個人資料加密概觀
個人資料加密是一項安全性功能,可為 Windows 提供以檔案為基礎的數據加密功能。 它利用 Windows Hello 企業版 來連結數據加密金鑰與用戶認證。 當使用者使用 Windows Hello 登入裝置時,會釋出解密密鑰,並讓使用者存取加密的數據。 相反地,當使用者註銷時,解密密鑰會被捨棄,即使其他使用者登入裝置也無法存取數據。 這可確保敏感性資訊一律受到保護。
個人資料加密的優點相當顯著。 藉由減少存取加密內容所需的認證數目,使用者只需要使用 Windows Hello 登入。 此外,Windows Hello 提供的輔助功能功能會延伸到受個人資料加密保護的內容。
與加密整個磁碟區和磁碟的 BitLocker 不同,個人資料加密著重於個別檔案,提供另一層安全性。 這項功能不僅可增強數據保護,也顯示了保護個人資訊的強大承諾。
已知資料夾的個人資料加密
從 Windows 11 24H2 版開始,個人資料加密會透過已知資料夾的個人資料加密進一步增強。 啟用之後,Windows 資料夾 Desktop、 Documents 和 Pictures 及其內容會自動加密。 這項功能提供快速且簡單的方法,將額外的安全性層級新增至常用的資料夾。
必要條件
若要使用個人資料加密,必須符合下列必要條件:
- Windows 11 22H2 版和更新版本
- 已知資料夾的個人資料加密僅適用於 Windows 11 24H2 版和更新版本
- 裝置必須 Microsoft Entra 加入或 Microsoft Entra 混合式聯結。 不支援已加入網域的裝置
- 用戶必須使用 Windows Hello 登入
重要
如果您使用密碼或 FIDO2 安全性金鑰登入,就無法存取受個人資料加密保護的內容。
Windows 版本和授權需求
下表列出支持個人資料加密的 Windows 版本:
| Windows 專業版 | Windows 企業版 | Windows 專業教育版/SE | Windows 教育版 |
|---|---|---|---|
| 否 | 是 | 否 | 是 |
個人資料加密授權權利由下列授權授與:
| Windows 專業版/專業教育版/SE | Windows 企業版 E3 | Windows 企業版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
|---|---|---|---|---|
| 否 | 是 | 是 | 是 | 是 |
如需 Windows 授權的詳細資訊,請參閱 Windows 授權概觀。
個人資料加密保護層級
個人資料加密使用 AES-CBC 搭配 256 位金鑰 來保護內容,並提供兩種保護層級。 保護層級是根據組織需求所決定。 這些層級可以透過 個人資料加密 API 來設定。
| 項目 | 層級 1 | 層級 2 |
|---|---|---|
| 當使用者透過 Windows Hello 登入時可存取受保護的數據 | 是 | 是 |
| 受保護的數據可在 Windows 鎖定畫面上存取 | 是 | 資料在鎖定後,有一分鐘的可存取時間,然後就無法再使用 |
| 用戶註銷 Windows 之後,即可存取受保護的數據 | 否 | 否 |
| 當裝置關機時,可存取受保護的數據 | 否 | 否 |
| 受保護的數據可透過 UNC 路徑存取 | 否 | 否 |
| 使用 Windows 密碼簽署時可存取受保護的數據,而不是 Windows Hello | 否 | 否 |
| 受保護的數據可透過遠端桌面會話存取 | 否 | 否 |
| 已捨棄個人資料加密所使用的解密金鑰 | 使用者登出 Windows 之後 | 在進入 Windows 鎖定畫面或使用者登出 Windows 之後一分鐘 |
受個人資料加密保護的內容輔助功能
當檔案受到個人資料加密保護時,其圖示會顯示掛鎖。 如果使用者未使用 Windows Hello 登入本機,或未經授權的使用者嘗試存取受保護的內容,則會拒絕他們存取。
拒絕使用者存取受個人資料加密保護內容的案例包括:
- 使用者使用密碼登入,而不是使用 Windows Hello (生物特徵辨識或 PIN)
- 如果透過層級 2 保護受到保護,則為鎖定裝置時
- 嘗試從遠端存取裝置上的內容時。 例如,UNC 網路路徑
- 遠端桌面會話
- 裝置上其他不是內容擁有者的使用者,即使他們是透過 Windows Hello 登入,而且有許可權可流覽至受個人資料加密保護的內容
個人資料加密與 BitLocker 之間的差異
個人資料加密是要與 BitLocker 搭配使用。 個人資料加密不是 BitLocker 的替代專案,BitLocker 也不是個人資料加密的替代專案。 相較於單獨使用 BitLocker 或個人資料加密,同時使用這兩項功能可提供更好的安全性。 不過,BitLocker 和個人資料加密及其運作方式之間有差異。 這些差異是一起使用它們可提供更好的安全性的原因。
| 個人資料加密 | BitLocker | |
|---|---|---|
| 解密金鑰的發行 | 透過使用者登入時 Windows Hello | 開機時 |
| 已捨棄解密金鑰 | 當使用者登出 Windows 或在進入 Windows 鎖定畫面一分鐘後登出時 | 關機時 |
| 受保護的內容 | 受保護資料夾中的所有檔案 | 整個磁碟區/磁碟機 |
| 存取受保護內容的驗證 | Windows Hello 企業版 | 啟用具有 TPM + PIN 的 BitLocker 時,BitLocker PIN 加上 Windows 登入 |
個人資料加密與 EFS 之間的差異
使用個人資料加密而非 EFS 保護檔案的主要差異在於它們用來保護檔案的方法。 個人資料加密會使用 Windows Hello 企業版 來保護保護檔案的金鑰。 EFS 會使用憑證來保障並保護檔案。
若要查看檔案是否受到個人資料加密或 EFS 保護:
- 開啟檔案的屬性
- 在 [一般] 索引標籤下,選取 [進階...]
- 在 [進階屬性] 視窗中,選取 [詳細資料]
對於受個人資料加密保護的檔案,在 [ 保護狀態] 下: 有一個專案列為 [個人資料加密]:[開啟]。
針對受EFS保護的檔案,在 [可存取此檔案的使用者] 底下,具有檔案存取權的使用者旁邊有 憑證指紋 。 另外還有一個區段標示為此檔案的復原憑證,如復原原則所定義:
您可以使用 命令來取得加密資訊,包括用來保護檔案的 cipher.exe /c 加密方法。
使用個人資料加密的建議
以下是使用個人資料加密的建議:
- 啟用 BitLocker 磁碟驅動器加密。 雖然個人資料加密在沒有 BitLocker 的情況下運作,但建議您啟用 BitLocker。 個人資料加密的目的是要與 BitLocker 一起運作,以提高安全性,因為它不是 BitLocker 的替代專案
- 備份解決方案,例如 Microsoft 365 中的 OneDrive。 在某些情況下,例如 TPM 重設或破壞性 PIN 重設,個人資料加密用來保護內容的密鑰將會遺失,因此無法存取任何受保護的內容。 復原這類內容的唯一方法是從備份。 如果檔案已同步至 OneDrive,若要重新取得存取權,您必須重新同步處理 OneDrive
- Windows Hello 企業版 PIN 重設服務。 破壞性 PIN 重設會導致個人資料加密用來保護內容的金鑰遺失,使得任何受個人資料加密保護的內容都無法存取。 在破壞性 PIN 重設之後,必須從備份復原以個人資料加密保護的內容。 因此,建議 Windows Hello 企業版 PIN 重設服務,因為它會提供非解構的 PIN 重設
- Windows Hello 增強式登入安全性可在透過生物特徵辨識或 PIN 驗證 Windows Hello 時提供更多安全性
後續步驟
- 瞭解設定個人資料加密的可用選項,以及如何透過 Microsoft Intune 或設定服務提供者 (CSP) :個人資料加密設定和組態進行設定
- 檢閱 個人資料加密常見問題