CSP EnterpriseDataProtection

A tabela abaixo mostra a aplicabilidade do Windows:

Edição	Windows 10	Windows 11
Home	Sim	Sim
Pro	Sim	Sim
Windows SE	Não	Sim
Negócios	Sim	Sim
Enterprise	Sim	Sim
Educação	Sim	Sim

O CSP (provedor de serviços de configuração enterpriseDataProtection) é usado para configurar configurações para o Windows Proteção de Informações (WIP), anteriormente conhecido como Enterprise Data Protection. Para obter mais informações sobre WIP, consulte Proteger seus dados corporativos usando o Windows Proteção de Informações (WIP).

Observação

A partir de julho de 2022, a Microsoft está preterindo o Windows Proteção de Informações (WIP) e as APIs que dão suporte ao WIP. A Microsoft continuará a dar suporte ao WIP em versões com suporte do Windows. Novas versões do Windows não incluirão novos recursos para WIP e não serão compatíveis em versões futuras do Windows. Para obter mais informações, consulte Anunciando o pôr do sol do Windows Proteção de Informações.

Para suas necessidades de proteção de dados, a Microsoft recomenda que você use Proteção de Informações do Microsoft Purview e Prevenção Contra Perda de Dados do Microsoft Purview. O Purview simplifica a configuração configuração e fornece um conjunto avançado de recursos.

Observação

Para tornar o Windows Proteção de Informações funcional, o CSP do AppLocker e as configurações específicas do isolamento de rede também devem ser configurados. Para obter mais informações, consulte Políticas de CSP e NetworkIsolation do AppLocker no CSP da política.

Embora o Windows Proteção de Informações não tenha nenhuma dependência dura da VPN, para obter os melhores resultados, você deve configurar os perfis vpn primeiro antes de configurar as políticas wip. Para recomendações de melhores práticas de VPN, consulte VPNv2 CSP.

Para saber mais sobre o Windows Proteção de Informações, confira os seguintes artigos:

• Criar uma política de WIP (Proteção de informações Windows)
• Diretrizes gerais e práticas recomendadas para WIP (Proteção de informações Windows)

O exemplo a seguir mostra o CSP EnterpriseDataProtection no formato de árvore.

./Device/Vendor/MSFT
EnterpriseDataProtection
----Settings
--------EDPEnforcementLevel
--------EnterpriseProtectedDomainNames
--------AllowUserDecryption
--------DataRecoveryCertificate
--------RevokeOnUnenroll
--------RMSTemplateIDForEDP
--------AllowAzureRMSForEDP
--------EDPShowIcons
----Status

./Device/Vendor/MSFT/EnterpriseDataProtection O nó raiz do CSP.

Configurações O nó raiz das configurações de WIP (Windows Proteção de Informações).

Configurações/EDPEnforcementLevel Defina o nível de imposição wip.

Observação

Definir esse valor não é suficiente para habilitar o Windows Proteção de Informações no dispositivo. As tentativas de alterar esse valor falharão quando a limpeza wip estiver em execução.

A lista a seguir mostra os valores com suporte:

• 0 (padrão) – Desativada/Sem proteção (descriptografa dados protegidos anteriormente).
• 1 – Modo silencioso (somente criptografar e auditar).
• 2 – Permitir o modo de substituição (criptografar, solicitar e permitir substituições e auditoria).
• 3 – Oculta substituições (criptografar, solicitar, mas ocultar substituições e auditoria).

As operações com suporte são Adicionar, Obter, Substituir e Excluir. Tipo de valor é número inteiro.

Configurações/EnterpriseProtectedDomainNames Uma lista de domínios usados pela empresa para suas identidades de usuário separadas por pipes ("|"). O primeiro domínio da lista deve ser a ID corporativa primária, ou seja, aquela que representa a autoridade de gerenciamento do Windows Proteção de Informações. As identidades dos usuários de um desses domínios são consideradas uma conta gerenciada pela empresa, e os dados associados a ela devem ser protegidos. Por exemplo, espera-se que os domínios de todas as contas de email pertencentes à empresa apareçam nesta lista. As tentativas de alterar esse valor falharão quando a limpeza wip estiver em execução.

Não há suporte para alterar a ID corporativa primária e pode causar um comportamento inesperado no cliente.

Observação

O cliente exige que o nome de domínio seja canônico, caso contrário, a configuração será rejeitada pelo cliente.

Aqui estão as etapas para criar nomes de domínio canônicos:

1. Transforme os caracteres ASCII (somente A-Z) para minúsculas. Por exemplo, Microsoft.COM -> microsoft.com.
2. Chame IdnToAscii com IDN_USE_STD3_ASCII_RULES como sinalizadores.
3. Chame IdnToUnicode sem conjunto de sinalizadores (dwFlags = 0).

As operações com suporte são Adicionar, Obter, Substituir e Excluir. Tipo de valor é cadeia de caracteres.

Configurações/AllowUserDecryption Permite que o usuário descriptografe arquivos. Se isso for definido como 0 (não permitido), o usuário não poderá remover a proteção do conteúdo corporativo por meio do sistema operacional ou das experiências do usuário do aplicativo.

Importante

A partir de Windows 10, versão 1703, AllowUserDecryption não tem mais suporte.

A lista a seguir mostra os valores com suporte:

• 0 – Não permitido.
• 1 (padrão) – Permitido.

O valor de restrição máxima é 0.

As operações com suporte são Adicionar, Obter, Substituir e Excluir. Tipo de valor é número inteiro.

Configurações/DataRecoveryCertificate Especifica um certificado de recuperação que pode ser usado para recuperação de dados de arquivos criptografados. Esse certificado é o mesmo que o certificado DRA (agente de recuperação de dados) para criptografar o sistema de arquivos (EFS), entregue apenas por meio do MDM (gerenciamento de dispositivo móvel) em vez de Política de Grupo.

Observação

Se essa política e a configuração de Política de Grupo correspondente estiverem configuradas, a configuração Política de Grupo será imposta.

As informações DRA da política de MDM devem ser um blob binário serializado idêntico ao que esperamos do GP. O blob binário é a versão serializada da seguinte estrutura:

//
//  Recovery Policy Data Structures
//

typedef struct _RECOVERY_POLICY_HEADER {
    USHORT      MajorRevision;
    USHORT      MinorRevision;
    ULONG       RecoveryKeyCount;
} RECOVERY_POLICY_HEADER, *PRECOVERY_POLICY_HEADER;

typedef struct _RECOVERY_POLICY_1_1    {
        RECOVERY_POLICY_HEADER  RecoveryPolicyHeader;
        RECOVERY_KEY_1_1        RecoveryKeyList[1];
}   RECOVERY_POLICY_1_1, *PRECOVERY_POLICY_1_1;

#define EFS_RECOVERY_POLICY_MAJOR_REVISION_1   (1)
#define EFS_RECOVERY_POLICY_MINOR_REVISION_0   (0)

#define EFS_RECOVERY_POLICY_MINOR_REVISION_1   (1)

///////////////////////////////////////////////////////////////////////////////
//                                                                            /
//  RECOVERY_KEY Data Structure                                               /
//                                                                            /
///////////////////////////////////////////////////////////////////////////////

//
// Current format of recovery data.
//

typedef struct _RECOVERY_KEY_1_1   {
        ULONG               TotalLength;
        EFS_PUBLIC_KEY_INFO PublicKeyInfo;
} RECOVERY_KEY_1_1, *PRECOVERY_KEY_1_1;


typedef struct _EFS_PUBLIC_KEY_INFO {

    //
    // The length of this entire structure, including string data
    // appended to the end. The length should be a multiple of 8 for
    // 64 bit alignment
    //

    ULONG Length;

    //
    // Sid of owner of the public key (regardless of format).
   // This field is to be treated as a hint only.
    //

    ULONG PossibleKeyOwner;

    //
    // Contains information describing how to interpret
    // the public key information
    //

    ULONG KeySourceTag;

    union {

        struct {

            //
            // The following fields contain offsets based at the
            // beginning of the structure.  Each offset is to
            // a NULL terminated WCHAR string.
            //

            ULONG ContainerName;
            ULONG ProviderName;

            //
            // The exported public key used to encrypt the FEK.
            // This field contains an offset from the beginning of the
            // structure.
            //

            ULONG PublicKeyBlob;

            //
            // Length of the PublicKeyBlob in bytes
            //

            ULONG PublicKeyBlobLength;

        } ContainerInfo;

        struct {

            ULONG CertificateLength;       // in bytes
            ULONG Certificate;             // offset from start of structure

        } CertificateInfo;


        struct {

            ULONG ThumbprintLength;        // in bytes
            ULONG CertHashData;            // offset from start of structure

        } CertificateThumbprint;
    };



} EFS_PUBLIC_KEY_INFO, *PEFS_PUBLIC_KEY_INFO;

//
// Possible KeyTag values
//

typedef enum _PUBLIC_KEY_SOURCE_TAG {
    EfsCryptoAPIContainer = 1,
    EfsCertificate,
    EfsCertificateThumbprint
} PUBLIC_KEY_SOURCE_TAG, *PPUBLIC_KEY_SOURCE_TAG;

Para eFSCertificate KeyTag, espera-se que seja um certificado binário ENCODED DER.

As operações com suporte são Adicionar, Obter, Substituir e Excluir. O tipo de valor é certificado codificado base-64.

Configurações/RevokeOnUnenroll Essa política controla se o Windows Proteção de Informações chaves quando um dispositivo é desativado do serviço de gerenciamento. Se definido como 0 (Não revogue as chaves), as chaves não serão revogadas e o usuário continuará a ter acesso a arquivos protegidos após o cancelamento do registro. Se as chaves não forem revogadas, não haverá limpeza de arquivo revogada, posteriormente. Antes de enviar o comando unenroll, quando você deseja que um dispositivo faça um apagamento seletivo quando ele é não registrado, então você deve definir explicitamente essa política como 1.

A lista a seguir mostra os valores com suporte:

• 0 – Não revogue as chaves.
• 1 (padrão) – Revogar chaves.

As operações com suporte são Adicionar, Obter, Substituir e Excluir. Tipo de valor é número inteiro.

Configurações/RevokeOnMDMHandoff Adicionado em Windows 10, versão 1703. Essa política controla se o Windows Proteção de Informações chaves quando um dispositivo é atualizado do MAM (gerenciamento de aplicativos móveis) para o MDM. Se definido como 0 (Não revogue chaves), as chaves não serão revogadas e o usuário continuará a ter acesso a arquivos protegidos após a atualização. Essa configuração será recomendada se o serviço MDM estiver configurado com o mesmo WIP EnterpriseID que o serviço MAM.

• 0 – Não revogue as chaves.
• 1 (padrão) – Revogar chaves.

As operações com suporte são Adicionar, Obter, Substituir e Excluir. Tipo de valor é número inteiro.

Configurações/RMSTemplateIDForEDP Guid templateID para usar para criptografia RMS (Rights Management Service). O modelo RMS permite que o administrador de TI configure os detalhes sobre quem tem acesso ao arquivo protegido pelo RMS e por quanto tempo eles têm acesso.

As operações com suporte são Adicionar, Obter, Substituir e Excluir. O tipo de valor é GUID (cadeia de caracteres).

Configurações/PermitirAzureRMSForEDP Especifica se é necessário permitir a criptografia do Azure RMS para o Windows Proteção de Informações.

• 0 (padrão) – Não use RMS.
• 1 – Use RMS.

As operações com suporte são Adicionar, Obter, Substituir e Excluir. Tipo de valor é número inteiro.

Configurações/SMBAutoEncryptedFileExtensions Adicionado em Windows 10, versão 1703. Especifica uma lista de extensões de arquivo, para que os arquivos com essas extensões sejam criptografados ao copiar de um compartilhamento de SMB (Bloco de Mensagens do Servidor) dentro do limite corporativo, conforme definido nos nós CSP da Política para NetworkIsolation/EnterpriseIPRange e NetworkIsolation/EnterpriseNetworkDomainNames. Use ponto e vírgula (;) delimitador na lista. Quando essa política não é especificada, o comportamento de criptografia automática existente é aplicado. Quando essa política estiver configurada, somente os arquivos com as extensões na lista serão criptografados. As operações com suporte são Adicionar, Obter, Substituir e Excluir. Tipo de valor é cadeia de caracteres.

Configurações/EDPShowIcons Determina se as sobreposições são adicionadas a ícones para arquivos protegidos por WIP em blocos de aplicativo somente Explorer e corporativos no menu Iniciar. A partir de Windows 10, a versão 1703 essa configuração também configura a visibilidade do ícone windows Proteção de Informações na barra de título de um aplicativo protegido por WIP. A lista a seguir mostra os valores com suporte:

• 0 (padrão) – Nenhuma sobreposição wip em ícones ou blocos.
• 1 – Mostrar sobreposições wip em arquivos e aplicativos protegidos que só podem criar conteúdo empresarial.

As operações com suporte são Adicionar, Obter, Substituir e Excluir. Tipo de valor é número inteiro.

Status Uma máscara de bit somente leitura que indica o estado atual do Windows Proteção de Informações no Dispositivo. O serviço MDM pode usar esse valor para determinar o estado geral atual da WIP. O WIP só estará ativado (bit 0 = 1) se as políticas obrigatórias do WIP e as configurações do WIP AppLocker estiverem configuradas.

Valores sugeridos:

Reservado para uso futuro	Configurações obrigatórias do WIP Definir = 1 Não definido = 0	Reservado para uso futuro	AppLocker configurado Sim = 1 Não = 0	WIP on = 1 WIP off = 0
4	3	2	1	0

O bit 0 indica se o WIP está ativado ou desativado.

O Bit 1 indica se as políticas wip do AppLocker estão definidas.

O Bit 3 indica se as políticas obrigatórias do Windows Proteção de Informações estão configuradas. Se uma ou mais das políticas de WIP obrigatórias não estiverem configuradas, o bit 3 será definido como 0 (zero).

Aqui está a lista de políticas de WIP obrigatórias:

• EDPEnforcementLevel no EnterpriseDataProtection CSP
• DataRecoveryCertificate no EnterpriseDataProtection CSP
• EnterpriseProtectedDomainNames no EnterpriseDataProtection CSP
• NetworkIsolation/EnterpriseIPRange no CSP da política
• NetworkIsolation/EnterpriseNetworkDomainNames in Policy CSP

Os bits 2 e 4 são reservados para uso futuro.

A operação com suporte é Get. Tipo de valor é número inteiro.

Tópicos relacionados

Referência de provedor de serviços de configuração