Crittografia dati personali (PDE)
A partire da Windows 11 versione 22H2, Personal Data Encryption (PDE) è una funzionalità di sicurezza che fornisce funzionalità di crittografia dei dati basate su file a Windows.
PDE usa Windows Hello for Business per collegare le chiavi di crittografia dei dati con le credenziali utente. Quando un utente accede a un dispositivo usando Windows Hello for Business, le chiavi di decrittografia vengono rilasciate e i dati crittografati sono accessibili all'utente.
Quando un utente si disconnette, le chiavi di decrittografia vengono rimosse e i dati non sono accessibili, anche se un altro utente accede al dispositivo.
L'uso di Windows Hello for Business offre i vantaggi seguenti:
- Riduce il numero di credenziali per accedere al contenuto crittografato: gli utenti devono accedere solo con Windows Hello for Business
- Le funzionalità di accessibilità disponibili quando si usano Windows Hello for Business si estendono al contenuto protetto da PDE
PDE differisce da BitLocker in quanto crittografa i file anziché interi volumi e dischi. La funzionalità Crittografia dei dati personali viene usata in aggiunta ad altri metodi di crittografia, ad esempio BitLocker.
A differenza di BitLocker che rilascia le chiavi di crittografia dei dati all'avvio, Crittografia dei dati personali non rilascia le chiavi di crittografia dei dati fino a quando un utente non accede usando Windows Hello for Business.
Prerequisiti
Per usare PDE, è necessario soddisfare i prerequisiti seguenti:
- Windows 11 versione 22H2 e successive
- I dispositivi devono essere Microsoft Entra aggiunti. I dispositivi aggiunti a un dominio e Microsoft Entra aggiunti ibridi non sono supportati
- Gli utenti devono accedere usando Windows Hello for Business
Importante
Se si accede con una password o una chiave di sicurezza, non è possibile accedere al contenuto protetto da PDE.
Requisiti di licenza ed edizione di Windows
Nella tabella seguente sono elencate le edizioni di Windows che supportano Crittografia dei dati personali:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| No | Sì | No | Sì |
I diritti di licenza per Crittografia dei dati personali sono concessi dalle licenze seguenti:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| No | Sì | Sì | Sì | Sì |
Per ulteriori informazioni sulle licenze di Windows, vedi Panoramica delle licenze di Windows.
Livelli di protezione di Crittografia dei dati personali
PDE usa AES-CBC con una chiave a 256 bit per proteggere il contenuto e offre due livelli di protezione. Il livello di protezione è determinato in base alle esigenze dell'organizzazione. Questi livelli possono essere impostati tramite le API di Crittografia dei dati personali.
| Item | Livello 1 | Livello 2 |
|---|---|---|
| Dati protetti da Crittografia dei dati personali accessibili quando l'utente ha eseguito l'accesso tramite Windows Hello for Business | Sì | Sì |
| I dati protetti da Crittografia dei dati personali sono accessibili nella schermata di blocco di Windows | Sì | I dati sono accessibili per un minuto dopo il blocco, quindi non sono più disponibili |
| I dati protetti da Crittografia dei dati personali sono accessibili dopo che l'utente si disconnette da Windows | No | No |
| I dati protetti da Crittografia dei dati personali sono accessibili quando il dispositivo viene arrestato | No | No |
| I dati protetti da Crittografia dei dati personali sono accessibili tramite percorsi UNC | No | No |
| I dati protetti da Crittografia dei dati personali sono accessibili quando si firma con la password di Windows anziché con Windows Hello for Business | No | No |
| I dati protetti da Crittografia dei dati personali sono accessibili tramite la sessione di Desktop remoto | No | No |
| Chiavi di decrittografia usate da Crittografia dei dati personali eliminate | Dopo che l'utente si disconnette da Windows | Un minuto dopo l'attivazione della schermata di blocco di Windows o dopo che l'utente si disconnette da Windows |
Accessibilità del contenuto protetto da Crittografia dei dati personali
Quando un file è protetto con Crittografia dei dati personali, la relativa icona visualizzerà un lucchetto. Se l'utente non ha eseguito l'accesso in locale con Windows Hello for Business o un utente non autorizzato prova ad accedere al contenuto protetto da Crittografia dei dati personali, verrà negato l'accesso al contenuto.
Gli scenari in cui a un utente verrà negato l'accesso al contenuto protetto Crittografia dei dati personali includono:
- L'utente ha eseguito l'accesso a Windows tramite password invece di accedere con Windows Hello for Business biometrico o PIN
- Se protetto tramite protezione di livello 2, quando il dispositivo è bloccato
- Quando si prova ad accedere al contenuto nel dispositivo in remoto. Ad esempio, i percorsi di rete UNC
- Sessioni desktop remoto
- Altri utenti nel dispositivo che non sono proprietari del contenuto, anche se hanno eseguito l'accesso tramite Windows Hello for Business e hanno le autorizzazioni per passare al contenuto protetto da PDE
Differenze tra Crittografia dei dati personali e BitLocker
La funzionalità Crittografia dei dati personali è progettata per funzionare insieme a BitLocker. Crittografia dei dati personali non sostituisce BitLocker, né BitLocker è una sostituzione per Crittografia dei dati personali. L'uso di entrambe le funzionalità offre una sicurezza migliore rispetto all'uso del solo BitLocker o solo di Crittografia dei dati personali. Esistono tuttavia differenze tra BitLocker e Crittografia dei dati personali e il modo in cui funzionano. Queste differenze sono il motivo per cui l'uso combinato offre una maggiore sicurezza.
| Item | PDE | BitLocker |
|---|---|---|
| Rilascio della chiave di decrittografia | All'accesso utente tramite Windows Hello for Business | All'avvio |
| Chiavi di decrittografia eliminate | Quando l'utente si disconnette da Windows o un minuto dopo l'attivazione della schermata di blocco di Windows | Al momento dell'arresto |
| Contenuto protetto | Tutti i file in cartelle protette | Intero volume/unità |
| Autenticazione per accedere al contenuto protetto | Windows Hello for Business | Quando BitLocker con TPM + PIN è abilitato, il PIN di BitLocker più l'accesso a Windows |
Differenze tra Crittografia dei dati personali ed EFS
La differenza principale tra la protezione dei file con Crittografia dei dati personali anziché con EFS è il metodo usato per proteggere il file. Crittografia dei dati personali usa Windows Hello for Business per proteggere le chiavi che proteggono i file. EFS usa i certificati per proteggere i file.
Per verificare se un file è protetto con Crittografia dei dati personali o con EFS:
- Aprire le proprietà del file
- Nella scheda Generale selezionare Avanzate
- Nelle finestre Attributi avanzati selezionare Dettagli
Per i file protetti da Crittografia dei dati personali, in Stato protezione: sarà visualizzato un elemento elencato come Crittografia dei dati personali: con l'attributo On.
Per i file protetti da EFS, in Utenti che possono accedere a questo file:, accanto agli utenti con accesso al file verrà visualizzata un'identificazione personale del certificato. Nella parte inferiore sarà inoltre presente una sezione con etichetta Certificati di ripristino per questo file, in base a quanto definito dai criteri di ripristino:.
Le informazioni di crittografia, incluso il metodo di crittografia usato per proteggere il file, possono essere ottenute con il cipher.exe /c comando .
Consigli per l'uso di PDE
Di seguito sono riportati i consigli per l'uso di PDE:
- Abilitare Crittografia unità BitLocker. Anche se PDE funziona senza BitLocker, è consigliabile abilitare BitLocker. PDE è progettato per funzionare insieme a BitLocker per una maggiore sicurezza in quanto non è un sostituto di BitLocker
- Soluzione di backup, ad esempio OneDrive in Microsoft 365. In alcuni scenari, ad esempio le reimpostazioni TPM o le reimpostazioni distruttive del PIN, le chiavi usate da PDE per proteggere il contenuto andranno perse rendendo inaccessibile qualsiasi contenuto protetto da PDE. L'unico modo per ripristinare tale contenuto è da un backup. Se i file sono sincronizzati con OneDrive, per ottenere nuovamente l'accesso è necessario sincronizzare di nuovo OneDrive
- Windows Hello for Business servizio di reimpostazione del PIN. Le reimpostazioni distruttive del PIN causeranno la perdita delle chiavi usate da PDE per proteggere il contenuto, rendendo inaccessibile qualsiasi contenuto protetto con PDE. Dopo una reimpostazione distruttiva del PIN, il contenuto protetto con PDE deve essere recuperato da un backup. Per questo motivo, è consigliabile Windows Hello for Business servizio di reimpostazione del PIN perché fornisce reimpostazioni non distruttive del PIN
- Windows Hello sicurezza avanzata per l'accesso offre sicurezza aggiuntiva durante l'autenticazione con Windows Hello for Business tramite biometrica o PIN
Applicazioni Windows predefinite che supportano Crittografia dei dati personali
Alcune applicazioni Windows supportano Crittografia dei dati personali per impostazione predefinita. Se PDE è abilitato in un dispositivo, queste applicazioni useranno PDE:
| Nome dell'app | Dettagli |
|---|---|
| Supporta la protezione sia dei corpi che degli allegati dei messaggi di posta elettronica |
Passaggi successivi
- Informazioni sulle opzioni disponibili per configurare Personal Data Encryption (PDE) e su come configurarle tramite Microsoft Intune o configurazione provider di servizi (CSP): impostazioni e configurazione PDE
- Esaminare le domande frequenti sulla crittografia dei dati personali (PDE)
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per