Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describen las opciones de cifrado de datos personales y cómo configurarlas a través de Microsoft Intune o proveedores de servicios de configuración (CSP).
Nota
El cifrado de datos personales se puede configurar mediante directivas CSP. El contenido que se va a proteger mediante el cifrado de datos personales se puede especificar mediante cifrado de datos personales para carpetas conocidas y API de cifrado de datos personales.
Las API de cifrado de datos personales se pueden usar para crear scripts y aplicaciones personalizados para especificar qué contenido proteger y en qué nivel proteger el contenido. Además, las API de cifrado de datos personales no se pueden usar para proteger el contenido hasta que la directiva de cifrado de datos personales esté habilitada.
Configuración de cifrado de datos personales
En la tabla siguiente se enumeran los valores necesarios para habilitar el cifrado de datos personales.
| Nombre del valor de configuración | Descripción |
|---|---|
| Habilitación del cifrado de datos personales | El cifrado de datos personales no está habilitado de forma predeterminada. Para poder usar el cifrado de datos personales, debe habilitarlo. |
| Inicio de sesión y bloqueo automático del último usuario interactivo después de un reinicio | El inicio de sesión de reinicio automático de Winlogon (ARSO) no se admite para su uso con el cifrado de datos personales. Para usar el cifrado de datos personales, ARSO debe estar deshabilitado. |
Cifrado de datos personales para la configuración de carpetas conocidas
En la tabla siguiente se enumeran los valores para configurar el cifrado de datos personales para carpetas conocidas.
| Nombre del valor de configuración | Descripción |
|---|---|
| Proteger escritorio | Habilite Cifrado de datos personales en la carpeta Escritorio. |
| Proteger documentos | Habilite El cifrado de datos personales en la carpeta Documentos. |
| Proteger imágenes | Habilite Cifrado de datos personales en la carpeta Imágenes. |
Recomendaciones de protección de cifrado de datos personales
En la tabla siguiente se enumeran los valores recomendados para mejorar la seguridad del cifrado de datos personales.
| Nombre del valor de configuración | Descripción |
|---|---|
| Volcados de memoria en modo kernel y volcados en directo | Los volcados de memoria en modo kernel y los volcados en directo pueden hacer que las claves usadas por El cifrado de datos personales protejan el contenido que se va a exponer. Para una mayor seguridad, deshabilite los volcados de memoria en modo kernel y los volcados dinámicos. |
| Informe de errores de Windows (WER)/volcados de memoria del modo de usuario | Deshabilitar el informe de errores de Windows evita volcados de memoria en modo de usuario. Los volcados de memoria en modo de usuario pueden hacer que las claves usadas por El cifrado de datos personales protejan el contenido que se va a exponer. Para una mayor seguridad, deshabilite los volcados de memoria en modo de usuario. |
| Hibernación | Los archivos de hibernación pueden hacer que las claves usadas por El cifrado de datos personales protejan el contenido que se va a exponer. Para una mayor seguridad, deshabilite la hibernación. |
| Permitir que los usuarios seleccionen cuándo se requiere una contraseña al reanudar desde un modo de espera conectado | Cuando esta directiva no está configurada en Microsoft Entra dispositivos unidos, los usuarios de un dispositivo en espera conectado pueden cambiar la cantidad de tiempo después de que la pantalla del dispositivo se apague antes de que se requiera una contraseña para reactivar el dispositivo. Durante el tiempo en que la pantalla se apaga, pero no se requiere una contraseña, es posible que se expongan las claves usadas por El cifrado de datos personales para proteger el contenido. Se recomienda deshabilitar explícitamente esta directiva en Microsoft Entra dispositivos unidos. |
Configuración del cifrado de datos personales con Microsoft Intune
Si usa Microsoft Intune para administrar los dispositivos, puede configurar el cifrado de datos personales mediante una directiva de cifrado de disco, una directiva de catálogo de configuración o un perfil personalizado.
Directiva de cifrado de disco
Para configurar dispositivos mediante una directiva de cifrado de disco, vaya a Seguridad> del punto de conexiónCifrado de disco y seleccione Crear directiva:
- Plataforma>Windows
- Perfil>Cifrado de datos personales
Proporcione un nombre y seleccione Siguiente. En la página Configuración , seleccione Habilitar cifrado de datos personales y configure los valores según sea necesario.
Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.
Directiva de catálogo de configuración
Para configurar dispositivos con Microsoft Intune, cree una directiva de catálogo configuración y use la siguiente configuración:
| Categoría | Nombre del valor de configuración | Valor |
|---|---|---|
| Cifrado de datos personales | Habilitar el cifrado de datos personales (usuario) | Habilitación del cifrado de datos personales |
| Cifrado de datos personales | Proteger escritorio (usuario) | Habilitación de la protección para la carpeta Escritorio |
| Cifrado de datos personales | Proteger documentos (usuario) | Habilitación de la protección para la carpeta Documentos |
| Cifrado de datos personales | Proteger imágenes (usuario) | Habilitación de la protección para la carpeta Imágenes |
| Plantillas > administrativas Opciones de inicio de sesión de Windows para componentes > de Windows | Inicio de sesión y bloqueo automático del último usuario interactivo después de un reinicio | Deshabilitado |
| Volcado de memoria | Permitir volcado dinámico | Bloquear |
| Volcado de memoria | Permitir volcado de memoria | Bloquear |
| Plantillas > administrativas Componentes > de Windows Informe de errores de Windows | Deshabilitar Informe de errores de Windows | Habilitado |
| Inicio/apagado | Permitir hibernación | Bloquear |
| Inicio de sesión del sistema > de plantillas > administrativas | Permitir que los usuarios seleccionen cuándo se requiere una contraseña al reanudar desde un modo de espera conectado | Deshabilitada |
Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.
Sugerencia
Use la siguiente llamada a Graph para crear automáticamente la directiva de catálogo de configuración en el inquilino sin asignaciones ni etiquetas de ámbito.
Al usar esta llamada, autentíquese en el inquilino en la ventana del Explorador de Graph. Si es la primera vez que usa el Explorador de Graph, es posible que tenga que autorizar a la aplicación para que acceda a su inquilino o para modificar los permisos existentes. Esta llamada al grafo requiere permisos DeviceManagementConfiguration.ReadWrite.All .
POST https://graph.microsoft.com/beta/deviceManagement/configurationPolicies
Content-Type: application/json
{ "id": "00-0000-0000-0000-000000000000", "name": "_MSLearn_PDE", "description": "", "platforms": "windows10", "technologies": "mdm", "roleScopeTagIds": [ "0" ], "settings": [ { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_admx_credentialproviders_allowdomaindelaylock_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_errorreporting_disablewindowserrorreporting_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_windowslogon_allowautomaticrestartsignon_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowcrashdump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowcrashdump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_memorydump_allowlivedump", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_memorydump_allowlivedump_0", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "user_vendor_msft_pde_enablepersonaldataencryption", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "user_vendor_msft_pde_enablepersonaldataencryption_1", "children": [] } } }, { "@odata.type": "#microsoft.graph.deviceManagementConfigurationSetting", "settingInstance": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingInstance", "settingDefinitionId": "device_vendor_msft_policy_config_power_allowhibernate", "choiceSettingValue": { "@odata.type": "#microsoft.graph.deviceManagementConfigurationChoiceSettingValue", "value": "device_vendor_msft_policy_config_power_allowhibernate_0", "children": [] } } } ] }
Configuración del cifrado de datos personales con CSP
Como alternativa, puede configurar dispositivos mediante csp de directivas y CSP de cifrado de datos personales.
| OMA-URI | Formato | Valor |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
entero | 1 |
./User/Vendor/MSFT/PDE/ProtectFolders/ProtectDesktop |
entero | 1 |
./User/Vendor/MSFT/PDE/ProtectFolders/ProtectDocuments |
entero | 1 |
./User/Vendor/MSFT/PDE/ProtectFolders/ProtectPictures |
entero | 1 |
./Device/Vendor/MSFT/Policy/Config/WindowsLogon/AllowAutomaticRestartSignOn |
string | <disabled/> |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowCrashDump |
entero | 0 |
./Device/Vendor/MSFT/Policy/Config/MemoryDump/AllowLiveDump |
entero | 0 |
./Device/Vendor/MSFT/Policy/Config/ErrorReporting/DisableWindowsErrorReporting |
string | <enabled/> |
./Device/Vendor/MSFT/Policy/Config/Power/AllowHibernate |
entero | 0 |
./Device/Vendor/MSFT/Policy/Config/ADMX_CredentialProviders/AllowDomainDelayLock |
string | <disabled/> |
Experiencia del usuario
Cuando el cifrado de datos personales está habilitado, la experiencia del usuario es la siguiente:
- El acceso al contenido protegido de Cifrado de datos personales solo es posible cuando los usuarios inician sesión con Windows Hello (biometría o PIN). Si los usuarios inician sesión sin Windows Hello, no pueden abrir contenido cifrado
- Si un usuario intenta iniciar sesión sin Windows Hello, aparece un mensaje en la pantalla de inicio de sesión que indica que para acceder al contenido cifrado, el usuario debe iniciar sesión con Windows Hello
- Los datos protegidos por el cifrado de datos personales tienen un candado en el icono del archivo o carpeta. El icono de candado se muestra en Explorador de archivos y en el escritorio
Deshabilitar el cifrado de datos personales
Una vez habilitado el cifrado de datos personales, no se recomienda deshabilitarlo. Sin embargo, si necesita deshabilitar el cifrado de datos personales, puede hacerlo mediante los pasos siguientes.
Deshabilitación del cifrado de datos personales con una directiva de cifrado de disco
Para deshabilitar dispositivos de cifrado de datos personales mediante una directiva de cifrado de disco, vaya a Seguridad > del punto de conexiónCifrado dedisco y seleccione Crear directiva:
- Plataforma>Windows
- Perfil>Cifrado de datos personales
Proporcione un nombre y seleccione Siguiente. En la página Configuración , seleccione Deshabilitar cifrado de datos personales.
Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.
Deshabilitar el cifrado de datos personales con una directiva de catálogo de configuración en Intune
Para configurar dispositivos con Microsoft Intune, cree una directiva de catálogo configuración y use la siguiente configuración:
| Categoría | Nombre del valor de configuración | Valor |
|---|---|---|
| Cifrado de datos personales | Habilitar el cifrado de datos personales (usuario) | Deshabilitar el cifrado de datos personales |
Asigne la directiva a un grupo que contenga como miembros los dispositivos o usuarios que desea configurar.
Deshabilitación del cifrado de datos personales con CSP
Puede deshabilitar el cifrado de datos personales con CSP mediante la siguiente configuración:
| OMA-URI | Formato | Valor |
|---|---|---|
./User/Vendor/MSFT/PDE/EnablePersonalDataEncryption |
entero | 0 |
Descifrar contenido cifrado
Al deshabilitar el cifrado de datos personales, el contenido cifrado mediante cifrado de datos personales para carpetas conocidas se descifra automáticamente. Sin embargo, el contenido cifrado mediante las API de cifrado de datos personales no se descifra automáticamente. Para descifrar este contenido, siga estos pasos:
- Abre las propiedades del archivo
- En la pestaña General, seleccione Opciones avanzadas...
- Desactive la opción Cifrar contenido para proteger los datos.
- Seleccione Aceptar y, a continuación, Aceptar de nuevo.
Los archivos protegidos también se pueden descifrar mediante cipher.exe, lo que puede resultar útil en los siguientes escenarios:
- Descifrado de un gran número de archivos en un dispositivo
- Descifrado de archivos en varios dispositivos
Para descifrar archivos en un dispositivo mediante cipher.exe:
Descifre todos los archivos de un directorio, incluidos los subdirectorios:
cipher.exe /d /s:<path_to_directory>Descifre un único archivo o todos los archivos del directorio especificado, pero no los subdirectorios:
cipher.exe /d <path_to_file_or_directory>
Importante
Una vez que un usuario selecciona descifrar manualmente un archivo, el usuario no puede volver a proteger el archivo manualmente mediante el cifrado de datos personales.