP) を使用して構成する方法について説明します:PDE の設定と構成
- 個人データ暗号化 (PDE) に関する FAQ を確認する