Definições e configuração de PDE
Este artigo descreve as definições de Encriptação de Dados Pessoais (PDE) e como configurá-las através de Microsoft Intune ou fornecedores de serviços de configuração (CSP).
Observação
A PDE pode ser configurada com políticas de MDM. O conteúdo a ser protegido por PDE pode ser especificado usando APIs de PDE. Não há interface de usuário no Windows para ativar o PDE ou proteger o conteúdo usando o PDE.
As APIs de PDE podem ser usadas para criar aplicativos e scripts personalizados para especificar qual conteúdo proteger e em que nível proteger o conteúdo. Além disso, as APIs de PDE não podem ser usadas para proteger o conteúdo até que a política PDE tenha sido habilitada.
Definições de PDE
A tabela seguinte lista as definições necessárias para ativar o PDE.
| Nome da configuração | Descrição |
|---|---|
| Ativar a Encriptação de Dados Pessoais | A PDE não está ativada por predefinição. Antes de a PDE poder ser utilizada, tem de ativá-la. |
| Iniciar sessão e bloquear automaticamente o último utilizador interativo após um reinício | O início de sessão de reinício automático (ARSO) do Winlogon não é suportado para utilização com PDE. Para utilizar o PDE, o ARSO tem de ser desativado. |
Recomendações de proteção de PDE
A tabela seguinte lista as definições recomendadas para melhorar a segurança da PDE.
| Nome da configuração | Descrição |
|---|---|
| Informações de falha de sistema no modo kernel e informações de falha de sistema em direto | Despejos de memória e despejos dinâmicos no modo kernel podem potencialmente fazer com que as chaves usadas pela PDE protejam o conteúdo a serem expostas. Para maior segurança, desabilite despejos de memória e despejos dinâmicos no modo kernel. |
| Relatório de Erros do Windows (WER)/informações de falha no modo de utilizador | Desabilitar Relatório de Erros do Windows impede despejos de memória no modo de usuário. Despejos de memória no modo de usuário podem potencialmente fazer com que as chaves usadas pela PDE protejam o conteúdo a serem expostas. Para maior segurança, desabilite os despejos de memória do modo de usuário. |
| Hibernação | Os ficheiros de hibernação podem potencialmente fazer com que as chaves utilizadas pela Encriptação de Dados Pessoais (PDE) protejam o conteúdo para serem expostas. Para maior segurança, desabilite a hibernação. |
| Permitir que os usuários selecionem quando a senha é obrigatória após retomar do modo de espera conectado | Quando esta política não está configurada em dispositivos associados Microsoft Entra, os utilizadores num dispositivo de Modo de Espera Ligado podem alterar o período de tempo após o ecrã do dispositivo se desligar antes de ser necessária uma palavra-passe para reativar o dispositivo. Durante o tempo em que a tela é desligada, mas uma senha não é exigida, as chaves usadas pela PDE para proteger o conteúdo podem ser expostas. Recomenda-se que desative explicitamente esta política em dispositivos associados Microsoft Entra. |
Configurar a PDE com Microsoft Intune
Se utilizar Microsoft Intune para gerir os seus dispositivos, pode configurar a PDE com uma política de encriptação de discos, uma política de catálogo de definições ou um perfil personalizado.
Política de encriptação de discos
Para configurar dispositivos com uma política de encriptação de disco, aceda a Segurança do ponto> finalEncriptação de disco e selecione Criar política:
- Plataforma>Windows
- Perfil>Encriptação de Dados Pessoais
Forneça um nome e selecione Seguinte. Na página Definições de configuração , selecione Ativar Encriptação de Dados Pessoais e configure as definições conforme necessário.
Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar.
Política de catálogo de definições
Para configurar dispositivos com Microsoft Intune, crie uma política de catálogo de Definições e utilize as seguintes definições:
| Categoria | Nome da configuração | Valor |
|---|---|---|
| PDE | Ativar a Encriptação de Dados Pessoais (Utilizador) | Ativar a Encriptação de Dados Pessoais |
| Modelos Administrativos Componentes > do Windows Opções > de Início de Sessão do Windows | Iniciar sessão e bloquear automaticamente o último utilizador interativo após um reinício | Desabilitado |
| Captura de Memória | Permitir Captura em Direto | Bloqueio |
| Captura de Memória | Permitir Informação de Falha de Sistema | Bloqueio |
| Modelos Administrativos Componentes >> do Windows Relatório de Erros do Windows | Desativar Relatório de Erros do Windows | Habilitada |
| Power | Permitir Hibernação | Bloqueio |
| Início de Sessão do Sistema > de Modelos Administrativos > | Permitir que os usuários selecionem quando a senha é obrigatória após retomar do modo de espera conectado | Desabilitado |
Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar.
Dica
Utilize a seguinte chamada do Graph para criar automaticamente a política de catálogo de definições no seu inquilino sem atribuições nem etiquetas de âmbito.
Ao utilizar esta chamada, autentique-se no seu inquilino na janela do Graph Explorer. Se for a primeira vez que utiliza o Graph Explorer, poderá ter de autorizar a aplicação a aceder ao seu inquilino ou modificar as permissões existentes. Esta chamada de gráfico requer permissões DeviceManagementConfiguration.ReadWrite.All .
POST https://graph.microsoft.com/beta/deviceManagement/configurationPolicies
Content-Type: application/json
{ "id": "00-0000-0000-0000-000000000000", "name": "_MSLearn_PDE", "description": "", "platforms": "windows10", "technologies": "mdm", "roleScopeTagIds": [ "0" ], "settings": [ { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowcrashdump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowcrashdump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowlivedump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowlivedump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "user_vendor_msft_pde_enablepersonaldataencryption", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "user_vendor_msft_pde_enablepersonaldataencryption_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_power_allowhibernate", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_power_allowhibernate_0", "children": [] } } } ] }
Configurar a PDE com o CSP
Em alternativa, pode configurar dispositivos com o CSP de Política e o CSP PDE.
| OMA-URI | Formato | Valor |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 1 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/AllowAutomaticRestartSignOn |
string | <disabled/> |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowCrashDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowLiveDump |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ErrorReporting/DisableWindowsErrorReporting |
string | <enabled/> |
./Device/Vendor/MSFT/Policy/Config/Power/AllowHibernate |
int | 0 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/AllowDomainDelayLock |
string | <disabled/> |
Desativar PDE
Depois que a PDE estiver habilitada, não é recomendável desabilitá-la. No entanto, se precisar de desativar a PDE, pode fazê-lo através dos seguintes passos.
Desativar o PDE com uma política de encriptação de discos
Para desativar dispositivos PDE com uma política de encriptação de disco, aceda a Segurança do ponto> finalEncriptação de disco e selecione Criar política:
- Plataforma>Windows
- Perfil>Encriptação de Dados Pessoais
Forneça um nome e selecione Seguinte. Na página Definições de configuração , selecione Desativar Encriptação de Dados Pessoais.
Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar.
Desativar o PDE com uma política de catálogo de definições no Intune
Para configurar dispositivos com Microsoft Intune, crie uma política de catálogo de Definições e utilize as seguintes definições:
| Categoria | Nome da configuração | Valor |
|---|---|---|
| PDE | Ativar a Encriptação de Dados Pessoais (Utilizador) | Desativar a Encriptação de Dados Pessoais |
Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar.
Desativar o PDE com o CSP
Pode desativar a PDE com CSP através da seguinte definição:
| OMA-URI | Formato | Valor |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
int | 0 |
Desencriptar conteúdo encriptado por PDE
Desabilitar a PDE não descriptografa nenhum conteúdo protegido por PDE. Isso só impede que a API do PDE seja capaz de proteger qualquer conteúdo adicional. Os ficheiros protegidos por PDE podem ser desencriptados manualmente com os seguintes passos:
- Abrir as propriedades do arquivo
- Na guia Geral, selecione Avançado...
- Desmarque a opção Criptografar conteúdo para proteger dados
- Escolha OK e OK novamente.
Os ficheiros protegidos por PDE também podem ser desencriptados com cipher.exeo , o que pode ser útil nos seguintes cenários:
- Descriptografar um grande número de arquivos em um dispositivo
- Desencriptar ficheiros em vários dispositivos
Para descriptografar arquivos em um dispositivo por meio de cipher.exe:
Descriptografe todos os arquivos em um diretório, incluindo subdiretórios:
cipher.exe /d /s:<path_to_directory>Descriptografe um único arquivo ou todos os arquivos no diretório especificado, mas não em qualquer subdiretório:
cipher.exe /d <path_to_file_or_directory>
Importante
Quando um utilizador seleciona para desencriptar manualmente um ficheiro, o utilizador não poderá voltar a proteger o ficheiro manualmente utilizando o PDE.