PDE 設定和組態
本文說明個人資料加密 (PDE) 設定,以及如何透過 Microsoft Intune 或設定服務提供者 (CSP) 進行設定。
注意
PDE 可以使用 MDM 原則進行設定。 您可以使用 PDE API 來指定要由 PDE 保護的內容。 Windows 中沒有任何使用者介面可以啟用 PDE 或使用 PDE 保護內容。
PDE API 可用來建立自訂應用程式和指令碼,以指定要保護的內容,以及保護內容的層級。 此外,在啟用 PDE 原則之前,無法使用 PDE API 來保護內容。
PDE 設定
下表列出啟用 PDE 所需的設定。
| 設定名稱 | 描述 |
|---|---|
| 啟用個人資料加密 | 預設不會啟用 PDE。 您必須先啟用 PDE,才能使用 PDE。 |
| 重新啟動後自動登入並鎖定最後一個互動式使用者 | 不支援搭配 PDE 使用 winlogon 自動重新啟動 (ARSO) 。 若要使用 PDE,必須停用 ARSO。 |
PDE 強化建議
下表列出改善 PDE 安全性的建議設定。
| 設定名稱 | 描述 |
|---|---|
| 內核模式損毀傾印和實時傾印 | 核心模式損毀傾印和即時傾印可能會導致 PDE 用來保護內容的金鑰遭到公開。 為取得最大的安全性,請停用核心模式損毀傾印和即時傾印。 |
| Windows 錯誤報告 (WER) /user-mode 損毀傾印 | 停用 Windows 錯誤報告可防止使用者模式損毀傾印。 使用者模式損毀傾印可能會造成 PDE 用來保護內容的金鑰遭到公開。 為取得最大的安全性,請停用使用者模式損毀傾印。 |
| 冬眠 | 休眠檔案可能會造成個人資料加密 (PDE 所使用的金鑰) 來保護要公開的內容。 為取得最大的安全性,請停用休眠。 |
| 允許使用者選取從連線待命繼續執行時需要輸入密碼 | 未在已加入 Microsoft Entra 裝置上設定此原則時,連線待命裝置上的使用者可以在裝置螢幕關閉之後變更時間量,然後才需要密碼來喚醒裝置。 在螢幕關閉但不需要密碼的期間,可能會公開 PDE 用來保護內容的金鑰。 建議您在已加入 Microsoft Entra 裝置上明確停用此原則。 |
使用 Microsoft Intune 設定 PDE
若要使用 Microsoft Intune 設定裝置,請建立 [設定] 目錄原則,並使用下列設定:
| 類別 | 設定名稱 | 值 |
|---|---|---|
| PDE | 啟用個人資料加密 (用戶) | 啟用個人資料加密 |
| 系統管理範 > 本 Windows 元件 > Windows 登入選項 | 重新啟動後自動登入並鎖定最後一個互動式使用者 | 停用 |
| 記憶體轉儲 | 允許即時傾印 | 封鎖 |
| 記憶體轉儲 | 允許損毀傾印 | 封鎖 |
| 系統管理>範本 Windows 元件 > Windows 錯誤報告 | 停用 Windows 錯誤報告 | 啟用 |
| 電源 | 允許休眠 | 封鎖 |
| 系統管理範 > 本系統 > 登入 | 允許使用者選取從連線待命繼續執行時需要輸入密碼 | 已停用 |
將原則指派給包含 為您要設定之裝置或用戶成員的群組。
提示
使用下列 Graph 呼叫,在您的租用戶中自動建立設定目錄原則,而不需要指派或範圍標籤。
使用此呼叫時,請在 [圖形總管] 視窗中向您的租用戶進行驗證。 如果這是第一次使用 Graph 總管,您可能需要授權應用程式存取您的租使用者或修改現有的許可權。 此圖形呼叫需要 DeviceManagementConfiguration.ReadWrite.All 許可權。
POST https://graph.microsoft.com/beta/deviceManagement/configurationPolicies
Content-Type: application/json
{ "id": "00-0000-0000-0000-000000000000", "name": "_MSLearn_PDE", "description": "", "platforms": "windows10", "technologies": "mdm", "roleScopeTagIds": [ "0" ], "settings": [ { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowcrashdump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowcrashdump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowlivedump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowlivedump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "user_vendor_msft_pde_enablepersonaldataencryption", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "user_vendor_msft_pde_enablepersonaldataencryption_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_power_allowhibernate", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_power_allowhibernate_0", "children": [] } } } ] }
使用 CSP 設定 PDE
或者,您可以使用原則 CSP 和 PDE CSP 來設定裝置。
| OMA-URI | 格式 | 值 |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
整數 | 1 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/AllowAutomaticRestartSignOn |
string | <disabled/> |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowCrashDump |
整數 | 0 |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowLiveDump |
整數 | 0 |
./Device/Vendor/MSFT/Policy/Config/ErrorReporting/DisableWindowsErrorReporting |
string | <enabled/> |
./Device/Vendor/MSFT/Policy/Config/Power/AllowHibernate |
整數 | 0 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/AllowDomainDelayLock |
string | <disabled/> |
停用 PDE
啟用 PDE 之後,不建議停用它。 不過,如果您需要停用 PDE,您可以使用下列步驟來執行此動作。
在 Intune 中停用具有設定目錄原則的 PDE
若要使用 Microsoft Intune 設定裝置,請建立 [設定] 目錄原則,並使用下列設定:
| 類別 | 設定名稱 | 值 |
|---|---|---|
| PDE | 啟用個人資料加密 (使用者) | 停用個人資料加密 |
將原則指派給包含 為您要設定之裝置或用戶成員的群組。
使用 CSP 停用 PDE
您可以使用下列設定來停用使用 CSP 的 PDE:
| OMA-URI | 格式 | 值 |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
整數 | 0 |
解密 PDE 加密的內容
停用 PDE 不會解密任何受 PDE 保護的內容。 它只會防止 PDE API 保護任何其他內容。 受 PDE 保護的檔案可以使用下列步驟手動解密:
- 開啟檔案的屬性
- 在 [一般] 索引標籤下,選取 [進階...]
- 取消核取 [加密內容以保護資料] 選項
- 選取 [確定],然後再次選取 [確定]
受 PDE 保護的檔案也可以使用 cipher.exe來解密,這在下列案例中很有説明:
- 解密裝置上的大量檔案
- 解密多個裝置上的檔案
若要使用 cipher.exe 來解密裝置上的檔案:
解密目錄下的所有檔案,包括子目錄:
cipher.exe /d /s:<path_to_directory>解密單一檔案或指定目錄中的所有檔案,但不解密任何子目錄:
cipher.exe /d <path_to_file_or_directory>
重要
一旦用戶選取手動解密檔案,使用者就無法再次使用 PDE 手動保護檔案。
後續步驟
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應