Personal Data Encryption

Personal Data Encryption

Personal Data Encryption est une nouvelle fonctionnalité introduite depuis Windows 11 22H2 permettant de chiffrer les fichiers utilisateurs. Pour ce faire, l’utilisation de Windows Hello Entreprise est nécessaire car c’est grâce à cette méthode d’authentification que les fichiers vont être chiffrés. Attention, ne pas confondre cette fonctionnalité avec bitlocker qui lui va chiffrer le disque dur. Elle peut donc être ajoutée en supplément afin de renforcer la sécurité du système.

Introduction

Personal Data Encryption est une nouvelle fonctionnalité introduite depuis Windows 11 22H2 permettant de chiffrer les fichiers utilisateurs.

Pour ce faire, l’utilisation de Windows Hello Entreprise est nécessaire car c’est grâce à cette méthode d’authentification que les fichiers vont être chiffrés.

Attention, ne pas confondre cette fonctionnalité avec bitlocker qui lui va chiffrer le disque dur. Elle peut donc être ajoutée en supplément afin de renforcer la sécurité du système.

Prérequis

  • Windows 11 Enterprise 22H2
  • Microsoft Entra joined ou Microsoft Entra hybrid joined
  • L’utilisateur doit se connecter avec Windows Hello Entreprise (PIN, Biométrie)

Configuration

Dans le portail intune, aller dans EndpointSecurity > Disk Encryption et cliquer sur « Create Policy»

Sélectionner la platforme « Windows », le profile « Personal Data Encryption » et cliquer sur « Create »

Fournissez un nom au profil de configuration et cliquer sur « Next »

Activer la fonctionnalité « Personal Data Protection », sélectionner sur quel répertoire elle sera appliquée et cliquer sur « Next »

Sélectionner un « Scope tags » ou laisser par défaut.

Assigner le profil de configuration à un groupe d’utilisateur ou d’appareil.

Vérifier le profil de configuration et cliquer sur « Create »

En parallèle de ce profil de configuration, il faut également ajouter les paramètres recommandés suivants (via le catalogue de paramètres) pour améliorer la sécurité du chiffrement des données personnelles :

Catégorie Nom du paramètre Valeur
Modèles d’administration > Composants > Windows Options d’ouverture de session Windows Se connecter et verrouiller automatiquement le dernier utilisateur interactif après un redémarrage Désactivés
Image mémoire Autoriser le vidage en direct Bloquer
Image mémoire Autoriser le vidage sur incident Bloquer
Modèles d’administration > Composants > Windows Rapport d'erreurs Windows Désactiver Rapport d'erreurs Windows Activé
Marche/Arrêt Autoriser la mise en veille prolongée Bloquer
Ouverture de session système > de modèles > d’administration Permettre aux utilisateurs de choisir si un mot de passe doit être saisi lors de la reprise après une veille connectée Désactivé

Expérience utilisateur

Lorsque l’utilisateur se connecte avec son code confidentiel et accède à ses fichiers (Bureau, Documents ou Images), un cadenas apparaît maintenant sur tous les fichiers/répertoires indiquant que ceux-ci sont chiffrés.

Au niveau des propriétés, nous pouvons voir que seul l’utilisateur a accès à ses données.

Si l’utilisateur se connecte avec son mot de passe ou un autre utilisateur administrateur se connecte sur le poste alors les fichiers seront inaccessibles.

Voici le message qui apparaît si l’utilisateur sélectionne la méthode de connexion par mot de passe à la place du code confidentiel.

Si l’utilisateur copie le fichier chiffré à un autre endroit alors celui-ci reste chiffré et peut être déchiffré en décochant l’option « Chiffrer le contenu pour sécuriser les données »

Conclusion

La fonctionnalité permet d’ajouter une sécurité supplémentaire afin de garder un contrôle sur les données sensibles de l’utilisateur. Si vous utilisez OneDrive et que vos fichiers sont disponibles hors ligne, alors assurez-vous que la politique Known Folder Move (KFM) est en place et que les fichiers se trouvent dans le répertoire « Documents » pour qu'ils soient synchronisés avec OneDrive et ainsi bénéficier du chiffrement.  L’activation du service de réinitialisation du code confidentiel est également recommandée.

Source : Paramètres et configuration du chiffrement des données personnelles | Microsoft Learn

FAQ : Forum aux questions sur le chiffrement des données personnelles | Microsoft Learn