Windows Information Protection implementeren en gebruiken
Wanneer u Windows Information Protection gebruikt, worden organisatiegegevens automatisch versleuteld wanneer gegevens worden gedownload naar of geopend op een lokaal apparaat. Versleuteling beveiligt de bestandsgegevens en koppelt de gegevens aan uw bedrijfsidentiteit.
WIP-beleid geeft vervolgens op welke vertrouwde apps die gegevens kunnen gebruiken en bewerken. Verlichte apps zoals Word of Microsoft Excel kunnen werken met organisatie- en persoonlijke gegevens. Wanneer u WIP-beleid maakt, kunt u vier WIP-beveiligingsmodi instellen, die in de volgende tabel worden vermeld voor het beheren van die toegang.
| Modus | Beschrijving |
|---|---|
| Onderdrukkingen blokkeren of verbergen | Hiermee voorkomt u dat werknemers acties voor het delen van gegevens uitvoeren wanneer ze worden geblokkeerd door het beleid. In sommige Microsoft-documentatie wordt dit de modus Onderdrukkingen verbergen genoemd. |
| Onderdrukkingen toestaan | Waarschuwt werknemers wanneer ze een potentieel riskante actie uitvoeren, maar ze kunnen ervoor kiezen om de actie te voltooien. De actierecords naar het auditlogboek. |
| Stilzwijgend | Werkt als de modus Onderdrukkingen toestaan, behalve dat er alleen een actie wordt vastgelegd die een werknemer kan overschrijven naar het auditlogboek. Alle acties die worden geblokkeerd, worden nog steeds geblokkeerd. |
| Uit | WIP is uitgeschakeld en beschermt geen gegevens. |
Een WIP-beleid maken in Intune
Wanneer u beleid maakt in Intune, kunt u definiëren welke apps worden beveiligd, welk beveiligingsniveau wordt geboden en hoe u organisatiegegevens in uw netwerk kunt vinden.
Voer de volgende stappen uit om een WIP-beleid te maken in Intune:
- Meld u aan bij het Microsoft Intune-beheercentrum.
- Navigeer naar Apps>App-beveiligingsbeleidsregels.
- Selecteer een beleid toevoegen in het deelvenster Beveiligingsbeleid voor apps en vul vervolgens de volgende velden in:
- Naam. Geef een naam op voor het beleid.
- Beschrijving. Voer een beschrijving in voor het beleid.
- Platform. Selecteer het platform voor het beleid.
- Inschrijvingsstatus: Kies Zonder inschrijving voor MAM of Met inschrijving voor MDM.
- Selecteer Beveiligde apps en selecteer vervolgens Apps toevoegen. U kunt deze typen apps toevoegen:
- Aanbevolen apps. Dit zijn verlichte apps die werken met WIP.
- Store-apps. Dit zijn apps die beschikbaar zijn in de Microsoft Store.
- Desktop-apps. Dit zijn ondertekende Windows-bureaublad-apps. Houd er rekening mee dat een toepassing mogelijk toegang geweigerde fouten retourneert nadat deze uit de lijst met beveiligde apps is verwijderd. In plaats van deze uit de lijst te verwijderen, moet u de toepassing verwijderen en opnieuw installeren of uitsluiten van WIP-beleid.
Toegestane en vrijgestelde apps
Het proces voor het toevoegen van een app-regel varieert enigszins, afhankelijk van het type regelsjabloon dat u gebruikt. De regelsjablonen zijn:
- Aanbevolen app. Aanbevolen apps zijn verlichte apps die met WIP werken.
- Store-app. Dit is voor apps die beschikbaar zijn in de Microsoft Store.
- Desktop-app. Dit is bedoeld voor ondertekende Windows-bureaublad-apps.
Voor gedetailleerde informatie over het toevoegen van elk type app aan de lijst met toegestane apps raadpleegt u het onderwerp 'Apps toevoegen aan de lijst met toegestane apps' in 'Een WiP-beleid (Windows Information Protection) maken met MDM met behulp van het Endpoint Manager-beheercentrum.
Nadat u de apps hebt toegevoegd die u wilt beveiligen, moet u beslissen over de beveiligingsmodus die u wilt gebruiken. Houd bij het maken en verifiëren van uw beleid met een groep testgebruikers rekening met de aanbevolen procedure voor het gebruik van de modus Voor onderdrukkingen op de achtergrond of toestaan voordat u de blokkeringsmodus gebruikt. Als u dit doet, kunt u bevestigen dat dit de juiste apps zijn die moeten worden vermeld in de lijst met toegestane apps.
Huisstijl
Uw bedrijfsidentiteit identificeert organisatiegegevens van apps die u beveiligt met WIP. E-mailberichten die afkomstig zijn van uw organisatiedomein, worden bijvoorbeeld geïdentificeerd als organisatie en WIP-beleid wordt toegepast. Daarom wilt u doorgaans alle domeinen toevoegen waaruit u e-mailberichten verzendt.
U voegt uw bedrijfsidentiteit toe door uw domeinnaam of meerdere domeinnamen te typen, gescheiden door het pipeteken (|) in het veld Bedrijfsidentiteit.
Netwerkperimeter
WIP moet weten waar de apps organisatiegegevens in uw netwerk kunnen vinden en openen, ook wel de netwerkgrens genoemd. Er is geen standaardset locaties of automatische manier om deze locaties te definiëren. U moet ze toevoegen aan uw WIP-beleid en u kunt zoveel locaties toevoegen als u nodig hebt.
Wanneer u een definitie van een netwerkgrens toevoegt, kiest u het type grens; op basis van die keuze geeft u de definitie in een specifieke indeling op. U kunt het beleid ook configureren om Windows te laten weten of bepaalde grenslijsten, zoals de lijsten met proxyservers of IP-adressen, definitief zijn of als zoeken naar andere servers of IP-adressen in uw netwerk is toegestaan.
In de volgende tabel worden de verschillende opties voor grenstypen beschreven.
| Netwerkelement | Beschrijving |
|---|---|
| Cloudresources | Hiermee geeft u URL's op voor cloudresources of toepassingen zoals SharePoint Online of Microsoft Visual Studio Codespace die moeten worden behandeld als organisatiegegevens. U kunt meerdere vermeldingen maken met de indeling URL1|URL2. |
| Beveiligde domeinen | Definieert DNS-achtervoegsels voor domeinen die moeten worden behandeld als beveiligd. Meerdere vermeldingen zijn toegestaan met de indeling domeinnaam1, domeinnaam2; bijvoorbeeld corp.adatum.com,sales.adatum.com. |
| Netwerkdomeinen | Definieert de DNS-achtervoegsels die in uw omgeving worden gebruikt. Meerdere vermeldingen zijn toegestaan met de indeling domeinnaam1, domeinnaam2; bijvoorbeeld corp.adatum.com,sales.adatum.com. |
| Proxyservers | Hiermee geeft u externe proxyserveradressen en poorten op waar WIP verkeer moet beveiligen. Bijvoorbeeld proxy.adatum.com:80; proxy2.adatum.com:137. |
| Interne proxyservers | Hiermee geeft u proxyservers op die apparaten gebruiken om cloudresources te bereiken. Maakt gebruik van dezelfde indeling als bedrijfsproxyservers. |
| IPv4-bereiken | Hiermee geeft u het bereik van IPv4-adressen (Internet Protocol versie 4) op die in uw netwerk worden gebruikt. Voer in met de notatie startingaddress-endaddress, met meerdere bereiken gescheiden door komma's. Dit netwerkelement is vereist als u geen IPv6-bereik (Enterprise Internet Protocol versie 6) opgeeft. |
| IPv6-bereiken | Hiermee geeft u het bereik van IPv6-adressen op die in uw netwerk worden gebruikt. Dit netwerkelement is vereist als u geen IPv4-bereiken voor ondernemingen opgeeft en dezelfde indeling gebruikt als IPv4. |
| Neutrale resources | Hiermee geeft u verificatieomleidingseindpunten voor uw bedrijf op, zoals Active Directory Federation Services-eindpunten. Voer in met de indeling URL1|URL2. |
DRA-certificaat (Data Recovery Agent)
Zoals eerder beschreven, versleutelt WIP bedrijfsgegevens wanneer deze zich op lokale stations bevinden. Als de versleutelingssleutel is verloren of ingetrokken, kunt u de gegevens niet herstellen. Door een DRA-certificaat toe te voegen, geeft u een openbare sleutel op waarmee de lokale gegevens worden versleuteld, zodat u deze gegevens later kunt ontsleutelen, indien nodig.
Als u nog geen EFS-certificaat (Encrypting File System) hebt, moet u er een maken en uploaden naar uw beleid voordat u het kunt implementeren.
Zie Een EFS-certificaat (Encrypting File System) Data Recover Agent (DFA) maken en verifiëren voor meer informatie.
Optionele WIP-gerelateerde instellingen
U kunt ook deze andere WIP-beleidsinstellingen configureren:
- Versleutelingssleutels intrekken bij uitschrijven. Gebruikers hebben geen toegang tot versleutelde organisatiegegevens wanneer een apparaat wordt uitgeschreven bij Intune.
- Geef de overlay van het pictogram Windows Information Protection weer. Bepaalt of het WIP-pictogram bestanden in Bestandenverkenner of in de weergave Opslaan als overlays bevat.
- Gebruik Azure RMS voor WIP. Bepaalt of Azure RMS-versleuteling wordt gebruikt voor WIP. Azure RMS moet zijn.
- Gebruik Windows Hello voor Bedrijven als methode voor het aanmelden bij Windows. Bepaalt of gebruikers Windows Hello kunnen gebruiken om zich aan te melden bij hun apparaat en de regels voor het gebruik van Windows Hello.