個人データ暗号化
Windows 11バージョン 22H2 以降、個人用データ暗号化は、ファイル ベースのデータ暗号化機能を Windows に提供するセキュリティ機能です。
個人データ暗号化では、Windows Hello for Businessを使用して、データ暗号化キーをユーザー資格情報とリンクします。 ユーザーがWindows Hello for Businessを使用してデバイスにサインインすると、暗号化解除キーが解放され、暗号化されたデータにユーザーがアクセスできるようになります。
ユーザーがログオフすると、別のユーザーがデバイスにサインインした場合でも、復号化キーは破棄され、データにアクセスできなくなります。
Windows Hello for Businessの使用には、次の利点があります。
- これにより、暗号化されたコンテンツにアクセスするための資格情報の数が減ります。ユーザーは、Windows Hello for Businessでサインインするだけで済みます。
- Windows Hello for Businessを使用する場合に使用できるアクセシビリティ機能は、個人用データ暗号化で保護されたコンテンツに拡張されます
個人データ暗号化は、ボリュームとディスク全体ではなくファイルを暗号化するという点で BitLocker とは異なります。 個人データ暗号化は、BitLocker などの他の暗号化方法に加えて行われます。
起動時にデータ暗号化キーを解放する BitLocker とは異なり、ユーザーが Windows Hello for Business を使用してサインインするまで、Personal Data Encryption はデータ暗号化キーを解放しません。
前提条件
個人データ暗号化を使用するには、次の前提条件を満たす必要があります。
- Windows 11バージョン 22H2 以降
- デバイスはMicrosoft Entra参加している必要があります。 ドメイン参加済みデバイスとMicrosoft Entraハイブリッド参加済みデバイスはサポートされていません
- ユーザーは、Windows Hello for Businessを使用してサインインする必要があります
重要
パスワードまたは セキュリティ キーを使用してサインインした場合、個人用データ暗号化で保護されたコンテンツにアクセスすることはできません。
Windows エディションとライセンスに関する要件
次の表に、個人データ暗号化 (PDE) をサポートする Windows エディションの一覧を示します。
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
なし | はい | なし | はい |
個人データ暗号化 (PDE) ライセンスの権利は、次のライセンスによって付与されます:
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
なし | はい | はい | ○ | ○ |
Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。
個人データ暗号化保護レベル
個人データ暗号化では、256 ビット キーを持つ AES-CBC を使用してコンテンツを保護し、2 つのレベルの保護を提供します。 保護のレベルは、組織のニーズに基づいて決定されます。 これらのレベルは、 個人データ暗号化 API を使用して設定できます。
項目 | レベル 1 | レベル 2 |
---|---|---|
ユーザーが Windows Hello for Business 経由でサインインしたときにアクセス可能な保護されたデータ | ○ | ○ |
保護されたデータは、Windows ロック画面でアクセスできます | はい | ロック後 1 分間データにはアクセスできなくなり、使用できなくなります |
保護されたデータは、ユーザーが Windows からサインアウトした後にアクセスできます | なし | なし |
保護されたデータは、デバイスがシャットダウンされたときにアクセスできます | なし | なし |
保護されたデータには UNC パスを使用してアクセスできます | なし | なし |
保護されたデータは、Windows Hello for Businessの代わりに Windows パスワードを使用して署名するときにアクセスできます | なし | なし |
保護されたデータは、リモート デスクトップ セッションを介してアクセスできます | なし | なし |
個人データ暗号化によって使用される暗号化解除キーが破棄されました | ユーザーが Windows からサインアウトした後 | Windows ロック画面がエンゲージされた後、またはユーザーが Windows からサインアウトしてから 1 分後 |
個人データ暗号化で保護されたコンテンツ のアクセシビリティ
ファイルが個人データ暗号化で保護されている場合、そのアイコンに南京錠が表示されます。 ユーザーがWindows Hello for Businessでローカルにサインインしていない場合、または未承認のユーザーが個人データ暗号化で保護されたコンテンツにアクセスしようとすると、コンテンツへのアクセスが拒否されます。
ユーザーが個人データ暗号化で保護されたコンテンツへのアクセスを拒否されるシナリオは次のとおりです。
- ユーザーが生体認証または PIN を使用してサインインするのではなく、パスワードを使用して Windows にサインインWindows Hello for Business
- レベル 2 の保護で保護されている場合、デバイスがロックされている場合
- デバイス上のコンテンツにリモートでアクセスしようとするとき。 たとえば、UNC ネットワーク パス
- リモート デスクトップ セッション
- Windows Hello for Business経由でサインインしていて、個人データ暗号化で保護されたコンテンツに移動するアクセス許可を持っている場合でも、コンテンツの所有者ではないデバイス上の他のユーザー
個人データ暗号化と BitLocker の違い
個人データ暗号化は、BitLocker と共に動作することを目的とします。 個人データ暗号化は BitLocker に代わるものではなく、BitLocker は個人データ暗号化の代わりにもなります。 両方の機能を組み合わせて使用すると、BitLocker または個人用データ暗号化のみを使用するよりもセキュリティが向上します。 ただし、BitLocker と個人データの暗号化と動作方法には違いがあります。 これらの違いがあるからこそ、これらを組み合わせて使用するとセキュリティが向上します。
項目 | 個人データ暗号化 | BitLocker |
---|---|---|
暗号化解除キーのリリース | Windows Hello for Business を使用したユーザー サインイン時 | 起動時 |
暗号化解除キーが破棄されました | ユーザーが Windows からサインアウトしたとき、または Windows ロック画面がエンゲージされてから 1 分後に | シャットダウン時 |
保護されたコンテンツ | 保護されたフォルダー内のすべてのファイル | ボリューム/ドライブ全体 |
保護されたコンテンツにアクセスするための認証 | Windows Hello for Business | TPM + PIN を使用した BitLocker が有効になっている場合、BitLocker PIN と Windows サインイン |
個人データ暗号化と EFS の違い
EFS ではなく個人用データ暗号化を使用してファイルを保護する場合のメイン違いは、ファイルを保護するために使用する方法です。 個人データ暗号化では、Windows Hello for Businessを使用して、ファイルを保護するキーをセキュリティで保護します。 EFS では、証明書を使用してファイルをセキュリティで保護します。
ファイルが個人データ暗号化または EFS で保護されているかどうかを確認するには:
- ファイルのプロパティを開く
- [全般] タブで、[詳細...] を選択します
- [詳細属性] ウィンドウで、[詳細] を選択します。
個人データ暗号化で保護されたファイルの場合、[ 保護の状態]: [ 個人データの暗号化] として 一覧表示される項目が表示され、属性は [オン] になります。
EFS で保護されたファイルの場合、[このファイルにアクセスできるユーザー]: の下に、ファイルにアクセスできるユーザーの横に証明書の拇印が表示されます。 また、このファイルの下部には、[回復ポリシーで定義されている回復証明書]記されたセクションもあります。
ファイルを保護するために使用されている暗号化方法を含む暗号化情報は、 cipher.exe /c
コマンドを使用して取得できます。
個人データ暗号化の使用に関する推奨事項
個人データ暗号化を使用するための推奨事項を次に示します。
- BitLocker ドライブ暗号化を有効にします。 個人データ暗号化は BitLocker なしで動作しますが、BitLocker を有効にすることをお勧めします。 個人データ暗号化は、BitLocker と共に動作し、セキュリティを強化することを目的としているため、BitLocker の代わりではありません
- Microsoft 365 の OneDrive などのバックアップ ソリューション。 TPM リセットや破壊的 PIN リセットなどの特定のシナリオでは、個人データ暗号化によってコンテンツを保護するために使用されるキーが失われ、保護されたコンテンツにアクセスできなくなります。 そのようなコンテンツを回復する唯一の方法は、バックアップからです。 ファイルが OneDrive に同期されている場合、アクセスを回復するには、OneDrive を再同期する必要があります
- PIN リセット サービスをWindows Hello for Businessします。 破壊的 PIN リセットにより、個人データ暗号化で使用されるキーが失われ、個人データ暗号化で保護されたコンテンツにアクセスできなくなります。 破壊的な PIN のリセット後、個人データ暗号化で保護されたコンテンツをバックアップから回復する必要があります。 このため、非破壊的な PIN リセットを提供するため、WINDOWS HELLO FOR BUSINESS PIN リセット サービスをお勧めします
- Windows Hello 強化されたサインイン セキュリティは、生体認証または PIN を使用してWindows Hello for Businessで認証するときに追加のセキュリティを提供します
個人データ暗号化をサポートする Windows のすぐに使用できるアプリケーション
特定の Windows アプリケーションでは、すぐに使用する個人データ暗号化がサポートされています。 デバイスで個人データ暗号化が有効になっている場合、これらのアプリケーションは個人データ暗号化を利用します。
アプリ名 | 詳細 |
---|---|
メール | メール本文と添付ファイルの両方の保護をサポートします |
次のステップ
- 個人用データ暗号化を構成するための使用可能なオプションと、Microsoft Intuneまたは構成サービス プロバイダー (CSP) を使用して構成する方法について説明します:個人データ暗号化の設定と構成
- 個人データ暗号化に関する FAQ を確認する