Wi-Windows -beleid (Information Protection) maken en implementeren met Intune

U kunt Windows beleid voor informatiebeveiliging (WIP) gebruiken met Windows 10 apps om apps te beveiligen zonder dat u zich hebt ingeschreven.

Voordat u begint

U moet een paar concepten begrijpen bij het toevoegen van een WIP-beleid:

Lijst met toegestane en vrijgestelde apps

  • Beveiligde apps: Deze apps zijn de apps die aan dit beleid moeten voldoen.

  • Vrijgestelde apps: Deze apps zijn vrijgesteld van dit beleid en hebben zonder beperkingen toegang tot bedrijfsgegevens.

Typen apps

  • Aanbevolen apps: Een vooraf ingevulde lijst met (meestal Microsoft Office) apps waarmee u eenvoudig kunt importeren in het beleid.
  • Store-apps: U kunt elke app uit de Windows aan het beleid toevoegen.
  • Windows bureaublad-apps: U kunt traditionele bureaublad-apps Windows toevoegen aan het beleid (bijvoorbeeld .exe, .dll)

Vereisten

U moet de MAM-provider configureren voordat u een WIP-beleid kunt maken. Meer informatie over het configureren van uw MAM-provider met Intune.

Belangrijk

WIP biedt geen ondersteuning voor meervoudige identiteit, er kan slechts één beheerde identiteit tegelijk bestaan. Zie Uw bedrijfsgegevens beveiligen met Windows Information Protection (WIP) voormeer informatie over de mogelijkheden en beperkingen van WIP.

Daarnaast moet u de volgende licentie en update hebben:

Een WIP-beleid toevoegen

Nadat u Intune in uw organisatie hebt ingesteld, kunt u een WIP-specifiek beleid maken.

Tip

Zie Een Windows Information Protection (WIP)-beleid maken met MAM met de portal voor Microsoft Intune in de documentatiebibliotheek van Windows-beveiliging voor meer informatie over het maken van WIP-beleid voor Intune, inclusief beschikbare instellingen en het configureren ervan.

  1. Meld u aan bij het Microsoft Endpoint Manager-beheercentrum.
  2. Selecteer Apps > App-beveiligingsbeleid > Beleid maken.
  3. Voeg de volgende waarden toe:
    • Naam: Typ een naam (vereist) voor uw nieuwe beleid.
    • Beschrijving: (Optioneel) Typ een beschrijving.
    • Platform: Kies Windows 10 als het ondersteunde platform voor uw WIP-beleid.
    • Inschrijvingstoestand: Kies Zonder inschrijving als de registratiestaat voor uw beleid.
  4. Kies Create. Het beleid wordt gemaakt en wordt weergegeven in de tabel in het deelvenster Beleidsregels voor app-beveiliging.
  1. Meld u aan bij het Microsoft Endpoint Manager-beheercentrum.
  2. Selecteer Apps > App-beveiligingsbeleid.
  3. Kies in het deelvenster Beleidsregels voor app-beveiliging het beleid dat u wilt wijzigen. Het deelvenster Intune App Protection wordt weergegeven.
  4. Kies Beveiligde apps in het deelvenster Intune App Protection. Het deelvenster Beveiligde apps wordt geopend met alle apps die al zijn opgenomen in de lijst voor dit app-beveiligingsbeleid.
  5. Selecteer Apps toevoegen. In de informatie over Apps toevoegen ziet u een gefilterde lijst met apps. Met de lijst boven aan het deelvenster kunt u het lijstfilter wijzigen.
  6. Selecteer elke app die u toegang wilt verlenen tot uw bedrijfsgegevens.
  7. Klik op OK. Het deelvenster Beveiligde apps wordt bijgewerkt met alle geselecteerde apps.
  8. Klik op Opslaan.

Een Store-app toevoegen aan uw lijst met beveiligde apps

Een Store-app toevoegen

  1. Meld u aan bij het Microsoft Endpoint Manager-beheercentrum.
  2. Selecteer Apps > App-beveiligingsbeleid.
  3. Kies in het deelvenster Beleidsregels voor app-beveiliging het beleid dat u wilt wijzigen. Het deelvenster Intune App Protection wordt weergegeven.
  4. Kies Beveiligde apps in het deelvenster Intune App Protection. Het deelvenster Beveiligde apps wordt geopend met alle apps die al zijn opgenomen in de lijst voor dit app-beveiligingsbeleid.
  5. Selecteer Apps toevoegen. In de informatie over Apps toevoegen ziet u een gefilterde lijst met apps. Met de lijst boven aan het deelvenster kunt u het lijstfilter wijzigen.
  6. Selecteer in de lijst Store-apps.
  7. Voer waarden in voor Naam, Publisher, Productnaam en Actie. Zorg ervoor dat u de actiewaarde in stelt op Toestaan, zodat de app toegang heeft tot uw bedrijfsgegevens.
  8. Klik op OK. Het deelvenster Beveiligde apps wordt bijgewerkt met alle geselecteerde apps.
  9. Klik op Opslaan.

Een bureaublad-app toevoegen aan uw lijst met beveiligde apps

Een bureaublad-app toevoegen

  1. Meld u aan bij het Microsoft Endpoint Manager-beheercentrum.
  2. Selecteer Apps > App-beveiligingsbeleid.
  3. Kies in het deelvenster Beleidsregels voor app-beveiliging het beleid dat u wilt wijzigen. Het deelvenster Intune App Protection wordt weergegeven.
  4. Kies Beveiligde apps in het deelvenster Intune App Protection. Het deelvenster Beveiligde apps wordt geopend met alle apps die al zijn opgenomen in de lijst voor dit app-beveiligingsbeleid.
  5. Selecteer Apps toevoegen. In de informatie over Apps toevoegen ziet u een gefilterde lijst met apps. Met de lijst boven aan het deelvenster kunt u het lijstfilter wijzigen.
  6. Selecteer bureaublad-apps in de lijst.
  7. Voer waarden in voor Naam, Publisher, Productnaam, Bestand, Min-versie, Max-versie en Actie. Zorg ervoor dat u de actiewaarde in stelt op Toestaan, zodat de app toegang heeft tot uw bedrijfsgegevens.
  8. Klik op OK. Het deelvenster Beveiligde apps wordt bijgewerkt met alle geselecteerde apps.
  9. Klik op Opslaan.

WIP-Learning

Nadat u de apps hebt toevoegen die u wilt beveiligen met WIP, moet u een beveiligingsmodus toepassen met behulp van WIP-Learning.

Voordat u begint

WIP Learning is een rapport waarmee u uw wip-apps en WIP-onbekende apps kunt controleren. De onbekende apps zijn niet geïmplementeerd door de IT-afdeling van uw organisatie. U kunt deze apps exporteren uit het rapport en deze toevoegen aan uw WIP-beleid om productiviteitsverstoringen te voorkomen voordat ze WIP afdwingen in de modus Blokkeren.

Naast het weergeven van informatie over apps met WIP-functie, kunt u ook een overzicht bekijken van de apparaten met gedeelde werkgegevens met websites. Met deze informatie kunt u bepalen welke websites moeten worden toegevoegd aan groepsbeleid en gebruikers wipbeleid. In het overzicht ziet u welke website-URL's worden gebruikt door apps met WIP-functie.

Wanneer u werkt met wip-apps en WIP-onbekende apps, raden we u aan om te beginnen met Silent of Overrides toestaan terwijl u met een kleine groep controleert of u de juiste apps hebt in de lijst met beveiligde apps. Nadat u klaar bent, kunt u het uiteindelijke handhavingsbeleid Blokkeren wijzigen.

Wat zijn de beveiligingsmodi?

Blokkeren

Wip zoekt naar ongepaste procedures voor het delen van gegevens en voorkomt dat de gebruiker de actie voltooit. Geblokkeerde acties kunnen bestaan uit het delen van gegevens in niet-bedrijfs beveiligde apps en het delen van bedrijfsgegevens tussen andere personen en apparaten buiten uw organisatie.

Overschrijven toestaan

WIP zoekt naar ongepaste gegevens delen en waarschuwt gebruikers wanneer ze iets doen dat mogelijk onveilig wordt geacht. Met deze modus kan de gebruiker echter het beleid overschrijven en de gegevens delen en de actie registreren in het auditlogboek.

Stil

WIP wordt geruisloos uitgevoerd en er worden ongepaste gegevensuitwisselingen bijgelogd, zonder dat er iets wordt geblokkeerd dat om interactie tussen werknemers zou zijn gevraagd in de modus Overschrijven toestaan. Niet-toehoorde acties, zoals apps die ongepast toegang proberen te krijgen tot een netwerkresource of met WIP beveiligde gegevens, worden nog steeds gestopt.

WIP is uitgeschakeld en helpt niet bij het beveiligen of controleren van uw gegevens.

Nadat u WIP hebt uitgeschakeld, wordt geprobeerd alle bestanden met een WIP-label op de lokaal gekoppelde stations te ontsleutelen. Houd er rekening mee dat eerdere ontsleutelings- en beleidsgegevens niet automatisch opnieuw worden toegepast als u WIP-beveiliging weer in schakelt.

Een beveiligingsmodus toevoegen

  1. Kies in het deelvenster App-beleid de naam van uw beleid en kies vervolgens Vereiste instellingen.

    Schermafbeelding van het deelvenster Learning modus

  2. Selecteer een instelling en kies opslaan.

Toestaan Windows zoekindexer versleutelde items te zoeken

Hiermee wordt het indexeren van items mogelijk of afgekeurd. Deze schakelaar is voor de Windows Search Indexer, die bepaalt of hiermee items worden geïndexeerd die zijn versleuteld, zoals de Windows Information Protection (WIP) beveiligde bestanden.

Deze optie voor het beveiligingsbeleid voor apps vindt u in de geavanceerde instellingen van het Windows Information Protection-beleid. Het beleid voor app-beveiliging moet zijn ingesteld op het Windows 10 platform en de registratiestaat van het app-beleid moet zijn ingesteld op Met inschrijving.

Wanneer het beleid is ingeschakeld, worden met WIP beveiligde items geïndexeerd en worden de metagegevens ervan op een niet-versleutelde locatie opgeslagen. De metagegevens bevatten zaken zoals het bestandspad en de datum gewijzigd.

Wanneer het beleid is uitgeschakeld, worden de met WIP beveiligde items niet geïndexeerd en worden ze niet weergegeven in de resultaten in Cortana of verkenner. Er kan ook een prestatie-effect zijn op foto's en Groove apps als er veel met WIP beveiligde mediabestanden op het apparaat zijn.

Versleutelde bestandsextensies toevoegen

Naast het instellen van de optie Windows zoeken in de optie Versleutelde items zoeken, kunt u ook een lijst met bestandsextensies opgeven. Bestanden met deze extensies worden versleuteld bij het kopiëren van een SMB-share (Server Message Block) binnen de bedrijfsgrens, zoals gedefinieerd in de lijst met netwerklocatie. Wanneer dit beleid niet is opgegeven, wordt het bestaande gedrag voor automatische versleuteling toegepast. Wanneer dit beleid is geconfigureerd, worden alleen bestanden met de extensies in de lijst versleuteld.

Het beveiligingsbeleid voor uw WIP-app implementeren

Belangrijk

Deze informatie is van toepassing op WIP zonder apparaatinschrijving.

Nadat u het beveiligingsbeleid voor de WIP-app hebt gemaakt, moet u dit implementeren in uw organisatie met MAM.

  1. Kies in het deelvenster App-beleid uw nieuw gemaakte app-beveiligingsbeleid en kies Gebruikersgroepen > Gebruikersgroep toevoegen.

    Een lijst met gebruikersgroepen, die bestaat uit alle beveiligingsgroepen in uw Azure Active Directory, wordt geopend in het deelvenster Gebruikersgroep toevoegen.

  2. Kies de groep op wie uw beleid moet worden toegepast en kies Selecteren om het beleid te implementeren.

Volgende stappen

Zie Uw ondernemingsgegevens beveiligen met Windows Information Protection (WIP) voormeer Windows informatiebeveiliging.