Einstellungen und Konfiguration der Verschlüsselung personenbezogener Daten
In diesem Artikel werden die Einstellungen für die Verschlüsselung personenbezogener Daten und deren Konfiguration über Microsoft Intune oder Konfigurationsdienstanbieter (Configuration Service Providers, CSP) beschrieben.
Hinweis
Die Verschlüsselung personenbezogener Daten kann mithilfe von CSP-Richtlinien konfiguriert werden. Der inhalt, der durch die Verschlüsselung personenbezogener Daten geschützt werden soll, kann mithilfe der Verschlüsselung von personenbezogenen Daten für bekannte Ordner und apIs für die Verschlüsselung personenbezogener Daten angegeben werden.
Die APIs für die Verschlüsselung personenbezogener Daten können verwendet werden, um benutzerdefinierte Anwendungen und Skripts zu erstellen, um anzugeben, welche Inhalte geschützt werden sollen und auf welcher Ebene der Inhalt geschützt werden soll. Darüber hinaus können die APIs für die Verschlüsselung personenbezogener Daten erst zum Schutz von Inhalten verwendet werden, wenn die Richtlinie für die Verschlüsselung personenbezogener Daten aktiviert ist.
Einstellungen für die Verschlüsselung personenbezogener Daten
In der folgenden Tabelle sind die erforderlichen Einstellungen zum Aktivieren der Verschlüsselung personenbezogener Daten aufgeführt.
| Einstellungsname | Beschreibung |
|---|---|
| Aktivieren der Verschlüsselung personenbezogener Daten | Die Verschlüsselung personenbezogener Daten ist standardmäßig nicht aktiviert. Bevor die Verschlüsselung personenbezogener Daten verwendet werden kann, müssen Sie sie aktivieren. |
| Melden Sie sich an, und sperren Sie den letzten interaktiven Benutzer automatisch nach einem Neustart. | Winlogon Automatic Restart Sign-On (ARSO) wird für die Verwendung mit der Verschlüsselung personenbezogener Daten nicht unterstützt. Um die Verschlüsselung personenbezogener Daten verwenden zu können, muss ARSO deaktiviert sein. |
Einstellungen für die Verschlüsselung von personenbezogenen Daten für bekannte Ordner
In der folgenden Tabelle sind die Einstellungen zum Konfigurieren der Verschlüsselung von personenbezogenen Daten für bekannte Ordner aufgeführt.
| Einstellungsname | Beschreibung |
|---|---|
| Schützen von Desktop | Aktivieren Sie die personenbezogene Datenverschlüsselung im Desktopordner. |
| Schützen von Dokumenten | Aktivieren Sie die Verschlüsselung personenbezogener Daten im Ordner Dokumente. |
| Bilder schützen | Aktivieren Sie die personenbezogene Datenverschlüsselung im Ordner "Bilder". |
Empfehlungen zur Härtung der Verschlüsselung personenbezogener Daten
In der folgenden Tabelle sind die empfohlenen Einstellungen aufgeführt, um die Sicherheit von Personal Data Encryption zu verbessern.
| Einstellungsname | Beschreibung |
|---|---|
| Absturzabbilder und Liveabbilder im Kernelmodus | Absturzabbilder im Kernelmodus und Liveabbilder können potenziell dazu führen, dass die Schlüssel verfügbar gemacht werden, die von der Verschlüsselung personenbezogener Daten zum Schutz von Inhalten verwendet werden. Für größtmögliche Sicherheit sollten Sie Absturzabbilder und Liveabbilder im Kernelmodus deaktivieren. |
| Windows-Fehlerberichterstattung (WER)/Absturzabbilder im Benutzermodus | Die Deaktivierung der Windows-Fehlerberichterstattung verhindert Absturzabbilder im Benutzermodus. Absturzabbilder im Benutzermodus können potenziell dazu führen, dass die Schlüssel, die von der Verschlüsselung personenbezogener Daten zum Schutz von Inhalten verwendet werden, verfügbar gemacht werden. Für größtmögliche Sicherheit sollten Sie Absturzabbilder im Benutzermodus deaktivieren. |
| Winterschlaf | Ruhezustandsdateien können dazu führen, dass die schlüssel, die von der Verschlüsselung personenbezogener Daten zum Schutz von Inhalten verwendet werden, verfügbar gemacht werden. Für größtmögliche Sicherheit sollten Sie den Ruhezustand deaktivieren. |
| Benutzer ermöglichen auszuwählen, ob ein Kennwort erforderlich ist, wenn eine Sitzung aus dem Ruhezustand fortgesetzt wird | Wenn diese Richtlinie auf Microsoft Entra verbundenen Geräten nicht konfiguriert ist, können Benutzer auf einem verbundenen Standbygerät die Zeitspanne nach dem Ausschalten des Gerätebildschirms ändern, bevor ein Kennwort zum Reaktivieren des Geräts erforderlich ist. Während der Zeit, in der der Bildschirm ausgeschaltet wird, aber kein Kennwort erforderlich ist, können die Schlüssel, die von der Verschlüsselung personenbezogener Daten zum Schutz von Inhalten verwendet werden, möglicherweise verfügbar gemacht werden. Es wird empfohlen, diese Richtlinie auf Microsoft Entra eingebundenen Geräten explizit zu deaktivieren. |
Konfigurieren der Verschlüsselung personenbezogener Daten mit Microsoft Intune
Wenn Sie Microsoft Intune verwenden, um Ihre Geräte zu verwalten, können Sie die Verschlüsselung personenbezogener Daten mithilfe einer Datenträgerverschlüsselungsrichtlinie, einer Einstellungskatalogrichtlinie oder eines benutzerdefinierten Profils konfigurieren.
Datenträgerverschlüsselungsrichtlinie
Navigieren Sie zum Konfigurieren von Geräten mit einer Datenträgerverschlüsselungsrichtlinie zu Endpunktsicherheit>Datenträgerverschlüsselung , und wählen Sie Richtlinie erstellen aus:
- Bahnsteig>Fenster
- Profil>Verschlüsselung personenbezogener Daten
Geben Sie einen Namen an, und wählen Sie Weiter aus. Wählen Sie auf der Seite Konfigurationseinstellungen die Option Personenbezogene Datenverschlüsselung aktivieren aus, und konfigurieren Sie die Einstellungen nach Bedarf.
Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.
Einstellungskatalogrichtlinie
Um Geräte mit Microsoft Intune zu konfigurieren, erstellen Sie eine Einstellungskatalogrichtlinie, und verwenden Sie die folgenden Einstellungen:
| Kategorie | Einstellungsname | Wert |
|---|---|---|
| Verschlüsselung personenbezogener Daten | Aktivieren der Verschlüsselung personenbezogener Daten (Benutzer) | Aktivieren der Verschlüsselung personenbezogener Daten |
| Verschlüsselung personenbezogener Daten | Desktop schützen (Benutzer) | Aktivieren des Schutzes für den Desktopordner |
| Verschlüsselung personenbezogener Daten | Schützen von Dokumenten (Benutzer) | Aktivieren des Schutzes für den Ordner "Dokumente" |
| Verschlüsselung personenbezogener Daten | Schützen von Bildern (Benutzer) | Aktivieren des Schutzes für den Ordner "Bilder" |
| Administrative Vorlagen > Windows-Komponenten > Windows-Anmeldeoptionen | Melden Sie sich an, und sperren Sie den letzten interaktiven Benutzer automatisch nach einem Neustart. | Deaktiviert |
| Speicherabbild | Liveabbild zulassen | Blockieren |
| Speicherabbild | Absturzabbild zulassen | Blockieren |
| Administrative Vorlagen > Windows-Komponenten > Windows-Fehlerberichterstattung | Deaktivieren von Windows-Fehlerberichterstattung | Aktiviert |
| Leistung | Ruhezustand zulassen | Blockieren |
| Administrative Vorlagen > Systemanmeldung > | Benutzer ermöglichen auszuwählen, ob ein Kennwort erforderlich ist, wenn eine Sitzung aus dem Ruhezustand fortgesetzt wird | Deaktiviert |
Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.
Tipp
Verwenden Sie den folgenden Graph-Aufruf, um die Einstellungskatalogrichtlinie automatisch in Ihrem Mandanten ohne Zuweisungen oder Bereichstags zu erstellen.
Wenn Sie diesen Aufruf verwenden, authentifizieren Sie sich bei Ihrem Mandanten im Fenster Graph Explorer. Wenn Graph zum ersten Mal Explorer verwendet wird, müssen Sie die Anwendung möglicherweise für den Zugriff auf Ihren Mandanten autorisieren oder die vorhandenen Berechtigungen ändern. Dieser Graphaufruf erfordert DeviceManagementConfiguration.ReadWrite.All-Berechtigungen .
POST https://graph.microsoft.com/beta/deviceManagement/configurationPolicies
Content-Type: application/json
{ "id": "00-0000-0000-0000-000000000000", "name": "_MSLearn_PDE", "description": "", "platforms": "windows10", "technologies": "mdm", "roleScopeTagIds": [ "0" ], "settings": [ { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowcrashdump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowcrashdump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowlivedump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowlivedump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "user_vendor_msft_pde_enablepersonaldataencryption", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "user_vendor_msft_pde_enablepersonaldataencryption_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_power_allowhibernate", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_power_allowhibernate_0", "children": [] } } } ] }
Konfigurieren der Verschlüsselung personenbezogener Daten mit CSP
Alternativ können Sie Geräte mit dem Richtlinien-CSP und dem CSP für die Verschlüsselung personenbezogener Daten konfigurieren.
| OMA-URI | Format | Wert |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 1 |
./User/Vendor/MSFT/PDE/ProtectFolders/ProtectDesktop |
int | 1 |
./User/Vendor/MSFT/PDE/ProtectFolders/ProtectDocuments |
int | 1 |
./User/Vendor/MSFT/PDE/ProtectFolders/ProtectPictures |
int | 1 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/AllowAutomaticRestartSignOn |
string | <disabled/> |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowCrashDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowLiveDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ErrorReporting/DisableWindowsErrorReporting |
string | <enabled/> |
./Device/Vendor/MSFT/Policy/Config/Power/AllowHibernate |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/AllowDomainDelayLock |
string | <disabled/> |
Benutzerfreundlichkeit
Wenn die Verschlüsselung personenbezogener Daten aktiviert ist, sieht die Benutzeroberfläche wie folgt aus:
- Der Zugriff auf durch die Verschlüsselung personenbezogener Daten geschützte Inhalte ist nur möglich, wenn sich Benutzer mit Windows Hello (Biometrie oder PIN) anmelden. Wenn sich Benutzer ohne Windows Hello anmelden, können sie verschlüsselte Inhalte nicht öffnen.
- Wenn ein Benutzer versucht, sich ohne Windows Hello anzumelden, wird auf dem Anmeldebildschirm eine Meldung mit dem Hinweis angezeigt, dass sich der Benutzer für den Zugriff auf verschlüsselte Inhalte mit Windows Hello
- Die durch die Verschlüsselung personenbezogener Daten geschützten Daten verfügen über ein Vorhängeschloss auf dem Symbol der Datei oder des Ordners. Das Vorhängeschlosssymbol wird in Explorer und auf dem Desktop angezeigt
Deaktivieren der Verschlüsselung personenbezogener Daten
Sobald die Verschlüsselung personenbezogener Daten aktiviert ist, wird davon abgeraten, sie zu deaktivieren. Wenn Sie die Verschlüsselung personenbezogener Daten jedoch deaktivieren müssen, können Sie dies mithilfe der folgenden Schritte tun.
Deaktivieren der Verschlüsselung personenbezogener Daten mit einer Datenträgerverschlüsselungsrichtlinie
Navigieren Sie zum Deaktivieren von Personal Data Encryption-Geräten mithilfe einer Datenträgerverschlüsselungsrichtlinie zu Endpunktsicherheit>Datenträgerverschlüsselung , und wählen Sie Richtlinie erstellen aus:
- Bahnsteig>Fenster
- Profil>Verschlüsselung personenbezogener Daten
Geben Sie einen Namen an, und wählen Sie Weiter aus. Wählen Sie auf der Seite Konfigurationseinstellungen die Option Verschlüsselung personenbezogener Daten deaktivieren aus.
Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.
Deaktivieren der Verschlüsselung personenbezogener Daten mit einer Einstellungskatalogrichtlinie in Intune
Um Geräte mit Microsoft Intune zu konfigurieren, erstellen Sie eine Einstellungskatalogrichtlinie, und verwenden Sie die folgenden Einstellungen:
| Kategorie | Einstellungsname | Wert |
|---|---|---|
| Verschlüsselung personenbezogener Daten | Aktivieren der Verschlüsselung personenbezogener Daten (Benutzer) | Deaktivieren der Verschlüsselung personenbezogener Daten |
Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.
Deaktivieren der Verschlüsselung personenbezogener Daten mit CSP
Sie können die Verschlüsselung personenbezogener Daten mit CSP mithilfe der folgenden Einstellung deaktivieren:
| OMA-URI | Format | Wert |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 0 |
Entschlüsseln verschlüsselter Inhalte
Wenn Sie die Verschlüsselung personenbezogener Daten deaktivieren, werden inhalte, die mit der Verschlüsselung von personenbezogenen Daten für bekannte Ordner verschlüsselt wurden, automatisch entschlüsselt. Der mit den APIs für die Verschlüsselung personenbezogener Daten verschlüsselte Inhalt wird jedoch nicht automatisch entschlüsselt. Führen Sie die folgenden Schritte aus, um diesen Inhalt zu entschlüsseln:
- Öffnen Sie die Eigenschaften der Datei
- Wählen Sie auf der Registerkarte Allgemein die Option Erweitert... aus
- Deaktivieren Sie die Option Inhalte verschlüsseln, um Daten zu schützen
- Wählen Sie OK, und dann noch einmal OK aus
Geschützte Dateien können auch mit cipher.exeentschlüsselt werden, was in den folgenden Szenarien hilfreich sein kann:
- Entschlüsseln einer großen Anzahl von Dateien auf einem Gerät
- Entschlüsseln von Dateien auf mehreren Geräten
So entschlüsseln Sie Dateien auf einem Gerät mit cipher.exe:
Entschlüsseln Sie alle Dateien unter einem Verzeichnis, einschließlich der Unterverzeichnisse:
cipher.exe /d /s:<path_to_directory>Entschlüsselt eine einzelne Datei oder alle Dateien im angegebenen Verzeichnis, aber keine Unterverzeichnisse:
cipher.exe /d <path_to_file_or_directory>
Wichtig
Sobald ein Benutzer die manuelle Entschlüsselung einer Datei auswählt, kann der Benutzer die Datei nicht mehr manuell mithilfe der Verschlüsselung personenbezogener Daten schützen.