PDE 设置和配置
本文介绍个人数据加密 (PDE) 设置,以及如何通过MICROSOFT INTUNE或配置服务提供商 (CSP) 对其进行配置。
注意
可以使用 MDM 策略配置 PDE。 可以使用 PDE API 指定要由 PDE 保护的内容。 Windows 中没有用于启用 PDE 或使用 PDE 保护内容的用户界面。
PDE API 可用于创建自定义应用程序和脚本,以指定要保护的内容以及内容的保护级别。 此外,在启用 PDE 策略之前,无法使用 PDE API 来保护内容。
PDE 设置
下表列出了启用 PDE 所需的设置。
| 设置名称 | 描述 |
|---|---|
| 启用个人数据加密 | 默认情况下不启用 PDE。 必须先启用 PDE,然后才能使用 PDE。 |
| 重启后自动登录和锁定最后一个交互式用户 | 不支持将 Winlogon 自动重启登录 (ARSO) 与 PDE 一起使用。 若要使用 PDE,必须禁用 ARSO。 |
PDE 强化建议
下表列出了提高 PDE 安全性的建议设置。
| 设置名称 | 描述 |
|---|---|
| 内核模式故障转储和实时转储 | 内核模式故障转储和实时转储可能会导致 PDE 用于保护内容的密钥泄露。 为了获得最大的安全性,请禁用内核模式故障转储和实时转储。 |
| Windows 错误报告 (WER) /user-mode 故障转储 | 禁用 Windows 错误报告可阻止用户模式故障转储。 用户模式故障转储可能会导致 PDE 用于保护内容的密钥泄露。 为了获得最大的安全性,请禁用用户模式故障转储。 |
| 冬眠 | 休眠文件可能会导致个人数据加密 (PDE) 使用的密钥来保护内容被公开。 为了获得最大的安全性,请禁用休眠。 |
| 允许用户选择在从连接待机状态恢复时需要输入密码的时间 | 如果未在已加入Microsoft Entra设备上配置此策略,则连接待机设备上的用户可以更改设备屏幕关闭后的时间长度,然后需要密码才能唤醒设备。 在屏幕关闭但不需要输入密码期间,PDE 用于保护内容的密钥可能会泄露。 建议在已加入Microsoft Entra设备上显式禁用此策略。 |
使用 Microsoft Intune 配置 PDE
若要使用Microsoft Intune配置设备,请创建设置目录策略并使用以下设置:
| 类别 | 设置名称 | 值 |
|---|---|---|
| PDE | (用户) 启用个人数据加密 | 启用个人数据加密 |
| 管理模板 > Windows 组件 > Windows 登录选项 | 重启后自动登录和锁定最后一个交互式用户 | 禁用 |
| 内存转储 | 允许实时转储 | 阻止 |
| 内存转储 | 允许故障转储 | 阻止 |
| 管理模板 > Windows 组件>Windows 错误报告 | 禁用Windows 错误报告 | 已启用 |
| 电源 | 允许休眠 | 阻止 |
| 管理模板 > 系统 > 登录 | 允许用户选择在从连接待机状态恢复时需要输入密码的时间 | 已禁用 |
将策略分配给一个组,该组包含要配置的设备或用户作为成员。
提示
使用以下 Graph 调用在租户中自动创建设置目录策略,而无需分配或范围标记。
使用此调用时,请在 Graph 资源管理器窗口中向租户进行身份验证。 如果是第一次使用 Graph 资源管理器,则可能需要授权应用程序访问租户或修改现有权限。 此图形调用需要 DeviceManagementConfiguration.ReadWrite.All 权限。
POST https://graph.microsoft.com/beta/deviceManagement/configurationPolicies
Content-Type: application/json
{ "id": "00-0000-0000-0000-000000000000", "name": "_MSLearn_PDE", "description": "", "platforms": "windows10", "technologies": "mdm", "roleScopeTagIds": [ "0" ], "settings": [ { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowcrashdump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowcrashdump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowlivedump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowlivedump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "user_vendor_msft_pde_enablepersonaldataencryption", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "user_vendor_msft_pde_enablepersonaldataencryption_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_power_allowhibernate", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_power_allowhibernate_0", "children": [] } } } ] }
使用 CSP 配置 PDE
或者,可以使用 策略 CSP 和 PDE CSP 配置设备。
| OMA-URI | 格式 | 值 |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 1 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/AllowAutomaticRestartSignOn |
字符串 | <disabled/> |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowCrashDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowLiveDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ErrorReporting/DisableWindowsErrorReporting |
字符串 | <enabled/> |
./Device/Vendor/MSFT/Policy/Config/Power/AllowHibernate |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/AllowDomainDelayLock |
字符串 | <disabled/> |
禁用 PDE
启用 PDE 后,不建议将其禁用。 但是,如果需要禁用 PDE,可以使用以下步骤执行此操作。
在 Intune 中使用设置目录策略禁用 PDE
若要使用Microsoft Intune配置设备,请创建设置目录策略并使用以下设置:
| 类别 | 设置名称 | 值 |
|---|---|---|
| PDE | (用户) 启用个人数据加密 | 禁用个人数据加密 |
将策略分配给一个组,该组包含要配置的设备或用户作为成员。
使用 CSP 禁用 PDE
可以使用以下设置通过 CSP 禁用 PDE:
| OMA-URI | 格式 | 值 |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 0 |
解密 PDE 加密的内容
禁用 PDE 不会解密任何 PDE 保护的内容。 它只会阻止 PDE API 保护任何附加内容。 可以使用以下步骤手动解密受 PDE 保护的文件:
- 打开文件的属性
- 在“常规”选项卡下,选择“高级…”
- 取消选中“加密内容以保护数据”选项
- 选择“确定”,然后再次选择“确定”
还可以使用 cipher.exe解密受 PDE 保护的文件,这在以下方案中非常有用:
- 在一个设备上解密大量文件
- 在多台设备上解密文件
要使用 cipher.exe 解密设备上的文件,请执行以下操作:
解密目录(包括子目录)下的所有文件:
cipher.exe /d /s:<path_to_directory>解密指定目录中的单个文件或所有文件,但不包括任何子目录:
cipher.exe /d <path_to_file_or_directory>
重要提示
用户选择手动解密文件后,用户将无法使用 PDE 再次手动保护文件。
后续步骤
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈