从 Windows 11 版本 22H2 开始，个人数据加密 (PDE) 是一项安全功能，可为 Windows 提供更多加密功能。

PDE 与 BitLocker 不同，因为它加密单个文件和内容，而不是整个卷和磁盘。 除其他加密方法（如 BitLocker）外，还会有 PDE。

PDE 利用 Windows Hello 企业版将数据加密密钥与用户凭据链接。 此功能可以最大程度地减少用户获取内容访问权限时必须记住的凭据数。 例如，将 BitLocker 与 PIN 配合使用时，用户需要进行两次身份验证 - 一次使用 BitLocker PIN，另一次使用 Windows 凭据。 用户需要记住两个不同的凭据。 使用 PDE 时，用户只需通过 Windows Hello 企业版输入一组凭据。

由于 PDE 利用 Windows Hello 企业版，因此 PDE 也是辅助功能，因为使用 Windows Hello 企业版时提供了辅助功能。

与在启动时释放数据加密密钥的 BitLocker 不同，在用户使用 Windows Hello 企业版登录之前，PDE 不会释放数据加密密钥。 用户只有在使用 Windows Hello 企业版登录到 Windows 后才能访问其受 PDE 保护的内容。 此外，PDE 还可以在设备锁定时放弃加密密钥。

注意

可以使用 MDM 策略启用 PDE。 可以使用 PDE API 指定要由 PDE 保护的内容。 Windows 中没有用于启用 PDE 或使用 PDE 保护内容的用户界面。

下表列出了支持个人数据加密 (PDE) 的 Windows 版本：

个人数据加密 (PDE) 许可证权利由以下许可证授予：

有关 Windows 许可的详细信息，请参阅 Windows 许可概述。

内核模式故障转储和实时转储已禁用

内核模式故障转储和实时转储可能会导致 PDE 用于保护内容的密钥泄露。 为了获得最大的安全性，请禁用内核模式故障转储和实时转储。 有关通过 Intune 禁用故障转储和实时转储的信息，请参阅禁用内核模式故障转储和实时转储。

Windows 错误报告 (WER) 已禁用/用户模式故障转储已禁用

禁用 Windows 错误报告可阻止用户模式故障转储。 用户模式故障转储可能会导致 PDE 用于保护内容的密钥泄露。 为了获得最大的安全性，请禁用用户模式故障转储。 有关通过 Intune 禁用故障转储的详细信息，请参阅禁用 Windows 错误报告 (WER)/用户模式故障转储。

休眠已禁用

休眠文件可能会导致 PDE 用于保护内容的密钥泄露。 为了获得最大的安全性，请禁用休眠。 有关通过 Intune 禁用故障转储的详细信息，请参阅禁用休眠。

“允许用户选择在从连接待机状态恢复时需要输入密码的时间”已禁用

如果未配置此策略，则已建立本地 Active Directory 联接的设备和工作组设备（包括已建立 Azure Active Directory 联接的设备）之间的结果会有所不同：

已建立本地 Active Directory 联接的设备：

用户无法更改在设备屏幕关闭后到唤醒设备时需要输入密码前这之间的时间长度。

屏幕关闭后，需要立即输入密码。

以上是所需结果，但建立本地 Active Directory 联接的设备不支持 PDE。

工作组设备（包括建立 Azure AD 联接的设备）：

连接待机设备的用户可以更改在设备屏幕关闭后到唤醒设备需要输入密码前这之间的时间长度。

在屏幕关闭但不需要输入密码期间，PDE 用于保护内容的密钥可能会泄露。 此结果不是想要的结果。

鉴于这种不理想的结果，建议在建立 Azure AD 联接的设备上显式禁用此策略，而不是将其保留为默认值“未配置”。

有关通过 Intune 禁用此策略的信息，请参阅禁用允许用户选择在从连接待机状态恢复时需要输入密码的时间。

BitLocker 驱动器加密已启用

尽管 PDE 无需 BitLocker 也可工作，但建议同时启用 BitLocker。 PDE 旨在与 BitLocker 协同工作，以提高安全性。 PDE 不能替代 BitLocker。

Microsoft 365 中的 OneDrive 等备份解决方案

在某些情况下，例如 TPM 重置或破坏性 PIN 重置，PDE 用于保护内容的密钥将丢失。 在这种情况下，任何受 PDE 保护的内容将不再可访问。 恢复此类内容的唯一方法是从备份中恢复。

Windows Hello 企业版 PIN 重置服务

破坏性 PIN 重置将导致 PDE 用于保护内容的密钥丢失。 破坏性 PIN 重置将使受 PDE 保护的任何内容在发生破坏性 PIN 重置后变得不再可访问。 经过破坏性的 PIN 重置后，受 PDE 保护的内容需要从备份中恢复。 因此，建议使用 Windows Hello 企业版 PIN 重置服务，因为它提供非破坏性 PIN 重置。

Windows Hello 增强的登录安全性

通过生物识别或 PIN 使用 Windows Hello 企业版进行身份验证时可提供额外的安全性

PDE 使用具有 256 位密钥的 AES-CBC 来保护内容，并提供两个级别的保护。 保护级别根据组织需求确定。 可以通过 PDE API 设置这些级别。

使用 PDE 保护文件时，其图标将显示一个挂锁。 如果用户未使用 Windows Hello 企业版在本地登录，或者未经授权的用户尝试访问 PDE 保护的内容，则会被拒绝访问该内容。

在以下情景会拒绝用户访问 PDE 保护的内容：

若要在设备上启用 PDE，请使用以下参数将 MDM 策略推送到设备：

还有一个 PDE CSP 可用于支持它的 MDM 解决方案。

注意

在设备上启用 PDE 策略只会启用 PDE 功能。 它不保护任何内容。 若要通过 PDE 保护内容，请使用 PDE API。 PDE API 可用于创建自定义应用程序和脚本，以指定要保护的内容以及内容的保护级别。 此外，在启用 PDE 策略之前，无法使用 PDE API 来保护内容。

有关通过 Intune 启用 PDE 的信息，请参阅启用个人数据加密 (PDE)。

PDE 旨在与 BitLocker 协同工作。 PDE 不是 BitLocker 的替代品，BitLocker 也不是 PDE 的替代品。 与单独使用 BitLocker 或 PDE 相比，同时使用这两种功能可提供更好的安全性。 但是，BitLocker 和 PDE 之间以及它们的工作方式之间存在差异。 这些差异是将它们一起使用可提供更好的安全性的原因。

使用 PDE 与使用 EFS 保护文件之间的主要区别在于保护文件所用的方法。 PDE 使用 Windows Hello 企业版来保护用于保护文件的密钥。 EFS 使用证书来保护文件。

若要了解文件是受 PDE 保护还是受 EFS 保护，请执行以下操作：

对于 PDE 保护的文件，在“保护状态:”下，列出了一个项目“个人数据加密:”，其属性为“启用”。

对于 EFS 保护的文件，在“可以访问此文件的用户:”下，有权访问该文件的用户旁边会显示一个证书指纹。 底部还会有一个部分，标记为“按恢复策略定义的此文件的恢复证书:”。

可以使用 cipher.exe /c 命令获取加密信息，包括用于保护文件的加密方法。

启用 PDE 后，不建议将其禁用。 但如果确实需要禁用 PDE，可以通过如何启用 PDE 一节中所述的 MDM 策略执行此操作。 OMA-URI 的值需要从 1 更改为 0，如下所示：

禁用 PDE 不会解密任何 PDE 保护的内容。 它只会阻止 PDE API 保护任何附加内容。 可以使用以下步骤手动解密 PDE 保护的文件：

还可以使用 cipher.exe 解密 PDE 保护的文件。 在以下情况下，使用 cipher.exe 有助于解密文件：

要使用 cipher.exe 解密设备上的文件，请执行以下操作：

解密目录（包括子目录）下的所有文件：

解密指定目录中的单个文件或所有文件，但不包括任何子目录：

重要提示

用户选择手动解密文件后，将无法使用 PDE 再次手动保护文件。

某些 Windows 应用程序直接支持 PDE。 如果在设备上启用了 PDE，这些应用程序将利用 PDE。