个人数据加密设置和配置

本文介绍个人数据加密设置,以及如何通过MICROSOFT INTUNE或配置服务提供程序 (CSP) 进行配置。

注意

可以使用 CSP 策略配置个人数据加密。 可以使用已知文件夹和个人数据加密 API 的个人数据加密来指定受 个人数据加密保护的内容。

个人数据加密 API 可用于创建自定义应用程序和脚本,以指定要保护的内容以及保护内容的级别。 此外,在启用个人数据加密策略之前,无法使用个人数据加密 API 来保护内容。

个人数据加密设置

下表列出了启用个人数据加密所需的设置。

设置名称 描述
启用个人数据加密 默认情况下不启用个人数据加密。 在使用个人数据加密之前,必须启用它。
重启后自动登录和锁定最后一个交互式用户 不支持将 Winlogon 自动重启登录 (ARSO) 用于个人数据加密。 若要使用个人数据加密,必须禁用 ARSO。

已知文件夹设置的个人数据加密

下表列出了为已知文件夹配置个人数据加密的设置。

设置名称 描述
保护桌面 在桌面文件夹上启用个人数据加密。
保护文档 在 Documents 文件夹上启用个人数据加密。
保护图片 在“图片”文件夹上启用个人数据加密。

个人数据加密强化建议

下表列出了提高个人数据加密安全性的建议设置。

设置名称 描述
内核模式故障转储和实时转储 内核模式故障转储和实时转储可能会导致个人数据加密用于保护内容的密钥被公开。 为了获得最大的安全性,请禁用内核模式故障转储和实时转储。
Windows 错误报告 (WER) /user-mode 故障转储 禁用 Windows 错误报告可阻止用户模式故障转储。 用户模式故障转储可能会导致个人数据加密用于保护内容的密钥被公开。 为了获得最大的安全性,请禁用用户模式故障转储。
冬眠 休眠文件可能会导致个人数据加密用于保护内容的密钥被公开。 为了获得最大的安全性,请禁用休眠。
允许用户选择在从连接待机状态恢复时需要输入密码的时间 如果未在已加入Microsoft Entra设备上配置此策略,则连接待机设备上的用户可以更改设备屏幕关闭后的时间长度,然后需要密码才能唤醒设备。 在屏幕关闭但不需要密码期间,个人数据加密用于保护内容的密钥可能会公开。 建议在已加入Microsoft Entra设备上显式禁用此策略。

使用 Microsoft Intune 配置个人数据加密

如果使用Microsoft Intune来管理设备,则可以使用磁盘加密策略、设置目录策略或自定义配置文件配置个人数据加密。

磁盘加密策略

若要使用 磁盘加密策略配置设备,请转到 “终结点安全>磁盘加密 ”,然后选择“ 创建策略”:

  • 平台>窗户
  • 轮廓>个人数据加密

提供名称,然后选择“ 下一步”。 在 “配置设置” 页中,选择“ 启用个人数据加密 ”,并根据需要配置设置。

将策略分配给一个组,该组包含要配置的设备或用户作为成员。

设置目录策略

若要使用Microsoft Intune配置设备,请创建设置目录策略并使用以下设置:

类别 设置名称
个人数据加密 (用户) 启用个人数据加密 启用个人数据加密
个人数据加密 保护桌面 (用户) 为桌面文件夹启用保护
个人数据加密 保护文档 (用户) 为 Documents 文件夹启用保护
个人数据加密 保护图片 (用户) 为“图片”文件夹启用保护
管理模板 > Windows 组件 > Windows 登录选项 重启后自动登录和锁定最后一个交互式用户 禁用
内存转储 允许实时转储 阻止
内存转储 允许故障转储 阻止
管理模板 > Windows 组件>Windows 错误报告 禁用Windows 错误报告 已启用
电源 允许休眠 阻止
管理模板 > 系统 > 登录 允许用户选择在从连接待机状态恢复时需要输入密码的时间 已禁用

将策略分配给一个组,该组包含要配置的设备或用户作为成员。

提示

使用以下 Graph 调用在租户中自动创建设置目录策略,而无需分配或范围标记。

使用此调用时,请在 Graph 资源管理器窗口中向租户进行身份验证。 如果是首次使用 Graph 资源管理器,则可能需要授权应用程序访问租户或修改现有权限。 此图形调用需要 DeviceManagementConfiguration.ReadWrite.All 权限。

POST https://graph.microsoft.com/beta/deviceManagement/configurationPolicies
Content-Type: application/json

{ "id": "00-0000-0000-0000-000000000000", "name": "_MSLearn_PDE", "description": "", "platforms": "windows10", "technologies": "mdm", "roleScopeTagIds": [ "0" ], "settings": [ { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowcrashdump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowcrashdump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowlivedump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowlivedump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "user_vendor_msft_pde_enablepersonaldataencryption", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "user_vendor_msft_pde_enablepersonaldataencryption_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_power_allowhibernate", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_power_allowhibernate_0", "children": [] } } } ] }

使用 CSP 配置个人数据加密

或者,可以使用 策略 CSP个人数据加密 CSP 配置设备。

OMA-URI 格式
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption int 1
./User/Vendor/MSFT/PDE/ProtectFolders/ProtectDesktop int 1
./User/Vendor/MSFT/PDE/ProtectFolders/ProtectDocuments int 1
./User/Vendor/MSFT/PDE/ProtectFolders/ProtectPictures int 1
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/AllowAutomaticRestartSignOn 字符串 <disabled/>
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowCrashDump int 0
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowLiveDump int 0
./Device/Vendor/MSFT/Policy/Config/ErrorReporting/DisableWindowsErrorReporting 字符串 <enabled/>
./Device/Vendor/MSFT/Policy/Config/Power/AllowHibernate int 0
./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/AllowDomainDelayLock 字符串 <disabled/>

用户体验

启用个人数据加密后,用户体验如下:

  • 仅当用户使用Windows Hello (生物识别或 PIN) 登录时,才能访问个人数据加密保护的内容。 如果用户在没有Windows Hello的情况下登录,则无法打开加密内容
  • 如果用户尝试在没有Windows Hello的情况下登录,登录屏幕上会显示一条消息,指示用户必须使用登录屏幕的屏幕截图Windows Hello登录才能访问加密内容。如果用户尝试使用密码登录,则会显示一条消息,指示无法访问受个人数据加密保护的文件。
  • 受个人数据加密保护的数据在文件或文件夹的图标上有一个挂锁。 挂锁图标显示在 文件资源管理器 和桌面上文件资源管理器屏幕截图,其中包含一些受个人数据加密保护的文件,其中显示了一个挂锁。

禁用个人数据加密

启用个人数据加密后,不建议禁用它。 但是,如果需要禁用个人数据加密,可以使用以下步骤执行此作。

使用磁盘加密策略禁用个人数据加密

若要使用 磁盘加密策略禁用个人数据加密设备,请转到 “终结点安全>磁盘加密 ”,然后选择“ 创建策略”:

  • 平台>窗户
  • 轮廓>个人数据加密

提供名称,然后选择“ 下一步”。 在 “配置设置” 页中,选择“ 禁用个人数据加密”。

将策略分配给一个组,该组包含要配置的设备或用户作为成员。

使用 Intune 中的设置目录策略禁用个人数据加密

若要使用Microsoft Intune配置设备,请创建设置目录策略并使用以下设置:

类别 设置名称
个人数据加密 (用户) 启用个人数据加密 禁用个人数据加密

将策略分配给一个组,该组包含要配置的设备或用户作为成员。

使用 CSP 禁用个人数据加密

可以使用以下设置通过 CSP 禁用个人数据加密:

OMA-URI 格式
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption int 0

解密加密的内容

禁用个人数据加密时,将自动解密使用已知文件夹的个人数据加密加密的内容。 但是,使用个人数据加密 API 加密的内容不会自动解密。 若要解密此内容,请执行以下步骤:

  1. 打开文件的属性
  2. 在“常规”选项卡下,选择“高级…
  3. 取消选中“加密内容以保护数据”选项
  4. 选择“确定”,然后再次选择“确定

还可以使用 cipher.exe解密受保护的文件,这在以下方案中非常有用:

  • 在一个设备上解密大量文件
  • 在多台设备上解密文件

要使用 cipher.exe 解密设备上的文件,请执行以下操作:

  • 解密目录(包括子目录)下的所有文件:

    cipher.exe /d /s:<path_to_directory>
    
  • 解密指定目录中的单个文件或所有文件,但不包括任何子目录:

    cipher.exe /d <path_to_file_or_directory>
    

重要提示

用户选择手动解密文件后,用户将无法使用个人数据加密再次手动保护文件。

后续步骤