Personal Data Encryption (PDE) とは

皆さん、こんにちは。

今回も、Windows 11 version 24H2 関連の話題です。

Windows 11 version 24H2 リリース ブログ ポストを読んでいた時に気になった機能で、Personal Data Encryption (PDE) (個人データ暗号化) という機能があります。

この機能は、ファイル ベースのデータ暗号化機能を提供するものとなります。具体的には、通常の Windows PC であれば、PC の管理者権限を保持した人が、他のユーザーの個人データにも技術的には可能です。しかしながら、Personal Data Encryption (PDE) (個人データ暗号化) を用いることにより、個人領域のデータは本人しか参照できず、PC の管理者権限を保持した人でも個人ファイルにアクセスできないという機能になります。

では、早速設定方法と機能について触れていきましょう。

<Microsoft Intune を用いた、Personal Data Encryption (PDE) の設定方法>

  1. Microsoft Intune 管理センター (https://intune.microsoft.com/) を開きます。
  2. [エンドポイント セキュリティ] > [ディスクの暗号化] を開きます。
  3. 画面上部の [ポリシーの作成] から、[プラットフォーム] を [Windows] に選択し、プロファイルを [Personal Data Encryption] を選択し、[作成] を選択します。
  4. [名前] を任意に設定し、必要に応じて、[説明] を記載し、[次へ] を選択します。
  5. [構成設定] にて、[個人データの暗号化 (PDE) を有効にする] のトグルを右側にして有効化します。また、各保護を、下記画面のように [フォルダーで PDE を有効にします。] を選択し、[次へ] を選択します。
  6. [スコープ タグ] は既定のまま [次へ] を選択します。
  7. [割り当て] にて、この機能を有効にする、対象のグループを選択し、[次へ] を選択します。
  8. 最後に [確認および作成] にて、設定内容を確認して、[作成] を選択します。
  9. これで、Microsoft Intune 側での設定は完了です。

<クライアント側での動作確認>

MDM ポリシー更新後、デスクトップにファイルを保存すると、下記のように、鍵付きのアイコンで表示されます。

また、ピクチャ フォルダーも鍵付きファイルとなっています。

ちなみに、このマシンにて、[ユーザーの切り替え] をしようとしたところ、通常とは異なる、下記の表示がされました。

さて、ここから、他のユーザーで上記の鍵付きファイルにアクセスしてみます。

管理者権限を持つアカウントでマシンにサインインします。

そして、C:\Users フォルダーにアクセスすると、下記のように [デスクトップ] と [ドキュメント] と [ピクチャ] フォルダーに鍵付きになっています。

そして、対象ユーザーの [デスクトップ] フォルダーを開くと、ファイルは表示されますが、鍵付きアイコンのファイルとなります。

その状況下で、ファイルにアクセスすると、アクセス拒否されます。

想定通り、他のユーザー (管理者を含む) からファイルにアクセスできないことが分かりました。ちなみに、SMB 経由でアクセスしようとすると、もちろんアクセス拒否されます。

最後に、Personal Data Encryption (PDE) で暗号化されたファイルをファイル サーバーなど (Personal Data Encryption (PDE) 領域以外) にコピーしようとすると、下記の画面が表示されます。

[はい] を選択すれば、暗号化が解除された状態でファイルがファイル サーバーに格納されます。

<まとめ>

今回は、Windows 11 version 24H2 の新機能である、Personal Data Encryption (PDE) 機能を取り上げました。

機密度の高い情報を扱うユーザー (役員や VIP 等) などのマシンに、Personal Data Encryption (PDE) 機能を有効化して、更にセキュリティ レベルを上げることが可能になります。

是非、皆さんもこの Personal Data Encryption (PDE) 機能をトライしてみてください。