Реализация и использование Windows Information Protection

Завершено

При использовании Windows Information Protection организационные данные автоматически шифруются при загрузке или открытии данных на локальном устройстве. Шифрование защищает данные файла и связывает их с корпоративным удостоверением.

Затем политики WIP указывают, какие доверенные приложения могут использовать и управлять этими данными. Просвещенные приложения, такие как Word или Microsoft Excel, могут работать с корпоративными и личными данными. При создании политик WIP можно задать четыре режима защиты WIP, в которых перечислены следующие таблицы для управления этим доступом.

Режим Description
Блокировка или скрытие переопределения Запрещает сотрудникам выполнять действия по совместному использованию данных при блокировке политикой. В некоторых документации Майкрософт это называется режимом скрытия переопределений.
Разрешить переопределения Предупреждает сотрудников, когда они выполняют потенциально рискованные действия, но они могут выбрать выполнение действия. Записи действий в журнал аудита.
Автоматически Работает так, как разрешить переопределение, за исключением того, что он записывает только любое действие, которое сотрудник может переопределить в журнал аудита. Все действия, которые будут заблокированы, по-прежнему заблокированы.
Выключено WIP отключен и не защищает данные.

Создание политики WIP в Intune

При создании политик в Intune можно определить, какие приложения защищены, уровень защиты и как найти данные организации в сети.

Чтобы создать политику WIP в Intune, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Endpoint Manager.
  2. Выберите "Приложения> защита приложений политики".
  3. Выберите " Добавить политику" и введите имя политики.
  4. Выберите Windows 10 и более поздних версий в качестве платформы.
  5. Выберите "С регистрацией " в качестве состояния регистрации.
  6. Добавьте защищенные приложения.
  7. Добавьте все исключения приложений.
  8. В колонке "Обязательные параметры" выберите режим Windows Information Protection и задайте корпоративное удостоверение.
  9. В колонке "Дополнительные параметры" определите периметр сети, добавив границы сети, определяющие, где приложения могут находить и отправлять корпоративные данные.
  10. Отправьте сертификат агента восстановления данных (DRA).
  11. Выберите другие параметры WIP, в том числе разрешить ли Azure RM с ПОМОЩЬЮ WIP.
  12. Щелкните ОК, а затем выберите Создать.

Разрешенные и исключенные приложения

Процесс добавления правила приложения немного зависит от типа используемого шаблона правила. Шаблоны правил:

  • Рекомендуемое приложение. Рекомендуемые приложения — это просвещенные приложения, которые работают с WIP.
  • Приложение Store. Это для приложений, доступных в Microsoft Store.
  • Классическое приложение. Это для подписанных классических приложений Windows.

Подробные сведения о добавлении каждого типа приложения в список разрешенных приложений см. в разделе "Добавление приложений в список разрешенных приложений" статьи "Создание политики Windows Information Protection (WIP) с помощью MDM с помощью центра администрирования Endpoint Manager.

После добавления приложений, которые вы планируете защитить, необходимо выбрать режим защиты, который вы хотите использовать. При создании и проверке политик с помощью группы тестовых пользователей рекомендуется использовать режим автоматического или разрешающего переопределения перед использованием режима блокировки. При этом вы можете подтвердить, что это правильные приложения, которые должны быть в списке разрешенных приложений.

Корпоративная идентификация

Ваше корпоративное удостоверение определяет данные организации из приложений, которые вы защищаете с помощью WIP. Например, сообщения электронной почты, поступающие из домена организации, будут определены как организационные, а политики WIP будут применены. По этой причине обычно требуется добавить все домены, из которых отправляются сообщения электронной почты.

Вы добавите корпоративное удостоверение, введя доменное имя или несколько доменных имен, разделенных символом канала (|) в поле корпоративного удостоверения.

Периметр сети

WIP должен знать, где приложения могут находить и получать доступ к данным организации в вашей сети, также известной как граница сети. Набор расположений по умолчанию или автоматический способ определения этих расположений отсутствует. Их необходимо добавить в политики WIP, и вы можете добавить столько расположений, сколько требуется.

При добавлении определения границ сети вы выбираете тип границы; на основе этого выбора вы предоставляете определение в определенном формате. Вы также можете настроить политику, чтобы сообщить Windows, если некоторые списки границ, такие как списки прокси-серверов или IP-адресов, являются окончательными или если разрешен поиск других серверов или IP-адресов в сети.

В следующей таблице описаны различные параметры типа границ.

Сетевой элемент Description
Облачные ресурсы Задает URL-адреса для облачных ресурсов или приложений, таких как SharePoint Online или Microsoft Visual Studio Codespace, которые должны рассматриваться как содержащие данные организации. Вы можете сделать несколько записей с помощью URL-адреса URL1|формата 2.
Защищенные домены Определяет DNS-суффиксы для доменов, которые должны рассматриваться как защищенные. Несколько записей разрешены с помощью формата domainname1,domainname2; например, corp.adatum.com,sales.adatum.com.
Сетевые домены Определяет суффиксы DNS, используемые в вашей среде. Несколько записей разрешены с помощью формата domainname1,domainname2; например, corp.adatum.com,sales.adatum.com.
Прокси-серверы Указывает внешний прокси-сервер и порты, в которых WIP должна защищать трафик. Например, proxy.adatum.com:80; proxy2.adatum.com:137.
Внутренние прокси-серверы Указывает прокси-серверы, используемые устройствами для доступа к облачным ресурсам. Использует тот же формат, что и корпоративные прокси-серверы.
Диапазоны IPv4-адресов Задает диапазон адресов протокола Интернета версии 4 (IPv4), используемых в вашей сети. Введите с помощью формата startingaddress-endaddress с несколькими диапазонами, разделенными запятыми. Этот сетевой элемент требуется, если не указать диапазон корпоративного протокола Интернета 6 (IPv6).
Диапазоны IPv6-адресов Задает диапазон IPv6-адресов, используемых в сети. Этот сетевой элемент является обязательным, если вы не указываете диапазоны IPv4 предприятия, и он использует тот же формат, что и IPv4.
Нейтральные ресурсы Указывает конечные точки перенаправления проверки подлинности для вашей компании, например конечные точки службы федерации Active Directory (AD FS). Введите URL-адрес url1|формата.

Сертификат агента восстановления данных (DRA)

Как описано ранее, WIP шифрует корпоративные данные при использовании локальных дисков. Если ключ шифрования потерян или отозван, вы не сможете восстановить данные. Добавив сертификат DRA, вы предоставляете открытый ключ, который зашифрует локальные данные, что позволит отменить шифрование данных позже при необходимости.

Если у вас еще нет сертификата DRA для шифрования файловой системы (EFS), необходимо создать его и отправить в политику, прежде чем ее можно будет развернуть.

Дополнительные сведения см. в статье "Создание и проверка сертификата агента восстановления данных (DFA) шифрующей файловой системы (EFS).

Вы также можете настроить эти другие параметры политики WIP:

  • Отмена ключей шифрования при отмене регистрации. Пользователи не могут получить доступ к зашифрованным данным организации при отмене регистрации устройства из Intune.
  • Отображение наложения значка Windows Information Protection. Определяет, наложен ли значок WIP наложения файлов в проводник или в представлении "Сохранить как".
  • Используйте Azure RMS для WIP. Определяет, будет ли шифрование Azure RMS использоваться для WIP. Должен иметь Azure RMS.
  • Используйте Windows Hello для бизнеса в качестве метода входа в Windows. Определяет, могут ли пользователи использовать Windows Hello для входа на свое устройство и правила для использования Windows Hello.