Configuración y configuración de PDE
En este artículo se describen las opciones de cifrado de datos personales (PDE) y cómo configurarlas a través de Microsoft Intune o proveedores de servicios de configuración (CSP).
Nota
PDE se puede configurar mediante directivas MDM. El contenido que va a proteger PDE se puede especificar mediante las API de PDE. No hay ninguna interfaz de usuario en Windows para habilitar PDE o proteger el contenido mediante PDE.
Las API de PDE se pueden usar para crear scripts y aplicaciones personalizados para especificar qué contenido proteger y en qué nivel proteger el contenido. Además, las API de PDE no se pueden usar para proteger el contenido hasta que se haya habilitado la directiva PDE.
Configuración de PDE
En la tabla siguiente se enumeran los valores necesarios para habilitar PDE.
| Nombre del valor de configuración | Descripción |
|---|---|
| Habilitación del cifrado de datos personales | PDE no está habilitado de forma predeterminada. Para poder usar PDE, debe habilitarlo. |
| Inicio de sesión y bloqueo automático del último usuario interactivo después de un reinicio | No se admite el inicio de sesión de reinicio automático de Winlogon (ARSO) para su uso con PDE. Para usar PDE, ARSO debe estar deshabilitado. |
Recomendaciones de protección de PDE
En la tabla siguiente se enumeran los valores recomendados para mejorar la seguridad de PDE.
| Nombre del valor de configuración | Descripción |
|---|---|
| Volcados de memoria en modo kernel y volcados en directo | Los volcados de memoria en modo kernel y los volcados dinámicos pueden hacer que las claves usadas por PDE protejan el contenido que se va a exponer. Para una mayor seguridad, deshabilite los volcados de memoria en modo kernel y los volcados dinámicos. |
| Informe de errores de Windows (WER)/volcados de memoria del modo de usuario | Deshabilitar el informe de errores de Windows evita volcados de memoria en modo de usuario. Los volcados de memoria en modo de usuario pueden hacer que las claves usadas por PDE protejan el contenido que se va a exponer. Para una mayor seguridad, deshabilite los volcados de memoria en modo de usuario. |
| Hibernación | Los archivos de hibernación pueden hacer que las claves usadas por El cifrado de datos personales (PDE) protejan el contenido que se va a exponer. Para una mayor seguridad, deshabilite la hibernación. |
| Permitir que los usuarios seleccionen cuándo se requiere una contraseña al reanudar desde un modo de espera conectado | Cuando esta directiva no está configurada en Microsoft Entra dispositivos unidos, los usuarios de un dispositivo en espera conectado pueden cambiar la cantidad de tiempo después de que la pantalla del dispositivo se apague antes de que se requiera una contraseña para reactivar el dispositivo. Durante el tiempo en que la pantalla se apaga pero no se requiere una contraseña, las claves usadas por PDE para proteger el contenido podrían exponerse. Se recomienda deshabilitar explícitamente esta directiva en Microsoft Entra dispositivos unidos. |
Configuración de PDE con Microsoft Intune
Para configurar dispositivos con Microsoft Intune, cree una directiva de catálogo configuración y use la siguiente configuración:
| Categoría | Nombre del valor de configuración | Valor |
|---|---|---|
| PDE | Habilitar el cifrado de datos personales (usuario) | Habilitación del cifrado de datos personales |
| Plantillas > administrativas Opciones de inicio de sesión de Windows para componentes > de Windows | Inicio de sesión y bloqueo automático del último usuario interactivo después de un reinicio | Deshabilitado |
| Volcado de memoria | Permitir volcado dinámico | Bloquear |
| Volcado de memoria | Permitir volcado de memoria | Bloquear |
| Plantillas > administrativas Componentes > de Windows Informe de errores de Windows | Deshabilitar Informe de errores de Windows | Habilitado |
| Inicio/apagado | Permitir hibernación | Bloquear |
| Inicio de sesión del sistema > de plantillas > administrativas | Permitir que los usuarios seleccionen cuándo se requiere una contraseña al reanudar desde un modo de espera conectado | Deshabilitada |
Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.
Sugerencia
Use la siguiente llamada a Graph para crear automáticamente la directiva de catálogo de configuración en el inquilino sin asignaciones ni etiquetas de ámbito.
Al usar esta llamada, autentíquese en el inquilino en la ventana del Explorador de Graph. Si es la primera vez que usa el Explorador de Graph, es posible que tenga que autorizar a la aplicación para que acceda a su inquilino o para modificar los permisos existentes. Esta llamada al grafo requiere permisos DeviceManagementConfiguration.ReadWrite.All .
POST https://graph.microsoft.com/beta/deviceManagement/configurationPolicies
Content-Type: application/json
{ "id": "00-0000-0000-0000-000000000000", "name": "_MSLearn_PDE", "description": "", "platforms": "windows10", "technologies": "mdm", "roleScopeTagIds": [ "0" ], "settings": [ { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowcrashdump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowcrashdump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowlivedump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowlivedump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "user_vendor_msft_pde_enablepersonaldataencryption", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "user_vendor_msft_pde_enablepersonaldataencryption_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_power_allowhibernate", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_power_allowhibernate_0", "children": [] } } } ] }
Configuración de PDE con CSP
Como alternativa, puede configurar dispositivos mediante el CSP de directiva y el CSP de PDE.
| OMA-URI | Formato | Valor |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
entero | 1 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/AllowAutomaticRestartSignOn |
string | <disabled/> |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowCrashDump |
entero | 0 |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowLiveDump |
entero | 0 |
./Device/Vendor/MSFT/Policy/Config/ErrorReporting/DisableWindowsErrorReporting |
string | <enabled/> |
./Device/Vendor/MSFT/Policy/Config/Power/AllowHibernate |
entero | 0 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/AllowDomainDelayLock |
string | <disabled/> |
Deshabilitar PDE
Una vez que PDE está habilitado, no se recomienda deshabilitarlo. Sin embargo, si necesita deshabilitar PDE, puede hacerlo mediante los pasos siguientes.
Deshabilitar PDE con una directiva de catálogo de configuración en Intune
Para configurar dispositivos con Microsoft Intune, cree una directiva de catálogo configuración y use la siguiente configuración:
| Categoría | Nombre del valor de configuración | Valor |
|---|---|---|
| PDE | Habilitar el cifrado de datos personales (usuario) | Deshabilitar el cifrado de datos personales |
Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.
Deshabilitar PDE con CSP
Puede deshabilitar PDE con CSP mediante la siguiente configuración:
| OMA-URI | Formato | Valor |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
entero | 0 |
Descifrar contenido cifrado con PDE
Deshabilitar PDE no descifra ningún contenido protegido por PDE. Solo impide que la API de PDE pueda proteger cualquier contenido adicional. Los archivos protegidos por PDE se pueden descifrar manualmente mediante los pasos siguientes:
- Abre las propiedades del archivo
- En la pestaña General, seleccione Opciones avanzadas...
- Desactive la opción Cifrar contenido para proteger los datos.
- Seleccione Aceptar y, a continuación, Aceptar de nuevo.
Los archivos protegidos por PDE también se pueden descifrar mediante cipher.exe, lo que puede resultar útil en los siguientes escenarios:
- Descifrado de un gran número de archivos en un dispositivo
- Descifrado de archivos en varios dispositivos
Para descifrar archivos en un dispositivo mediante cipher.exe:
Descifre todos los archivos de un directorio, incluidos los subdirectorios:
cipher.exe /d /s:<path_to_directory>Descifre un único archivo o todos los archivos del directorio especificado, pero no los subdirectorios:
cipher.exe /d <path_to_file_or_directory>
Importante
Una vez que un usuario selecciona descifrar manualmente un archivo, el usuario no podrá volver a proteger manualmente el archivo mediante PDE.