Implementieren und Verwenden von Windows Information Protection
Wenn Sie Windows Information Protection verwenden, werden Organisationsdaten automatisch verschlüsselt, wenn Daten auf ein lokales Gerät heruntergeladen oder geöffnet werden. Die Verschlüsselung schützt die Dateidaten und ordnet die Daten Ihrer Unternehmensidentität zu.
WIP-Richtlinien geben dann an, welche vertrauenswürdigen Apps diese Daten verwenden und bearbeiten können. WIP-fähige Apps wie Word oder Microsoft Excel können mit organisations- und personenbezogenen Daten arbeiten. Beim Erstellen von WIP-Richtlinien können Sie vier WIP-Schutzmodi festlegen, die in der folgenden Tabelle aufgeführt sind, um diesen Zugriff zu verwalten.
| Mode | BESCHREIBUNG |
|---|---|
| Blockieren oder Ausblenden von Außerkraftsetzungen | Verhindert, dass Mitarbeiter Datenfreigabeaktionen ausführen, wenn sie durch die Richtlinie blockiert sind. In einigen Microsoft-Dokumentationen wird dies als Ausblendemodus von Außerkraftsetzungen bezeichnet. |
| Zulassen von Außerkraftsetzungen | Warnt Mitarbeiter, wenn sie eine potenziell riskante Aktion ausführen, ihnen bleibt aber die Möglichkeit, die Aktion abzuschließen. Die Aktion wird im Überwachungsprotokoll aufgezeichnet. |
| Automatisch | Funktioniert wie der Modus „Außerkraftsetzungen zulassen“, mit dem Unterschied, dass nur die Aktionen im Überwachungsprotokoll aufgezeichnet werden, die ein Mitarbeiter überschreiben kann. Alle Aktionen, die blockiert werden sollen, werden weiterhin blockiert. |
| Aus | WIP ist deaktiviert und schützt keine Daten aktiv. |
Erstellen einer WIP-Richtlinie in Intune
Wenn Sie Richtlinien in Intune erstellen, können Sie definieren, welche Apps geschützt werden, welche Schutzebene bereitgestellt wird und wie Sie Organisationsdaten in Ihrem Netzwerk finden.
Führen Sie die folgenden Schritte aus, um eine WIP-Richtlinie in Intune zu erstellen:
- Melden Sie sich beim Microsoft Intune Admin Center an.
- Navigieren Sie zu App-Schutzrichtlinien> für Apps.
- Wählen Sie im Bereich App-Schutzrichtlinien die Option Richtlinie hinzufügen aus, und füllen Sie dann die folgenden Felder aus:
- Name: Geben Sie einen Namen für die Richtlinie ein.
- Beschreibung: Geben Sie eine Beschreibung der Richtlinie ein.
- Plattform. Wählen Sie die Plattform für die Richtlinie aus.
- Registrierungsstatus: Wählen Sie Ohne Registrierung für MAM oder Mit Registrierung für MDM.
- Wählen Sie Geschützte Apps und dann Apps hinzufügen aus. Sie können diese Arten von Apps hinzufügen:
- Empfohlene Apps. Dies sind optimierte Apps, die mit WIP funktionieren.
- Store-Apps. Dies sind Apps, die im Microsoft Store verfügbar sind.
- Desktop-Apps. Diese sind signierte Windows-Desktop-Apps. Beachten Sie, dass eine Anwendung möglicherweise Fehler zurückgibt, die verweigert wurden, nachdem sie aus der Liste der geschützten Apps entfernt wurden. Anstatt sie aus der Liste zu entfernen, sollten Sie die Anwendung deinstallieren und erneut installieren oder von der WIP-Richtlinie ausgenommen werden.
Zulässige und ausgenommene Apps
Der Prozess zum Hinzufügen einer App-Regel unterscheidet sich geringfügig je nach Typ der von Ihnen verwendeten Regelvorlage. Diese Regelvorlagen stehen zur Verfügung:
- Empfohlene App. Empfohlene Apps sind WIP-fähige Apps, die mit WIP funktionieren.
- Store-App. Dies gilt für Apps, die im Microsoft Store verfügbar sind.
- Desktop-App. Dies gilt für signierte Windows-Desktop-Apps.
Ausführliche Informationen zum Hinzufügen der einzelnen App-Typen zur Liste der zulässigen Apps finden Sie im Thema „Hinzufügen von Apps zur Liste zulässiger Apps“ unter „Erstellen einer Windows Information Protection-Richtlinie (WIP) mit MDM mithilfe des Endpoint Manager Admin Centers“.
Nachdem Sie die zu schützenden Apps hinzugefügt haben, müssen Sie sich für den Schutzmodus entscheiden, den Sie verwenden möchten. Beim Erstellen und Überprüfen Ihrer Richtlinien mit einer Gruppe von Testbenutzern sollten Sie die bewährte Methode in Betracht ziehen, den Außerkraftsetzungsmodus „Automatisch“ oder „Zulassen“ zu verwenden, bevor Sie sich für den Blockiermodus entscheiden. Auf diese Weise können Sie bestätigen, dass in Ihrer Liste der zulässigen Apps die richtigen Apps enthalten sind.
Unternehmensidentität
Ihre Unternehmensidentität identifiziert Organisationsdaten aus Apps, die Sie mit WIP schützen. Beispielsweise werden E-Mails, die aus Ihrer Organisationsdomäne stammen, als von der Organisation stammend identifiziert, und die WIP-Richtlinien werden angewendet. Aus diesem Grund ist es in der Regel sinnvoll, alle Domänen hinzuzufügen, von denen Sie E-Mails senden.
Sie fügen Ihre Unternehmensidentität hinzu, indem Sie Ihren Domänennamen oder mehrere Domänennamen durch das Pipesymbol (|) getrennt im Feld „Unternehmensidentität“ eingeben.
Netzwerkumkreis
WIP muss wissen, wo die Apps Organisationsdaten in Ihrem Netzwerk finden und darauf zugreifen können. Dies wird auch als Netzwerkgrenze bezeichnet. Es gibt weder eine Vorgabe für Speicherorte noch Möglichkeiten, diese Speicherorte automatisch festzulegen. Sie müssen sie Ihren WIP-Richtlinien hinzufügen, wobei Sie beliebig viele Speicherorte hinzufügen können.
Wenn Sie eine Netzwerkbegrenzungsdefinition hinzufügen, wählen Sie den Typ der Grenze aus und geben dann auf der Grundlage dieser Auswahl die Definition in einem bestimmten Format an. Darüber hinaus können Sie die Richtlinie dafür konfigurieren, Windows zu informieren, ob einige Begrenzungslisten, wie etwa die Listen der Proxyserver oder IP-Adressen, Definitionskraft haben oder ob die Suche nach weiteren Servern oder IP-Adressen in Ihrem Netzwerk zulässig ist.
In der folgenden Tabelle werden die verschiedenen Optionen für den Begrenzungstyp beschrieben.
| Netzwerkelement | BESCHREIBUNG |
|---|---|
| Cloudressourcen | Gibt URLs für cloudbasierte Ressourcen oder Anwendungen wie SharePoint Online oder Microsoft Visual Studio Codespace an, die als organisationsbezogene Daten enthaltend behandelt werden sollen. Sie können mehrere Einträge erstellen, indem Sie das Format URL1|URL2 verwenden. |
| Geschützte Domänen | Definiert DNS-Suffixe für Domänen, die als geschützt behandelt werden sollen. Mehrere Einträge sind zulässig, wenn das Format „domaenenname1,domaenenname2“ verwendet wird; Beispiel: corp.adatum.com,sales.adatum.com. |
| Netzwerkdomänen | Definiert die DNS-Suffixe, die in Ihrer Umgebung verwendet werden. Mehrere Einträge sind zulässig, wenn das Format „domaenenname1,domaenenname2“ verwendet wird; Beispiel: corp.adatum.com,sales.adatum.com. |
| Proxyserver | Gibt die Adressen und Ports des extern zugänglichen Proxyservers an, an denen WIP den Datenverkehr schützen soll. Beispiel: proxy.adatum.com:80;proxy2.adatum.com:137. |
| Interne Proxyserver | Gibt Proxyserver an, die Geräte verwenden, um cloudbasierte Ressourcen zu erreichen. Verwendet das gleiche Format wie Unternehmensproxyserver. |
| IPv4-Bereiche | Gibt den Bereich der IPv4-Adressen (Internet Protocol Version 4) an, die in Ihrem Netzwerk verwendet werden. Machen Sie die Eingabe im Format startingaddress-endingaddress, und trennen Sie mehrere Bereiche dabei durch Kommas. Dieses Netzwerkelement ist erforderlich, wenn Sie keinen IPv6-Bereich (Enterprise Internet Protocol Version 6) angeben. |
| IPv6-Bereiche | Gibt den Bereich der IPv6-Adressen an, die in Ihrem Netzwerk verwendet werden. Dieses Netzwerkelement ist erforderlich, wenn Sie keine IPv4-Unternehmensbereiche angeben, und es verwendet das gleiche Format wie IPv4. |
| Neutrale Ressourcen | Gibt Endpunkte für die Authentifizierungsumleitung für Ihr Unternehmen an, z. B. Endpunkte der Active Directory-Verbunddienste (AD FS). Nehmen Sie die Eingabe im Format URL1|URL2 vor. |
DRA-Zertifikat (Data Recovery Agent)
Wie bereits beschrieben, verschlüsselt WIP Unternehmensdaten, wenn sie sich auf lokalen Laufwerken befinden. Wenn der Verschlüsselungsschlüssel verloren geht oder widerrufen wird, können Sie die Daten nicht wiederherstellen. Durch Hinzufügen eines DRA-Zertifikats stellen Sie einen öffentlichen Schlüssel bereit, der zur Verschlüsselung der lokalen Daten dient, was Ihnen die Möglichkeit gibt, diese Daten später bei Bedarf wieder zu entschlüsseln.
Wenn Sie noch nicht über ein EFS-DRA-Zertifikat (Encrypting File System) verfügen, müssen Sie eins erstellen und es in Ihre Richtlinie hochladen, bevor Sie sie bereitstellen können.
Weitere Informationen finden Sie unter Erstellen und Überprüfen eines EFS-Zertifikats (Encrypting File System) für den Datenwiederherstellungs-Agent (DFA).
Optionale WIP-bezogene Einstellungen
Sie können außerdem die folgenden anderen WIP-Richtlinieneinstellungen konfigurieren:
- Beim Aufheben der Registrierung Verschlüsselungsschlüssel widerrufen. Benutzer können nicht auf verschlüsselte Organisationsdaten zugreifen, wenn die Registrierung eines Geräts bei Intune aufgehoben wird.
- WIP-Symbolüberlagerung (Windows Information Protection) anzeigen. Bestimmt, ob das WIP-Symbol Dateien in Explorer oder in der Ansicht „Speichern unter“ überlagert.
- Verwenden der Einstellung „Azure RMS für WIP“. Bestimmt, ob für WIP die Azure RMS-Verschlüsselung verwendet wird. Muss über Azure RMS verfügen.
- Windows Hello for Business als Methode für die Anmeldung bei Windows verwenden. Bestimmt, ob Benutzer Windows Hello verwenden können, um sich bei ihrem Gerät anzumelden, und legt die Regeln für die Verwendung von Windows Hello fest.