Créer et déployer une stratégie protection des informations Windows (WIP) avec Intune
Remarque
Microsoft Intune a abandonné les investissements futurs dans la gestion et le déploiement de la Protection des informations Windows.
La prise en charge du scénario protection des informations Windows sans inscription dans Microsoft Intune a été supprimée.
Pour plus d’informations, consultez Guide de fin de support pour la Protection des informations Windows.
Pour plus d’informations sur gam Intune sur Windows, consultez MAM pour Windows et Paramètres de stratégie de protection des applications pour Windows.
Vous pouvez utiliser des stratégies de protection des informations Windows (WIP) avec des applications Windows 10 pour protéger les applications sans inscription d’appareil.
Avant de commencer
Vous devez comprendre quelques concepts lors de l’ajout d’une stratégie WIP :
Liste des applications autorisées et exemptées
Applications protégées : Ces applications sont les applications qui doivent respecter cette stratégie.
Applications exemptées : Ces applications sont exemptées de cette stratégie et peuvent accéder aux données d’entreprise sans restrictions.
Types d’applications
- Applications recommandées : Liste préremplie des applications (principalement Microsoft 365 (Office)) qui vous permettent d’importer facilement dans la stratégie.
- Applications du Store : Vous pouvez ajouter n’importe quelle application du Windows Store à la stratégie.
- Applications de bureau Windows : Vous pouvez ajouter n’importe quelle application de bureau Windows traditionnelle à la stratégie (par exemple, .exe, .dll)
Configuration requise
Vous devez configurer le fournisseur GAM avant de pouvoir créer une stratégie WIP. En savoir plus sur la configuration de votre fournisseur GAM avec Intune.
Importante
WIP ne prend pas en charge les identités multiples. Une seule identité managée peut exister à la fois. Pour plus d’informations sur les fonctionnalités et les limitations de WIP, consultez Protéger vos données d’entreprise à l’aide de la Protection des informations Windows (WIP).
En outre, vous devez disposer de la licence et de la mise à jour suivantes :
Pour ajouter une stratégie WIP
Après avoir configuré Intune dans votre organisation, vous pouvez créer une stratégie spécifique à WIP.
Importante
Les stratégies de protection des informations Windows (WIP) sans inscription sont déconseillées. Vous ne pouvez plus créer de stratégies WIP pour les appareils non inscrits.
Conseil
Pour obtenir des informations connexes sur la création de stratégies WIP pour Intune, y compris les paramètres disponibles et la façon de les configurer, consultez Créer une stratégie de protection des informations Windows (WIP) avec GAM à l’aide du portail pour Microsoft Intune dans la bibliothèque de documentation sur la sécurité Windows.
- Connectez-vous au Centre d’administration Microsoft Intune.
- Sélectionnez Applications Stratégies>de protection des applications>Créer une stratégie.
- Ajoutez les valeurs suivantes :
- Nom: Tapez un nom (obligatoire) pour votre nouvelle stratégie.
- Description : (Facultatif) Tapez une description.
- Plateforme: Choisissez Windows 10 comme plateforme prise en charge pour votre stratégie WIP.
- État de l’inscription : Choisissez Sans inscription comme état d’inscription pour votre stratégie.
- Sélectionnez Créer. La stratégie est créée et apparaît dans le tableau du volet Stratégies de protection des applications.
Pour ajouter des applications recommandées à votre liste d’applications protégées
- Connectez-vous au Centre d’administration Microsoft Intune.
- Sélectionnez Applications>Stratégies de protection des applications.
- Dans le volet Stratégies de protection des applications, choisissez la stratégie que vous souhaitez modifier. Le volet Protection des applications Intune s’affiche.
- Choisissez Applications protégées dans le volet Protection des applications Intune . Le volet Applications protégées s’ouvre et affiche toutes les applications déjà incluses dans la liste pour cette stratégie de protection des applications.
- Sélectionnez Ajouter des applications. Les informations Ajouter des applications affichent une liste filtrée d’applications. La liste située en haut du volet vous permet de modifier le filtre de liste.
- Sélectionnez chaque application que vous souhaitez autoriser à accéder à vos données d’entreprise.
- Cliquez sur OK. Le volet Applications protégées est mis à jour et affiche toutes les applications sélectionnées.
- Cliquez sur Save (Enregistrer).
Ajouter une application du Store à votre liste d’applications protégées
Pour ajouter une application du Windows Store
- Connectez-vous au Centre d’administration Microsoft Intune.
- Sélectionnez Applications>Stratégies de protection des applications.
- Dans le volet Stratégies de protection des applications, choisissez la stratégie que vous souhaitez modifier. Le volet Protection des applications Intune s’affiche.
- Choisissez Applications protégées dans le volet Protection des applications Intune . Le volet Applications protégées s’ouvre et affiche toutes les applications déjà incluses dans la liste pour cette stratégie de protection des applications.
- Sélectionnez Ajouter des applications. Les informations Ajouter des applications affichent une liste filtrée d’applications. La liste située en haut du volet vous permet de modifier le filtre de liste.
- Dans la liste, sélectionnez Applications du Windows Store.
- Entrez des valeurs pour Name, Publisher, Product Name et Action. Veillez à définir la valeur Action sur Autoriser, afin que l’application ait accès à vos données d’entreprise.
- Cliquez sur OK. Le volet Applications protégées est mis à jour et affiche toutes les applications sélectionnées.
- Cliquez sur Save (Enregistrer).
Ajouter une application de bureau à votre liste d’applications protégées
Pour ajouter une application de bureau
- Connectez-vous au Centre d’administration Microsoft Intune.
- Sélectionnez Applications>Stratégies de protection des applications.
- Dans le volet Stratégies de protection des applications, choisissez la stratégie que vous souhaitez modifier. Le volet Protection des applications Intune s’affiche.
- Choisissez Applications protégées dans le volet Protection des applications Intune . Le volet Applications protégées s’ouvre et affiche toutes les applications déjà incluses dans la liste pour cette stratégie de protection des applications.
- Sélectionnez Ajouter des applications. Les informations Ajouter des applications affichent une liste filtrée d’applications. La liste située en haut du volet vous permet de modifier le filtre de liste.
- Dans la liste, sélectionnez Applications de bureau.
- Entrez des valeurs pour Name, Publisher, Product Name, File, Min Version, Max Version et Action. Veillez à définir la valeur Action sur Autoriser, afin que l’application ait accès à vos données d’entreprise.
- Cliquez sur OK. Le volet Applications protégées est mis à jour et affiche toutes les applications sélectionnées.
- Cliquez sur Save (Enregistrer).
Apprentissage WIP
Après avoir ajouté les applications que vous souhaitez protéger avec WIP, vous devez appliquer un mode de protection à l’aide de WIP Learning.
Avant de commencer
L’apprentissage WIP est un rapport qui vous permet de surveiller vos applications compatibles WIP et les applications wi-fi inconnues. Les applications inconnues sont celles qui ne sont pas déployées par le service informatique de votre organisation. Vous pouvez exporter ces applications à partir du rapport et les ajouter à vos stratégies WIP pour éviter toute interruption de la productivité avant qu’elles n’appliquent wip en mode « Bloquer ».
En plus d’afficher des informations sur les applications compatibles WIP, vous pouvez afficher un résumé des appareils qui ont partagé des données de travail avec des sites web. Avec ces informations, vous pouvez déterminer quels sites web doivent être ajoutés aux stratégies WIP de groupe et d’utilisateur. Le résumé montre quelles URL de site web sont accessibles par les applications compatibles WIP.
Lorsque vous utilisez des applications compatibles WIP et des applications wi-fi inconnues, nous vous recommandons de commencer par Les remplacements silencieux ou Autoriser les remplacements tout en vérifiant avec un petit groupe que vous disposez des applications appropriées dans votre liste d’applications protégées. Une fois que vous avez terminé, vous pouvez passer à votre stratégie d’application finale, Bloquer.
Quels sont les modes de protection ?
Bloquer
WIP recherche des pratiques de partage de données inappropriées et empêche l’utilisateur d’effectuer l’action. Les actions bloquées peuvent inclure le partage d’informations entre des applications non protégées par l’entreprise et le partage de données d’entreprise entre d’autres personnes et appareils en dehors de votre organisation.
Autoriser les remplacements
WIP recherche un partage de données inapproprié et avertit les utilisateurs lorsqu’ils font quelque chose considéré comme potentiellement dangereux. Toutefois, ce mode permet à l’utilisateur de remplacer la stratégie et de partager les données, en enregistrant l’action dans votre journal d’audit.
Silencieux
WIP s’exécute en mode silencieux et enregistre le partage de données inapproprié, sans bloquer tout ce qui aurait été invité à interagir avec les employés en mode Autoriser la substitution. Les actions non autorisées, telles que les applications tentant d’accéder de manière inappropriée à une ressource réseau ou à des données protégées par WIP, sont toujours arrêtées.
Désactivé (non recommandé)
WIP est désactivé et ne permet pas de protéger ou d’auditer vos données.
Une fois que vous avez désactivé WIP, une tentative est effectuée pour déchiffrer tous les fichiers étiquetés WIP sur les lecteurs attachés localement. Notez que les informations de déchiffrement et de stratégie précédentes ne sont pas automatiquement réappliquées si vous réactivez la protection WIP.
Ajouter un mode de protection
Dans le volet Stratégie d’application , choisissez le nom de votre stratégie, puis choisissez Paramètres requis.
Sélectionnez un paramètre, puis choisissez Enregistrer.
Autoriser l’indexeur de recherche Windows à rechercher des éléments chiffrés
Autorise ou interdit l’indexation des éléments. Ce commutateur concerne l’indexeur recherche Windows, qui contrôle s’il indexe les éléments chiffrés, tels que les fichiers protégés par la Protection des informations Windows (WIP).
Cette option de stratégie de protection des applications se trouve dans les paramètres Avancés de la stratégie Protection des informations Windows. La stratégie de protection des applications doit être définie sur la plateforme Windows 10 et l’état d’inscription de la stratégie d’application doit être défini sur Avec l’inscription.
Lorsque la stratégie est activée, les éléments protégés par WIP sont indexés et les métadonnées les concernant sont stockées dans un emplacement non chiffré. Les métadonnées incluent des éléments tels que le chemin d’accès au fichier et la date de modification.
Lorsque la stratégie est désactivée, les éléments protégés par WIP ne sont pas indexés et n’apparaissent pas dans les résultats dans Cortana ou l’Explorateur de fichiers. Il peut également y avoir un impact sur les performances sur les photos et les applications Groove s’il existe de nombreux fichiers multimédias protégés par WIP sur l’appareil.
Remarque
Microsoft a déprécié l’application autonome Windows Cortana. L’assistant de productivité Cortana est toujours disponible. Pour plus d’informations sur les fonctionnalités déconseillées sur le client Windows, consultez Fonctionnalités dépréciées pour le client Windows.
Ajouter des extensions de fichier chiffrées
En plus de définir l’option Autoriser l’indexeur de recherche Windows à rechercher des éléments chiffrés , vous pouvez spécifier une liste d’extensions de fichier. Les fichiers avec ces extensions sont chiffrés lors de la copie à partir d’un partage SMB (Server Message Block) dans la limite de l’entreprise, comme défini dans la liste des emplacements réseau. Lorsque cette stratégie n’est pas spécifiée, le comportement de chiffrement automatique existant est appliqué. Lorsque cette stratégie est configurée, seuls les fichiers avec les extensions dans la liste sont chiffrés.
Déployer votre stratégie de protection des applications WIP
Importante
Ces informations s’appliquent à WIP sans inscription d’appareil.
Après avoir créé votre stratégie de protection des applications WIP, vous devez la déployer dans votre organisation à l’aide de gam.
Dans le volet Stratégie d’application , choisissez la stratégie de protection des applications que vous venez de créer, choisissez Groupes d’utilisateurs>Ajouter un groupe d’utilisateurs.
Une liste de groupes d’utilisateurs, composée de tous les groupes de sécurité de votre ID Microsoft Entra, s’ouvre dans le volet Ajouter un groupe d’utilisateurs .
Choisissez le groupe auquel vous souhaitez appliquer votre stratégie, puis sélectionnez Sélectionner pour déployer la stratégie.
Étapes suivantes
Pour en savoir plus sur la Protection des informations Windows, consultez Protéger vos données d’entreprise à l’aide de la Protection des informations Windows (WIP).