この記事では、個人データ暗号化の設定と、Microsoft Intuneまたは構成サービス プロバイダー (CSP) を使用して構成する方法について説明します。
注
個人データ暗号化は、CSP ポリシーを使用して構成できます。 個人データ暗号化によって保護されるコンテンツは、既知のフォルダーと個人データ暗号化 API の個人データ暗号化を使用して指定できます。
個人用データ暗号化 API を使用して、カスタム アプリケーションとスクリプトを作成して、保護するコンテンツと、コンテンツを保護するレベルを指定できます。 さらに、個人データ暗号化ポリシーが有効になるまで、個人データ暗号化 API を使用してコンテンツを保護することはできません。
個人データの暗号化設定
次の表に、個人データ暗号化を有効にするために必要な設定の一覧を示します。
| 設定名 | 説明 |
|---|---|
| 個人データの暗号化を有効にする | 個人データ暗号化は既定では有効になっていません。 個人データ暗号化を使用するには、それを有効にする必要があります。 |
| 再起動後に最後の対話型ユーザーを自動的にサインインしてロックする | Winlogon の自動再起動サインオン (ARSO) は、個人データ暗号化での使用にはサポートされていません。 個人データ暗号化を使用するには、ARSO を無効にする必要があります。 |
既知のフォルダー設定の個人データ暗号化
次の表に、既知のフォルダーの個人用データ暗号化を構成する設定を示します。
| 設定名 | 説明 |
|---|---|
| デスクトップを保護する | [デスクトップ] フォルダーで [個人データ暗号化] を有効にします。 |
| ドキュメントの保護 | [ドキュメント] フォルダーで [個人データの暗号化] を有効にします。 |
| 画像を保護する | Pictures フォルダーで個人用データ暗号化を有効にします。 |
個人データ暗号化の強化に関する推奨事項
次の表に、個人データ暗号化のセキュリティを向上させるための推奨設定を示します。
| 設定名 | 説明 |
|---|---|
| カーネル モードのクラッシュ ダンプとライブ ダンプ | カーネル モードのクラッシュ ダンプとライブ ダンプにより、個人用データ暗号化で使用されるキーが公開される可能性があります。 最大限のセキュリティを確保するために、カーネル モードのクラッシュ ダンプとライブ ダンプを無効にします。 |
| Windows エラー報告 (WER)/ユーザー モードのクラッシュ ダンプ | Windows エラー報告を無効にすると、ユーザー モードのクラッシュ ダンプが防止されます。 ユーザー モードのクラッシュ ダンプにより、個人データ暗号化によってコンテンツを保護するために使用されるキーが公開される可能性があります。 最大限のセキュリティを確保するために、ユーザー モードのクラッシュ ダンプを無効にします。 |
| 冬眠 | 休止状態ファイルは、個人データ暗号化によって使用されるキーが公開されるコンテンツを保護する原因となる可能性があります。 最大限のセキュリティを確保するために、休止状態を無効にします。 |
| コネクト スタンバイから再開するときにパスワードが必要になる時間をユーザーが選択できるようにする | このポリシーが参加済みデバイスMicrosoft Entra構成されていない場合、コネクト スタンバイ デバイスのユーザーは、デバイスのスリープ解除にパスワードが必要になるまでに、デバイスの画面がオフになった後の時間を変更できます。 画面がオフになっているのにパスワードが必要ない時間帯は、個人データ暗号化によってコンテンツを保護するために使用されるキーが公開される可能性があります。 Microsoft Entra参加済みデバイスでこのポリシーを明示的に無効にすることをお勧めします。 |
Microsoft Intuneを使用した個人データ暗号化の構成
Microsoft Intuneを使用してデバイスを管理する場合は、ディスク暗号化ポリシー、設定カタログ ポリシー、またはカスタム プロファイルを使用して個人用データ暗号化を構成できます。
ディスク暗号化ポリシー
ディスク暗号化ポリシーを使用してデバイスを構成するには、[エンドポイント セキュリティ>ディスク暗号化] に移動し、[ポリシーの作成] を選択します。
- プラットフォーム>ウィンドウズ
- プロファイル>個人データの暗号化
名前を指定し、[ 次へ] を選択します。 [ 構成設定 ] ページで、[ 個人データ暗号化を有効にする ] を選択し、必要に応じて設定を構成します。
構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。
設定カタログ ポリシー
Microsoft Intuneを使用してデバイスを構成するには、設定カタログ ポリシーを作成し、次の設定を使用します。
| カテゴリ | 設定名 | 値 |
|---|---|---|
| 個人データ暗号化 | 個人データ暗号化を有効にする (ユーザー) | 個人データの暗号化を有効にする |
| 個人データ暗号化 | デスクトップの保護 (ユーザー) | デスクトップ フォルダーの保護を有効にする |
| 個人データ暗号化 | ドキュメントの保護 (ユーザー) | ドキュメント フォルダーの保護を有効にする |
| 個人データ暗号化 | 画像の保護 (ユーザー) | Pictures フォルダーの保護を有効にする |
| Windows ログオン オプション > Windows コンポーネント > 管理用テンプレート | 再起動後に最後の対話型ユーザーを自動的にサインインしてロックする | 無効 |
| メモリ ダンプ | ライブ ダンプを許可する | ブロック |
| メモリ ダンプ | クラッシュ ダンプを許可する | ブロック |
| Windows コンポーネント > Windows エラー報告>管理用テンプレート | Windows エラー報告を無効にする | 有効 |
| Power | 休止状態を許可する | ブロック |
| システム > ログオン>管理用テンプレート | コネクト スタンバイから再開するときにパスワードが必要になる時間をユーザーが選択できるようにする | 無効 |
構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。
ヒント
次の Graph 呼び出しを使用して、割り当てやスコープ タグなしでテナントに設定カタログ ポリシーを自動的に作成します。
この呼び出しを使用する場合は、[Graph エクスプローラー] ウィンドウでテナントに対して認証を行います。 Graph エクスプローラーを初めて使用する場合は、アプリケーションがテナントにアクセスするか、既存のアクセス許可を変更する必要があります。 このグラフ呼び出しには 、DeviceManagementConfiguration.ReadWrite.All アクセス許可が必要です。
POST https://graph.microsoft.com/beta/deviceManagement/configurationPolicies
Content-Type: application/json
{ "id": "00-0000-0000-0000-000000000000", "name": "_MSLearn_PDE", "description": "", "platforms": "windows10", "technologies": "mdm", "roleScopeTagIds": [ "0" ], "settings": [ { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowcrashdump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowcrashdump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowlivedump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowlivedump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "user_vendor_msft_pde_enablepersonaldataencryption", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "user_vendor_msft_pde_enablepersonaldataencryption_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_power_allowhibernate", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_power_allowhibernate_0", "children": [] } } } ] }
CSP を使用した個人データ暗号化の構成
または、 ポリシー CSP と 個人用データ暗号化 CSP を使用してデバイスを構成することもできます。
| OMA-URI | 形式 | 値 |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 1 |
./User/Vendor/MSFT/PDE/ProtectFolders/ProtectDesktop |
int | 1 |
./User/Vendor/MSFT/PDE/ProtectFolders/ProtectDocuments |
int | 1 |
./User/Vendor/MSFT/PDE/ProtectFolders/ProtectPictures |
int | 1 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/AllowAutomaticRestartSignOn |
文字列 | <disabled/> |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowCrashDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowLiveDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ErrorReporting/DisableWindowsErrorReporting |
文字列 | <enabled/> |
./Device/Vendor/MSFT/Policy/Config/Power/AllowHibernate |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/AllowDomainDelayLock |
文字列 | <disabled/> |
ユーザー エクスペリエンス
個人データ暗号化が有効になっている場合、ユーザー エクスペリエンスは次のようになります。
- 個人データ暗号化で保護されたコンテンツへのアクセスは、ユーザーがWindows Hello (生体認証または PIN) を使用してサインインする場合にのみ可能です。 ユーザーがWindows Helloなしでサインインした場合、暗号化されたコンテンツを開くことができない
- ユーザーがWindows Helloなしでサインインしようとすると、サインイン画面のスクリーンショットWindows Hello、暗号化されたコンテンツにアクセスする必要があることを示すメッセージ
- 個人データ暗号化によって保護されるデータには、ファイルまたはフォルダーのアイコンに南京錠が付いています。 南京錠アイコンは、エクスプローラーとデスクトップに表示されます。エクスプローラー
個人データ暗号化を無効にする
個人データ暗号化を有効にした後は、無効にすることはお勧めしません。 ただし、個人データ暗号化を無効にする必要がある場合は、次の手順を使用して行うことができます。
ディスク暗号化ポリシーを使用して個人データ暗号化を無効にする
ディスク暗号化ポリシーを使用して個人データ暗号化デバイスを無効にするには、[エンドポイント のセキュリティ>ディスク暗号化] に移動し、[ポリシーの作成] を選択します。
- プラットフォーム>ウィンドウズ
- プロファイル>個人データの暗号化
名前を指定し、[ 次へ] を選択します。 [ 構成設定 ] ページで、[ 個人データ暗号化を無効にする] を選択します。
構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。
Intuneで設定カタログ ポリシーを使用して個人データ暗号化を無効にする
Microsoft Intuneを使用してデバイスを構成するには、設定カタログ ポリシーを作成し、次の設定を使用します。
| カテゴリ | 設定名 | 値 |
|---|---|---|
| 個人データ暗号化 | 個人データ暗号化を有効にする (ユーザー) | 個人データ暗号化を無効にする |
構成するデバイスまたはユーザーをメンバーとして含むグループにポリシーを割り当てます。
CSP による個人データ暗号化を無効にする
次の設定を使用して、CSP での個人データ暗号化を無効にすることができます。
| OMA-URI | 形式 | 値 |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 0 |
暗号化されたコンテンツの暗号化を解除する
個人データ暗号化を無効にすると、既知のフォルダーに対して個人データ暗号化を使用して暗号化されたコンテンツは自動的に暗号化解除されます。 ただし、個人データ暗号化 API を使用して暗号化されたコンテンツは自動的に暗号化解除されません。 このコンテンツの暗号化を解除するには、次の手順に従います。
- ファイルのプロパティを開く
- [全般] タブで、[詳細...] を選択します
- [コンテンツを暗号化してデータをセキュリティで保護する] オプションをオフにする
- [OK] を選択し、もう一度 [OK] を選択します
保護されたファイルは、 cipher.exeを使用して暗号化を解除することもできます。これは、次のシナリオで役立ちます。
- デバイス上の多数のファイルの暗号化を解除する
- 複数のデバイス上のファイルの暗号化を解除する
cipher.exe を使用してデバイス上のファイルの暗号化を解除するには:
サブディレクトリを含むディレクトリ内のすべてのファイルの暗号化を解除します:
cipher.exe /d /s:<path_to_directory>指定したディレクトリ内の単一のファイルまたはすべてのファイルの暗号化を解除しますが、サブディレクトリは暗号化解除しません:
cipher.exe /d <path_to_file_or_directory>
重要
ユーザーが手動でファイルの暗号化を解除することを選択すると、ユーザーは個人データ暗号化を使用してファイルを手動で保護できなくなります。
次のステップ
- 個人データ暗号化に関する FAQ を確認する