個人データ暗号化 (PDE)

適用対象:

  • Windows 11、バージョン 22H2 以降の Enterprise および Education エディション

個人データ暗号化 (PDE) は、Windows 11 バージョン 22H2 で導入されたセキュリティ機能であり、Windows に追加の暗号化機能を提供します。 PDE は、ボリュームとディスク全体ではなく、個々のファイルとコンテンツを暗号化するという点で BitLocker とは異なります。 PDE は、BitLocker などの他の暗号化方法に加えて発生します。

PDE では、Windows Hello for Businessを使用して、データ暗号化キーをユーザー資格情報とリンクします。 この機能により、ユーザーがコンテンツにアクセスするために覚えておく必要がある資格情報の数を最小限に抑えることができます。 たとえば、PIN で BitLocker を使用する場合、ユーザーは BitLocker PIN で 1 回、Windows 資格情報を使用して 2 回認証する必要があります。 この要件では、ユーザーは 2 つの異なる資格情報を覚えておく必要があります。 PDE では、ユーザーはWindows Hello for Business経由で資格情報のセットを 1 つだけ入力する必要があります。

PDE はWindows Hello for Businessを利用するため、WINDOWS HELLO FOR BUSINESSを使用する場合に利用できるアクセシビリティ機能により、PDE もアクセシビリティに優しい機能です。

起動時にデータ暗号化キーを解放する BitLocker とは異なり、ユーザーが Windows Hello for Business を使用してサインインするまで、PDE はデータ暗号化キーを解放しません。 ユーザーは、Windows Hello for Businessを使用して Windows にサインインした後にのみ、PDE で保護されたコンテンツにアクセスできます。 さらに、PDE には、デバイスがロックされているときに暗号化キーを破棄する機能もあります。

PDE は MDM ポリシーを使用して有効にすることができます。 PDE によって保護されるコンテンツは、 PDE API を使用して指定できます。 Windows には、PDE を有効にしたり、PDE を使用してコンテンツを保護したりするためのユーザー インターフェイスはありません。

前提条件

必須

PDE ではサポートされていません

セキュリティ強化に関する推奨事項

  • カーネル モードのクラッシュ ダンプとライブ ダンプが無効になっている

    カーネル モードのクラッシュ ダンプとライブ ダンプにより、PDE によってコンテンツを保護するために使用されるキーが公開される可能性があります。 最大限のセキュリティを確保するには、カーネル モードのクラッシュ ダンプとライブ ダンプを無効にします。 Intuneを使用してクラッシュ ダンプとライブ ダンプを無効にする方法については、「カーネル モードのクラッシュ ダンプとライブ ダンプを無効にする」を参照してください。

  • Windows エラー報告 (WER) が無効になっている/ユーザー モードのクラッシュ ダンプが無効になっている

    Windows エラー報告を無効にすると、ユーザー モードのクラッシュ ダンプが防止されます。 ユーザー モードのクラッシュ ダンプにより、PDE がコンテンツを保護するために使用するキーが公開される可能性があります。 最大限のセキュリティを確保するには、ユーザー モードのクラッシュ ダンプを無効にします。 Intuneを使用してクラッシュ ダンプを無効にする方法の詳細については、「Windows エラー報告を無効にする (WER)/ユーザー モードのクラッシュ ダンプを無効にする」を参照してください。

  • 休止状態が無効

    休止状態ファイルを使用すると、PDE がコンテンツを保護するために使用するキーが公開される可能性があります。 最大限のセキュリティを確保するために、休止状態を無効にします。 Intuneを使用してクラッシュ ダンプを無効にする方法の詳細については、「休止状態を無効にする」を参照してください。

  • ユーザーがコネクト スタンバイから再開するときにパスワードが必要なタイミングを選択できるようにする

    このポリシーが構成されていない場合、オンプレミスの Active Directory参加済みデバイスとワークグループ デバイス (ネイティブの Azure Active Directory 参加済みデバイスを含む) 間の結果は異なります。

    • オンプレミスの Active Directory 参加済みデバイス:

      • ユーザーは、デバイスのスリープ解除時にパスワードが必要になる前に、デバイスの画面がオフになった後の時間を変更できません。

      • 画面がオフになるとすぐにパスワードが必要です。

      上記の結果は望ましい結果ですが、PDE は、オンプレミスの Active Directory参加済みデバイスではサポートされていません。

    • ネイティブ Azure AD 参加済みデバイスを含むワークグループ デバイス:

      • コネクト スタンバイ デバイスのユーザーは、デバイスのスリープ解除にパスワードが必要になるまでに、デバイスの画面がオフになってから時間を変更できます。

      • 画面がオフになっているのにパスワードが必要ない時間帯は、コンテンツを保護するために PDE によって使用されるキーが公開される可能性があります。 この結果は望ましい結果ではありません。

      この望ましくない結果のため、このポリシーは、既定の未構成のままにするのではなく、ネイティブの Azure AD 参加済みデバイスで明示的に無効にすることをお勧めします。

    Intuneを使用してこのポリシーを無効にする方法については、「コネクト スタンバイからの再開時にパスワードが必要な場合にユーザーが選択できるようにする」を参照してください。

  • BitLocker ドライブ暗号化 が有効

    PDE は BitLocker なしで動作しますが、BitLocker も有効にすることをお勧めします。 PDE は、セキュリティを強化するために BitLocker と共に動作することを意図しています。 PDE は BitLocker の代わりではありません。

  • Microsoft 365 の OneDrive などのバックアップ ソリューション

    TPM リセットや破壊的 PIN リセットなどの特定のシナリオでは、コンテンツを保護するために PDE によって使用されるキーが失われます。 このようなシナリオでは、PDE で保護されたコンテンツにアクセスできなくなります。 そのようなコンテンツを回復する唯一の方法は、バックアップからです。

  • WINDOWS HELLO FOR BUSINESS PIN リセット サービス

    破壊的な PIN リセットにより、PDE によってコンテンツを保護するために使用されるキーが失われます。 破壊的な PIN リセットにより、破壊的な PIN リセット後に PDE で保護されたコンテンツにアクセスできなくなります。 PDE で保護されたコンテンツは、破壊的な PIN リセット後にバックアップから回復する必要があります。 このため、非破壊的な PIN リセットWindows Hello for Business提供するため、PIN リセット サービスをお勧めします。

  • Windows Hello強化されたサインイン セキュリティ

    生体認証または PIN を使用してWindows Hello for Businessを使用して認証するときに追加のセキュリティを提供します

PDE 保護レベル

PDE は、256 ビット キーを持つ AES-CBC を使用してコンテンツを保護し、2 つのレベルの保護を提供します。 保護のレベルは、組織のニーズに基づいて決定されます。 これらのレベルは、 PDE API を使用して設定できます。

項目 レベル 1 レベル 2
ユーザーが Windows Hello for Business 経由でサインインしたときにアクセス可能な PDE で保護されたデータ はい はい
PDE で保護されたデータは、Windows ロック画面でアクセスできます はい データはロック後 1 分間アクセスできなくなり、使用できなくなります
ユーザーが Windows からサインアウトした後、PDE で保護されたデータにアクセスできます なし なし
デバイスがシャットダウンされると、PDE で保護されたデータにアクセスできます なし なし
PDE で保護されたデータには UNC パスを使用してアクセスできます なし なし
PDE で保護されたデータは、Windows Hello for Businessではなく Windows パスワードを使用して署名するときにアクセスできます なし なし
PDE で保護されたデータには、リモート デスクトップ セッションを介してアクセスできます なし なし
PDE によって使用される暗号化解除キーが破棄されました ユーザーが Windows からサインアウトした後 Windows ロック画面が表示されてから 1 分後、またはユーザーが Windows からサインアウトした 1 分後

PDE で保護されたコンテンツ アクセシビリティ

ファイルが PDE で保護されている場合、そのアイコンに南京錠が表示されます。 ユーザーがWindows Hello for Businessでローカルにサインインしていない場合、または未承認のユーザーが PDE で保護されたコンテンツにアクセスしようとすると、コンテンツへのアクセスが拒否されます。

ユーザーが PDE で保護されたコンテンツへのアクセスを拒否されるシナリオは次のとおりです。

  • ユーザーは、生体認証または PIN を使用してサインインするのではなく、パスワードを使用して Windows にサインインWindows Hello for Business。
  • レベル 2 の保護で保護されている場合は、デバイスがロックされている場合。
  • デバイス上のコンテンツにリモートでアクセスしようとするとき。 たとえば、UNC ネットワーク パスなどです。
  • リモート デスクトップ セッション。
  • Windows Hello for Business経由でサインインしていて、PDE で保護されたコンテンツに移動するアクセス許可を持っている場合でも、コンテンツの所有者ではないデバイス上の他のユーザー。

PDE を有効にする方法

デバイスで PDE を有効にするには、次のパラメーターを使用して MDM ポリシーをデバイスにプッシュします。

  • 名前: 個人データの暗号化
  • OMA-URI: ./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption
  • データ型: 整数
  • 値: 1

それをサポートする MDM ソリューションに使用できる PDE CSP もあります。

デバイスで PDE ポリシーを有効にすると、PDE 機能のみが有効になります。 コンテンツは保護されません。 PDE を使用してコンテンツを保護するには、 PDE API を使用します。 PDE API を使用してカスタム アプリケーションとスクリプトを作成し、保護するコンテンツと、コンテンツを保護するレベルを指定できます。 さらに、PDE ポリシーが有効になるまで、PDE API を使用してコンテンツを保護することはできません。

Intuneを使用して PDE を有効にする方法については、「個人データ暗号化 (PDE) を有効にする」を参照してください。

PDE と BitLocker の違い

PDE は BitLocker と共に動作することを意図しています。 PDE は BitLocker の代わりではなく、BitLocker は PDE の代わりにもなります。 両方の機能を組み合わせて使用すると、BitLocker または PDE のみを使用するよりもセキュリティが向上します。 ただし、BitLocker と PDE の動作には違いがあります。 これらの違いは、それらを組み合わせて使用するとセキュリティが向上する理由です。

項目 Pde BitLocker
復号化キーのリリース Windows Hello for Businessを使用したユーザー サインイン時 起動時
暗号化解除キーが破棄されました ユーザーが Windows からサインアウトしたとき、または Windows ロック画面が表示されてから 1 分後 再起動時
保護されたファイル 個々の指定されたファイル ボリューム/ドライブ全体
保護されたコンテンツにアクセスするための認証 Windows Hello for Business TPM + PIN を使用した BitLocker が有効になっている場合、BitLocker PIN と Windows サインイン

PDE と EFS の違い

EFS ではなく PDE を使用してファイルを保護する主な違いは、ファイルを保護するために使用する方法です。 PDE では、Windows Hello for Businessを使用して、ファイルを保護するキーをセキュリティで保護します。 EFS は証明書を使用して、ファイルのセキュリティ保護と保護を行います。

ファイルが PDE または EFS で保護されているかどうかを確認するには、

  1. ファイルのプロパティを開く
  2. [ 全般 ] タブで、[詳細設定] を選択 します。
  3. [高度な属性] ウィンドウで、[詳細] を選択します

PDE で保護されたファイルの場合、[ 保護の状態]: [ 個人データの暗号化] として 一覧表示される項目が表示され、属性は [オン] になります

EFS で保護されたファイルの場合、[ このファイルにアクセスできるユーザー] の下に、ファイルへのアクセス権を持つユーザーの横に 証明書の拇印 が表示されます。 また、このファイルの下部には 、回復ポリシーで定義されている [回復証明書] というラベルのセクションもあります。

ファイルを保護するために使用されている暗号化方法を含む暗号化情報は、 cipher.exe /c コマンドを使用して取得できます。

PDE を無効にしてコンテンツの暗号化を解除する

PDE が有効になると、無効にすることはお勧めしません。 ただし、PDE を無効にする必要がある場合は、「 PDE を有効にする方法」セクションで説明されている MDM ポリシーを使用して行うことができます。 OMA-URI の値は、次のように から 1 に変更する 0 必要があります。

  • 名前: 個人データの暗号化
  • OMA-URI: ./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption
  • データ型: 整数
  • 値: 0

PDE を無効にしても、PDE で保護されたコンテンツは暗号化解除されません。 これにより、PDE API が追加のコンテンツを保護できないだけです。 PDE で保護されたファイルは、次の手順を使用して手動で暗号化解除できます。

  1. ファイルのプロパティを開く
  2. [ 全般 ] タブで、[詳細設定] を選択 します。
  3. [ 暗号化コンテンツ] オプションをオフにしてデータをセキュリティで保護する
  4. [OK] を選択し、もう一度 [OK] を選択します

PDE で保護されたファイルは、 cipher.exeを使用して復号化することもできます。 を使用 cipher.exe すると、次のシナリオでファイルの暗号化を解除するのに役立ちます。

  • デバイス上の多数のファイルの暗号化を解除する
  • 多数のデバイス上のファイルの暗号化を解除する。

を使用して cipher.exeデバイス上のファイルを復号化するには:

  • サブディレクトリを含むディレクトリの下にあるすべてのファイルの暗号化を解除します。

    cipher.exe /d /s:<path_to_directory>
    
  • 指定したディレクトリ内の 1 つのファイルまたはすべてのファイルを復号化しますが、サブディレクトリは復号化しません。

    cipher.exe /d <path_to_file_or_directory>
    

重要

ユーザーが手動でファイルの暗号化を解除することを選択すると、ユーザーは PDE を使用してファイルを手動で保護できなくなります。

PDE をサポートする Windows のすぐに使用できるアプリケーション

一部の Windows アプリケーションでは、すぐに PDE がサポートされます。 デバイスで PDE が有効になっている場合、これらのアプリケーションは PDE を利用します。

  • メール
    • メール本文と添付ファイルの両方の保護をサポート

関連項目