Cet article décrit les paramètres de chiffrement des données personnelles et comment les configurer via Microsoft Intune ou les fournisseurs de services de configuration (CSP).
Notes
Le chiffrement des données personnelles peut être configuré à l’aide de stratégies GPM. Le contenu à protéger par le chiffrement des données personnelles peut être spécifié à l’aide des API de chiffrement des données personnelles. Il n’existe aucune interface utilisateur dans Windows pour activer le chiffrement des données personnelles ou protéger le contenu à l’aide du chiffrement des données personnelles.
Les API de chiffrement des données personnelles peuvent être utilisées pour créer des applications et des scripts personnalisés afin de spécifier le contenu à protéger et à quel niveau protéger le contenu. En outre, les API de chiffrement des données personnelles ne peuvent pas être utilisées pour protéger le contenu tant que la stratégie de chiffrement des données personnelles n’a pas été activée.
Paramètres de chiffrement des données personnelles
Le tableau suivant répertorie les paramètres requis pour activer le chiffrement des données personnelles.
Nom du paramètre
Description
Activer le chiffrement des données personnelles
Le chiffrement des données personnelles n’est pas activé par défaut. Avant de pouvoir utiliser le chiffrement des données personnelles, vous devez l’activer.
Se connecter et verrouiller automatiquement le dernier utilisateur interactif après un redémarrage
L’authentification à redémarrage automatique winlogon (ARSO) n’est pas prise en charge pour une utilisation avec le chiffrement des données personnelles. Pour utiliser le chiffrement des données personnelles, ARSO doit être désactivé.
Recommandations relatives au renforcement du chiffrement des données personnelles
Le tableau suivant répertorie les paramètres recommandés pour améliorer la sécurité du chiffrement des données personnelles.
Nom du paramètre
Description
Vidages sur incident en mode noyau et vidages en direct
Les vidages sur incident en mode noyau et les vidages dynamiques peuvent potentiellement entraîner l’exposition des clés utilisées par le chiffrement des données personnelles pour protéger le contenu. Pour une sécurité optimale, désactivez les vidages sur incident en mode noyau et les vidages en direct.
Rapport d'erreurs Windows (WER)/vidages sur incident en mode utilisateur
La désactivation de Rapport d'erreurs Windows empêche les vidages sur incident en mode utilisateur. Les vidages sur incident en mode utilisateur peuvent potentiellement entraîner l’exposition des clés utilisées par Le chiffrement des données personnelles pour protéger le contenu. Pour une sécurité optimale, désactivez les vidages sur incident en mode utilisateur.
Hibernation
Les fichiers de mise en veille prolongée peuvent potentiellement entraîner l’exposition des clés utilisées par le chiffrement des données personnelles pour protéger le contenu. Pour une sécurité optimale, désactivez la mise en veille prolongée.
Permettre aux utilisateurs de choisir si un mot de passe doit être saisi lors de la reprise après une veille connectée
Lorsque cette stratégie n’est pas configurée sur Microsoft Entra appareils joints, les utilisateurs d’un appareil de secours connecté peuvent modifier la durée après que l’écran de l’appareil s’est éteint avant qu’un mot de passe ne soit requis pour sortir l’appareil. Pendant le temps où l’écran s’éteint mais qu’aucun mot de passe n’est requis, les clés utilisées par le chiffrement des données personnelles pour protéger le contenu peuvent être exposées. Il est recommandé de désactiver explicitement cette stratégie sur Microsoft Entra appareils joints.
Configurer le chiffrement des données personnelles avec Microsoft Intune
Si vous utilisez Microsoft Intune pour gérer vos appareils, vous pouvez configurer le chiffrement des données personnelles à l’aide d’une stratégie de chiffrement de disque, d’une stratégie de catalogue de paramètres ou d’un profil personnalisé.
Stratégie de chiffrement de disque
Pour configurer des appareils à l’aide d’une stratégie de chiffrement de disque, accédez à Sécurité du point de terminaison>Chiffrement de disque et sélectionnez Créer une stratégie :
Plateforme>Windows
Profil>Chiffrement des données personnelles
Fournissez un nom, puis sélectionnez Suivant. Dans la page Paramètres de configuration , sélectionnez Activer le chiffrement des données personnelles et configurez les paramètres en fonction des besoins.
Affectez la stratégie à un groupe qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.
Activer le chiffrement des données personnelles (utilisateur)
Activer le chiffrement des données personnelles
Modèles d’administration > Composants > Windows Options d’ouverture de session Windows
Se connecter et verrouiller automatiquement le dernier utilisateur interactif après un redémarrage
Désactivés
Image mémoire
Autoriser le vidage en direct
Bloquer
Image mémoire
Autoriser le vidage sur incident
Bloquer
Modèles d’administration > Composants > Windows Rapport d'erreurs Windows
Désactiver Rapport d'erreurs Windows
Activé
Marche/Arrêt
Autoriser la mise en veille prolongée
Bloquer
Ouverture de session système > de modèles > d’administration
Permettre aux utilisateurs de choisir si un mot de passe doit être saisi lors de la reprise après une veille connectée
Désactivé
Affectez la stratégie à un groupe qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.
Conseil
Utilisez l’appel Graph suivant pour créer automatiquement la stratégie de catalogue de paramètres dans votre locataire sans affectations ni balises d’étendue.
Lorsque vous utilisez cet appel, authentifiez-vous auprès de votre locataire dans la fenêtre Explorer Graph. Si vous utilisez Graph Explorer pour la première fois, vous devrez peut-être autoriser l’application à accéder à votre locataire ou modifier les autorisations existantes. Cet appel de graphe nécessite les autorisations DeviceManagementConfiguration.ReadWrite.All .
Désactiver le chiffrement des données personnelles
Une fois le chiffrement des données personnelles activé, il n’est pas recommandé de le désactiver. Toutefois, si vous devez désactiver le chiffrement des données personnelles, vous pouvez le faire en procédant comme suit.
Désactiver le chiffrement des données personnelles avec une stratégie de chiffrement de disque
Pour désactiver les appareils de chiffrement des données personnelles à l’aide d’une stratégie de chiffrement de disque, accédez à Sécurité du point de terminaison>Chiffrement de disque et sélectionnez Créer une stratégie :
Plateforme>Windows
Profil>Chiffrement des données personnelles
Fournissez un nom, puis sélectionnez Suivant. Dans la page Paramètres de configuration , sélectionnez Désactiver le chiffrement des données personnelles.
Affectez la stratégie à un groupe qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.
Désactiver le chiffrement des données personnelles avec une stratégie de catalogue de paramètres dans Intune
La désactivation du chiffrement des données personnelles ne déchiffre aucun contenu protégé par le chiffrement des données personnelles. Cela empêche uniquement l’API de chiffrement des données personnelles de pouvoir protéger tout contenu supplémentaire. Les fichiers Pprotected peuvent être déchiffrés manuellement en procédant comme suit :
Ouvrir les propriétés du fichier
Sous l’onglet Général , sélectionnez Avancé...
Décochez l’option Chiffrer le contenu pour sécuriser les données
Sélectionnez OK, puis appuyez de nouveau OK .
Les fichiers protégés peuvent également être déchiffrés à l’aide cipher.exede , ce qui peut être utile dans les scénarios suivants :
Déchiffrement d’un grand nombre de fichiers sur un appareil
Déchiffrement de fichiers sur plusieurs appareils
Pour déchiffrer des fichiers sur un appareil à l’aide de cipher.exe:
Déchiffrez tous les fichiers sous un répertoire, y compris les sous-répertoires :
cipher.exe /d /s:<path_to_directory>
Déchiffrez un seul fichier ou tous les fichiers du répertoire spécifié, mais pas les sous-répertoires :
cipher.exe /d <path_to_file_or_directory>
Important
Une fois qu’un utilisateur choisit de déchiffrer manuellement un fichier, il ne peut plus protéger manuellement le fichier à l’aide du chiffrement des données personnelles.
Ce module explique comment utiliser Intune pour créer et gérer des stratégies WIP qui gèrent cette protection. Le module couvre également l’implémentation de BitLocker et du système de fichiers EFS.
Expliquez les principes de base de la sécurité des données, de la gestion de cycle de vie, de la sécurité des informations et de la conformité pour protéger un déploiement Microsoft 365.