共用方式為


個人資料加密 (PDE)

從 Windows 11 22H2 版開始,個人資料加密 (PDE) 是一項安全性功能,可為 Windows 提供檔案型數據加密功能。

PDE 會利用 Windows Hello 企業版 來鏈接資料加密金鑰與用戶認證。 當使用者使用 Windows Hello 企業版 登入裝置時,會釋出解密密鑰,而且使用者可以存取加密的數據。
當使用者註銷時,即使其他使用者登入裝置,也會捨棄解密密鑰並無法存取數據。

使用 Windows Hello 企業版 提供下列優點:

  • 它會減少存取加密內容的認證數目:使用者只需要使用 Windows Hello 企業版
  • 使用時可用的輔助功能功能 Windows Hello 企業版 延伸至受 PDE 保護的內容

PDE 與 BitLocker 不同之處在於它會加密檔案,而不是整個磁碟區和磁碟。 PDE 可以在 BitLocker 之類的其他加密方法以外執行。
不同於在開機時釋出資料加密金鑰的 BitLocker,在使用者使用 Windows Hello 企業版登入之前,PDE 不會釋出資料加密金鑰。

必要條件

若要使用 PDE,必須符合下列必要條件:

  • Windows 11 版本 22H2 和更新版本
  • 裝置必須 Microsoft Entra 加入。 不支援已加入網域和 Microsoft Entra 混合式聯結裝置
  • 用戶必須使用 Windows Hello 企業版 登

重要

如果您使用密碼或 安全性密鑰登入,就無法存取受 PDE 保護的內容。

Windows 版本和授權需求

下表列出支援個人資料加密 (PDE) 的 Windows 版本:

Windows 專業版 Windows 企業版 Windows 專業教育版/SE Windows 教育版

個人資料加密 (PDE) 授權權利由下列授權授與:

Windows 專業版/專業教育版/SE Windows 企業版 E3 Windows 企業版 E5 Windows 教育版 A3 Windows 教育版 A5

如需 Windows 授權的詳細資訊,請參閱 Windows 授權概觀

PDE 保護層級

PDE 使用具有 256 位金鑰的AES-CBC 來保護內容,並提供兩種保護層級。 保護層級是根據組織需求所決定。 您可以透過 PDE API 來設定這些層級。

項目 層級 1 層級 2
當使用者透過 Windows Hello 企業版登入時,可存取受 PDE 保護的資料
受 PDE 保護的資料可在 Windows 鎖定畫面上存取 資料在鎖定後,有一分鐘的可存取時間,然後就無法再使用
使用者登出 Windows 之後,PDE 保護的資料便可供存取
當裝置關機時,可存取受 PDE 保護的資料
受 PDE 保護的資料可透過 UNC 路徑存取
使用 Windows 密碼而非 Windows Hello 企業版簽署時,可以存取受 PDE 保護的資料
受 PDE 保護的資料可透過遠端桌面工作階段存取
PDE 所使用的解密金鑰已捨棄 使用者登出 Windows 之後 在進入 Windows 鎖定畫面或使用者登出 Windows 之後一分鐘

受 PDE 保護的內容協助工具

當檔案受到 PDE 保護時,其圖示會顯示掛鎖。 如果使用者尚未使用 Windows Hello 企業版登入本機,或未經授權的使用者嘗試存取受 PDE 保護的內容,則會拒絕他們存取內容。

將拒絕使用者存取受 PDE 保護內容的案例包括:

  • 用戶已透過密碼登入 Windows,而不是使用 Windows Hello 企業版 生物特徵辨識或 PIN 登入
  • 如果透過層級 2 保護受到保護,則為鎖定裝置時
  • 嘗試從遠端存取裝置上的內容時。 例如,UNC 網路路徑
  • 遠端桌面會話
  • 裝置上其他不是內容擁有者的使用者,即使他們是透過 Windows Hello 企業版 登入,而且有許可權可流覽至受 PDE 保護的內容

PDE 與 BitLocker 之間的差異

PDE 旨在與 BitLocker 搭配使用。 PDE 不是 BitLocker 的替代項目,BitLocker 也不是 PDE 的替代項目。 相較于單獨使用 BitLocker 或 PDE,同時使用這兩個功能可提供更好的安全性。 不過,BitLocker 和 PDE 及其運作方式之間有差異。 這些差異是一起使用它們可提供更好的安全性的原因。

項目 PDE BitLocker
解密金鑰的發行 使用者透過 Windows Hello 企業版登入時 開機時
已捨棄解密金鑰 當使用者登出 Windows 或在進入 Windows 鎖定畫面一分鐘後登出時 關機時
受保護的內容 受保護資料夾中的所有檔案 整個磁碟區/磁碟機
存取受保護內容的驗證 Windows Hello 企業版 啟用具有 TPM + PIN 的 BitLocker 時,BitLocker PIN 加上 Windows 登入

PDE 與 EFS 之間的差異

使用 PDE 而非 EFS 保護檔案的主要差異在於它們用來保護檔案的方法。 PDE 會使用 Windows Hello 企業版來保護保護檔案的金鑰。 EFS 會使用憑證來保障並保護檔案。

若要查看檔案是否受到 PDE 或 EFS 保護:

  1. 開啟檔案的屬性
  2. [一般] 索引標籤下,選取 [進階...]
  3. [進階屬性] 視窗中,選取 [詳細資料]

針對受 PDE 保護的檔案,在 [保護狀態] 下: 會有一個列為 [個人資料加密] 的項目為:,且其屬性為 [開啟]

針對受 EFS 保護的檔案,在 [可存取此檔案的使用者] 底下,具有檔案存取權的使用者旁邊會有 [憑證指紋]。 在底部也會有一個區段標示為 [修復此檔案的憑證,如復原原則所定義]:

您可以使用 命令來取得加密資訊,包括用來保護檔案的 cipher.exe /c 加密方法。

使用 PDE 的建議

以下是使用 PDE 的建議:

  • 啟用 BitLocker 磁碟驅動器加密。 雖然 PDE 在沒有 BitLocker 的情況下運作,但建議您啟用 BitLocker。 PDE 是要與 BitLocker 一起使用,以提高安全性,但並非 BitLocker 的替代專案
  • 備份解決方案,例如 Microsoft 365 中的 OneDrive。 在某些情況下,例如 TPM 重設或破壞性 PIN 重設,PDE 用來保護內容的密鑰將會遺失,因此無法存取任何受 PDE 保護的內容。 復原這類內容的唯一方法是從備份。 如果檔案同步至 OneDrive,若要重新取得存取權,您必須重新同步處理 OneDrive
  • Windows Hello 企業版 PIN 重設服務。 破壞性 PIN 重設會導致 PDE 用來保護內容的金鑰遺失,使得任何以 PDE 保護的內容都無法存取。 在破壞性 PIN 重設之後,必須從備份復原以 PDE 保護的內容。 因此,建議 Windows Hello 企業版 PIN 重設服務,因為它提供非破壞性的 PIN 重設
  • Windows Hello 增強式登入安全性可在透過生物特徵辨識或 PIN 驗證 Windows Hello 企業版 時提供額外的安全性

支援 PDE 的 Windows 現成可用應用程式

某些 Windows 應用程式支援現成可用的 PDE。 如果在裝置上啟用 PDE,這些應用程式將會利用 PDE:

App 名稱 詳細資料
Mail 支援同時保護電子郵件本文和附件

後續步驟