Impostazioni e configurazione di PDE
Questo articolo descrive le impostazioni di Crittografia dati personali (PDE) e come configurarle tramite Microsoft Intune o provider di servizi di configurazione (CSP).
Nota
PDE può essere configurato usando i criteri MDM. Il contenuto da proteggere mediante Crittografia dei dati personali può essere specificato usando le API di Crittografia dei dati personali. In Windows non è disponibile alcuna interfaccia utente per abilitare Crittografia dei dati personali o proteggere il contenuto usando Crittografia dei dati personali.
Le API di Crittografia dei dati personali possono essere usate per creare applicazioni e script personalizzati per specificare quale contenuto proteggere e a quale livello proteggere il contenuto. Le API di Crittografia dei dati personali non possono essere inoltre usate per proteggere il contenuto fino a quando i criteri di Crittografia dei dati personali non sono stati abilitati.
Impostazioni PDE
Nella tabella seguente sono elencate le impostazioni necessarie per abilitare PDE.
Nome dell'impostazione | Descrizione |
---|---|
Abilitare la crittografia dei dati personali | PDE non è abilitato per impostazione predefinita. Prima di poter usare PDE, è necessario abilitarlo. |
Accedere e bloccare l'ultimo utente interattivo automaticamente dopo un riavvio | L'accesso al riavvio automatico di Winlogon (ARSO) non è supportato per l'uso con PDE. Per usare PDE, ARSO deve essere disabilitato. |
Consigli per la protezione avanzata pde
Nella tabella seguente sono elencate le impostazioni consigliate per migliorare la sicurezza di PDE.
Nome dell'impostazione | Descrizione |
---|---|
Dump di arresto anomalo in modalità kernel e dump live | I dump di arresto anomalo in modalità kernel e i dump live possono potenzialmente causare l'esposizione delle chiavi usate da Crittografia dei dati personali per proteggere il contenuto. Per una maggiore sicurezza, disabilitare i dump di arresto anomalo in modalità kernel e i dump live. |
Segnalazione errori Windows (WER)/dump degli arresti anomali in modalità utente | La disabilitazione di Segnalazione errori Windows impedisce i dump di arresto anomalo in modalità utente. I dump di arresto anomalo in modalità utente possono potenzialmente causare l'esposizione delle chiavi usate da Crittografia dei dati personali per proteggere il contenuto. Per una maggiore sicurezza, disabilitare i dump di arresto anomalo in modalità utente. |
Sospensione | I file di ibernazione possono potenzialmente causare l'esposizione delle chiavi usate da Personal Data Encryption (PDE) per proteggere il contenuto. Per una maggiore sicurezza, disabilitare l'ibernazione. |
Consente agli utenti di scegliere se richiedere l'immissione di una password quando si riprendono le attività dopo una fase di standby connesso | Quando questo criterio non è configurato in Microsoft Entra dispositivi aggiunti, gli utenti di un dispositivo standby connesso possono modificare la quantità di tempo dopo la disattivazione dello schermo del dispositivo prima che sia necessaria una password per riattivare il dispositivo. Durante l'intervallo di tempo in cui lo schermo si spegne ma non è necessaria una password, le chiavi usate da Crittografia dei dati personali per proteggere il contenuto potrebbero essere potenzialmente esposte. È consigliabile disabilitare in modo esplicito questo criterio in Microsoft Entra dispositivi aggiunti. |
Configurare PDE con Microsoft Intune
Per configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:
Categoria | Nome dell'impostazione | Valore |
---|---|---|
PDE | Abilitare la crittografia dei dati personali (utente) | Abilitare la crittografia dei dati personali |
Modelli > amministrativi Componenti di > Windows Opzioni di accesso di Windows | Accedere e bloccare l'ultimo utente interattivo automaticamente dopo un riavvio | Disabilitato |
Dump della memoria | Consenti dump live | Blocca |
Dump della memoria | Consenti dump di arresto anomalo | Blocca |
Modelli > amministrativi Componenti > di Windows Segnalazione errori Windows | Disabilitare Segnalazione errori Windows | Abilitato |
Power | Consenti ibernazione | Blocca |
Accesso di sistema > dei modelli amministrativi > | Consente agli utenti di scegliere se richiedere l'immissione di una password quando si riprendono le attività dopo una fase di standby connesso | Disattivato |
Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare.
Suggerimento
Usare la chiamata Graph seguente per creare automaticamente i criteri del catalogo delle impostazioni nel tenant senza assegnazioni né tag di ambito.
Quando si usa questa chiamata, eseguire l'autenticazione nel tenant nella finestra Esplora grafici. Se è la prima volta che si usa Graph Explorer, potrebbe essere necessario autorizzare l'applicazione ad accedere al tenant o a modificare le autorizzazioni esistenti. Questa chiamata a grafo richiede le autorizzazioni DeviceManagementConfiguration.ReadWrite.All .
POST https://graph.microsoft.com/beta/deviceManagement/configurationPolicies
Content-Type: application/json
{ "id": "00-0000-0000-0000-000000000000", "name": "_MSLearn_PDE", "description": "", "platforms": "windows10", "technologies": "mdm", "roleScopeTagIds": [ "0" ], "settings": [ { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowcrashdump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowcrashdump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowlivedump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowlivedump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "user_vendor_msft_pde_enablepersonaldataencryption", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "user_vendor_msft_pde_enablepersonaldataencryption_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_power_allowhibernate", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_power_allowhibernate_0", "children": [] } } } ] }
Configurare PDE con CSP
In alternativa, è possibile configurare i dispositivi usando criteri CSP e PDE CSP.
URI OMA | Formato | Value |
---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 1 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/AllowAutomaticRestartSignOn |
stringa | <disabled/> |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowCrashDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowLiveDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ErrorReporting/DisableWindowsErrorReporting |
stringa | <enabled/> |
./Device/Vendor/MSFT/Policy/Config/Power/AllowHibernate |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/AllowDomainDelayLock |
stringa | <disabled/> |
Disabilitare PDE
Dopo l'abilitazione di Crittografia dei dati personali, non è consigliabile disabilitarla. Tuttavia, se è necessario disabilitare PDE, è possibile eseguire questa operazione seguendo questa procedura.
Disabilitare PDE con un criterio del catalogo delle impostazioni in Intune
Per configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:
Categoria | Nome dell'impostazione | Valore |
---|---|---|
PDE | Abilitare la crittografia dei dati personali (utente) | Disabilitare la crittografia dei dati personali |
Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare.
Disabilitare PDE con CSP
È possibile disabilitare PDE con CSP usando l'impostazione seguente:
URI OMA | Formato | Value |
---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 0 |
Decrittografare il contenuto crittografato con PDE
La disabilitazione di Crittografia dei dati personali non decrittografa alcun contenuto protetto da Crittografia dei dati personali. Impedisce solo all'API di Crittografia dei dati personali di proteggere qualsiasi contenuto aggiuntivo. I file protetti da PDE possono essere decrittografati manualmente seguendo questa procedura:
- Aprire le proprietà del file
- Nella scheda Generale selezionare Avanzate
- Deselezionare l'opzione Crittografa il contenuto per proteggere i dati
- Selezionare OK e quindi di nuovo OK
I file protetti da PDE possono anche essere decrittografati usando cipher.exe
, che può essere utile negli scenari seguenti:
- Decrittografia di un numero elevato di file in un dispositivo
- Decrittografia di file in più dispositivi
Per decrittografare i file in un dispositivo usando cipher.exe
:
Decrittografare tutti i file in una directory, incluse le sottodirectory:
cipher.exe /d /s:<path_to_directory>
Decrittografare un singolo file o tutti i file nella directory specificata, ma non tutte le sottodirectory:
cipher.exe /d <path_to_file_or_directory>
Importante
Quando un utente sceglie di decrittografare manualmente un file, l'utente non sarà in grado di proteggere manualmente il file usando PDE.
Passaggi successivi
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per