Обзор защиты корпоративных данных
[Некоторая информация относится к предварительной версии продукта, в которую к моменту выпуска официальной версии могут быть внесены значительные изменения. Майкрософт не дает никаких гарантий, явных или подразумеваемых, в отношении предоставленной здесь информации.]
По мере все более частого использования сотрудниками собственных устройств в организации растет и риск случайного раскрытия данных через приложения и службы, не контролируемые организациями, например приложения для работы с электронной почтой и социальными сетями, а также общедоступные облака.
Многие существующие решения пытаются решить эту проблему, требуя от сотрудников переключения между личными и рабочими контейнерами и приложениями, что может привести к неудобству работы пользователя. Компонент под кодовым названием «Защита данных предприятия» (EDP) обеспечивает удобство пользователя и помогает лучше разделять и защищать корпоративные приложения и данные от различных рисков раскрытия на корпоративных и личных устройствах без необходимости внесения изменений в среды или приложения. Кроме того, при использовании служб управления правами (RMS) EDP позволяет защитить корпоративные данные локально, обеспечивая защиту, даже если ваши данные являются перемещаемыми или общедоступными.
Преимущества EDP
EDP предоставляет следующие возможности.
Дополнительная защита от утечки корпоративных данных с минимальным воздействием на обычную работу сотрудников.
Очевидное разделение между личными и корпоративными данными без необходимости переключения сотрудниками сред или приложений.
Дополнительная защита данных в существующих бизнес-приложениях без необходимости обновления приложений.
Возможность стирать корпоративные данные с устройств, сохраняя при этом личные данные.
Использование отчета об аудитах для отслеживания проблем и принятия корректирующих действий.
Интеграция с текущей системой управления (Microsoft Intune, System Center Configuration Manager (версии 1511 или более поздней версии) или текущей системой управления мобильными устройствами (MDM)) для настройки, развертывания и управления EDP в вашей компании.
Дополнительная защита ваших данных (через интеграцию RMS) при перемещении и общем доступе к учетным данным, например при предоставлении доступа к зашифрованному содержимому через Outlook или перемещении зашифрованных файлов на накопители USB.
Возможность управления универсальными приложениями Office на устройствах Windows 10 с использованием решения MDM для защиты корпоративных данных. Чтобы управлять мобильными приложениями Office на устройствах Android и iOS, ознакомьтесь с приведенными здесь техническими материалами.
Необходимые условия
Для запуска EDP в своей организации вам понадобится следующее программное обеспечение.
| Операционная система. | Решение для управления. |
|---|---|
| Windows 10. |
|
Корпоративные сценарии.
В настоящее время EDP позволяет использовать следующие корпоративные сценарии.
Вы можете шифровать корпоративные данные на собственных устройствах сотрудников и корпоративных устройствах.
Вы можете удаленно стирать корпоративные данные с управляемых компьютеров, включая собственные компьютеры сотрудников, без воздействия на личные данные.
Вы можете выбрать определенные приложения, которые будут иметь доступ к корпоративным данным. Эти приложения четко распознаются сотрудниками и называются "привилегированными приложениями". Можно также блокировать доступ непривилегированных приложений к корпоративным данным.
Работа ваших сотрудников не будет прерываться при переключении между личными и корпоративными приложениями, если при этом действуют корпоративные политики. Переключения сред или многократного входа не потребуется.
Как работает EDP
EDP позволяет преодолевать ежедневные трудности, возникающие в организации. В том числе это поможет вам:
оптимально использовать приложения вследствие строгих политик в области защиты данных;
поддерживать конфиденциальность корпоративных данных;
управлять приложениями, которые не поддерживают политики, особенно на мобильных устройствах;
обрабатывать невозможность блокировки собственных устройств сотрудников, которая может привести к случайному раскрытию конфиденциальных данных.
Режимы защиты
Вы можете задать один из четырех режимов защиты EDP:
Блокировка. EDP определяет случаи недопустимого предоставления общего доступа к данным и запрещает сотруднику завершить действия.
Переопределение. EDP обнаруживает недопустимое предоставление общего доступа к данным и оповещает сотрудников, что их действия запрещены. Однако этот режим защиты позволяет сотрудникам переопределить политику и предоставить доступ к данным в любом случае. При этом действия будут зарегистрированы в журнале аудита.
Аудит. EDP работает в фоновом режиме, регистрируя недопустимое предоставление общего доступ к данным, ничего при этом не блокируя.
Выключено. EDP не работает и не защищает ваши данные.
Великолепное взаимодействие с сотрудниками
EDP обеспечивает великолепное взаимодействие с сотрудниками, так как им не нужно переключаться между приложениями для защиты корпоративных данных. Например, при проверке рабочего ящика электронной почты в Microsoft Outlook сотрудник получает личное сообщение. Вместо выхода из Outlook сотрудник просматривает рабочие и личные сообщения рядом друг с другом на экране.
Изменение защиты EDP
Сотрудники могут возвращать документы, защищенные с помощью корпоративных данных, в категорию личных, если документы ошибочно помечены как корпоративные. Однако для этого сотрудник должен выполнить определенное действие, которое проходит аудит и регистрируется в журнале для дальнейшей оценки
Безопасность корпоративных данных
Как администратору предприятия вам необходимо поддерживать безопасность и конфиденциальность корпоративных данных. С помощью EDP вы можете обеспечить защиту корпоративных данных на компьютерах ваших сотрудников, даже если сотрудники не пользуются ими активно. В этом случае при исходном создании сотрудником материалов на управляемом устройстве он получает запрос, являются ли эти материалы рабочими. Если это рабочий документ, он становится локально защищенным в качестве корпоративных данных.
Дистанционное удаление корпоративных данных на устройствах
EDP также предоставляет возможность дистанционного удаления корпоративных данных со всех управляемых устройств, используемых сотрудником, что оставляет корпоративные данные неизменными. Это становится преимуществом, если сотрудник покидает компанию или если его компьютер украден.
В этом случае документы сохраняются локально и шифруются с использованием корпоративного удостоверения. При подтверждении своего намерения стереть данные на устройстве можно отправить удаленную команду на стирание через систему управления мобильным устройством, поэтому когда устройство подключается к сети, ключи шифрования отзываются и корпоративные данные удаляются. Это действие влияет только на те устройства, которые были указаны в команде. Все прочие устройства продолжают нормально работать.
Копирование или загрузка корпоративных данных
Загрузка содержимого из таких мест, как SharePoint (либо общий сетевой ресурс) или корпоративное расположение в Интернете, например Office365.com, позволяет автоматически определить это содержимое как корпоративные данные, поэтому оно шифруется при локальном сохранении. То же самое применимо к копированию корпоративных данных на носители, например USB-накопители. Так как содержимое уже помечено исключительно как корпоративные данные, шифрование переносится на новое устройство.
Привилегированные приложения и ограничения
С помощью EDP можно управлять набором приложений, в который включены привилегированные приложения или приложения, которые могут получать доступ к корпоративным данным. После добавления приложения в список привилегированных приложений оно может использовать корпоративные данные. Все приложения, отсутствующие в этом списке, считаются личными, их доступ к вашим корпоративным данным, возможно, блокируется в зависимости от используемого режима защиты EDP.
Обратите внимание, что существующие бизнес-приложения не требуется изменять для включения в привилегированные приложения. Вам просто необходимо включить их в список.
Использование привилегированных приложений
Привилегированные приложения могут получать доступ к вашим корпоративным данным, а их поведение будет отличаться от непривилегированных или личных приложений. Например, если установлен режим защиты EDP "Блокировка", ваши привилегированные приложения позволят пользователю копировать и вставлять сведения при работе с другими привилегированными приложениями, но не при работе с личными приложениями. Предположим, сотрудник отдела кадров хочет скопировать должностные обязанности из привилегированного приложения на веб-сайт карьерного роста, места с защищенными корпоративными данными, но ошибается и пытается вставить их в свое личное приложение. Вставка завершается ошибкой и всплывает уведомление о том, что вставка невозможно из-за ограничений политики. Затем сотрудник отдела кадров правильно вставляет эти данные на веб-сайт карьерного роста и все выполняется без каких-либо проблем.
Определение уровня доступа к данным
EDP позволяет решить, блокировать или разрешать переопределения, а также проводить аудит действий сотрудников по предоставлению общего доступа к данным. Блокировка действия незамедлительно прекращает его, а разрешение переопределений позволяет сотруднику узнать о наличии проблемы, однако сотрудник сможет продолжить предоставление общего доступа к сведениям. В то же время аудит просто регистрирует действие без его остановки, что позволяет начать видеть тенденции недопустимого предоставления общего доступа для принятия упредительных мер.
Постоянное шифрование данных
EDP позволяет защищать корпоративные данные даже при их перемещении. Такие приложения, как Office и OneNote, работают с EDP, чтобы сохранить шифрование данных в различных местах и службах. Например, если сотрудник открывает содержимое, зашифрованное с помощью EDP, в Outlook, редактирует его, а затем пытается сохранить отредактированную версию под другим именем для удаления шифрования, это содержимое не будет работать. Outlook автоматически применяет EDP к новому документу, сохраняя при этом шифрование данных.
Предотвращение случайного раскрытия данных на общедоступных ресурсах
EDP позволяет защитить ваши корпоративные данные от случайного раскрытия на общедоступных ресурсах, таких как общедоступное облако. Например, если сотрудник сохраняет содержимое в папке Документы, которая автоматически синхронизируется с OneDrive (приложением в вашем списке привилегированных приложений), то документ шифруется локально и не синхронизируется с личным облаком пользователя. Аналогичным образом, если другие синхронизируемые приложения, такие как Dropbox™, отсутствуют в списке привилегированных приложений, они также не смогут синхронизировать зашифрованные файлы с личным облаком пользователя.
Предотвращение случайного раскрытия данных на других устройствах
EDP позволяет защищать корпоративные данные от утечек на другие устройства при передаче или перемещении их между устройствами. Например, если сотрудник помещает корпоративные данные на накопитель USB, который также содержит личные данные, корпоративные данные остаются зашифрованными, даже если личные данные остаются доступными. Кроме того, шифрование остается, когда сотрудник копирует зашифрованное содержимое обратно на устройство, управляемое на корпоративном уровне.
Важно EDP также поддерживает шифрование на уровне файлов на SD-картах вместе с политикой шифрования устройства. Чтобы получить доступ к зашифрованным данным, необходимо настроить RMS во время настройки политики EDP.
Выключение EDP
Можно выключить защиту и ограничения для всех корпоративных данных, чтобы вернуться в состояние до применения EDP без потери данных. Однако не рекомендуется отключать EDP. Если вы выбрали отключение, то всегда можете включить эту функцию, однако EDP не сохранит сведений о шифровании и политиках.