Questo articolo descrive le impostazioni di Crittografia dati personali e come configurarle tramite Microsoft Intune o provider di servizi di configurazione (CSP).
Nota
La crittografia dei dati personali può essere configurata usando i criteri MDM. Il contenuto da proteggere da Personal Data Encryption può essere specificato usando le API di crittografia dei dati personali. In Windows non è disponibile un'interfaccia utente per abilitare la crittografia dei dati personali o proteggere il contenuto tramite Crittografia dati personali.
Le API di crittografia dei dati personali possono essere usate per creare applicazioni e script personalizzati per specificare il contenuto da proteggere e a quale livello proteggere il contenuto. Inoltre, le API di crittografia dei dati personali non possono essere usate per proteggere il contenuto fino a quando i criteri di crittografia dei dati personali non sono stati abilitati.
Impostazioni di Crittografia dati personali
Nella tabella seguente sono elencate le impostazioni necessarie per abilitare La crittografia dei dati personali.
Nome dell'impostazione
Descrizione
Abilitare la crittografia dei dati personali
Crittografia dati personali non è abilitata per impostazione predefinita. Prima di poter usare La crittografia dei dati personali, è necessario abilitarla.
Accedere e bloccare l'ultimo utente interattivo automaticamente dopo un riavvio
L'accesso al riavvio automatico di Winlogon (ARSO) non è supportato per l'uso con Personal Data Encryption. Per usare La crittografia dei dati personali, ARSO deve essere disabilitato.
Raccomandazioni per la protezione avanzata della crittografia dei dati personali
Nella tabella seguente sono elencate le impostazioni consigliate per migliorare la sicurezza di Personal Data Encryption.
Nome dell'impostazione
Descrizione
Dump di arresto anomalo in modalità kernel e dump live
I dump di arresto anomalo in modalità kernel e i dump live possono potenzialmente causare l'esposizione delle chiavi usate da Personal Data Encryption per proteggere il contenuto. Per una maggiore sicurezza, disabilitare i dump di arresto anomalo in modalità kernel e i dump live.
Segnalazione errori Windows (WER)/dump degli arresti anomali in modalità utente
La disabilitazione di Segnalazione errori Windows impedisce i dump di arresto anomalo in modalità utente. I dump di arresto anomalo in modalità utente possono potenzialmente causare l'esposizione delle chiavi usate da Personal Data Encryption per proteggere il contenuto. Per una maggiore sicurezza, disabilitare i dump di arresto anomalo in modalità utente.
Ibernazione
I file di ibernazione possono potenzialmente causare l'esposizione delle chiavi usate da Personal Data Encryption per proteggere il contenuto. Per una maggiore sicurezza, disabilitare l'ibernazione.
Consente agli utenti di scegliere se richiedere l'immissione di una password quando si riprendono le attività dopo una fase di standby connesso
Quando questo criterio non è configurato in Microsoft Entra dispositivi aggiunti, gli utenti di un dispositivo standby connesso possono modificare la quantità di tempo dopo la disattivazione dello schermo del dispositivo prima che sia necessaria una password per riattivare il dispositivo. Durante il momento in cui lo schermo si disattiva, ma non è necessaria una password, le chiavi usate da Personal Data Encryption per proteggere il contenuto potrebbero essere esposte. È consigliabile disabilitare in modo esplicito questo criterio in Microsoft Entra dispositivi aggiunti.
Configurare la crittografia dei dati personali con Microsoft Intune
Se si usa Microsoft Intune per gestire i dispositivi, è possibile configurare Crittografia dati personali usando un criterio di crittografia del disco, un criterio del catalogo delle impostazioni o un profilo personalizzato.
Criteri di crittografia del disco
Per configurare i dispositivi usando un criterio di crittografia del disco, passare aCrittografia dischidi sicurezza> degli endpoint e selezionare Crea criterio:
Piattaforma>Finestre
Profilo>Crittografia dei dati personali
Specificare un nome e selezionare Avanti. Nella pagina Impostazioni di configurazione selezionare Abilita crittografia dati personali e configurare le impostazioni in base alle esigenze.
Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare.
Abilitare la crittografia dei dati personali (utente)
Abilitare la crittografia dei dati personali
Modelli > amministrativi Componenti di > Windows Opzioni di accesso di Windows
Accedere e bloccare l'ultimo utente interattivo automaticamente dopo un riavvio
Disabilitato
Dump della memoria
Consenti dump live
Blocca
Dump della memoria
Consenti dump di arresto anomalo
Blocca
Modelli > amministrativi Componenti > di Windows Segnalazione errori Windows
Disabilitare Segnalazione errori Windows
Abilitato
Power
Consenti ibernazione
Blocca
Accesso di sistema > dei modelli amministrativi >
Consente agli utenti di scegliere se richiedere l'immissione di una password quando si riprendono le attività dopo una fase di standby connesso
Disattivato
Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare.
Suggerimento
Usare la chiamata Graph seguente per creare automaticamente i criteri del catalogo delle impostazioni nel tenant senza assegnazioni né tag di ambito.
Quando si usa questa chiamata, eseguire l'autenticazione nel tenant nella finestra Esplora grafici. Se è la prima volta che si usa Graph Explorer, potrebbe essere necessario autorizzare l'applicazione ad accedere al tenant o a modificare le autorizzazioni esistenti. Questa chiamata a grafo richiede le autorizzazioni DeviceManagementConfiguration.ReadWrite.All .
Una volta abilitata la crittografia dei dati personali, non è consigliabile disabilitarla. Tuttavia, se è necessario disabilitare La crittografia dei dati personali, è possibile eseguire questa operazione seguendo questa procedura.
Disabilitare la crittografia dei dati personali con un criterio di crittografia del disco
Per disabilitare i dispositivi di crittografia dei dati personali usando un criterio di crittografia del disco, passare aCrittografia dischidi sicurezza> degli endpoint e selezionare Crea criterio:
Piattaforma>Finestre
Profilo>Crittografia dei dati personali
Specificare un nome e selezionare Avanti. Nella pagina Impostazioni di configurazione selezionare Disabilita crittografia dati personali.
Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare.
Disabilitare la crittografia dei dati personali con un criterio del catalogo delle impostazioni in Intune
La disabilitazione della crittografia dei dati personali non decrittografa alcun contenuto protetto da Crittografia dati personali. Impedisce solo all'API Crittografia dati personali di proteggere eventuali contenuti aggiuntivi. I file protetti da Pprotect possono essere decrittografati manualmente seguendo questa procedura:
Aprire le proprietà del file
Nella scheda Generale selezionare Avanzate
Deselezionare l'opzione Crittografa il contenuto per proteggere i dati
Selezionare OK e quindi di nuovo OK
I file protetti possono anche essere decrittografati usando cipher.exe, che può essere utile negli scenari seguenti:
Decrittografia di un numero elevato di file in un dispositivo
Decrittografia di file in più dispositivi
Per decrittografare i file in un dispositivo usando cipher.exe:
Decrittografare tutti i file in una directory, incluse le sottodirectory:
Prompt dei comandi di Windows
cipher.exe /d /s:<path_to_directory>
Decrittografare un singolo file o tutti i file nella directory specificata, ma non tutte le sottodirectory:
Prompt dei comandi di Windows
cipher.exe /d <path_to_file_or_directory>
Importante
Quando un utente sceglie di decrittografare manualmente un file, l'utente non sarà in grado di proteggere manualmente il file usando Crittografia dati personali.
Questo modulo descrive come usare Intune per creare e gestire criteri WIP per la gestione della protezione. Il modulo illustra anche l'implementazione di BitLocker e di Encrypting File System.
Illustrare i concetti fondamentali della protezione dei dati, della gestione del ciclo di vita, della protezione delle informazioni e della conformità per proteggere una distribuzione di Microsoft 365.