Windows Information Protection (WIP)
Примечание Политика Windows Information Protection (WIP) может применяться к Windows 10 версии 1607 или более поздней.
WIP защищает данные, принадлежащие организации, путем применения политик, которые определены этой организацией. Если ваше приложение включено в эти политики, на все данные, созданные вашим приложением, распространяются ограничения политики. Этот раздел поможет вам создавать приложения, которые более аккуратно обеспечивают принудительное применение этих политик без воздействия на персональные данные пользователя.
Во-первых, что такое WIP?
WIP — это набор функций для настольных компьютеров, ноутбуков, планшетов и телефонов, поддерживающих систему управления мобильными устройствами (MDM) и систему управления мобильными приложениями (MAM) в организации.
WIP вместе с MDM предоставляет организации больше контроля над обработкой данных на устройствах, которыми организация управляет. Иногда пользователи приносят устройства на работу и не регистрируют их в системе MDM организации. В этих случаях организации могут использовать MAM, чтобы более полно контролировать работу с данными организации в определенных бизнес-приложениях, которые пользователи устанавливают на устройстве.
Используя MDM или MAM, администраторы могут определять, каким приложениям разрешено получать доступ к принадлежащим организации файлам и могут ли пользователи копировать данные из этих файлов и затем вставлять их в личные документы.
Вот как это работает. Пользователи регистрируют свои устройства в системе управления мобильными устройствами (MDM) организации. Администратор в управляющей организации использует Microsoft Intune или System Center Configuration Manager (SCCM) для определения и последующего разворачивания политики на зарегистрированных устройствах.
Если пользователи не обязаны регистрировать свои устройства, администраторы воспользуются системой MAM, чтобы определить и развернуть политику, которая действует в отношении конкретных приложений. При установке любого из этих приложений пользователями, последние получают соответствующую политику.
Эта политика определяет, какие приложения могут получать доступ к корпоративным данным (список разрешенных для политики). Эти приложения могут получать доступ к корпоративным защищенным файлам, виртуальным частным сетям (VPN) и корпоративным данным в буфере обмена или с помощью контракта на отправку данных. Эта политика также определяет правила, которые распространяются на данные. Например, могут ли данные быть скопированы из принадлежащих организации файлов и с последующей вставкой в файлы, не принадлежащие ей.
Если пользователи отменяют регистрацию своего устройства в системе MDM организации или удаляют приложения, идентифицированные системой MAM организации, администратор может удаленно очистить корпоративные данные на устройстве.
Подробнее о WIP
- Представляем Windows Information Protection
- Защита корпоративных данных с помощью Windows Information Protection (WIP)
Если ваше приложение входит в список разрешенных, на все данные, созданные вашим приложением, распространяются ограничения политики. Это означает, что если администраторы отзовут у пользователей права доступа к корпоративным данным, эти пользователи потеряют доступ ко всем данным, созданным в приложении.
Это нормально, если ваше приложение предназначено только для корпоративного использования. Однако если ваше приложение создает данные, которые пользователи считают персональными, вам необходимо будет обучить свое приложение тому, как правильно различать корпоративные и персональные данные. Мы называем такие приложения корпоративно-грамотными, поскольку они могут аккуратно применять корпоративную политику, не нарушая целостность персональных данных пользователя.
Создание корпоративно-грамотного приложения
Используйте интерфейсы API WIP для обучения своего приложения и затем объявите, что ваше приложение является корпоративно-грамотным.
Обучите свое приложение, если оно будет использоваться как для корпоративных, так и для личных целей.
Обучите свое приложение, если вы хотите аккуратно реализовывать принудительное применение элементов политики.
Например, если политика позволяет пользователям вставлять корпоративные данные в личные документы, можно предотвратить показ пользователям диалогового окна с запросом согласия перед вставкой данных. Аналогичным образом можно отображать собственные диалоговые окна в ответ на события такого рода.
Если вы готовы обучить свое приложение, ознакомьтесь с каким-либо из указанных ниже руководств.
Для приложений универсальная платформа Windows (UWP), создаваемых с помощью C#
Руководство разработчика windows Information Protection (WIP).
Для классических приложений, создаваемых на C++
Руководство разработчика Windows Information Protection (WIP) (C++).
Создание корпоративного приложения, не поддерживающего корпоративную безопасность
Если вы создаете бизнес-приложение, не предназначенное для личного пользователя, добавлять в него функции корпоративной безопасности, скорее всего, не потребуется.
Классические приложения для Windows
Нет необходимости добавлять функции корпоративной безопасности в классическое приложение для Windows, однако необходимо протестировать его, чтобы убедиться в корректной работе приложения в рамках политики. Например, запустите свое приложение, выполните в нем какие-нибудь действия, а затем отмените регистрацию устройства в MDM. Убедитесь, что приложение может быть запущено после этого. Если файлы, необходимые для работы приложения, зашифрованы, приложение, возможно, не запустится. Изучите файлы, с которым взаимодействует ваше приложение, чтобы убедиться, что приложение случайно не зашифрует личные файлы пользователя. Сюда могут относиться файлы метаданных, изображения и другие объекты.
Протестировав приложение, добавьте этот флаг в файл ресурсов или свой проект, а затем повторите компиляцию приложения.
MICROSOFTEDPAUTOPROTECTIONALLOWEDAPPINFO EDPAUTOPROTECTIONALLOWEDAPPINFOID
BEGIN
0x0001
END
Политики MDM, в отличие от политик MAM, не требуют этого флага.
Приложения UWP
Если вы планируете включить ваше приложение в политику MAM, необходимо добавить в него корпоративные функции безопасности. Политики, развернутые на устройствах в рамках политики MDM, не требуют этого, однако если приложение предоставляется корпоративным клиентам, определить, какой тип системы управления политиками будет использован, сложно, если не невозможно. Чтобы убедиться, что приложение будет работать в обеих системах управления политиками (MDM и MAM), необходимо добавить в него функции корпоративной безопасности.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по