PDE の設定と構成

この記事では、個人データ暗号化 (PDE) の設定と、Microsoft Intuneまたは構成サービス プロバイダー (CSP) を使用して構成する方法について説明します。

PDE は、MDM ポリシーを使用して構成できます。 PDE によって保護されるコンテンツは、PDE API を使用して指定できます。 Windows には、PDE を有効にするか、PDE を使用してコンテンツを保護するためのユーザー インターフェイスはありません。

PDE API を使用して、保護するコンテンツとコンテンツを保護するレベルを指定するカスタム アプリケーションとスクリプトを作成できます。 また、PDE API は、PDE ポリシーが有効になるまでコンテンツを保護するために使用できません。

PDE 設定

次の表に、PDE を有効にするために必要な設定を示します。

設定名 説明
個人データの暗号化を有効にする PDE は既定では有効になっていません。 PDE を使用するには、その前に有効にする必要があります。
再起動後に最後の対話型ユーザーを自動的にサインインしてロックする Winlogon の自動再起動サインオン (ARSO) は、PDE で使用するためにサポートされていません。 PDE を使用するには、ARSO を無効にする必要があります。

PDE の強化に関する推奨事項

次の表に、PDE のセキュリティを向上させるための推奨設定を示します。

設定名 説明
カーネル モードのクラッシュ ダンプとライブ ダンプ カーネル モードのクラッシュ ダンプとライブ ダンプにより、PDE がコンテンツを保護するために使用するキーが公開される可能性があります。 最大限のセキュリティを確保するために、カーネル モードのクラッシュ ダンプとライブ ダンプを無効にします。
Windows エラー報告 (WER)/ユーザー モードのクラッシュ ダンプ Windows エラー報告を無効にすると、ユーザー モードのクラッシュ ダンプが防止されます。 ユーザー モードのクラッシュ ダンプにより、PDE がコンテンツを保護するために使用するキーが公開される可能性があります。 最大限のセキュリティを確保するために、ユーザー モードのクラッシュ ダンプを無効にします。
休止 状態 休止状態ファイルは、個人データ暗号化 (PDE) によって使用されるキーが公開されるコンテンツを保護する原因となる可能性があります。 最大限のセキュリティを確保するために、休止状態を無効にします。
コネクト スタンバイから再開するときにパスワードが必要になる時間をユーザーが選択できるようにする このポリシーが参加済みデバイスMicrosoft Entra構成されていない場合、コネクト スタンバイ デバイスのユーザーは、デバイスのスリープ解除にパスワードが必要になるまでに、デバイスの画面がオフになった後の時間を変更できます。 画面がオフになっているが、パスワードが不要な間に、コンテンツを保護するために PDE によって使用されるキーが公開される可能性があります。 Microsoft Entra参加済みデバイスでこのポリシーを明示的に無効にすることをお勧めします。

Microsoft Intuneを使用して PDE を構成する

Microsoft Intuneを使用してデバイスを構成するには、設定カタログ ポリシーを作成し、次の設定を使用します。

カテゴリ 設定名
PDE 個人データ暗号化を有効にする (ユーザー) 個人データの暗号化を有効にする
管理用テンプレート > Windows コンポーネント > Windows ログオン オプション 再起動後に最後の対話型ユーザーを自動的にサインインしてロックする 無効
メモリ ダンプ ライブ ダンプを許可する ブロック
メモリ ダンプ クラッシュ ダンプを許可する ブロック
管理用テンプレート > Windows コンポーネント > Windows エラー報告 Windows エラー報告を無効にする 有効
Power 休止状態を許可する ブロック
管理用テンプレート > システム > ログオン コネクト スタンバイから再開するときにパスワードが必要になる時間をユーザーが選択できるようにする 無効

構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。

ヒント

次の Graph 呼び出しを使用して、割り当てやスコープ タグなしでテナントに設定カタログ ポリシーを自動的に作成します。

この呼び出しを使用する場合は、[Graph エクスプローラー] ウィンドウでテナントに対して認証を行います。 Graph エクスプローラー を初めて使用する場合は、アプリケーションがテナントにアクセスするか、既存のアクセス許可を変更することを承認する必要があります。 このグラフ呼び出しには 、DeviceManagementConfiguration.ReadWrite.All アクセス許可が必要です。

POST https://graph.microsoft.com/beta/deviceManagement/configurationPolicies
Content-Type: application/json

{ "id": "00-0000-0000-0000-000000000000", "name": "_MSLearn_PDE", "description": "", "platforms": "windows10", "technologies": "mdm", "roleScopeTagIds": [ "0" ], "settings": [ { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowcrashdump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowcrashdump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowlivedump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowlivedump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "user_vendor_msft_pde_enablepersonaldataencryption", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "user_vendor_msft_pde_enablepersonaldataencryption_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_power_allowhibernate", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_power_allowhibernate_0", "children": [] } } } ] }

CSP で PDE を構成する

または、 ポリシー CSPPDE CSP を使用してデバイスを構成することもできます。

OMA-URI 形式
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption int 1
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/AllowAutomaticRestartSignOn 文字列 <disabled/>
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowCrashDump int 0
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowLiveDump int 0
./Device/Vendor/MSFT/Policy/Config/ErrorReporting/DisableWindowsErrorReporting 文字列 <enabled/>
./Device/Vendor/MSFT/Policy/Config/Power/AllowHibernate int 0
./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/AllowDomainDelayLock 文字列 <disabled/>

PDE を無効にする

PDE を有効にした後は、無効にすることはお勧めしません。 ただし、PDE を無効にする必要がある場合は、次の手順を使用して行うことができます。

Intuneで設定カタログ ポリシーを使用して PDE を無効にする

Microsoft Intuneを使用してデバイスを構成するには、設定カタログ ポリシーを作成し、次の設定を使用します。

カテゴリ 設定名
PDE 個人データ暗号化を有効にする (ユーザー) 個人データ暗号化を無効にする

構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。

CSP で PDE を無効にする

次の設定を使用して、CSP で PDE を無効にすることができます。

OMA-URI 形式
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption int 0

PDE で暗号化されたコンテンツの暗号化を解除する

PDE を無効にしても、PDE で保護されたコンテンツの暗号化は解除されません。 PDE API が追加のコンテンツを保護できないようにするだけです。 PDE で保護されたファイルは、次の手順を使用して手動で暗号化解除できます。

  1. ファイルのプロパティを開く
  2. [全般] タブで、[詳細...] を選択します
  3. [コンテンツを暗号化してデータをセキュリティで保護する] オプションをオフにする
  4. [OK] を選択し、もう一度 [OK] を選択します

PDE で保護されたファイルは、 を使用して cipher.exe復号化することもできます。これは、次のシナリオで役立ちます。

  • デバイス上の多数のファイルの暗号化を解除する
  • 複数のデバイス上のファイルの暗号化を解除する

cipher.exe を使用してデバイス上のファイルの暗号化を解除するには:

  • サブディレクトリを含むディレクトリ内のすべてのファイルの暗号化を解除します:

    cipher.exe /d /s:<path_to_directory>
    
  • 指定したディレクトリ内の単一のファイルまたはすべてのファイルの暗号化を解除しますが、サブディレクトリは暗号化解除しません:

    cipher.exe /d <path_to_file_or_directory>
    

重要

ユーザーが手動でファイルの暗号化を解除することを選択すると、ユーザーは PDE を使用してファイルを手動で保護できなくなります。

次のステップ