Créer et déployer une stratégie Windows Information Protection (WIP) avec Intune

Remarque

Microsoft Intune a abandonné les investissements futurs dans la gestion et le déploiement de Windows Information Protection.

La prise en charge du scénario Windows Information Protection sans inscription dans Microsoft Intune a été supprimée.

Pour plus d’informations, consultez Guide de fin de support pour Windows Information Protection.

Pour plus d’informations sur Intune gam sur Windows, consultez Mam pour Windows et paramètres de stratégie Protection d'applications pour Windows.

Vous pouvez utiliser des stratégies Windows Information Protection (WIP) avec des applications Windows 10 pour protéger les applications sans inscription d’appareil.

Avant de commencer

Vous devez comprendre quelques concepts lors de l’ajout d’une stratégie WIP :

Liste des applications autorisées et exemptées

• Applications protégées : Ces applications sont les applications qui doivent respecter cette stratégie.

• Applications exemptées : Ces applications sont exemptées de cette stratégie et peuvent accéder aux données d’entreprise sans restrictions.

Types d’applications

• Applications recommandées : Liste préremplie des applications (principalement Microsoft 365 (Office)) qui vous permettent d’importer facilement dans la stratégie.
• Applications du Store : Vous pouvez ajouter n’importe quelle application du Windows Store à la stratégie.
• Applications de bureau Windows : Vous pouvez ajouter n’importe quelle application de bureau Windows traditionnelle à la stratégie (par exemple, .exe, .dll)

Prerequisites

Vous devez configurer le fournisseur GAM avant de pouvoir créer une stratégie WIP. En savoir plus sur la configuration de votre fournisseur GAM avec Intune.

Importante

WIP ne prend pas en charge les identités multiples. Une seule identité managée peut exister à la fois. Pour plus d’informations sur les fonctionnalités et les limitations de WIP, consultez Protéger vos données d’entreprise à l’aide de Windows Information Protection (WIP).

En outre, vous devez disposer de la licence et de la mise à jour suivantes :

• Microsoft Entra ID licence P1 ou P2
• Windows Creators Update

Pour ajouter une stratégie WIP

Après avoir configuré Intune dans votre organization, vous pouvez créer une stratégie spécifique à WIP.

Importante

Les stratégies windows Information Protection (WIP) sans inscription sont déconseillées. Vous ne pouvez plus créer de stratégies WIP pour les appareils non inscrits.

Conseil

Pour plus d’informations sur la création de stratégies WIP pour Intune, y compris les paramètres disponibles et leur configuration, consultez Créer une stratégie Windows Information Protection (WIP) avec GAM à l’aide du portail pour Microsoft Intune dans la bibliothèque de documentation Sécurité Windows.

1. Connectez-vous au Centre d’administration Microsoft Intune.
2. Sélectionnez Applications>Protection d'applications stratégies>Créer une stratégie.
3. Ajoutez les valeurs suivantes :
   • Nom: Tapez un nom (obligatoire) pour votre nouvelle stratégie.
   • Description : (Facultatif) Tapez une description.
   • Plate-forme: Choisissez Windows 10 comme plateforme prise en charge pour votre stratégie WIP.
   • État de l’inscription : Choisissez Sans inscription comme état d’inscription pour votre stratégie.
4. Sélectionnez Créer. La stratégie est créée et apparaît dans la table du volet stratégies Protection d'applications.

Pour ajouter des applications recommandées à votre liste d’applications protégées

1. Connectez-vous au Centre d’administration Microsoft Intune.
2. Sélectionnez Applications>Stratégies de protection des applications.
3. Dans le volet stratégies Protection d'applications, choisissez la stratégie que vous souhaitez modifier. Le volet Protection des applications Intune s’affiche.
4. Choisissez Applications protégées dans le volet Protection des applications Intune. Le volet Applications protégées s’ouvre et affiche toutes les applications déjà incluses dans la liste pour cette stratégie de protection des applications.
5. Sélectionnez Ajouter des applications. Les informations Ajouter des applications affichent une liste filtrée d’applications. La liste située en haut du volet vous permet de modifier le filtre de liste.
6. Sélectionnez chaque application que vous souhaitez autoriser à accéder à vos données d’entreprise.
7. Cliquez sur OK. Le volet Applications protégées est mis à jour et affiche toutes les applications sélectionnées.
8. Cliquez sur Save (Enregistrer).

Ajouter une application du Store à votre liste d’applications protégées

Pour ajouter une application du Windows Store

1. Connectez-vous au Centre d’administration Microsoft Intune.
2. Sélectionnez Applications>Stratégies de protection des applications.
3. Dans le volet stratégies Protection d'applications, choisissez la stratégie que vous souhaitez modifier. Le volet Protection des applications Intune s’affiche.
4. Choisissez Applications protégées dans le volet Protection des applications Intune. Le volet Applications protégées s’ouvre et affiche toutes les applications déjà incluses dans la liste pour cette stratégie de protection des applications.
5. Sélectionnez Ajouter des applications. Les informations Ajouter des applications affichent une liste filtrée d’applications. La liste située en haut du volet vous permet de modifier le filtre de liste.
6. Dans la liste, sélectionnez Applications du Windows Store.
7. Entrez des valeurs pour Name, Publisher, Product Name et Action. Veillez à définir la valeur Action sur Autoriser, afin que l’application ait accès à vos données d’entreprise.
8. Cliquez sur OK. Le volet Applications protégées est mis à jour et affiche toutes les applications sélectionnées.
9. Cliquez sur Save (Enregistrer).

Ajouter une application de bureau à votre liste d’applications protégées

Pour ajouter une application de bureau

1. Connectez-vous au Centre d’administration Microsoft Intune.
2. Sélectionnez Applications>Stratégies de protection des applications.
3. Dans le volet stratégies Protection d'applications, choisissez la stratégie que vous souhaitez modifier. Le volet Protection des applications Intune s’affiche.
4. Choisissez Applications protégées dans le volet Protection des applications Intune. Le volet Applications protégées s’ouvre et affiche toutes les applications déjà incluses dans la liste pour cette stratégie de protection des applications.
5. Sélectionnez Ajouter des applications. Les informations Ajouter des applications affichent une liste filtrée d’applications. La liste située en haut du volet vous permet de modifier le filtre de liste.
6. Dans la liste, sélectionnez Applications de bureau.
7. Entrez des valeurs pour Name, Publisher, Product Name, File, Min Version, Max Version et Action. Veillez à définir la valeur Action sur Autoriser, afin que l’application ait accès à vos données d’entreprise.
8. Cliquez sur OK. Le volet Applications protégées est mis à jour et affiche toutes les applications sélectionnées.
9. Cliquez sur Save (Enregistrer).

Apprentissage WIP

Après avoir ajouté les applications que vous souhaitez protéger avec WIP, vous devez appliquer un mode de protection à l’aide de WIP Learning.

Avant de commencer

L’apprentissage WIP est un rapport qui vous permet de surveiller vos applications compatibles WIP et les applications wi-fi inconnues. Les applications inconnues sont celles qui ne sont pas déployées par le service informatique de votre organization. Vous pouvez exporter ces applications à partir du rapport et les ajouter à vos stratégies WIP pour éviter toute interruption de la productivité avant qu’elles n’appliquent wip en mode « Bloquer ».

En plus d’afficher des informations sur les applications compatibles WIP, vous pouvez afficher un résumé des appareils qui ont partagé des données de travail avec des sites web. Avec ces informations, vous pouvez déterminer quels sites web doivent être ajoutés aux stratégies WIP de groupe et d’utilisateur. Le résumé montre quelles URL de site web sont accessibles par les applications compatibles WIP.

Lorsque vous utilisez des applications compatibles WIP et des applications wi-fi inconnues, nous vous recommandons de commencer par Les remplacements silencieux ou Autoriser les remplacements tout en vérifiant avec un petit groupe que vous disposez des applications appropriées dans votre liste d’applications protégées. Une fois que vous avez terminé, vous pouvez passer à votre stratégie d’application finale, Bloquer.

Quels sont les modes de protection ?

Bloquer

WIP recherche des pratiques de partage de données inappropriées et empêche l’utilisateur d’effectuer l’action. Les actions bloquées peuvent inclure le partage d’informations entre des applications non protégées par l’entreprise et le partage de données d’entreprise entre d’autres personnes et appareils en dehors de votre organization.

Autoriser les remplacements

WIP recherche un partage de données inapproprié et avertit les utilisateurs lorsqu’ils font quelque chose considéré comme potentiellement dangereux. Toutefois, ce mode permet à l’utilisateur de remplacer la stratégie et de partager les données, en enregistrant l’action dans votre journal d’audit.

Silencieux

WIP s’exécute en mode silencieux et enregistre le partage de données inapproprié, sans bloquer tout ce qui aurait été invité à interagir avec les employés en mode Autoriser la substitution. Les actions non autorisées, telles que les applications tentant d’accéder de manière inappropriée à une ressource réseau ou à des données protégées par WIP, sont toujours arrêtées.

Désactivé (non recommandé)

WIP est désactivé et ne permet pas de protéger ou d’auditer vos données.

Une fois que vous avez désactivé WIP, une tentative est effectuée pour déchiffrer tous les fichiers étiquetés WIP sur les lecteurs attachés localement. Notez que les informations de déchiffrement et de stratégie précédentes ne sont pas automatiquement réappliquées si vous réactivez la protection WIP.

Ajouter un mode de protection

1. Dans le volet Stratégie d’application , choisissez le nom de votre stratégie, puis choisissez Paramètres requis.

   

2. Sélectionnez un paramètre, puis choisissez Enregistrer.

Autoriser Windows Recherche Indexer à rechercher des éléments chiffrés

Autorise ou interdit l’indexation des éléments. Ce commutateur concerne l’indexeur Windows Recherche, qui contrôle s’il indexe les éléments chiffrés, tels que les fichiers protégés par Windows Information Protection (WIP).

Cette option de stratégie de protection des applications se trouve dans les paramètres Avancés de la stratégie de Information Protection Windows. La stratégie de protection des applications doit être définie sur la plateforme Windows 10 et l’état d’inscription de la stratégie d’application doit être défini sur Avec l’inscription.

Lorsque la stratégie est activée, les éléments protégés par WIP sont indexés et les métadonnées les concernant sont stockées dans un emplacement non chiffré. Les métadonnées incluent des éléments tels que le chemin d’accès au fichier et la date de modification.

Lorsque la stratégie est désactivée, les éléments protégés par WIP ne sont pas indexés et n’apparaissent pas dans les résultats dans Cortana ou l’Explorateur de fichiers. Il peut également y avoir un impact sur les performances sur les photos et les applications Groove s’il existe de nombreux fichiers multimédias protégés par WIP sur l’appareil.

Remarque

Microsoft a déprécié l’application autonome Windows Cortana. Le assistant de productivité Cortana est toujours disponible. Pour plus d’informations sur les fonctionnalités déconseillées sur le client Windows, consultez Fonctionnalités dépréciées pour le client Windows.

Ajouter des extensions de fichier chiffrées

En plus de définir l’option Autoriser Windows Recherche Indexer à rechercher des éléments chiffrés, vous pouvez spécifier une liste d’extensions de fichier. Les fichiers avec ces extensions sont chiffrés lors de la copie à partir d’un partage SMB (Server Message Block) dans la limite de l’entreprise, comme défini dans la liste des emplacements réseau. Lorsque cette stratégie n’est pas spécifiée, le comportement de chiffrement automatique existant est appliqué. Lorsque cette stratégie est configurée, seuls les fichiers avec les extensions dans la liste sont chiffrés.

Déployer votre stratégie de protection des applications WIP

Importante

Ces informations s’appliquent à WIP sans inscription d’appareil.

Après avoir créé votre stratégie de protection des applications WIP, vous devez la déployer sur votre organization à l’aide de gam.

1. Dans le volet Stratégie d’application , choisissez la stratégie de protection des applications que vous venez de créer, choisissez Groupes d’utilisateurs>Ajouter un groupe d’utilisateurs.

   Une liste de groupes d’utilisateurs, composée de tous les groupes de sécurité dans votre Microsoft Entra ID, s’ouvre dans le volet Ajouter un groupe d’utilisateurs.

2. Choisissez le groupe auquel vous souhaitez appliquer votre stratégie, puis sélectionnez Sélectionner pour déployer la stratégie.

Étapes suivantes

Pour en savoir plus sur Windows Information Protection, consultez Protéger vos données d’entreprise à l’aide de Windows Information Protection (WIP).