Partager via


Chiffrement de données personnelles (PDE)

À compter de Windows 11, version 22H2, le chiffrement des données personnelles (PDE) est une fonctionnalité de sécurité qui fournit des fonctionnalités de chiffrement des données basées sur des fichiers à Windows.

PDE utilise Windows Hello Entreprise pour lier des clés de chiffrement de données aux informations d’identification de l’utilisateur. Lorsqu’un utilisateur se connecte à un appareil à l’aide de Windows Hello Entreprise, les clés de déchiffrement sont libérées et les données chiffrées sont accessibles à l’utilisateur.
Lorsqu’un utilisateur se déconnecte, les clés de déchiffrement sont ignorées et les données sont inaccessibles, même si un autre utilisateur se connecte à l’appareil.

L’utilisation de Windows Hello Entreprise offre les avantages suivants :

  • Cela réduit le nombre d’informations d’identification pour accéder au contenu chiffré : les utilisateurs n’ont besoin de se connecter qu’avec Windows Hello Entreprise
  • Les fonctionnalités d’accessibilité disponibles lors de l’utilisation de Windows Hello Entreprise s’étendent au contenu protégé par PDE

PDE diffère de BitLocker en ce qu’il chiffre les fichiers au lieu de volumes et de disques entiers. PDE se produit en plus d’autres méthodes de chiffrement telles que BitLocker.
Contrairement à BitLocker qui libère des clés de chiffrement des données au démarrage, PDE ne libère pas les clés de chiffrement des données tant qu’un utilisateur ne se connecte pas à l’aide de Windows Hello Entreprise.

Conditions préalables

Pour utiliser PDE, les conditions préalables suivantes doivent être remplies :

  • Windows 11, version 22H2 et ultérieures
  • Les appareils doivent être Microsoft Entra joints. Les appareils joints à un domaine et Microsoft Entra hybrides joints ne sont pas pris en charge
  • Les utilisateurs doivent se connecter à l’aide de Windows Hello Entreprise

Important

Si vous vous connectez avec un mot de passe ou une clé de sécurité, vous ne pouvez pas accéder au contenu protégé par PDE.

Conditions d'octroi de licence d'édition Windows

Le tableau suivant répertorie les éditions de Windows qui prennent en charge le chiffrement des données personnelles (PDE) :

Windows Pro Windows Entreprise Windows Pro Education/SE Windows Éducation
Non Oui Non Oui

Les droits de licence de chiffrement des données personnelles (PDE) sont accordés par les licences suivantes :

Windows Pro/Professionnel Éducation/SE Windows Entreprise E3 Windows Entreprise E5 Windows Éducation A3 Windows Éducation A5
Non Oui Oui Oui Oui

Pour plus d’informations à propos des licences Windows, consultez Vue d’ensemble des licences Windows.

Niveaux de protection PDE

PDE utilise AES-CBC avec une clé 256 bits pour protéger le contenu et offre deux niveaux de protection. Le niveau de protection est déterminé en fonction des besoins de l’organisation. Ces niveaux peuvent être définis via les API PDE.

Élément Niveau 1 Niveau 2
Données protégées par PDE accessibles lorsque l’utilisateur s’est connecté via Windows Hello Entreprise Oui Oui
Les données protégées par PDE sont accessibles sur l’écran de verrouillage Windows Oui Les données sont accessibles pendant une minute après le verrouillage, puis elles ne sont plus disponibles
Les données protégées par PDE sont accessibles une fois que l’utilisateur se déconnecte de Windows Non Non
Les données protégées par PDE sont accessibles lorsque l’appareil est arrêté Non Non
Les données protégées par PDE sont accessibles via des chemins UNC Non Non
Les données protégées par PDE sont accessibles lors de la signature avec un mot de passe Windows au lieu de Windows Hello Entreprise Non Non
Les données protégées par PDE sont accessibles via la session Bureau à distance Non Non
Clés de déchiffrement utilisées par PDE ignorées Une fois que l’utilisateur s’est déconnecté de Windows Une minute après l’activation de l’écran de verrouillage de Windows ou une fois que l’utilisateur se déconnecte de Windows

Accessibilité du contenu protégé par PDE

Lorsqu’un fichier est protégé par PDE, son icône affiche un cadenas. Si l’utilisateur ne s’est pas connecté localement avec Windows Hello Entreprise ou si un utilisateur non autorisé tente d’accéder au contenu protégé par PDE, l’accès au contenu lui sera refusé.

Les scénarios où un utilisateur se verra refuser l’accès au contenu protégé par PDE sont les suivants :

  • L’utilisateur s’est connecté à Windows via un mot de passe au lieu de se connecter avec Windows Hello Entreprise biométrie ou un code confidentiel
  • S’il est protégé par le biais d’une protection de niveau 2, lorsque l’appareil est verrouillé
  • Lorsque vous essayez d’accéder au contenu sur l’appareil à distance. Par exemple, les chemins d’accès réseau UNC
  • Sessions Bureau à distance
  • D’autres utilisateurs sur l’appareil qui ne sont pas propriétaires du contenu, même s’ils sont connectés via Windows Hello Entreprise et disposent des autorisations nécessaires pour accéder au contenu protégé par PDE

Différences entre PDE et BitLocker

PDE est destiné à fonctionner avec BitLocker. PDE ne remplace pas BitLocker, pas plus que BitLocker pour remplacer PDE. L’utilisation des deux fonctionnalités ensemble offre une meilleure sécurité que l’utilisation de BitLocker ou de PDE seule. Toutefois, il existe des différences entre BitLocker et PDE et leur fonctionnement. Ces différences expliquent pourquoi les utiliser ensemble offre une meilleure sécurité.

Élément PDE BitLocker
Libération de la clé de déchiffrement À la connexion de l’utilisateur via Windows Hello Entreprise Au démarrage
Clés de déchiffrement ignorées Quand l’utilisateur se déconnecte de Windows ou une minute après l’activation de l’écran de verrouillage Windows À l’arrêt
Contenu protégé Tous les fichiers dans des dossiers protégés Volume/lecteur entier
Authentification pour accéder au contenu protégé Windows Hello Entreprise Lorsque BitLocker avec TPM + CODE CONFIDENTIEL est activé, code confidentiel BitLocker et connexion Windows

Différences entre PDE et EFS

La main différence entre la protection des fichiers avec PDE au lieu d’EFS est la méthode qu’ils utilisent pour protéger le fichier. PDE utilise Windows Hello Entreprise pour sécuriser les clés qui protègent les fichiers. EFS utilise des certificats pour sécuriser et protéger les fichiers.

Pour voir si un fichier est protégé avec PDE ou EFS :

  1. Ouvrir les propriétés du fichier
  2. Sous l’onglet Général , sélectionnez Avancé...
  3. Dans les fenêtres Attributs avancés , sélectionnez Détails

Pour les fichiers protégés par PDE, sous Protection status : il y aura un élément répertorié comme Chiffrement des données personnelles : et il aura l’attribut On.

Pour les fichiers protégés par EFS, sous Utilisateurs qui peuvent accéder à ce fichier : une empreinte de certificat s’affiche en regard des utilisateurs ayant accès au fichier. Il y aura également une section en bas intitulée Certificats de récupération pour ce fichier, comme défini par la stratégie de récupération :

Les informations de chiffrement, notamment la méthode de chiffrement utilisée pour protéger le fichier, peuvent être obtenues avec la cipher.exe /c commande .

Recommandations relatives à l’utilisation de PDE

Voici des recommandations pour l’utilisation de PDE :

  • Activez le chiffrement de lecteur BitLocker. Bien que PDE fonctionne sans BitLocker, il est recommandé d’activer BitLocker. PDE est destiné à fonctionner avec BitLocker pour renforcer la sécurité, il n’est pas un remplacement de BitLocker
  • Solution de sauvegarde telle que OneDrive dans Microsoft 365. Dans certains scénarios, tels que les réinitialisations TPM ou les réinitialisations de code confidentiel destructrices, les clés utilisées par PDE pour protéger le contenu seront perdues, rendant tout contenu protégé par PDE inaccessible. La seule façon de récupérer ce contenu est à partir d’une sauvegarde. Si les fichiers sont synchronisés avec OneDrive, pour récupérer l’accès, vous devez resynchroniser OneDrive
  • Windows Hello Entreprise service de réinitialisation du code confidentiel. Les réinitialisations destructrices du code confidentiel entraînent la perte des clés utilisées par PDE pour protéger le contenu, ce qui rend tout contenu protégé par PDE inaccessible. Après une réinitialisation destructrice du code confidentiel, le contenu protégé par PDE doit être récupéré à partir d’une sauvegarde. Pour cette raison, Windows Hello Entreprise service de réinitialisation de code confidentiel est recommandé, car il fournit des réinitialisations de code confidentiel non destructrices
  • Windows Hello sécurité de connexion renforcée offre une sécurité supplémentaire lors de l’authentification avec Windows Hello Entreprise via la biométrie ou le code confidentiel

Applications Windows prêtes à l’emploi qui prennent en charge PDE

Certaines applications Windows prennent en charge PDE prêtes à l’emploi. Si PDE est activé sur un appareil, ces applications utilisent PDE :

Nom de l’application Détails
Mail Prend en charge la protection des corps des e-mails et des pièces jointes

Étapes suivantes