Windows Information Protection implementieren und verwenden

Abgeschlossen

Wenn Sie Windows Information Protection verwenden, werden Organisationsdaten automatisch verschlüsselt, wenn Daten auf ein lokales Gerät heruntergeladen oder auf einem lokalen Gerät geöffnet werden. Verschlüsselung schützt die Dateidaten und ordnet die Daten Ihrer Unternehmensidentität zu.

WIP-Richtlinien geben dann an, welche vertrauenswürdigen Apps diese Daten verwenden und bearbeiten können. Optimierte Apps wie Word oder Microsoft Excel können mit Organisations- und personenbezogenen Daten arbeiten. Beim Erstellen von WIP-Richtlinien können Sie vier WIP-Schutzmodi festlegen, die in der folgenden Tabelle aufgeführt sind, um diesen Zugriff zu verwalten.

Mode

Beschreibung

Außerkraftsetzungen blockieren oder ausblenden

Verhindert, dass Mitarbeiter Datenfreigabeaktionen ausführen, wenn sie durch die Richtlinie blockiert werden. In einigen Microsoft-Dokumentationen wird dies als Außerkraftsetzung ausblenden-Modus bezeichnet.

Außerkraftsetzungen zulassen

Warnt Mitarbeiter, wenn sie eine potenziell riskante Aktion ausführen, aber sie können sich entscheiden, die Aktion abzuschließen. Die Aktion wird im Überwachungsprotokoll erfasst.

Automatisch

Funktioniert wie der Modus Außerkraftsetzung zulassen, mit der Ausnahme, dass nur Aktionen aufgezeichnet werden, die ein Mitarbeiter im Überwachungsprotokoll außer Kraft setzen kann. Aktionen, die blockiert werden würden, werden weiterhin blockiert.

Aus

WIP ist deaktiviert und schützt keine Daten.

Erstellen einer WIP-Richtlinie in Intune

Wenn Sie Richtlinien in Intune erstellen, können Sie definieren, welche Apps geschützt werden, welche Schutzebene bereitgestellt wird und wie Organisationsdaten in Ihrem Netzwerk gefunden werden.

Führen Sie die folgenden Schritte durch, um eine WIP-Richtlinie in Intune zu erstellen:

1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.
2. Wählen Sie Apps>App-Schutzrichtlinien aus.
3. Wählen Sie Richtlinie hinzufügen aus, und geben Sie einen Namen für die Richtlinie ein.
4. Wählen Sie als Plattform Windows 10 und höher aus.
5. Wählen Sie als Registrierungsstatus Mit Registrierung aus.
6. Fügen Sie geschützte Apps hinzu.
7. Fügen Sie alle ausgenommenen Apps hinzu.
8. Wählen Sie im Blatt „Erforderliche Einstellungen“ den Modus Windows Information Protection aus, und legen Sie dann Ihre Unternehmensidentität fest.
9. Definieren Sie im Blatt „Erweiterte Einstellungen“ Ihren Netzwerkperimeter, indem Sie Netzwerkgrenzen hinzufügen, die definieren, wo Apps Unternehmensdaten finden und senden können.
10. Laden Sie das Datenwiederherstellungs-Agent- (DRA-)Zertifikat hoch.
11. Wählen Sie andere WIP-Einstellungen aus, z. B. ob Azure RM mit WIP zugelassen werden soll.
12. Wählen Sie OK aus, und wählen Sie dann Erstellen aus.

Zulässige und ausgenommene Apps

Der Vorgang zum Hinzufügen einer App-Regel variiert geringfügig je nach Typ der von Ihnen verwendeten Regelvorlage. Die Regelvorlagen sind:

• Empfohlene App. Empfohlene Apps sind optimierte Apps, die mit WIP funktionieren.
• Store-App. Dies gilt für Apps, die über Microsoft Store verfügbar sind.
• Desktop-App. Dies gilt für signierte Windows Desktop-Apps.

Ausführliche Informationen zum Hinzufügen der einzelnen App-Typen zur Liste der zulässigen Apps finden Sie im Thema „Hinzufügen von Apps zur Liste zugelassener Apps“ unter „Erstellen einer Windows Information Protection-Richtlinie (WIP) mit MDM mithilfe des Endpoint Manager Admin Centers“.

Nachdem Sie die Apps hinzugefügt haben, die Sie schützen möchten, müssen Sie sich für den Schutzmodus entscheiden, den Sie verwenden möchten. Berücksichtigen Sie beim Erstellen und Überprüfen Ihrer Richtlinien mit einer Gruppe von Testbenutzern die bewährte Methode, den Modus „Automatisch“ oder „Außerkraftsetzungen zulassen“ zu verwenden, bevor Sie den Modus „Blockieren“ verwenden. Auf diese Weise können Sie bestätigen, dass dies die richtigen Apps sind, die in Ihrer Liste zugelassener Apps enthalten sind.

Unternehmensidentität

Ihre Unternehmensidentität identifiziert Organisationsdaten aus Apps, die Sie mit WIP schützen. Beispielsweise würden E-Mails, die von Ihrer Organisationsdomäne stammen, als organisationsbezogen identifiziert, und die WIP-Richtlinien werden angewendet. Aus diesem Grund möchten Sie in der Regel alle Domänen hinzufügen, aus denen Sie E-Mails senden.

Sie fügen Ihre Unternehmensidentität hinzu, indem Sie Ihren Domänennamen oder mehrere Domänennamen durch das Pipezeichen (|) getrennt im Feld Unternehmensidentität eingeben.

Netzwerkperimeter

WIP muss wissen, wo die Apps Organisationsdaten in Ihrem Netzwerk finden und darauf zugreifen können, auch bekannt als Netzwerkgrenze. Es gibt keinen Standardsatz von Speicherorten oder eine automatische Möglichkeit, diese Speicherorte zu definieren. Sie müssen sie Ihren WIP-Richtlinien hinzufügen, und Sie können beliebig viele Speicherorte hinzufügen.

Wenn Sie eine Netzwerkgrenzendefinition hinzufügen, wählen Sie den Typ der Grenze aus. Basierend auf dieser Auswahl stellen Sie die Definition in einem bestimmten Format bereit. Sie können die Richtlinie auch so konfigurieren, dass Windows informiert wird, ob einige Grenzlisten, z. B. die Listen der Proxyserver oder IP-Adressen, endgültig sind oder ob die Suche nach weiteren Servern oder IP-Adressen in Ihrem Netzwerk zulässig ist.

In der folgenden Tabelle werden die verschiedenen Begrenzungstypoptionen beschrieben.

Netzwerkelement

Beschreibung

Cloudressourcen

Gibt URLs für cloudbasierte Ressourcen oder Anwendungen wie SharePoint Online oder Microsoft Visual Studio Codespace an, die so behandelt werden sollten, dass sie Organisationsdaten enthalten. Sie können mehrere Einträge mithilfe des Formats URL1|URL2 erstellen.

Geschützte Domains

Definiert DNS-Suffixe für Domänen, die als geschützt behandelt werden sollen. Mehrere Einträge sind mithilfe des Formats domainname1,domainname2 zulässig; z. B. corp.adatum.com,sales.adatum.com.

Netzwerkdomänen

Definiert die DNS-Suffixe, die in Ihrer Umgebung verwendet werden. Mehrere Einträge sind mithilfe des Formats domainname1,domainname2 zulässig; z. B. corp.adatum.com,sales.adatum.com.

Proxyserver

Gibt extern ausgerichtete Proxyserveradressen und Ports an, bei denen WIP den Datenverkehr schützen soll. Beispiel: proxy.adatum.com:80;proxy2.adatum.com:137.

Interne Proxyserver

Gibt Proxyserver an, die Geräte verwenden, um cloudbasierte Ressourcen zu erreichen. Verwendet das gleiche Format wie bei Unternehmensproxyservern.

IPv4-Bereiche

Gibt den Bereich der Internetprotokoll Version 4- (IPv4-)Adressen an, die in Ihrem Netzwerk verwendet werden. Geben Sie die Adresse mithilfe des Formats startadresse-endadresse ein, wobei mehrere Bereiche durch Kommas getrennt werden. Dieses Netzwerkelement ist erforderlich, wenn Sie keinen Internetprotokoll, Version 6- (IPv6-)Unternehmensbereich angeben.

IPv6-Bereiche

Gibt den Bereich der IPv6-Adressen an, die in Ihrem Netzwerk verwendet werden. Dieses Netzwerkelement ist erforderlich, wenn Sie keine Unternehmens-IPv4-Bereiche angeben, und es verwendet dasselbe Format wie IPv4.

Neutrale Ressourcen

Gibt Authentifizierungsumleitungsendpunkte für Ihr Unternehmen an, z. B. Active Directory Federation Services-(AD FS-)Endpunkte. Die Eingabe erfolgt im Format URL1|URL2.

Datenwiederherstellungs-Agent-(DRA-)Zertifikat

Wie zuvor beschrieben verschlüsselt WIP Unternehmensdaten, wenn sie sich auf lokalen Laufwerken befindet. Wenn der Verschlüsselungsschlüssel verloren geht oder widerrufen wird, können Sie die Daten nicht wiederherstellen. Durch Hinzufügen eines DRA-Zertifikats stellen Sie einen öffentlichen Schlüssel bereit, der die lokalen Daten verschlüsselt, und er ermöglicht Ihnen, diese Daten später bei Bedarf wieder zu entschlüsseln.

Wenn Sie noch nicht über ein verschlüsseltes Dateisystem- (EFS-)DRA-Zertifikat verfügen, müssen Sie eines erstellen und in Ihre Richtlinie hochladen, bevor Sie es bereitstellen können.

Weitere Informationen finden Sie unter Erstellen und Überprüfen eines DRA-Zertifikats (Data Recovery Agent, Datenwiederherstellungs-Agent) des verschlüsselnden Dateisystems (Encrypting File System, EFS).

Optionale WIP-bezogene Einstellungen

Sie können auch diese zusätzlichen WIP-Richtlinieneinstellungen konfigurieren:

• Beim Aufheben der Registrierung Verschlüsselungsschlüssel widerrufen. Benutzer können nicht auf verschlüsselte Organisationsdaten zugreifen, wenn die Registrierung eines Geräts von Intune aufgehoben wird.
• Windows Information Protection-Symbolüberlagerung anzeigen. Legt fest, ob bei Dateien im Explorer oder in der Ansicht „Speichern unter“ die WIP-Symbolüberlagerungen angezeigt werden soll.
• Azure RMS für WIP verwenden. Legt fest, ob die Azure RMS-Verschlüsselung für WIP verwendet wird. Muss über Azure RMS verfügen.
• Windows Hello for Business als Methode für die Anmeldung bei Windows verwenden. Legt fest, ob Benutzer Windows Hello verwenden können, um sich an ihrem Gerät anzumelden und die Regeln für die Verwendung von Windows Hello.