Implémenter et utiliser la Protection des informations Windows
Quand vous utilisez la Protection des informations Windows, les données de l’organisation sont chiffrées automatiquement quand elles sont téléchargées ou sont ouvertes sur un appareil local. Le chiffrement protège les données de fichier et les associe à votre identité d’entreprise.
Les stratégies WIP spécifient ensuite les applications approuvées qui peuvent utiliser et manipuler ces données. Les applications compatibles comme Word ou Microsoft Excel peuvent fonctionner avec des données organisationnelles et personnelles. Quand vous créez des stratégies WIP, vous pouvez définir quatre modes de protection WIP, listés dans le tableau suivant, pour la gestion de cet accès.
| Mode | Descriptif |
|---|---|
| Bloquer ou masquer les remplacements | Empêche les employés d’effectuer des actions de partage de données quand elles sont bloquées par la stratégie. Dans certaines documentations Microsoft, on parle du mode Masquer les remplacements. |
| Autoriser les remplacements | Avertit les employés quand ils effectuent une action potentiellement risquée, mais ils peuvent choisir de continuer quand même. L’action est enregistrée dans le journal d’audit. |
| Silencieux | Fonctionne comme le mode Autoriser les remplacements, sauf qu’il enregistre uniquement les actions qu’un employé peut remplacer dans le journal d’audit. Les actions bloquées sont toujours bloquées. |
| Désactivé(e) | WIP est désactivé et ne protège pas les données. |
Créer une stratégie WIP dans Intune
Quand vous créez des stratégies dans Intune, vous pouvez définir les applications qui sont protégées, le niveau de protection fourni et comment trouver des données organisationnelles sur votre réseau.
Pour créer une stratégie WIP dans Intune, effectuez les étapes suivantes :
- Connectez-vous au Centre d’administration Microsoft Intune.
- Accédez à Applications>Stratégies de protection des applications.
- Dans le volet Stratégies de protection des applications, sélectionnez Ajouter une stratégie, puis renseignez les champs suivants :
- Nom. Entrez un nom pour la stratégie.
- Description. Entrez une description de la stratégie.
- Plateforme. Sélectionnez la plateforme de la stratégie.
- État de l’inscription : choisissez Sans inscription pour GAM ou Avec inscription pour GPM.
- Sélectionnez Applications protégées, puis Ajouter des applications. Vous pouvez ajouter ces types d’applications :
- Applications recommandées. Il s’agit d’applications compatibles qui fonctionnent avec WIP.
- Applications du Windows Store. Il s’agit d’applications disponibles à partir du Microsoft Store.
- Applications de bureau. Il s’agit d’applications de bureau Windows signées. Notez qu’une application est susceptible de retourner des erreurs de refus d’accès après sa suppression de la liste des applications protégées. Plutôt que de supprimer l’application de la liste, vous devez la désinstaller et la réinstaller, ou l’exempter de la stratégie WIP.
Applications autorisées et exemptées
Le processus d’ajout d’une règle d’application varie légèrement en fonction du type de modèle de règle que vous utilisez. Les modèles de règle sont :
- Application recommandée. Les applications recommandées sont des applications compatibles qui fonctionnent avec WIP.
- Application du Store. Il s’agit des applications disponibles à partir du Microsoft Store.
- Application de bureau. Il s’agit des applications de bureau Windows signées.
Pour plus d’informations sur l’ajout de chaque type d’application à la liste Applications autorisées, consultez la rubrique « Ajouter des applications à votre liste d’applications autorisées » dans « Créer une stratégie de protection des informations Windows (WIP) avec MDM en utilisant le centre d’administration Endpoint Manager ».
Après avoir ajouté les applications que vous prévoyez de protéger, vous devez choisir le mode de protection. Quand vous créez et vérifiez vos stratégies avec un groupe d’utilisateurs de test, tenez compte de la bonne pratique qui consiste à utiliser le mode Silencieux ou Autoriser les remplacements avant d’utiliser le mode Bloquer. Vous pouvez alors vérifier que ces applications sont celles que vous voulez dans votre liste d’applications autorisées.
Identité d’entreprise
Votre identité d’entreprise identifie les données organisationnelles des applications que vous protégez avec WIP. Par exemple, les e-mails provenant de votre domaine d’organisation sont identifiés comme organisationnels et les stratégies WIP sont appliquées. Pour cette raison, vous pouvez ajouter tous les domaines à partir desquels vous envoyez des e-mails.
Vous ajoutez votre identité d’entreprise en tapant votre nom de domaine ou plusieurs noms de domaine séparés par une barre oblique (|) dans le champ Identité d’entreprise.
Périmètre de réseau
WIP doit savoir où les applications peuvent trouver les données organisationnelles sur votre réseau et y accéder, ce qu’on appelle la limite réseau. Il n’existe pas d’ensemble d’emplacements par défaut ni de méthode automatique pour définir ces emplacements. Vous devez les ajouter à vos stratégies WIP et vous pouvez ajouter autant d’emplacements que nécessaire.
Quand vous ajoutez une définition de limite réseau, vous choisissez le type de limite et, en fonction de ce choix, vous fournissez la définition dans un format spécifique. Vous pouvez également configurer la stratégie pour indiquer à Windows si certaines listes de limites, comme les listes de serveurs proxy ou d’adresses IP, sont définitives, ou si la recherche d’autres serveurs ou adresses IP sur votre réseau est autorisée.
Le tableau suivant décrit les options des différents types de limite.
| Élément réseau | Descriptif |
|---|---|
| Ressources du cloud | Spécifie les URL des ressources ou applications cloud, comme SharePoint Online ou Microsoft Visual Studio Codespace, qui doivent être considérées comme contenant des données organisationnelles. Vous pouvez créer plusieurs entrées en utilisant le format URL1|URL2. |
| Domaines protégés | Définit des suffixes DNS pour les domaines qui doivent être considérés comme étant protégés. Plusieurs entrées sont autorisées en utilisant le format domainname1,domainname2. Par exemple, corp.adatum.com,sales.adatum.com. |
| Domaines réseau | Définit les suffixes DNS utilisés dans votre environnement. Plusieurs entrées sont autorisées en utilisant le format domainname1,domainname2. Par exemple, corp.adatum.com,sales.adatum.com. |
| Serveurs proxy | Spécifie les adresses et les ports de serveur proxy orientés vers l’extérieur sur lesquels WIP doit protéger le trafic. Par exemple, proxy.adatum.com:80;proxy2.adatum.com:137. |
| Serveurs proxy internes | Spécifie les serveurs proxy que les appareils utilisent pour accéder aux ressources cloud. Utilise le même format que les serveurs proxy d’entreprise. |
| Plages IPv4 | Spécifie la plage d’adresses IPv4 (Internet Protocol version 4) utilisées dans votre réseau. Entrez-la en utilisant le format startingaddress-endingaddress, en séparant plusieurs plages par des virgules. Cet élément réseau est obligatoire si vous ne spécifiez pas de plage IPv6 (Enterprise Internet Protocol version 6). |
| Plages IPv6 | Spécifie la plage d’adresses IPv6 utilisées dans votre réseau. Cet élément réseau est obligatoire si vous ne spécifiez pas de plages IPv4 d’entreprise, et utilise le même format qu’IPv4. |
| Ressources neutres | Spécifie les points de terminaison de redirection d’authentification pour votre entreprise, comme les points de terminaison des services de fédération Active Directory (AD FS). Entrez en utilisant le format URL1|URL2. |
Certificat d’agent de récupération de données (DRA)
Comme décrit précédemment, WIP chiffre les données d’entreprise quand elles se trouvent sur des lecteurs locaux. Si la clé de chiffrement est perdue ou révoquée, vous ne pouvez pas récupérer les données. En ajoutant un certificat DRA, vous fournissez une clé publique qui chiffre les données locales, ce qui vous permet de déchiffrer ces données par la suite si nécessaire.
Si vous n’avez pas encore de certificat DRA de système de fichiers EFS, vous devez en créer un et le charger dans votre stratégie pour pouvoir le déployer.
Pour plus d’informations, consultez Créer et vérifier un certificat d’agent de récupération de données (DRA) de système de fichiers EFS.
Paramètres WIP facultatifs
Vous pouvez également configurer ces autres paramètres de stratégie WIP :
- Révoquer les clés de chiffrement à la désinscription. Les utilisateurs ne peuvent pas accéder aux données d’organisation chiffrées quand un appareil est désinscrit d’Intune.
- Afficher l’icône de recouvrement de la Protection des informations Windows. Détermine si l’icône WIP recouvre les fichiers dans l’Explorateur de fichiers ou dans la vue Enregistrer sous.
- Utiliser Azure RMS pour WIP. Détermine si le chiffrement Azure RMS est utilisé pour WIP. Doit avoir Azure RMS.
- Utiliser Windows Hello Entreprise comme méthode de connexion à Windows. Détermine si les utilisateurs peuvent utiliser Windows Hello pour se connecter à leur appareil et les règles d’utilisation de Windows Hello.