Chiffrement de données personnelles (PDE)
À compter de Windows 11, version 22H2, le chiffrement des données personnelles (PDE) est une fonctionnalité de sécurité qui fournit des fonctionnalités de chiffrement des données basées sur des fichiers à Windows.
PDE utilise Windows Hello Entreprise pour lier des clés de chiffrement de données aux informations d’identification de l’utilisateur. Lorsqu’un utilisateur se connecte à un appareil à l’aide de Windows Hello Entreprise, les clés de déchiffrement sont libérées et les données chiffrées sont accessibles à l’utilisateur.
Lorsqu’un utilisateur se déconnecte, les clés de déchiffrement sont ignorées et les données sont inaccessibles, même si un autre utilisateur se connecte à l’appareil.
L’utilisation de Windows Hello Entreprise offre les avantages suivants :
- Cela réduit le nombre d’informations d’identification pour accéder au contenu chiffré : les utilisateurs n’ont besoin de se connecter qu’avec Windows Hello Entreprise
- Les fonctionnalités d’accessibilité disponibles lors de l’utilisation de Windows Hello Entreprise s’étendent au contenu protégé par PDE
PDE diffère de BitLocker en ce qu’il chiffre les fichiers au lieu de volumes et de disques entiers. PDE se produit en plus d’autres méthodes de chiffrement telles que BitLocker.
Contrairement à BitLocker qui libère des clés de chiffrement des données au démarrage, PDE ne libère pas les clés de chiffrement des données tant qu’un utilisateur ne se connecte pas à l’aide de Windows Hello Entreprise.
Conditions préalables
Pour utiliser PDE, les conditions préalables suivantes doivent être remplies :
- Windows 11, version 22H2 et ultérieures
- Les appareils doivent être Microsoft Entra joints. Les appareils joints à un domaine et Microsoft Entra hybrides joints ne sont pas pris en charge
- Les utilisateurs doivent se connecter à l’aide de Windows Hello Entreprise
Important
Si vous vous connectez avec un mot de passe ou une clé de sécurité, vous ne pouvez pas accéder au contenu protégé par PDE.
Conditions d'octroi de licence d'édition Windows
Le tableau suivant répertorie les éditions de Windows qui prennent en charge le chiffrement des données personnelles (PDE) :
| Windows Pro | Windows Entreprise | Windows Pro Education/SE | Windows Éducation |
|---|---|---|---|
| Non | Oui | Non | Oui |
Les droits de licence de chiffrement des données personnelles (PDE) sont accordés par les licences suivantes :
| Windows Pro/Professionnel Éducation/SE | Windows Entreprise E3 | Windows Entreprise E5 | Windows Éducation A3 | Windows Éducation A5 |
|---|---|---|---|---|
| Non | Oui | Oui | Oui | Oui |
Pour plus d’informations à propos des licences Windows, consultez Vue d’ensemble des licences Windows.
Niveaux de protection PDE
PDE utilise AES-CBC avec une clé 256 bits pour protéger le contenu et offre deux niveaux de protection. Le niveau de protection est déterminé en fonction des besoins de l’organisation. Ces niveaux peuvent être définis via les API PDE.
| Élément | Niveau 1 | Niveau 2 |
|---|---|---|
| Données protégées par PDE accessibles lorsque l’utilisateur s’est connecté via Windows Hello Entreprise | Oui | Oui |
| Les données protégées par PDE sont accessibles sur l’écran de verrouillage Windows | Oui | Les données sont accessibles pendant une minute après le verrouillage, puis elles ne sont plus disponibles |
| Les données protégées par PDE sont accessibles une fois que l’utilisateur se déconnecte de Windows | Non | Non |
| Les données protégées par PDE sont accessibles lorsque l’appareil est arrêté | Non | Non |
| Les données protégées par PDE sont accessibles via des chemins UNC | Non | Non |
| Les données protégées par PDE sont accessibles lors de la signature avec un mot de passe Windows au lieu de Windows Hello Entreprise | Non | Non |
| Les données protégées par PDE sont accessibles via la session Bureau à distance | Non | Non |
| Clés de déchiffrement utilisées par PDE ignorées | Une fois que l’utilisateur s’est déconnecté de Windows | Une minute après l’activation de l’écran de verrouillage de Windows ou une fois que l’utilisateur se déconnecte de Windows |
Accessibilité du contenu protégé par PDE
Lorsqu’un fichier est protégé par PDE, son icône affiche un cadenas. Si l’utilisateur ne s’est pas connecté localement avec Windows Hello Entreprise ou si un utilisateur non autorisé tente d’accéder au contenu protégé par PDE, l’accès au contenu lui sera refusé.
Les scénarios où un utilisateur se verra refuser l’accès au contenu protégé par PDE sont les suivants :
- L’utilisateur s’est connecté à Windows via un mot de passe au lieu de se connecter avec Windows Hello Entreprise biométrie ou un code confidentiel
- S’il est protégé par le biais d’une protection de niveau 2, lorsque l’appareil est verrouillé
- Lorsque vous essayez d’accéder au contenu sur l’appareil à distance. Par exemple, les chemins d’accès réseau UNC
- Sessions Bureau à distance
- D’autres utilisateurs sur l’appareil qui ne sont pas propriétaires du contenu, même s’ils sont connectés via Windows Hello Entreprise et disposent des autorisations nécessaires pour accéder au contenu protégé par PDE
Différences entre PDE et BitLocker
PDE est destiné à fonctionner avec BitLocker. PDE ne remplace pas BitLocker, pas plus que BitLocker pour remplacer PDE. L’utilisation des deux fonctionnalités ensemble offre une meilleure sécurité que l’utilisation de BitLocker ou de PDE seule. Toutefois, il existe des différences entre BitLocker et PDE et leur fonctionnement. Ces différences expliquent pourquoi les utiliser ensemble offre une meilleure sécurité.
| Élément | PDE | BitLocker |
|---|---|---|
| Libération de la clé de déchiffrement | À la connexion de l’utilisateur via Windows Hello Entreprise | Au démarrage |
| Clés de déchiffrement ignorées | Quand l’utilisateur se déconnecte de Windows ou une minute après l’activation de l’écran de verrouillage Windows | À l’arrêt |
| Contenu protégé | Tous les fichiers dans des dossiers protégés | Volume/lecteur entier |
| Authentification pour accéder au contenu protégé | Windows Hello Entreprise | Lorsque BitLocker avec TPM + CODE CONFIDENTIEL est activé, code confidentiel BitLocker et connexion Windows |
Différences entre PDE et EFS
La main différence entre la protection des fichiers avec PDE au lieu d’EFS est la méthode qu’ils utilisent pour protéger le fichier. PDE utilise Windows Hello Entreprise pour sécuriser les clés qui protègent les fichiers. EFS utilise des certificats pour sécuriser et protéger les fichiers.
Pour voir si un fichier est protégé avec PDE ou EFS :
- Ouvrir les propriétés du fichier
- Sous l’onglet Général , sélectionnez Avancé...
- Dans les fenêtres Attributs avancés , sélectionnez Détails
Pour les fichiers protégés par PDE, sous Protection status : il y aura un élément répertorié comme Chiffrement des données personnelles : et il aura l’attribut On.
Pour les fichiers protégés par EFS, sous Utilisateurs qui peuvent accéder à ce fichier : une empreinte de certificat s’affiche en regard des utilisateurs ayant accès au fichier. Il y aura également une section en bas intitulée Certificats de récupération pour ce fichier, comme défini par la stratégie de récupération :
Les informations de chiffrement, notamment la méthode de chiffrement utilisée pour protéger le fichier, peuvent être obtenues avec la cipher.exe /c commande .
Recommandations relatives à l’utilisation de PDE
Voici des recommandations pour l’utilisation de PDE :
- Activez le chiffrement de lecteur BitLocker. Bien que PDE fonctionne sans BitLocker, il est recommandé d’activer BitLocker. PDE est destiné à fonctionner avec BitLocker pour renforcer la sécurité, il n’est pas un remplacement de BitLocker
- Solution de sauvegarde telle que OneDrive dans Microsoft 365. Dans certains scénarios, tels que les réinitialisations TPM ou les réinitialisations de code confidentiel destructrices, les clés utilisées par PDE pour protéger le contenu seront perdues, rendant tout contenu protégé par PDE inaccessible. La seule façon de récupérer ce contenu est à partir d’une sauvegarde. Si les fichiers sont synchronisés avec OneDrive, pour récupérer l’accès, vous devez resynchroniser OneDrive
- Windows Hello Entreprise service de réinitialisation du code confidentiel. Les réinitialisations destructrices du code confidentiel entraînent la perte des clés utilisées par PDE pour protéger le contenu, ce qui rend tout contenu protégé par PDE inaccessible. Après une réinitialisation destructrice du code confidentiel, le contenu protégé par PDE doit être récupéré à partir d’une sauvegarde. Pour cette raison, Windows Hello Entreprise service de réinitialisation de code confidentiel est recommandé, car il fournit des réinitialisations de code confidentiel non destructrices
- Windows Hello sécurité de connexion renforcée offre une sécurité supplémentaire lors de l’authentification avec Windows Hello Entreprise via la biométrie ou le code confidentiel
Applications Windows prêtes à l’emploi qui prennent en charge PDE
Certaines applications Windows prennent en charge PDE prêtes à l’emploi. Si PDE est activé sur un appareil, ces applications utilisent PDE :
| Nom de l’application | Détails |
|---|---|
| Prend en charge la protection des corps des e-mails et des pièces jointes |
Étapes suivantes
- Découvrez les options disponibles pour configurer le chiffrement des données personnelles (PDE) et comment les configurer via Microsoft Intune ou le fournisseur de services de configuration (CSP) : paramètres et configuration PDE
- Consultez le FAQ sur le chiffrement des données personnelles (PDE)