تنفيذ Windows حماية البيانات واستخدامه

مكتمل

عند استخدام Windows حماية البيانات، تشفر البيانات التنظيمية تلقائيا عند تنزيل البيانات أو فتحها على جهاز محلي. يحمي التشفير بيانات الملف ويربط البيانات بهوية مؤسستك.

ثم تحدد نهج WIP التطبيقات الموثوق بها التي يمكنها استخدام تلك البيانات ومعالجتها. يمكن للتطبيقات المستنيرة مثل Word أو Microsoft Excel العمل مع البيانات التنظيمية والشخصية. عند إنشاء نهج WIP، يمكنك تعيين أربعة أوضاع لحماية WIP، والتي يسردها الجدول التالي، لإدارة هذا الوصول.

وضع ‏‏الوصف
حظر التجاوزات أو إخفاؤها يمنع الموظفين من تنفيذ إجراءات مشاركة البيانات عند حظرها بواسطة النهج. في بعض وثائق Microsoft، يشار إلى هذا باسم وضع إخفاء التجاوزات.
السماح بالتجاوزات يحذر الموظفين عندما يقومون بإجراء يحتمل أن يكون محفوفا بالمخاطر، ولكن يمكنهم اختيار إكمال الإجراء. يسجل الإجراء في سجل التدقيق.
دون مطالبة يعمل مثل وضع السماح بالتجاوزات، إلا أنه يسجل فقط أي إجراء يمكن للموظف تجاوزه في سجل التدقيق. لا يزال أي إجراء سيتم حظره محظورا.
إيقاف تشغيل تم إيقاف تشغيل WIP ولا يحمي البيانات.

إنشاء نهج WIP في Intune

عند إنشاء نهج في Intune، يمكنك تحديد التطبيقات المحمية، ومستوى الحماية المقدمة، وكيفية العثور على البيانات التنظيمية على شبكتك.

لإنشاء نهج WIP في Intune، قم بتنفيذ الخطوات التالية:

  1. سجل الدخول إلى مركز إدارة Microsoft Intune.
  2. انتقل إلى التطبيقات> حماية التطبيقات النهج.
  3. في جزء نهج حماية التطبيقات، حدد إضافة نهج، ثم قم بتعبئة الحقول التالية:
    • الاسم. أدخل اسمًا للسياسة.
    • الوصف. أدخل وصفا للنهج.
    • النظام الأساسي. حدد النظام الأساسي للنهج.
    • حالة التسجيل: اختر بدون تسجيل ل MAM أو مع التسجيل ل MDM.
  4. حدد التطبيقات المحمية ثم حدد إضافة تطبيقات. يمكنك إضافة هذه الأنواع من التطبيقات:
    • التطبيقات الموصى بها. هذه هي التطبيقات المستنيرة التي تعمل مع WIP.
    • تخزين التطبيقات. هذه هي التطبيقات المتوفرة من Microsoft Store.
    • تطبيقات سطح المكتب. هذه تطبيقات سطح مكتب Windows موقعة. يرجى ملاحظة أن التطبيق قد يرجع أخطاء رفض الوصول بعد إزالته من قائمة التطبيقات المحمية. بدلا من إزالته من القائمة، يجب إلغاء تثبيت التطبيق وإعادة تثبيته أو إعفائه من نهج WIP.

التطبيقات المسموح بها والإعفاء منها

تختلف عملية إضافة قاعدة تطبيق قليلا استنادا إلى نوع قالب القاعدة الذي تستخدمه. قوالب القواعد هي:

  • التطبيق الموصى به. التطبيقات الموصى بها هي تطبيقات مستنيرة تعمل مع WIP.
  • تطبيق المتجر. هذا للتطبيقات المتوفرة من Microsoft Store.
  • تطبيق سطح المكتب. هذا لتطبيقات سطح مكتب Windows الموقعة.

للحصول على معلومات مفصلة حول كيفية إضافة كل نوع من التطبيقات إلى قائمة التطبيقات المسموح بها، راجع موضوع "إضافة تطبيقات إلى قائمة التطبيقات المسموح بها" في نهج "إنشاء نهج حماية البيانات Windows (WIP) باستخدام MDM باستخدام مركز إدارة نقاط النهاية.

بعد إضافة التطبيقات التي تخطط لحمايتها، ستحتاج إلى اتخاذ قرار بشأن وضع الحماية الذي تريد استخدامه. عند إنشاء النهج والتحقق منها مع مجموعة من مستخدمي الاختبار، ضع في اعتبارك أفضل الممارسات لاستخدام وضع التجاوز الصامت أو السماح قبل استخدام وضع الحظر. عند القيام بذلك، يمكنك التأكد من أن هذه هي التطبيقات الصحيحة الموجودة في قائمة التطبيقات المسموح بها.

هوية الشركة

تحدد هوية شركتك البيانات التنظيمية من التطبيقات التي تحميها باستخدام WIP. على سبيل المثال، سيتم تحديد رسائل البريد الإلكتروني الواردة من مجال مؤسستك على أنها مؤسسة، وسيتم تطبيق نهج WIP. لهذا السبب، عادة ما تريد إضافة جميع المجالات التي ترسل منها رسائل البريد الإلكتروني.

يمكنك إضافة هوية الشركة عن طريق كتابة اسم المجال أو أسماء المجالات المتعددة مفصولة بحرف توجيه (|) في حقل هوية الشركة.

محيط الشبكة

يجب أن تعرف WIP أين يمكن للتطبيقات العثور على البيانات التنظيمية والوصول إليها على شبكتك، والمعروفة أيضا بحد الشبكة. لا توجد مجموعة افتراضية من المواقع أو طريقة تلقائية لتعريف هذه المواقع. يجب إضافتها إلى نهج WIP الخاصة بك، ويمكنك إضافة العديد من المواقع كما تحتاج.

عند إضافة تعريف حد الشبكة، يمكنك اختيار نوع الحد؛ بناء على هذا الاختيار، يمكنك توفير التعريف بتنسيق معين. يمكنك أيضا تكوين النهج لإخبار Windows إذا كانت بعض قوائم الحدود، مثل قوائم الخوادم الوكيلة أو عناوين IP، نهائية أو إذا كان البحث عن خوادم أخرى أو عناوين IP على شبكتك مسموحا به.

يصف الجدول التالي خيارات نوع الحدود المختلفة.

عنصر الشبكة ‏‏الوصف
موارد السحابة يحدد عناوين URL للموارد أو التطبيقات المستندة إلى السحابة مثل SharePoint Online أو Microsoft Visual Studio Codespace التي يجب التعامل معها على أنها تحتوي على بيانات تنظيمية. يمكنك إجراء إدخالات متعددة باستخدام تنسيق URL1|URL2.
المجالات المحمية تعريف لاحقات DNS للمجالات التي يجب التعامل معها على أنها محمية. يسمح بإدخالات متعددة باستخدام تنسيق domainname1,domainname2; على سبيل المثال، corp.adatum.com،sales.adatum.com.
مجالات الشبكة تعريف لاحقات DNS المستخدمة داخل البيئة الخاصة بك. يسمح بإدخالات متعددة باستخدام تنسيق domainname1,domainname2; على سبيل المثال، corp.adatum.com،sales.adatum.com.
خوادم الوكيل تحديد عناوين ومنافذ الخادم الوكيل الخارجية حيث يجب أن تحمي WIP نسبة استخدام الشبكة. على سبيل المثال، proxy.adatum.com:80؛ proxy2.adatum.com:137.
خوادم الوكيل الداخلية تحديد خوادم الوكيل التي تستخدمها الأجهزة للوصول إلى الموارد المستندة إلى السحابة. يستخدم نفس تنسيق خوادم وكيل المؤسسة.
نطاقات IPv4 يحدد نطاق عناوين بروتوكول الإنترنت 4 (IPv4) المستخدمة في شبكتك. أدخل باستخدام تنسيق startingaddress-endingaddress، مع نطاقات متعددة مفصولة بفواصل. عنصر الشبكة هذا مطلوب إذا لم تحدد نطاق بروتوكول إنترنت للمؤسسة الإصدار 6 (IPv6).
نطاقات IPv6 تحديد نطاق عناوين IPv6 المستخدمة في شبكتك. عنصر الشبكة هذا مطلوب إذا لم تحدد نطاقات IPv4 للمؤسسة، ويستخدم نفس تنسيق IPv4.
موارد محايدة تحديد نقاط نهاية إعادة توجيه المصادقة لشركتك، مثل نقاط النهاية خدمات الأمان المشترك لـ Active Directory. أدخل باستخدام تنسيق URL1|URL2.

شهادة عامل استرداد البيانات (DRA)

كما هو موضح سابقا، ستقوم WIP بتشفير بيانات المؤسسة عندما تكون على محركات الأقراص المحلية. إذا تم فقدان مفتاح التشفير أو إبطاله، فلا يمكنك استرداد البيانات. بإضافة شهادة DRA، يمكنك توفير مفتاح عام يقوم بتشفير البيانات المحلية، مما سيسمح لك بإلغاء تشفير تلك البيانات لاحقا إذا لزم الأمر.

إذا لم يكن لديك بالفعل شهادة DRA لنظام تشفير الملفات (EFS)، فستحتاج إلى إنشاء شهادة وتحميلها إلى نهجك قبل أن تتمكن من نشرها.

لمزيد من المعلومات، راجع إنشاء شهادة عامل استرداد البيانات (DFA) لنظام تشفير الملفات (EFS) والتحقق منها.

يمكنك أيضا تكوين إعدادات نهج WIP الأخرى هذه:

  • إبطال مفاتيح التشفير عند إلغاء التسجيل. لا يمكن للمستخدمين الوصول إلى البيانات التنظيمية المشفرة عند إلغاء تسجيل جهاز من Intune.
  • إظهار تراكب أيقونة حماية البيانات Windows. تحديد ما إذا كانت أيقونة WIP تراكب الملفات في مستكشف الملفات أو في طريقة العرض حفظ باسم.
  • استخدم Azure RMS ل WIP. تحديد ما إذا كان سيتم استخدام تشفير Azure RMS ل WIP. يجب أن يكون لديك Azure RMS.
  • استخدم Windows Hello للأعمال كطريقة لتسجيل الدخول إلى Windows. تحديد ما إذا كان بإمكان المستخدمين استخدام Windows Hello لتسجيل الدخول إلى أجهزتهم وقواعد استخدام Windows Hello.