個人資料加密
從 Windows 11 22H2 版開始,個人資料加密是一項安全性功能,可為 Windows 提供檔案型數據加密功能。
個人資料加密會利用 Windows Hello 企業版 來鏈接數據加密金鑰與用戶認證。 當使用者使用 Windows Hello 企業版 登入裝置時,會釋出解密密鑰,而且使用者可以存取加密的數據。
當使用者註銷時,即使其他使用者登入裝置,也會捨棄解密密鑰並無法存取數據。
使用 Windows Hello 企業版 提供下列優點:
- 它會減少存取加密內容的認證數目:使用者只需要使用 Windows Hello 企業版
- 使用時可用的輔助功能功能 Windows Hello 企業版 延伸至受個人資料加密保護的內容
個人資料加密與 BitLocker 不同,因為它會加密檔案,而不是整個磁碟區和磁碟。 除了 BitLocker 等其他加密方法之外,還會發生個人資料加密。
與在開機時釋放數據加密密鑰的 BitLocker 不同,在使用者使用 Windows Hello 企業版 登入之前,個人資料加密不會釋出數據加密密鑰。
必要條件
若要使用個人資料加密,必須符合下列必要條件:
- Windows 11 版本 22H2 和更新版本
- 裝置必須 Microsoft Entra 加入。 不支援已加入網域 Microsoft Entra 混合式裝置
- 用戶必須使用 Windows Hello 企業版 登入
重要
如果您使用密碼或 安全性密鑰登入,就無法存取受個人資料加密保護的內容。
Windows 版本和授權需求
下表列出支援個人資料加密 (PDE) 的 Windows 版本:
| Windows 專業版 | Windows 企業版 | Windows 專業教育版/SE | Windows 教育版 |
|---|---|---|---|
| 否 | 是 | 否 | 是 |
個人資料加密 (PDE) 授權權利由下列授權授與:
| Windows 專業版/專業教育版/SE | Windows 企業版 E3 | Windows 企業版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
|---|---|---|---|---|
| 否 | 是 | 是 | 是 | 是 |
如需 Windows 授權的詳細資訊,請參閱 Windows 授權概觀。
個人資料加密保護層級
個人資料加密使用 AES-CBC 搭配 256 位金鑰 來保護內容,並提供兩種保護層級。 保護層級是根據組織需求所決定。 這些層級可以透過 個人資料加密 API 來設定。
| 項目 | 層級 1 | 層級 2 |
|---|---|---|
| 當使用者透過 Windows Hello 企業版 登入時可存取受保護的數據 | 是 | 是 |
| 受保護的數據可在 Windows 鎖定畫面上存取 | 是 | 資料在鎖定後,有一分鐘的可存取時間,然後就無法再使用 |
| 用戶註銷 Windows 之後,即可存取受保護的數據 | 否 | 否 |
| 當裝置關機時,可存取受保護的數據 | 否 | 否 |
| 受保護的數據可透過 UNC 路徑存取 | 否 | 否 |
| 使用 Windows 密碼簽署時可存取受保護的數據,而不是 Windows Hello 企業版 | 否 | 否 |
| 受保護的數據可透過遠端桌面會話存取 | 否 | 否 |
| 已捨棄個人資料加密所使用的解密金鑰 | 使用者登出 Windows 之後 | 在進入 Windows 鎖定畫面或使用者登出 Windows 之後一分鐘 |
受個人資料加密保護的內容輔助功能
當檔案受到個人資料加密保護時,其圖示會顯示掛鎖。 如果使用者尚未使用 Windows Hello 企業版 登入本機,或未經授權的使用者嘗試存取受個人資料加密保護的內容,則會拒絕他們存取內容。
將拒絕使用者存取受個人資料加密保護內容的案例包括:
- 用戶已透過密碼登入 Windows,而不是使用 Windows Hello 企業版 生物特徵辨識或 PIN 登入
- 如果透過層級 2 保護受到保護,則為鎖定裝置時
- 嘗試從遠端存取裝置上的內容時。 例如,UNC 網路路徑
- 遠端桌面會話
- 裝置上其他不是內容擁有者的使用者,即使他們是透過 Windows Hello 企業版 登入,而且有許可權可流覽至受個人資料加密保護的內容
個人資料加密與 BitLocker 之間的差異
個人資料加密是要與 BitLocker 搭配使用。 個人資料加密不是 BitLocker 的替代專案,BitLocker 也不是個人資料加密的替代專案。 相較於單獨使用 BitLocker 或個人資料加密,同時使用這兩項功能可提供更好的安全性。 不過,BitLocker 和個人資料加密及其運作方式之間有差異。 這些差異是一起使用它們可提供更好的安全性的原因。
| 項目 | 個人資料加密 | BitLocker |
|---|---|---|
| 解密金鑰的發行 | 使用者透過 Windows Hello 企業版登入時 | 開機時 |
| 已捨棄解密金鑰 | 當使用者登出 Windows 或在進入 Windows 鎖定畫面一分鐘後登出時 | 關機時 |
| 受保護的內容 | 受保護資料夾中的所有檔案 | 整個磁碟區/磁碟機 |
| 存取受保護內容的驗證 | Windows Hello 企業版 | 啟用具有 TPM + PIN 的 BitLocker 時,BitLocker PIN 加上 Windows 登入 |
個人資料加密與 EFS 之間的差異
使用個人資料加密而非 EFS 保護檔案的主要差異在於它們用來保護檔案的方法。 個人資料加密會使用 Windows Hello 企業版 來保護保護檔案的金鑰。 EFS 會使用憑證來保障並保護檔案。
若要查看檔案是否受到個人資料加密或 EFS 保護:
- 開啟檔案的屬性
- 在 [一般] 索引標籤下,選取 [進階...]
- 在 [進階屬性] 視窗中,選取 [詳細資料]
對於受個人資料加密保護的檔案,在 [保護狀態] 下: 會有一個專案列為 [個人資料加密] 為: ,且其 屬性為 [開啟]。
針對受 EFS 保護的檔案,在 [可存取此檔案的使用者] 底下,具有檔案存取權的使用者旁邊會有 [憑證指紋]。 在底部也會有一個區段標示為 [修復此檔案的憑證,如復原原則所定義]:。
您可以使用 命令來取得加密資訊,包括用來保護檔案的 cipher.exe /c 加密方法。
使用個人資料加密的建議
以下是使用個人資料加密的建議:
- 啟用 BitLocker 磁碟驅動器加密。 雖然個人資料加密在沒有 BitLocker 的情況下運作,但建議您啟用 BitLocker。 個人資料加密的目的是要與 BitLocker 一起運作,以提高安全性,因為它不是 BitLocker 的替代專案
- 備份解決方案,例如 Microsoft 365 中的 OneDrive。 在某些情況下,例如 TPM 重設或破壞性 PIN 重設,個人資料加密用來保護內容的密鑰將會遺失,因此無法存取任何受保護的內容。 復原這類內容的唯一方法是從備份。 如果檔案同步至 OneDrive,若要重新取得存取權,您必須重新同步處理 OneDrive
- Windows Hello 企業版 PIN 重設服務。 破壞性 PIN 重設會導致個人資料加密用來保護內容的金鑰遺失,使得任何以個人資料加密保護的內容都無法存取。 在破壞性 PIN 重設之後,必須從備份復原以個人資料加密保護的內容。 因此,建議 Windows Hello 企業版 PIN 重設服務,因為它會提供非破壞性的 PIN 重設
- Windows Hello 增強式登入安全性可在透過生物特徵辨識或 PIN 驗證 Windows Hello 企業版 時提供額外的安全性
支援個人資料加密的現用 Windows 應用程式
某些 Windows 應用程式支援現用的個人資料加密。 如果已在裝置上啟用個人資料加密,這些應用程式將會利用個人資料加密:
| App 名稱 | 詳細資料 |
|---|---|
| 支援同時保護電子郵件本文和附件 |
後續步驟
- 瞭解設定個人資料加密的可用選項,以及如何透過 Microsoft Intune 或設定服務提供者 (CSP) :個人資料加密設定和組態進行設定
- 檢閱 個人資料加密常見問題