EnterpriseDataProtection CSP

En la tabla siguiente se muestra la aplicabilidad de Windows:

Edición	Windows 10	Windows 11
Inicio	Sí	Sí
Pro	Sí	Sí
Windows SE	No	Sí
Negocios	Sí	Sí
Empresa	Sí	Sí
Educación	Sí	Sí

El proveedor de servicios de configuración (CSP) EnterpriseDataProtection se usa para configurar los valores de Windows Information Protection (WIP), anteriormente conocido como Enterprise Data Protection. Para obtener más información sobre WIP, consulte Protección de los datos empresariales mediante Windows Information Protection (WIP).

Nota

A partir de julio de 2022, Microsoft está desusando Windows Information Protection (WIP) y las API que admiten WIP. Microsoft seguirá admitiendo WIP en las versiones compatibles de Windows. Las nuevas versiones de Windows no incluirán nuevas funcionalidades para WIP y no se admitirán en versiones futuras de Windows. Para obtener más información, vea Anuncio de la puesta del sol de Windows Information Protection.

Para sus necesidades de protección de datos, Microsoft recomienda usar Microsoft Purview Information Protection y Prevención de pérdida de datos de Microsoft Purview. Purview simplifica la configuración y proporciona un conjunto avanzado de funcionalidades.

Nota

Para que Windows Information Protection funcione, también deben configurarse el CSP de AppLocker y la configuración específica del aislamiento de red. Para obtener más información, vea CSP de AppLocker y Directivas de networkIsolation en CSP de directivas.

Aunque Windows Information Protection no tiene ninguna dependencia rígida de VPN, para obtener mejores resultados, primero debe configurar los perfiles de VPN antes de configurar las directivas de WIP. Para obtener recomendaciones de procedimientos recomendados de VPN, consulte CSP de VPNv2.

Para obtener más información sobre Windows Information Protection, consulte los artículos siguientes:

• Crear una directiva de Windows Information Protection (WIP)
• Instrucciones generales y procedimientos recomendados para Windows Information Protection (WIP)

En el ejemplo siguiente se muestra el CSP EnterpriseDataProtection en formato de árbol.

./Device/Vendor/MSFT
EnterpriseDataProtection
----Settings
--------EDPEnforcementLevel
--------EnterpriseProtectedDomainNames
--------AllowUserDecryption
--------DataRecoveryCertificate
--------RevokeOnUnenroll
--------RMSTemplateIDForEDP
--------AllowAzureRMSForEDP
--------EDPShowIcons
----Status

./Device/Vendor/MSFT/EnterpriseDataProtection Nodo raíz del CSP.

Configuración El nodo raíz de la configuración de Windows Information Protection (WIP).

Settings/EDPEnforcementLevel Establezca el nivel de cumplimiento de WIP.

Nota

Establecer este valor no es suficiente para habilitar Windows Information Protection en el dispositivo. Los intentos de cambiar este valor producirán un error cuando se ejecute la limpieza de WIP.

La siguiente lista muestra los valores permitidos:

• 0 (valor predeterminado): desactivado o sin protección (descifra los datos protegidos previamente).
• 1– Modo silencioso (solo cifrar y auditar).
• 2: permitir el modo de invalidación (cifrar, solicitar y permitir invalidaciones y auditoría).
• 3: oculta las invalidaciones (cifrar, preguntar, ocultar invalidaciones y auditoría).

Las operaciones admitidas son Agregar, Obtener, Reemplazar y Eliminar. El tipo de valor es entero.

Configuración/EnterpriseProtectedDomainNames Lista de dominios utilizados por la empresa para sus identidades de usuario separadas por canalizaciones ("|"). El primer dominio de la lista debe ser el identificador de empresa principal, es decir, el que representa la autoridad de administración para Windows Information Protection. Las identidades de los usuario de uno de estos dominios se consideran cuentas administradas por la empresa y los datos asociados con ellas deben protegerse. Por ejemplo, se espera que los dominios de todas las cuentas de correo electrónico propiedad de la empresa aparezcan en esta lista. Los intentos de cambiar este valor producirán un error cuando se ejecute la limpieza de WIP.

No se admite el cambio del identificador de empresa principal y puede provocar un comportamiento inesperado en el cliente.

Nota

El cliente requiere que el nombre de dominio sea canónico; de lo contrario, el cliente rechazará la configuración.

Estos son los pasos para crear nombres de dominio canónicos:

1. Transforme los caracteres ASCII (solo A-Z) en minúsculas. Por ejemplo, Microsoft.COM :> microsoft.com.
2. Llame a IdnToAscii con IDN_USE_STD3_ASCII_RULES como marcas.
3. Llame a IdnToUnicode sin establecer marcas (dwFlags = 0).

Las operaciones admitidas son Agregar, Obtener, Reemplazar y Eliminar. El tipo de valor es cadena.

Configuración/AllowUserDecryption Permite al usuario descifrar archivos. Si se establece en 0 (no permitido), el usuario no podrá quitar la protección del contenido empresarial a través del sistema operativo ni de las experiencias del usuario de la aplicación.

Importante

A partir de Windows 10, versión 1703, AllowUserDecryption ya no se admite.

La siguiente lista muestra los valores permitidos:

• 0: No admitido.
• 1: (valor predeterminado): permitido.

El valor de mayor restricción es 0.

Las operaciones admitidas son Agregar, Obtener, Reemplazar y Eliminar. El tipo de valor es entero.

Configuración/DataRecoveryCertificate Especifica un certificado de recuperación que se puede usar para la recuperación de datos de archivos cifrados. Este certificado es el mismo que el certificado del agente de recuperación de datos (DRA) para cifrar el sistema de archivos (EFS), que solo se entrega a través de la administración de dispositivos móviles (MDM) en lugar de directiva de grupo.

Nota

Si se configuran esta directiva y la configuración de directiva de grupo correspondiente, se aplica la configuración de directiva de grupo.

La información dra de la directiva MDM debe ser un blob binario serializado idéntico a lo que esperamos de GP. El blob binario es la versión serializada de la siguiente estructura:

//
//  Recovery Policy Data Structures
//

typedef struct _RECOVERY_POLICY_HEADER {
    USHORT      MajorRevision;
    USHORT      MinorRevision;
    ULONG       RecoveryKeyCount;
} RECOVERY_POLICY_HEADER, *PRECOVERY_POLICY_HEADER;

typedef struct _RECOVERY_POLICY_1_1    {
        RECOVERY_POLICY_HEADER  RecoveryPolicyHeader;
        RECOVERY_KEY_1_1        RecoveryKeyList[1];
}   RECOVERY_POLICY_1_1, *PRECOVERY_POLICY_1_1;

#define EFS_RECOVERY_POLICY_MAJOR_REVISION_1   (1)
#define EFS_RECOVERY_POLICY_MINOR_REVISION_0   (0)

#define EFS_RECOVERY_POLICY_MINOR_REVISION_1   (1)

///////////////////////////////////////////////////////////////////////////////
//                                                                            /
//  RECOVERY_KEY Data Structure                                               /
//                                                                            /
///////////////////////////////////////////////////////////////////////////////

//
// Current format of recovery data.
//

typedef struct _RECOVERY_KEY_1_1   {
        ULONG               TotalLength;
        EFS_PUBLIC_KEY_INFO PublicKeyInfo;
} RECOVERY_KEY_1_1, *PRECOVERY_KEY_1_1;


typedef struct _EFS_PUBLIC_KEY_INFO {

    //
    // The length of this entire structure, including string data
    // appended to the end. The length should be a multiple of 8 for
    // 64 bit alignment
    //

    ULONG Length;

    //
    // Sid of owner of the public key (regardless of format).
   // This field is to be treated as a hint only.
    //

    ULONG PossibleKeyOwner;

    //
    // Contains information describing how to interpret
    // the public key information
    //

    ULONG KeySourceTag;

    union {

        struct {

            //
            // The following fields contain offsets based at the
            // beginning of the structure.  Each offset is to
            // a NULL terminated WCHAR string.
            //

            ULONG ContainerName;
            ULONG ProviderName;

            //
            // The exported public key used to encrypt the FEK.
            // This field contains an offset from the beginning of the
            // structure.
            //

            ULONG PublicKeyBlob;

            //
            // Length of the PublicKeyBlob in bytes
            //

            ULONG PublicKeyBlobLength;

        } ContainerInfo;

        struct {

            ULONG CertificateLength;       // in bytes
            ULONG Certificate;             // offset from start of structure

        } CertificateInfo;


        struct {

            ULONG ThumbprintLength;        // in bytes
            ULONG CertHashData;            // offset from start of structure

        } CertificateThumbprint;
    };



} EFS_PUBLIC_KEY_INFO, *PEFS_PUBLIC_KEY_INFO;

//
// Possible KeyTag values
//

typedef enum _PUBLIC_KEY_SOURCE_TAG {
    EfsCryptoAPIContainer = 1,
    EfsCertificate,
    EfsCertificateThumbprint
} PUBLIC_KEY_SOURCE_TAG, *PPUBLIC_KEY_SOURCE_TAG;

Para EFSCertificate KeyTag, se espera que sea un certificado binario codificado en DER.

Las operaciones admitidas son Agregar, Obtener, Reemplazar y Eliminar. El tipo de valor es un certificado codificado en base 64.

Configuración/RevokeOnUnenroll Esta directiva controla si se revocan las claves de windows Information Protection cuando un dispositivo se anula la inscripción del servicio de administración. Si se establece en 0 (No revocar claves), las claves no se revocarán y el usuario seguirá teniendo acceso a los archivos protegidos después de anular la inscripción. Si no se revocan las claves, no habrá limpieza de archivos revocadas más adelante. Antes de enviar el comando de anulación de la inscripción, cuando desee que un dispositivo realice un borrado selectivo cuando no esté inscrito, debe establecer explícitamente esta directiva en 1.

La siguiente lista muestra los valores permitidos:

• 0: no revoque las claves.
• 1 (valor predeterminado): revoca las claves.

Las operaciones admitidas son Agregar, Obtener, Reemplazar y Eliminar. El tipo de valor es entero.

Configuración/RevokeOnMDMHandoff Se ha agregado en Windows 10, versión 1703. Esta directiva controla si se revocan las claves de windows Information Protection cuando un dispositivo se actualiza de la administración de aplicaciones móviles (MAM) a MDM. Si se establece en 0 (No revocar claves), las claves no se revocarán y el usuario seguirá teniendo acceso a los archivos protegidos después de la actualización. Esta configuración se recomienda si el servicio MDM está configurado con el mismo WIP EnterpriseID que el servicio MAM.

• 0: no revoque claves.
• 1 (valor predeterminado): revoca las claves.

Las operaciones admitidas son Agregar, Obtener, Reemplazar y Eliminar. El tipo de valor es entero.

Settings/RMSTemplateIDForEDP GUID de TemplateID que se usará para el cifrado de Rights Management Service (RMS). La plantilla RMS permite al administrador de TI configurar los detalles sobre quién tiene acceso al archivo protegido por RMS y cuánto tiempo tienen acceso.

Las operaciones admitidas son Agregar, Obtener, Reemplazar y Eliminar. El tipo de valor es string (GUID).

Configuración/PermitirAzureRMSForEDP Especifica si se va a permitir el cifrado de Azure RMS para Windows Information Protection.

• 0 (valor predeterminado): no use RMS.
• 1 : use RMS.

Las operaciones admitidas son Agregar, Obtener, Reemplazar y Eliminar. El tipo de valor es entero.

Settings/SMBAutoEncryptedFileExtensions Se ha agregado en Windows 10, versión 1703. Especifica una lista de extensiones de archivo, de modo que los archivos con estas extensiones se cifran al copiar desde un recurso compartido de bloque de mensajes de servidor (SMB) dentro del límite corporativo tal como se define en los nodos CSP de directiva para NetworkIsolation/EnterpriseIPRange y NetworkIsolation/EnterpriseNetworkDomainNames. Use punto y coma (;) delimitador en la lista. Cuando no se especifica esta directiva, se aplica el comportamiento de cifrado automático existente. Cuando se configura esta directiva, solo se cifrarán los archivos con las extensiones de la lista. Las operaciones admitidas son Agregar, Obtener, Reemplazar y Eliminar. El tipo de valor es cadena.

Settings/EDPShowIcons Determina si las superposiciones se agregan a iconos para archivos protegidos por WIP en el Explorador y solo iconos de aplicaciones empresariales en el menú Inicio . A partir de Windows 10, versión 1703, esta configuración también configura la visibilidad del icono de Windows Information Protection en la barra de título de una aplicación protegida por WIP. La siguiente lista muestra los valores permitidos:

• 0 (valor predeterminado): no hay superposiciones WIP en iconos o iconos.
• 1- Mostrar superposiciones WIP en archivos protegidos y aplicaciones que solo pueden crear contenido empresarial.

Las operaciones admitidas son Agregar, Obtener, Reemplazar y Eliminar. El tipo de valor es entero.

Estado Máscara de solo lectura que indica el estado actual de windows Information Protection en el dispositivo. El servicio MDM puede usar este valor para determinar el estado general actual de WIP. WIP solo está activado (bit 0 = 1) si se configuran las directivas obligatorias de WIP y la configuración de APPLocker de WIP.

Valores sugeridos:

Reservado para uso futuro	Configuración obligatoria de WIP Set = 1 No establecido = 0	Reservado para uso futuro	AppLocker configurado Sí = 1 No = 0	WIP en = 1 WIP off = 0
4	3	2	1	0

Bit 0 indica si WIP está activado o desactivado.

Bit 1 indica si se han establecido directivas WIP de AppLocker.

Bit 3 indica si las directivas obligatorias de Windows Information Protection están configuradas. Si no se configuran una o varias directivas WIP obligatorias, el bit 3 se establece en 0 (cero).

Esta es la lista de directivas WIP obligatorias:

• EDPEnforcementLevel en ENTERPRISEDataProtection CSP
• DataRecoveryCertificate en ENTERPRISEDataProtection CSP
• EnterpriseProtectedDomainNames en ENTERPRISEDataProtection CSP
• NetworkIsolation/EnterpriseIPRange en CSP de directiva
• NetworkIsolation/EnterpriseNetworkDomainNames en CSP de directiva

Los bits 2 y 4 se reservan para su uso futuro.

La operación admitida es Obtener. El tipo de valor es entero.

Temas relacionados

Referencia de proveedor de servicios de configuración