Fournisseur de services de configuration EnterpriseDataProtection
Remarque
À compter de juillet 2022, Microsoft déprécie la Protection des informations Windows (WIP). Microsoft continuera à prendre en charge WIP sur les versions prises en charge de Windows. Les nouvelles versions de Windows n’incluront pas de nouvelles fonctionnalités pour WIP et ne seront pas prises en charge dans les futures versions de Windows. Pour plus d’informations, consultez Annonce de l’extinction de la Protection des informations Windows.
Pour vos besoins en matière de protection des données, Microsoft vous recommande d’utiliser la protection des informations Microsoft Purview et la protection contre la perte de données Microsoft Purview. Purview simplifie la configuration et fournit un ensemble avancé de fonctionnalités.
Le tableau ci-dessous montre l’applicabilité de Windows :
Édition | Windows 10 | Windows 11 |
---|---|---|
Accueil | Oui | Oui |
Pro | Oui | Oui |
Windows SE | Non | Oui |
Entreprise | Oui | Oui |
Enterprise | Oui | Oui |
Éducation | Oui | Oui |
Le fournisseur de services de configuration (CSP) EnterpriseDataProtection est utilisé pour configurer les paramètres de la Protection des informations Windows (WIP), anciennement appelée Protection des données d’entreprise. Pour plus d’informations sur WIP, consultez Protéger vos données d’entreprise à l’aide de la Protection des informations Windows (WIP).
Remarque
Pour rendre la Protection des informations Windows fonctionnelle, le fournisseur de services de configuration AppLocker et les paramètres spécifiques à l’isolation réseau doivent également être configurés. Pour plus d’informations, consultez AppLocker CSP et NetworkIsolation policies in Policy CSP.
Bien que la Protection des informations Windows n’ait aucune dépendance vis-à-vis du VPN, pour obtenir de meilleurs résultats, vous devez d’abord configurer les profils VPN avant de configurer les stratégies WIP. Pour obtenir des recommandations sur les meilleures pratiques VPN, consultez FOURNISSEUR de services de configuration VPNv2.
Pour en savoir plus sur la Protection des informations Windows, consultez les articles suivants :
- Créer une stratégie Protection des informations Windows
- Recommandations d’ordre général et meilleures pratiques pour la Protection des informations Windows
L’exemple suivant montre le fournisseur de services de configuration EnterpriseDataProtection au format d’arborescence.
./Device/Vendor/MSFT
EnterpriseDataProtection
----Settings
--------EDPEnforcementLevel
--------EnterpriseProtectedDomainNames
--------AllowUserDecryption
--------DataRecoveryCertificate
--------RevokeOnUnenroll
--------RMSTemplateIDForEDP
--------AllowAzureRMSForEDP
--------EDPShowIcons
----Status
./Device/Vendor/MSFT/EnterpriseDataProtection
Nœud racine du fournisseur de solutions Cloud.
Paramètres
Nœud racine pour les paramètres de configuration de la Protection des informations Windows (WIP).
Settings/EDPEnforcementLevel
Définissez le niveau d’application WIP.
Remarque
La définition de cette valeur n’est pas suffisante pour activer la Protection des informations Windows sur l’appareil. Les tentatives de modification de cette valeur échouent lorsque le nettoyage WIP est en cours d’exécution.
La liste suivante indique les valeurs prises en charge :
- 0 (valeur par défaut) : désactivé/aucune protection (déchiffre les données précédemment protégées).
- 1 - Mode silencieux (chiffrer et auditer uniquement).
- 2 - Autoriser le mode de remplacement (chiffrer, demander et autoriser les remplacements, et audit).
- 3 - Masque les remplacements (chiffrer, demander mais masquer les remplacements et auditer).
Les opérations prises en charge sont Add, Get, Replace et Delete. La type de valeur est un entier.
Paramètres/EnterpriseProtectedDomainNames
Liste des domaines utilisés par l’entreprise pour ses identités utilisateur séparées par des canaux (|
). Le premier domaine de la liste doit être l’ID d’entreprise principal, c’est-à-dire celui qui représente l’autorité de gestion de la Protection des informations Windows. Les identités d’utilisateurs de l’un de ces domaines sont considérées comme des comptes gérés par l’entreprise et les données associées doivent être protégées. Par exemple, les domaines de tous les comptes de messagerie appartenant à l’entreprise devraient apparaître dans cette liste. Les tentatives de modification de cette valeur échouent lorsque le nettoyage WIP est en cours d’exécution.
La modification de l’ID d’entreprise principal n’est pas prise en charge et peut entraîner un comportement inattendu sur le client.
Remarque
Le client exige que le nom de domaine soit canonique, sinon le paramètre est rejeté par le client.
Voici les étapes pour créer des noms de domaine canoniques :
- Transformez les caractères ASCII (A-Z uniquement) en minuscules. Par exemple, Microsoft.COM -> microsoft.com.
- Appelez IdnToAscii avec IDN_USE_STD3_ASCII_RULES comme indicateurs.
- Appelez IdnToUnicode sans indicateur défini (dwFlags = 0).
Les opérations prises en charge sont Add, Get, Replace et Delete. La type de valeur est une chaîne.
Paramètres/AllowUserDecryption
Permet à l’utilisateur de déchiffrer des fichiers. Si cette valeur est définie sur 0 (Non autorisé), l’utilisateur ne pourra pas supprimer la protection du contenu d’entreprise via le système d’exploitation ou l’expérience utilisateur de l’application.
Important
À compter de Windows 10, version 1703, AllowUserDecryption n’est plus pris en charge.
La liste suivante indique les valeurs prises en charge :
- 0 : non autorisé.
- 1 (par défaut) : autorisé.
La valeur la plus restreinte est 0.
Les opérations prises en charge sont Add, Get, Replace et Delete. La type de valeur est un entier.
Settings/DataRecoveryCertificate
Spécifie un certificat de récupération qui peut être utilisé pour la récupération de données de fichiers chiffrés. Ce certificat est le même que le certificat d’agent de récupération de données (DRA) pour le chiffrement du système de fichiers (EFS), fourni uniquement via la gestion des appareils mobiles (MDM) au lieu de la stratégie de groupe.
Remarque
Si cette stratégie et le paramètre de stratégie de groupe correspondant sont tous deux configurés, le paramètre de stratégie de groupe est appliqué.
Les informations DRA de la stratégie MDM doivent être un objet blob binaire sérialisé identique à ce que nous attendons de la stratégie de groupe. L’objet blob binaire est la version sérialisée de la structure suivante :
//
// Recovery Policy Data Structures
//
typedef struct _RECOVERY_POLICY_HEADER {
USHORT MajorRevision;
USHORT MinorRevision;
ULONG RecoveryKeyCount;
} RECOVERY_POLICY_HEADER, *PRECOVERY_POLICY_HEADER;
typedef struct _RECOVERY_POLICY_1_1 {
RECOVERY_POLICY_HEADER RecoveryPolicyHeader;
RECOVERY_KEY_1_1 RecoveryKeyList[1];
} RECOVERY_POLICY_1_1, *PRECOVERY_POLICY_1_1;
#define EFS_RECOVERY_POLICY_MAJOR_REVISION_1 (1)
#define EFS_RECOVERY_POLICY_MINOR_REVISION_0 (0)
#define EFS_RECOVERY_POLICY_MINOR_REVISION_1 (1)
///////////////////////////////////////////////////////////////////////////////
// /
// RECOVERY_KEY Data Structure /
// /
///////////////////////////////////////////////////////////////////////////////
//
// Current format of recovery data.
//
typedef struct _RECOVERY_KEY_1_1 {
ULONG TotalLength;
EFS_PUBLIC_KEY_INFO PublicKeyInfo;
} RECOVERY_KEY_1_1, *PRECOVERY_KEY_1_1;
typedef struct _EFS_PUBLIC_KEY_INFO {
//
// The length of this entire structure, including string data
// appended to the end. The length should be a multiple of 8 for
// 64 bit alignment
//
ULONG Length;
//
// Sid of owner of the public key (regardless of format).
// This field is to be treated as a hint only.
//
ULONG PossibleKeyOwner;
//
// Contains information describing how to interpret
// the public key information
//
ULONG KeySourceTag;
union {
struct {
//
// The following fields contain offsets based at the
// beginning of the structure. Each offset is to
// a NULL terminated WCHAR string.
//
ULONG ContainerName;
ULONG ProviderName;
//
// The exported public key used to encrypt the FEK.
// This field contains an offset from the beginning of the
// structure.
//
ULONG PublicKeyBlob;
//
// Length of the PublicKeyBlob in bytes
//
ULONG PublicKeyBlobLength;
} ContainerInfo;
struct {
ULONG CertificateLength; // in bytes
ULONG Certificate; // offset from start of structure
} CertificateInfo;
struct {
ULONG ThumbprintLength; // in bytes
ULONG CertHashData; // offset from start of structure
} CertificateThumbprint;
};
} EFS_PUBLIC_KEY_INFO, *PEFS_PUBLIC_KEY_INFO;
//
// Possible KeyTag values
//
typedef enum _PUBLIC_KEY_SOURCE_TAG {
EfsCryptoAPIContainer = 1,
EfsCertificate,
EfsCertificateThumbprint
} PUBLIC_KEY_SOURCE_TAG, *PPUBLIC_KEY_SOURCE_TAG;
Pour EFSCertificate KeyTag, il s’agit d’un certificat binaire ENCODÉ DER.
Les opérations prises en charge sont Add, Get, Replace et Delete. Le type de valeur est un certificat encodé en base 64.
Settings/RevokeOnUnenroll
Cette stratégie détermine s’il faut révoquer les clés Protection des informations Windows lorsqu’un appareil se désinscrit du service de gestion. Si la valeur est 0 (Ne pas révoquer les clés), les clés ne seront pas révoquées et l’utilisateur continuera à avoir accès aux fichiers protégés après la désinscription. Si les clés ne sont pas révoquées, il n’y aura pas de nettoyage de fichier révoqué ultérieurement. Avant d’envoyer la commande de désinscription, lorsque vous souhaitez qu’un appareil effectue une réinitialisation sélective lorsqu’il est désinscrit, vous devez définir explicitement cette stratégie sur 1.
La liste suivante indique les valeurs prises en charge :
- 0 - Ne pas révoquer les clés.
- 1 (par défaut) - Révoquer des clés.
Les opérations prises en charge sont Add, Get, Replace et Delete. La type de valeur est un entier.
Settings/RevokeOnMDMHandoff
Ajouté dans Windows 10, version 1703.. Cette stratégie détermine s’il faut révoquer les clés De protection des informations Windows lorsqu’un appareil effectue une mise à niveau de la gestion des applications mobiles (GAM) vers GPM. Si la valeur est 0 (Ne pas révoquer les clés), les clés ne seront pas révoquées et l’utilisateur continuera à avoir accès aux fichiers protégés après la mise à niveau. Ce paramètre est recommandé si le service MDM est configuré avec le même ID d’entreprise WIP que le service GAM.
- 0 - Ne pas révoquer les clés.
- 1 (par défaut) - Révoquer des clés.
Les opérations prises en charge sont Add, Get, Replace et Delete. La type de valeur est un entier.
Settings/RMSTemplateIDForEDP
GUID templateID à utiliser pour le chiffrement RMS (Rights Management Service). Le modèle RMS permet à l’administrateur informatique de configurer les détails sur qui a accès au fichier protégé par RMS et sur la durée pendant laquelle il y a accès.
Les opérations prises en charge sont Add, Get, Replace et Delete. Le type de valeur est string (GUID).
Settings/AllowAzureRMSForEDP
Spécifie s’il faut autoriser le chiffrement Azure RMS pour la Protection des informations Windows.
- 0 (valeur par défaut) : n’utilisez pas RMS.
- 1 - Utiliser RMS.
Les opérations prises en charge sont Add, Get, Replace et Delete. La type de valeur est un entier.
Settings/SMBAutoEncryptedFileExtensions
Ajouté dans Windows 10, version 1703.. Spécifie une liste d’extensions de fichiers, afin que les fichiers avec ces extensions soient chiffrés lors de la copie à partir d’un partage SMB (Server Message Block) dans la limite de l’entreprise, comme défini dans les nœuds CSP Stratégie pour NetworkIsolation/EnterpriseIPRange et NetworkIsolation/EnterpriseNetworkDomainNames. Utilisez un point-virgule (;) délimiteur dans la liste. Lorsque cette stratégie n’est pas spécifiée, le comportement de chiffrement automatique existant est appliqué. Lorsque cette stratégie est configurée, seuls les fichiers avec les extensions dans la liste sont chiffrés. Les opérations prises en charge sont Add, Get, Replace et Delete. La type de valeur est une chaîne.
Settings/EDPShowIcons
Détermine si des superpositions sont ajoutées aux icônes pour les fichiers protégés par WIP dans les vignettes d’application d’Explorateur et d’entreprise uniquement dans le menu Démarrer . À compter de Windows 10, version 1703, ce paramètre configure également la visibilité de l’icône Protection des informations Windows dans la barre de titre d’une application protégée par WIP. La liste suivante indique les valeurs prises en charge :
- 0 (valeur par défaut) : aucune superposition WIP sur les icônes ou les vignettes.
- 1 - Afficher les superpositions WIP sur les fichiers et applications protégés qui peuvent uniquement créer du contenu d’entreprise.
Les opérations prises en charge sont Add, Get, Replace et Delete. La type de valeur est un entier.
Statut
Masque de bits en lecture seule qui indique l’état actuel de la Protection des informations Windows sur l’appareil. Le service MDM peut utiliser cette valeur pour déterminer l’état global actuel de WIP. WIP est activé uniquement (bit 0 = 1) si les stratégies wip obligatoires et les paramètres AppLocker WIP sont configurés.
Valeurs suggérées :
Réservé pour une utilisation ultérieure | Paramètres obligatoires WIP Set = 1 Non défini = 0 |
Réservé pour une utilisation ultérieure | AppLocker configuré Oui = 1 Non = 0 |
WIP sur = 1 WIP désactivé = 0 |
---|---|---|---|---|
4 | 3 | 2 | 1 | 0 |
Le bit 0 indique si wip est activé ou désactivé.
Bit 1 indique si les stratégies WIP AppLocker sont définies.
Bit 3 indique si les stratégies obligatoires de protection des informations Windows sont configurées. Si une ou plusieurs des stratégies WIP obligatoires ne sont pas configurées, le bit 3 est défini sur 0 (zéro).
Voici la liste des stratégies WIP obligatoires :
- EDPEnforcementLevel dans enterpriseDataProtection CSP
- DataRecoveryCertificate dans enterpriseDataProtection CSP
- EnterpriseProtectedDomainNames dans enterpriseDataProtection CSP
- NetworkIsolation/EnterpriseIPRange dans le fournisseur csp Policy
- NetworkIsolation/EnterpriseNetworkDomainNames dans le csp Policy
Les bits 2 et 4 sont réservés pour une utilisation ultérieure.
L’opération prise en charge est Obtenir. La type de valeur est un entier.
Articles connexes
Informations de référence sur les fournisseurs de services de configuration
Protéger vos données d’entreprise à l’aide de la Protection des informations Windows (WIP)