个人数据加密
从 Windows 11 版本 22H2 开始,个人数据加密是一项安全功能,可为 Windows 提供基于文件的数据加密功能。
个人数据加密利用Windows Hello 企业版将数据加密密钥与用户凭据链接。 当用户使用 Windows Hello 企业版 登录到设备时,会释放解密密钥,并且用户可以访问加密的数据。
当用户注销时,解密密钥将被丢弃,并且数据不可访问,即使其他用户登录到设备也是如此。
使用Windows Hello 企业版具有以下优势:
- 它减少了访问加密内容的凭据数:用户只需使用 Windows Hello 企业版
- 使用时可用的辅助功能Windows Hello 企业版扩展到个人数据加密受保护的内容
个人数据加密与 BitLocker 的不同之处在于,它加密文件而不是整个卷和磁盘。 除了其他加密方法(如 BitLocker)之外,还会进行个人数据加密。
与启动时释放数据加密密钥的 BitLocker 不同,个人数据加密在用户使用 Windows Hello 企业版 登录之前不会释放数据加密密钥。
必备条件
若要使用个人数据加密,必须满足以下先决条件:
- Windows 11版本 22H2 及更高版本
- 设备必须Microsoft Entra联接。 不支持已加入域和Microsoft Entra混合联接的设备
- 用户必须使用 Windows Hello 企业版 登录
重要提示
如果使用密码或 安全密钥登录,则无法访问受个人数据加密保护的内容。
Windows 版本和许可要求
下表列出了支持个人数据加密 (PDE) 的 Windows 版本:
| Windows 专业版 | Windows 企业版 | Windows 专业教育版/SE | Windows 教育版 |
|---|---|---|---|
| 否 | 是 | 否 | 是 |
个人数据加密 (PDE) 许可证权利由以下许可证授予:
| Windows 专业版/专业教育版/SE | Windows 企业版 E3 | Windows 企业版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
|---|---|---|---|---|
| 否 | 是 | 是 | 是 | 是 |
有关 Windows 许可的详细信息,请参阅 Windows 许可概述。
个人数据加密保护级别
个人数据加密使用具有 256 位密钥的 AES-CBC 来保护内容,并提供两个级别的保护。 保护级别根据组织需求确定。 可以通过 个人数据加密 API 设置这些级别。
| 项目 | 1 级 | 2 级 |
|---|---|---|
| 当用户通过Windows Hello 企业版登录时可访问的受保护数据 | 是 | 是 |
| 可在 Windows 锁屏界面上访问受保护的数据 | 是 | 在锁屏后一分钟内可以访问数据,之后便不可访问 |
| 用户注销 Windows 后可以访问受保护的数据 | 否 | 否 |
| 设备关闭时可以访问受保护的数据 | 否 | 否 |
| 可通过 UNC 路径访问受保护的数据 | 否 | 否 |
| 使用 Windows 密码而不是Windows Hello 企业版进行签名时,可以访问受保护的数据 | 否 | 否 |
| 可通过远程桌面会话访问受保护的数据 | 否 | 否 |
| 个人数据加密使用的解密密钥被丢弃 | 用户注销 Windows 后 | Windows 锁屏界面启动后或用户注销 Windows 后一分钟 |
个人数据加密保护的内容辅助功能
使用个人数据加密保护文件时,其图标将显示一个挂锁。 如果用户未使用 Windows Hello 企业版 在本地登录,或者未经授权的用户尝试访问个人数据加密保护的内容,则会拒绝他们访问该内容。
将拒绝用户访问个人数据加密保护内容的情况包括:
- 用户已通过密码登录 Windows,而不是使用Windows Hello 企业版生物识别或 PIN 登录
- 如果通过级别 2 保护进行保护,则当设备锁定时
- 尝试远程访问设备上的内容时。 例如,UNC 网络路径
- 远程桌面会话
- 设备上非内容所有者的其他用户,即使他们通过Windows Hello 企业版登录并有权导航到个人数据加密保护的内容
个人数据加密与 BitLocker 之间的差异
个人数据加密旨在与 BitLocker 协同工作。 个人数据加密不是 BitLocker 的替代品,BitLocker 也不是个人数据加密的替代品。 与单独使用 BitLocker 或个人数据加密相比,同时使用这两种功能可提供更好的安全性。 但是,BitLocker 和个人数据加密之间存在差异,以及它们的工作方式。 这些差异是将它们一起使用可提供更好的安全性的原因。
| 项目 | 个人数据加密 | BitLocker |
|---|---|---|
| 释放解密密钥 | 通过 Windows Hello 企业版登录时 | 启动时 |
| 解密密钥已丢弃 | 当用户注销 Windows 时或 Windows 锁屏界面启用后一分钟 | 关闭时 |
| 受保护的内容 | 受保护的文件夹中的所有文件 | 整个卷/驱动器 |
| 用于访问受保护内容的身份验证 | Windows Hello 企业版 | 启用 BitLocker 和 TPM + PIN 时,BitLocker PIN 加上 Windows 登录 |
个人数据加密与 EFS 之间的差异
使用个人数据加密而不是 EFS 保护文件之间的main区别在于他们用来保护文件的方法。 个人数据加密使用Windows Hello 企业版来保护保护文件的密钥。 EFS 使用证书来保护文件。
若要查看文件是否受到个人数据加密或 EFS 的保护,请执行以下操作:
- 打开文件的属性
- 在“常规”选项卡下,选择“高级…”
- 在“高级属性”窗口中,选择“详细信息”
对于“个人数据加密保护文件”,在 “保护状态”下, 将有一项列为 “个人数据加密为: ”,并且其属性为 “开”。
对于 EFS 保护的文件,在“可以访问此文件的用户:”下,有权访问该文件的用户旁边会显示一个证书指纹。 底部还会有一个部分,标记为“按恢复策略定义的此文件的恢复证书:”。
可以使用 命令获取 cipher.exe /c 加密信息,包括用于保护文件的加密方法。
有关使用个人数据加密的建议
下面是使用个人数据加密的建议:
- 启用 BitLocker 驱动器加密。 虽然个人数据加密在没有 BitLocker 的情况下工作,但建议启用 BitLocker。 个人数据加密旨在与 BitLocker 协同工作以提高安全性,因为它不能替代 BitLocker
- 备份解决方案,例如 Microsoft 365 中的 OneDrive。 在某些情况下,例如 TPM 重置或破坏性 PIN 重置,个人数据加密用于保护内容的密钥将丢失,使任何受保护的内容无法访问。 恢复此类内容的唯一方法是从备份中恢复。 如果文件已同步到 OneDrive,若要重新获得访问权限,必须重新同步 OneDrive
- Windows Hello 企业版 PIN 重置服务。 破坏性 PIN 重置将导致个人数据加密用于保护内容的密钥丢失,使任何受个人数据加密保护的内容都无法访问。 破坏性 PIN 重置后,必须从备份中恢复受个人数据加密保护的内容。 因此,建议Windows Hello 企业版 PIN 重置服务,因为它提供非破坏性 PIN 重置
- Windows Hello增强的登录安全性在通过生物识别或 PIN 使用Windows Hello 企业版进行身份验证时提供额外的安全性
支持个人数据加密的 Windows 现装应用程序
某些 Windows 应用程序支持现装的个人数据加密。 如果在设备上启用了个人数据加密,这些应用程序将利用个人数据加密:
| 应用名称 | 详细信息 |
|---|---|
| 支持保护电子邮件正文和附件 |
后续步骤
- 了解用于配置个人数据加密的可用选项,以及如何通过Microsoft Intune或配置服务提供商 (CSP) :个人数据加密设置和配置对其进行配置
- 查看 个人数据加密常见问题解答