Fournisseur de services de configuration EnterpriseDataProtection

  • Article

Le tableau ci-dessous montre l’applicabilité de Windows :

Édition Windows 10 Windows 11
Accueil Oui Oui
Pro Oui Oui
Windows SE Non Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Le fournisseur de services de configuration (CSP) EnterpriseDataProtection est utilisé pour configurer les paramètres de Windows Information Protection (WIP), anciennement appelé Protection des données d’entreprise. Pour plus d’informations sur WIP, consultez Protéger vos données d’entreprise à l’aide de Windows Information Protection (WIP).

Remarque

À compter de juillet 2022, Microsoft déprécie Windows Information Protection (WIP) et les API qui prennent en charge WIP. Microsoft continuera à prendre en charge WIP sur les versions prises en charge de Windows. Les nouvelles versions de Windows n’incluront pas de nouvelles fonctionnalités pour WIP et ne seront pas prises en charge dans les futures versions de Windows. Pour plus d’informations, consultez Annonce de l’extinction de Windows Information Protection.

Pour vos besoins en matière de protection des données, Microsoft vous recommande d’utiliser Protection des données Microsoft Purview et Protection contre la perte de données Microsoft Purview. Purview simplifie la configuration et fournit un ensemble avancé de fonctionnalités.

Remarque

Pour rendre Windows Information Protection fonctionnel, le csp AppLocker et les paramètres spécifiques à l’isolation réseau doivent également être configurés. Pour plus d’informations, consultez AppLocker CSP et NetworkIsolation policies in Policy CSP.

Bien que Windows Information Protection n’ait aucune dépendance vis-à-vis du VPN, pour obtenir de meilleurs résultats, vous devez d’abord configurer les profils VPN avant de configurer les stratégies WIP. Pour obtenir des recommandations sur les meilleures pratiques VPN, consultez FOURNISSEUR de services de configuration VPNv2.

Pour en savoir plus sur Windows Information Protection, consultez les articles suivants :

L’exemple suivant montre le fournisseur de services de configuration EnterpriseDataProtection au format d’arborescence.

./Device/Vendor/MSFT
EnterpriseDataProtection
----Settings
--------EDPEnforcementLevel
--------EnterpriseProtectedDomainNames
--------AllowUserDecryption
--------DataRecoveryCertificate
--------RevokeOnUnenroll
--------RMSTemplateIDForEDP
--------AllowAzureRMSForEDP
--------EDPShowIcons
----Status

./Device/Vendor/MSFT/EnterpriseDataProtection Nœud racine du fournisseur de solutions Cloud.

Paramètres Nœud racine pour les paramètres de configuration windows Information Protection (WIP).

Settings/EDPEnforcementLevel Définissez le niveau d’application WIP.

Remarque

La définition de cette valeur n’est pas suffisante pour activer Windows Information Protection sur l’appareil. Les tentatives de modification de cette valeur échouent lorsque le nettoyage WIP est en cours d’exécution.

La liste suivante indique les valeurs prises en charge :

  • 0 (valeur par défaut) : désactivé/aucune protection (déchiffre les données précédemment protégées).
  • 1 – Mode silencieux (chiffrer et auditer uniquement).
  • 2 – Autoriser le mode de remplacement (chiffrer, demander et autoriser les remplacements, et auditer).
  • 3 – Masque les remplacements (chiffrer, demander mais masquer les remplacements et auditer).

Les opérations prises en charge sont Add, Get, Replace et Delete. La type de valeur est un entier.

Paramètres/EnterpriseProtectedDomainNames Liste des domaines utilisés par l’entreprise pour ses identités utilisateur séparées par des canaux (« | »). Le premier domaine de la liste doit être l’ID d’entreprise principal, c’est-à-dire celui qui représente l’autorité de gestion pour Windows Information Protection. Les identités d’utilisateurs de l’un de ces domaines sont considérées comme des comptes gérés par l’entreprise et les données associées doivent être protégées. Par exemple, les domaines de tous les comptes de messagerie appartenant à l’entreprise devraient apparaître dans cette liste. Les tentatives de modification de cette valeur échouent lorsque le nettoyage WIP est en cours d’exécution.

La modification de l’ID d’entreprise principal n’est pas prise en charge et peut entraîner un comportement inattendu sur le client.

Remarque

Le client exige que le nom de domaine soit canonique, sinon le paramètre est rejeté par le client.

Voici les étapes pour créer des noms de domaine canoniques :

  1. Transformez les caractères ASCII (A-Z uniquement) en minuscules. Par exemple, Microsoft.COM -> microsoft.com.
  2. Appelez IdnToAscii avec IDN_USE_STD3_ASCII_RULES comme indicateurs.
  3. Appelez IdnToUnicode sans indicateur défini (dwFlags = 0).

Les opérations prises en charge sont Add, Get, Replace et Delete. La type de valeur est une chaîne.

Paramètres/AllowUserDecryption Permet à l’utilisateur de déchiffrer des fichiers. Si cette valeur est définie sur 0 (Non autorisé), l’utilisateur ne pourra pas supprimer la protection du contenu d’entreprise via le système d’exploitation ou l’expérience utilisateur de l’application.

Important

À compter de Windows 10 version 1703, AllowUserDecryption n’est plus pris en charge.

La liste suivante indique les valeurs prises en charge :

  • 0 : non autorisé.
  • 1 : (par défaut) : autorisé.

La valeur la plus restreinte est 0.

Les opérations prises en charge sont Add, Get, Replace et Delete. La type de valeur est un entier.

Settings/DataRecoveryCertificate Spécifie un certificat de récupération qui peut être utilisé pour la récupération de données de fichiers chiffrés. Ce certificat est identique au certificat d’agent de récupération de données (DRA) pour le chiffrement du système de fichiers (EFS), fourni uniquement via la gestion des appareils mobiles (MDM) au lieu de stratégie de groupe.

Remarque

Si cette stratégie et le paramètre de stratégie de groupe correspondant sont tous les deux configurés, le paramètre stratégie de groupe est appliqué.

Les informations DRA de la stratégie MDM doivent être un objet blob binaire sérialisé identique à ce que nous attendons de la stratégie de groupe. L’objet blob binaire est la version sérialisée de la structure suivante :

//
//  Recovery Policy Data Structures
//

typedef struct _RECOVERY_POLICY_HEADER {
    USHORT      MajorRevision;
    USHORT      MinorRevision;
    ULONG       RecoveryKeyCount;
} RECOVERY_POLICY_HEADER, *PRECOVERY_POLICY_HEADER;

typedef struct _RECOVERY_POLICY_1_1    {
        RECOVERY_POLICY_HEADER  RecoveryPolicyHeader;
        RECOVERY_KEY_1_1        RecoveryKeyList[1];
}   RECOVERY_POLICY_1_1, *PRECOVERY_POLICY_1_1;

#define EFS_RECOVERY_POLICY_MAJOR_REVISION_1   (1)
#define EFS_RECOVERY_POLICY_MINOR_REVISION_0   (0)

#define EFS_RECOVERY_POLICY_MINOR_REVISION_1   (1)

///////////////////////////////////////////////////////////////////////////////
//                                                                            /
//  RECOVERY_KEY Data Structure                                               /
//                                                                            /
///////////////////////////////////////////////////////////////////////////////

//
// Current format of recovery data.
//

typedef struct _RECOVERY_KEY_1_1   {
        ULONG               TotalLength;
        EFS_PUBLIC_KEY_INFO PublicKeyInfo;
} RECOVERY_KEY_1_1, *PRECOVERY_KEY_1_1;


typedef struct _EFS_PUBLIC_KEY_INFO {

    //
    // The length of this entire structure, including string data
    // appended to the end. The length should be a multiple of 8 for
    // 64 bit alignment
    //

    ULONG Length;

    //
    // Sid of owner of the public key (regardless of format).
   // This field is to be treated as a hint only.
    //

    ULONG PossibleKeyOwner;

    //
    // Contains information describing how to interpret
    // the public key information
    //

    ULONG KeySourceTag;

    union {

        struct {

            //
            // The following fields contain offsets based at the
            // beginning of the structure.  Each offset is to
            // a NULL terminated WCHAR string.
            //

            ULONG ContainerName;
            ULONG ProviderName;

            //
            // The exported public key used to encrypt the FEK.
            // This field contains an offset from the beginning of the
            // structure.
            //

            ULONG PublicKeyBlob;

            //
            // Length of the PublicKeyBlob in bytes
            //

            ULONG PublicKeyBlobLength;

        } ContainerInfo;

        struct {

            ULONG CertificateLength;       // in bytes
            ULONG Certificate;             // offset from start of structure

        } CertificateInfo;


        struct {

            ULONG ThumbprintLength;        // in bytes
            ULONG CertHashData;            // offset from start of structure

        } CertificateThumbprint;
    };



} EFS_PUBLIC_KEY_INFO, *PEFS_PUBLIC_KEY_INFO;

//
// Possible KeyTag values
//

typedef enum _PUBLIC_KEY_SOURCE_TAG {
    EfsCryptoAPIContainer = 1,
    EfsCertificate,
    EfsCertificateThumbprint
} PUBLIC_KEY_SOURCE_TAG, *PPUBLIC_KEY_SOURCE_TAG;

Pour EFSCertificate KeyTag, il s’agit d’un certificat binaire ENCODÉ DER.

Les opérations prises en charge sont Add, Get, Replace et Delete. Le type de valeur est un certificat encodé en base 64.

Settings/RevokeOnUnenroll Cette stratégie détermine s’il faut révoquer les clés de Information Protection Windows lorsqu’un appareil se désinscrit du service de gestion. Si la valeur est 0 (Ne pas révoquer les clés), les clés ne seront pas révoquées et l’utilisateur continuera à avoir accès aux fichiers protégés après la désinscription. Si les clés ne sont pas révoquées, il n’y aura pas de nettoyage de fichier révoqué ultérieurement. Avant d’envoyer la commande de désinscription, lorsque vous souhaitez qu’un appareil effectue une réinitialisation sélective lorsqu’il est désinscrit, vous devez définir explicitement cette stratégie sur 1.

La liste suivante indique les valeurs prises en charge :

  • 0 – Ne révoquez pas les clés.
  • 1 (par défaut) : révoquer des clés.

Les opérations prises en charge sont Add, Get, Replace et Delete. La type de valeur est un entier.

Settings/RevokeOnMDMHandoff Ajouté dans Windows 10, version 1703. Cette stratégie détermine s’il faut révoquer les clés de Information Protection Windows lorsqu’un appareil effectue une mise à niveau de la gestion des applications mobiles (GAM) vers mdm. Si la valeur est 0 (Ne pas révoquer les clés), les clés ne seront pas révoquées et l’utilisateur continuera à avoir accès aux fichiers protégés après la mise à niveau. Ce paramètre est recommandé si le service MDM est configuré avec le même ID d’entreprise WIP que le service GAM.

  • 0 - Ne pas révoquer les clés.
  • 1 (par défaut) - Révoquer des clés.

Les opérations prises en charge sont Add, Get, Replace et Delete. La type de valeur est un entier.

Settings/RMSTemplateIDForEDP GUID templateID à utiliser pour le chiffrement RMS (Rights Management Service). Le modèle RMS permet à l’administrateur informatique de configurer les détails sur qui a accès au fichier protégé par RMS et sur la durée pendant laquelle il y a accès.

Les opérations prises en charge sont Add, Get, Replace et Delete. Le type de valeur est string (GUID).

Settings/AllowAzureRMSForEDP Spécifie s’il faut autoriser le chiffrement Azure RMS pour Windows Information Protection.

  • 0 (valeur par défaut) : n’utilisez pas RMS.
  • 1 – Utilisez RMS.

Les opérations prises en charge sont Add, Get, Replace et Delete. La type de valeur est un entier.

Settings/SMBAutoEncryptedFileExtensions Ajouté dans Windows 10, version 1703. Spécifie une liste d’extensions de fichiers, afin que les fichiers avec ces extensions soient chiffrés lors de la copie à partir d’un partage SMB (Server Message Block) dans la limite de l’entreprise, comme défini dans les nœuds CSP Stratégie pour NetworkIsolation/EnterpriseIPRange et NetworkIsolation/EnterpriseNetworkDomainNames. Utilisez un point-virgule (;) délimiteur dans la liste. Lorsque cette stratégie n’est pas spécifiée, le comportement de chiffrement automatique existant est appliqué. Lorsque cette stratégie est configurée, seuls les fichiers avec les extensions dans la liste sont chiffrés. Les opérations prises en charge sont Add, Get, Replace et Delete. La type de valeur est une chaîne.

Settings/EDPShowIcons Détermine si des superpositions sont ajoutées aux icônes pour les fichiers protégés par WIP dans les vignettes d’application Explorer et d’entreprise uniquement dans le menu Démarrer. À compter de Windows 10, version 1703, ce paramètre configure également la visibilité de l’icône Windows Information Protection dans la barre de titre d’une application protégée par WIP. La liste suivante indique les valeurs prises en charge :

  • 0 (valeur par défaut) : aucune superposition WIP sur les icônes ou les vignettes.
  • 1 - Afficher les superpositions WIP sur les fichiers et applications protégés qui peuvent uniquement créer du contenu d’entreprise.

Les opérations prises en charge sont Add, Get, Replace et Delete. La type de valeur est un entier.

Statut Masque de bits en lecture seule qui indique l’état actuel de Windows Information Protection sur l’appareil. Le service MDM peut utiliser cette valeur pour déterminer l’état global actuel de WIP. WIP est activé uniquement (bit 0 = 1) si les stratégies wip obligatoires et les paramètres AppLocker WIP sont configurés.

Valeurs suggérées :

Réservé pour une utilisation ultérieure Paramètres obligatoires WIP
Set = 1
Non défini = 0		 Réservé pour une utilisation ultérieure AppLocker configuré
Oui = 1
Non = 0		 WIP sur = 1
WIP désactivé = 0
4 3 2 1 0

Le bit 0 indique si wip est activé ou désactivé.

Bit 1 indique si les stratégies WIP AppLocker sont définies.

Bit 3 indique si les stratégies de Information Protection Windows obligatoires sont configurées. Si une ou plusieurs des stratégies WIP obligatoires ne sont pas configurées, le bit 3 est défini sur 0 (zéro).

Voici la liste des stratégies WIP obligatoires :

  • EDPEnforcementLevel dans enterpriseDataProtection CSP
  • DataRecoveryCertificate dans enterpriseDataProtection CSP
  • EnterpriseProtectedDomainNames dans enterpriseDataProtection CSP
  • NetworkIsolation/EnterpriseIPRange dans le fournisseur csp Policy
  • NetworkIsolation/EnterpriseNetworkDomainNames dans le csp Policy

Les bits 2 et 4 sont réservés pour une utilisation ultérieure.

L’opération prise en charge est Obtenir. La type de valeur est un entier.

Informations de référence sur les fournisseurs de services de configuration