個人資料加密 (PDE)
從 Windows 11 22H2 版開始,個人資料加密 (PDE) 是一項安全性功能,可為 Windows 提供檔案型數據加密功能。
PDE 會利用 Windows Hello 企業版 來鏈接資料加密金鑰與用戶認證。 當使用者使用 Windows Hello 企業版 登入裝置時,會釋出解密密鑰,而且使用者可以存取加密的數據。
當使用者註銷時,即使其他使用者登入裝置,也會捨棄解密密鑰並無法存取數據。
使用 Windows Hello 企業版 提供下列優點:
- 它會減少存取加密內容的認證數目:使用者只需要使用 Windows Hello 企業版
- 使用時可用的輔助功能功能 Windows Hello 企業版 延伸至受 PDE 保護的內容
PDE 與 BitLocker 不同之處在於它會加密檔案,而不是整個磁碟區和磁碟。 PDE 可以在 BitLocker 之類的其他加密方法以外執行。
不同於在開機時釋出資料加密金鑰的 BitLocker,在使用者使用 Windows Hello 企業版登入之前,PDE 不會釋出資料加密金鑰。
必要條件
若要使用 PDE,必須符合下列必要條件:
- Windows 11 版本 22H2 和更新版本
- 裝置必須 Microsoft Entra 加入。 不支援已加入網域和 Microsoft Entra 混合式聯結裝置
- 用戶必須使用 Windows Hello 企業版 登入
重要
如果您使用密碼或 安全性密鑰登入,就無法存取受 PDE 保護的內容。
Windows 版本和授權需求
下表列出支援個人資料加密 (PDE) 的 Windows 版本:
| Windows 專業版 | Windows 企業版 | Windows 專業教育版/SE | Windows 教育版 |
|---|---|---|---|
| 否 | 是 | 否 | 是 |
個人資料加密 (PDE) 授權權利由下列授權授與:
| Windows 專業版/專業教育版/SE | Windows 企業版 E3 | Windows 企業版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
|---|---|---|---|---|
| 否 | 是 | 是 | 是 | 是 |
如需 Windows 授權的詳細資訊,請參閱 Windows 授權概觀。
PDE 保護層級
PDE 使用具有 256 位金鑰的AES-CBC 來保護內容,並提供兩種保護層級。 保護層級是根據組織需求所決定。 您可以透過 PDE API 來設定這些層級。
| 項目 | 層級 1 | 層級 2 |
|---|---|---|
| 當使用者透過 Windows Hello 企業版登入時,可存取受 PDE 保護的資料 | 是 | 是 |
| 受 PDE 保護的資料可在 Windows 鎖定畫面上存取 | 是 | 資料在鎖定後,有一分鐘的可存取時間,然後就無法再使用 |
| 使用者登出 Windows 之後,PDE 保護的資料便可供存取 | 否 | 否 |
| 當裝置關機時,可存取受 PDE 保護的資料 | 否 | 否 |
| 受 PDE 保護的資料可透過 UNC 路徑存取 | 否 | 否 |
| 使用 Windows 密碼而非 Windows Hello 企業版簽署時,可以存取受 PDE 保護的資料 | 否 | 否 |
| 受 PDE 保護的資料可透過遠端桌面工作階段存取 | 否 | 否 |
| PDE 所使用的解密金鑰已捨棄 | 使用者登出 Windows 之後 | 在進入 Windows 鎖定畫面或使用者登出 Windows 之後一分鐘 |
受 PDE 保護的內容協助工具
當檔案受到 PDE 保護時,其圖示會顯示掛鎖。 如果使用者尚未使用 Windows Hello 企業版登入本機,或未經授權的使用者嘗試存取受 PDE 保護的內容,則會拒絕他們存取內容。
將拒絕使用者存取受 PDE 保護內容的案例包括:
- 用戶已透過密碼登入 Windows,而不是使用 Windows Hello 企業版 生物特徵辨識或 PIN 登入
- 如果透過層級 2 保護受到保護,則為鎖定裝置時
- 嘗試從遠端存取裝置上的內容時。 例如,UNC 網路路徑
- 遠端桌面會話
- 裝置上其他不是內容擁有者的使用者,即使他們是透過 Windows Hello 企業版 登入,而且有許可權可流覽至受 PDE 保護的內容
PDE 與 BitLocker 之間的差異
PDE 旨在與 BitLocker 搭配使用。 PDE 不是 BitLocker 的替代項目,BitLocker 也不是 PDE 的替代項目。 相較于單獨使用 BitLocker 或 PDE,同時使用這兩個功能可提供更好的安全性。 不過,BitLocker 和 PDE 及其運作方式之間有差異。 這些差異是一起使用它們可提供更好的安全性的原因。
| 項目 | PDE | BitLocker |
|---|---|---|
| 解密金鑰的發行 | 使用者透過 Windows Hello 企業版登入時 | 開機時 |
| 已捨棄解密金鑰 | 當使用者登出 Windows 或在進入 Windows 鎖定畫面一分鐘後登出時 | 關機時 |
| 受保護的內容 | 受保護資料夾中的所有檔案 | 整個磁碟區/磁碟機 |
| 存取受保護內容的驗證 | Windows Hello 企業版 | 啟用具有 TPM + PIN 的 BitLocker 時,BitLocker PIN 加上 Windows 登入 |
PDE 與 EFS 之間的差異
使用 PDE 而非 EFS 保護檔案的主要差異在於它們用來保護檔案的方法。 PDE 會使用 Windows Hello 企業版來保護保護檔案的金鑰。 EFS 會使用憑證來保障並保護檔案。
若要查看檔案是否受到 PDE 或 EFS 保護:
- 開啟檔案的屬性
- 在 [一般] 索引標籤下,選取 [進階...]
- 在 [進階屬性] 視窗中,選取 [詳細資料]
針對受 PDE 保護的檔案,在 [保護狀態] 下: 會有一個列為 [個人資料加密] 的項目為:,且其屬性為 [開啟]。
針對受 EFS 保護的檔案,在 [可存取此檔案的使用者] 底下,具有檔案存取權的使用者旁邊會有 [憑證指紋]。 在底部也會有一個區段標示為 [修復此檔案的憑證,如復原原則所定義]:。
您可以使用 命令來取得加密資訊,包括用來保護檔案的 cipher.exe /c 加密方法。
使用 PDE 的建議
以下是使用 PDE 的建議:
- 啟用 BitLocker 磁碟驅動器加密。 雖然 PDE 在沒有 BitLocker 的情況下運作,但建議您啟用 BitLocker。 PDE 是要與 BitLocker 一起使用,以提高安全性,但並非 BitLocker 的替代專案
- 備份解決方案,例如 Microsoft 365 中的 OneDrive。 在某些情況下,例如 TPM 重設或破壞性 PIN 重設,PDE 用來保護內容的密鑰將會遺失,因此無法存取任何受 PDE 保護的內容。 復原這類內容的唯一方法是從備份。 如果檔案同步至 OneDrive,若要重新取得存取權,您必須重新同步處理 OneDrive
- Windows Hello 企業版 PIN 重設服務。 破壞性 PIN 重設會導致 PDE 用來保護內容的金鑰遺失,使得任何以 PDE 保護的內容都無法存取。 在破壞性 PIN 重設之後,必須從備份復原以 PDE 保護的內容。 因此,建議 Windows Hello 企業版 PIN 重設服務,因為它提供非破壞性的 PIN 重設
- Windows Hello 增強式登入安全性可在透過生物特徵辨識或 PIN 驗證 Windows Hello 企業版 時提供額外的安全性
支援 PDE 的 Windows 現成可用應用程式
某些 Windows 應用程式支援現成可用的 PDE。 如果在裝置上啟用 PDE,這些應用程式將會利用 PDE:
| App 名稱 | 詳細資料 |
|---|---|
| 支援同時保護電子郵件本文和附件 |
後續步驟
- 瞭解設定個人資料加密 (PDE) 的可用選項,以及如何透過 Microsoft Intune 或設定 Service Provider (CSP) 進行設定:PDE 設定和組態
- 檢閱 個人資料加密 (PDE) 常見問題