Paramètres et configuration de PDE
Cet article décrit les paramètres de chiffrement des données personnelles (PDE) et comment les configurer via Microsoft Intune ou les fournisseurs de services de configuration (CSP).
Remarque
PDE peut être configuré à l’aide de stratégies GPM. Le contenu à protéger par PDE peut être spécifié à l’aide d’API PDE. Il n’existe aucune interface utilisateur dans Windows pour activer PDE ou protéger le contenu à l’aide de PDE.
Les API PDE peuvent être utilisées pour créer des applications et des scripts personnalisés afin de spécifier le contenu à protéger et à quel niveau protéger le contenu. En outre, les API PDE ne peuvent pas être utilisées pour protéger le contenu tant que la stratégie PDE n’a pas été activée.
Paramètres PDE
Le tableau suivant répertorie les paramètres requis pour activer PDE.
| Nom du paramètre | Description |
|---|---|
| Activer le chiffrement des données personnelles | PDE n’est pas activé par défaut. Avant de pouvoir utiliser PDE, vous devez l’activer. |
| Se connecter et verrouiller automatiquement le dernier utilisateur interactif après un redémarrage | L’authentification à redémarrage automatique winlogon (ARSO) n’est pas prise en charge pour une utilisation avec PDE. Pour utiliser PDE, ARSO doit être désactivé. |
Recommandations de renforcement PDE
Le tableau suivant répertorie les paramètres recommandés pour améliorer la sécurité de PDE.
| Nom du paramètre | Description |
|---|---|
| Vidages sur incident en mode noyau et vidages en direct | Les vidages sur incident en mode noyau et les vidages dynamiques peuvent potentiellement entraîner l’exposition des clés utilisées par PDE pour protéger le contenu. Pour une sécurité optimale, désactivez les vidages sur incident en mode noyau et les vidages en direct. |
| Rapport d'erreurs Windows (WER)/vidages sur incident en mode utilisateur | La désactivation de Rapport d'erreurs Windows empêche les vidages sur incident en mode utilisateur. Les vidages sur incident en mode utilisateur peuvent potentiellement entraîner l’exposition des clés utilisées par PDE pour protéger le contenu. Pour une sécurité optimale, désactivez les vidages sur incident en mode utilisateur. |
| Hibernation | Les fichiers de mise en veille prolongée peuvent potentiellement entraîner l’exposition des clés utilisées par le chiffrement des données personnelles (PDE) pour protéger le contenu. Pour une sécurité optimale, désactivez la mise en veille prolongée. |
| Permettre aux utilisateurs de choisir si un mot de passe doit être saisi lors de la reprise après une veille connectée | Lorsque cette stratégie n’est pas configurée sur Microsoft Entra appareils joints, les utilisateurs d’un appareil de secours connecté peuvent modifier la durée après que l’écran de l’appareil s’est éteint avant qu’un mot de passe ne soit requis pour sortir l’appareil. Pendant le temps où l’écran s’éteint mais qu’aucun mot de passe n’est requis, les clés utilisées par PDE pour protéger le contenu peuvent être exposées. Il est recommandé de désactiver explicitement cette stratégie sur Microsoft Entra appareils joints. |
Configurer PDE avec Microsoft Intune
Pour configurer des appareils avec Microsoft Intune, créez une stratégie de catalogue Paramètres et utilisez les paramètres suivants :
| Catégorie | Nom du paramètre | Valeur |
|---|---|---|
| PDE | Activer le chiffrement des données personnelles (utilisateur) | Activer le chiffrement des données personnelles |
| Modèles d’administration > Composants > Windows Options d’ouverture de session Windows | Se connecter et verrouiller automatiquement le dernier utilisateur interactif après un redémarrage | Désactivés |
| Image mémoire | Autoriser le vidage en direct | Bloquer |
| Image mémoire | Autoriser le vidage sur incident | Bloquer |
| Modèles d’administration > Composants > Windows Rapport d'erreurs Windows | Désactiver Rapport d'erreurs Windows | Activé |
| Marche/Arrêt | Autoriser la mise en veille prolongée | Bloquer |
| Ouverture de session système > de modèles > d’administration | Permettre aux utilisateurs de choisir si un mot de passe doit être saisi lors de la reprise après une veille connectée | Désactivé |
Affectez la stratégie à un groupe qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.
Astuce
Utilisez l’appel Graph suivant pour créer automatiquement la stratégie de catalogue de paramètres dans votre locataire sans affectations ni balises d’étendue.
Lorsque vous utilisez cet appel, authentifiez-vous auprès de votre locataire dans la fenêtre Explorer Graph. Si vous utilisez Graph Explorer pour la première fois, vous devrez peut-être autoriser l’application à accéder à votre locataire ou modifier les autorisations existantes. Cet appel de graphe nécessite les autorisations DeviceManagementConfiguration.ReadWrite.All .
POST https://graph.microsoft.com/beta/deviceManagement/configurationPolicies
Content-Type: application/json
{ "id": "00-0000-0000-0000-000000000000", "name": "_MSLearn_PDE", "description": "", "platforms": "windows10", "technologies": "mdm", "roleScopeTagIds": [ "0" ], "settings": [ { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowcrashdump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowcrashdump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowlivedump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowlivedump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "user_vendor_msft_pde_enablepersonaldataencryption", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "user_vendor_msft_pde_enablepersonaldataencryption_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_power_allowhibernate", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_power_allowhibernate_0", "children": [] } } } ] }
Configurer PDE avec CSP
Vous pouvez également configurer des appareils à l’aide du csp Policy et du csp PDE.
| OMA-URI | Format | Valeur |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
entier | 1 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/AllowAutomaticRestartSignOn |
chaîne | <disabled/> |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowCrashDump |
entier | 0 |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowLiveDump |
entier | 0 |
./Device/Vendor/MSFT/Policy/Config/ErrorReporting/DisableWindowsErrorReporting |
chaîne | <enabled/> |
./Device/Vendor/MSFT/Policy/Config/Power/AllowHibernate |
entier | 0 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/AllowDomainDelayLock |
chaîne | <disabled/> |
Désactiver PDE
Une fois PDE activé, il n’est pas recommandé de le désactiver. Toutefois, si vous devez désactiver PDE, vous pouvez le faire en procédant comme suit.
Désactiver PDE avec une stratégie de catalogue de paramètres dans Intune
Pour configurer des appareils avec Microsoft Intune, créez une stratégie de catalogue Paramètres et utilisez les paramètres suivants :
| Catégorie | Nom du paramètre | Valeur |
|---|---|---|
| PDE | Activer le chiffrement des données personnelles (utilisateur) | Désactiver le chiffrement des données personnelles |
Affectez la stratégie à un groupe qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.
Désactiver PDE avec CSP
Vous pouvez désactiver PDE avec csp à l’aide du paramètre suivant :
| OMA-URI | Format | Valeur |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
entier | 0 |
Déchiffrer le contenu chiffré par PDE
La désactivation de PDE ne déchiffre aucun contenu protégé par PDE. Il empêche uniquement l’API PDE de pouvoir protéger tout contenu supplémentaire. Les fichiers protégés par PDE peuvent être déchiffrés manuellement en procédant comme suit :
- Ouvrir les propriétés du fichier
- Sous l’onglet Général , sélectionnez Avancé...
- Décochez l’option Chiffrer le contenu pour sécuriser les données
- Sélectionnez OK, puis appuyez de nouveau OK .
Les fichiers protégés par PDE peuvent également être déchiffrés à l’aide cipher.exede , ce qui peut être utile dans les scénarios suivants :
- Déchiffrement d’un grand nombre de fichiers sur un appareil
- Déchiffrement de fichiers sur plusieurs appareils
Pour déchiffrer des fichiers sur un appareil à l’aide de cipher.exe:
Déchiffrez tous les fichiers sous un répertoire, y compris les sous-répertoires :
cipher.exe /d /s:<path_to_directory>Déchiffrez un seul fichier ou tous les fichiers du répertoire spécifié, mais pas les sous-répertoires :
cipher.exe /d <path_to_file_or_directory>
Important
Une fois qu’un utilisateur choisit de déchiffrer manuellement un fichier, il ne peut plus protéger manuellement le fichier à l’aide de PDE.
Étapes suivantes
- Consultez le FAQ sur le chiffrement des données personnelles (PDE)
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour