Windows Bilgi Koruması uygulama ve kullanma

Tamamlandı

Windows Information Protection'ı kullandığınızda, yerel bir cihaza veri indirildiğinde veya yerel cihazda açıldığında kuruluş verileri otomatik olarak şifrelenir. Şifreleme, dosya verilerini korur ve verileri kurumsal kimliğiniz ile ilişkilendirir.

WIP ilkeleri daha sonra hangi güvenilen uygulamaların bu verileri kullanabileceğini ve işleyebileceğini belirtir. Word veya Microsoft Excel gibi aydınlanmış uygulamalar kurumsal ve kişisel verilerle çalışabilir. WIP ilkeleri oluştururken, bu erişimi yönetmek için aşağıdaki tabloda listelenen dört WIP koruma modu ayarlayabilirsiniz.

Mod Açıklama
Geçersiz kılmaları engelleme veya gizleme çalışanların ilke tarafından engellendiğinde veri paylaşımı eylemleri gerçekleştirmesini engeller. Bazı Microsoft belgelerinde bu, Geçersiz kılmaları gizle modu olarak adlandırılır.
Geçersiz kılmalara izin ver Riskli olabilecek bir eylem gerçekleştirdiklerinde çalışanları uyarır, ancak eylemi tamamlamayı seçebilirler. Eylem, denetim günlüğüne kaydedilir.
Sessiz Geçersiz kılmalara izin ver modu gibi çalışır, ancak yalnızca bir çalışanın denetim günlüğünde geçersiz kılabileceği eylemleri kaydeder. Engellenecek tüm eylemler yine de engellenir.
Kapalı WIP kapalıdır ve verileri korumaz.

Intune'da WIP ilkesi oluşturma

Intune'da ilke oluşturduğunuzda, hangi uygulamaların korunduğunu, sağlanan koruma düzeyini ve ağınızdaki kuruluş verilerinin nasıl bulunacağını tanımlayabilirsiniz.

Intune'da wip ilkesi oluşturmak için aşağıdakileri gerçekleştirin:

  1. Microsoft Endpoint Manager yönetim merkezinde oturum açın.
  2. Uygulamalar> Uygulama koruması ilkeleri'ne tıklayın.
  3. İlke ekle'yi seçin ve ilke için bir ad girin.
  4. Platform olarak Windows 10 ve üzerini seçin.
  5. Kayıt durumu olarak Kayıt ile seçeneğini belirleyin.
  6. Korumalı uygulamalar ekleyin.
  7. Tüm muaf uygulamaları ekleyin.
  8. Gerekli ayarlar dikey penceresinde Windows Bilgi Koruması modunu seçin ve ardından kurumsal kimliğinizi ayarlayın.
  9. Gelişmiş ayarlar dikey penceresinde, uygulamaların şirket verilerini nerede bulabileceğini ve gönderebileceğini tanımlayan ağ sınırları ekleyerek ağ çevrenizi tanımlayın.
  10. Bir Veri Kurtarma Aracısı (DRA) sertifikası yükleyin.
  11. WIP ile Azure RM'ye izin verilip verilmeyeceği de dahil olmak üzere diğer WIP ayarlarını seçin.
  12. Tamam'ı ve ardından Oluştur'u seçin.

İzin verilen ve muaf tutulan uygulamalar

Uygulama kuralı ekleme işlemi, kullandığınız kural şablonunun türüne bağlı olarak biraz değişir. Kural şablonları şunlardır:

  • Önerilen Uygulama. Önerilen uygulamalar, WIP ile çalışan bilgili uygulamalardır.
  • Mağaza Uygulaması. Bu, Microsoft Store'dan edinilebilen uygulamalar içindir.
  • Masaüstü Uygulaması. Bu, imzalı Windows masaüstü uygulamaları içindir.

Her uygulama türünün İzin verilen uygulamalar listesine nasıl ekleneceği hakkında ayrıntılı bilgi için Endpoint Manager yönetim merkezini kullanarak MDM ile Windows Information Protection (WIP) ilkesi oluşturma başlığındaki "İzin verilen uygulamalar listenize uygulama ekleme" konusuna bakın.

Korumayı planladığınız uygulamaları ekledikten sonra kullanmak istediğiniz koruma moduna karar vermeniz gerekir. İlkelerinizi bir grup test kullanıcısı ile oluştururken ve doğrularken, Engelleme modunu kullanmadan önce Sessiz veya Geçersiz kılmalara izin ver modunu kullanmanın en iyi uygulamasını göz önünde bulundurun. Bunu yaparken, bunların İzin verilen uygulamalar listenizde olması gereken doğru uygulamalar olduğunu onaylayabilirsiniz.

Kurumsal kimlik

Kurumsal kimliğiniz, WIP ile koruduğunuz uygulamalardan gelen kuruluş verilerini tanımlar. Örneğin, kuruluş etki alanınızdan gelen e-postalar kuruluş olarak tanımlanır ve WIP ilkeleri uygulanır. Bu nedenle, genellikle e-posta gönderdiğiniz tüm etki alanlarını eklemek istersiniz.

Şirket kimliği alanına, etki alanı adınızı veya kanal karakteriyle (|) ayrılmış birden çok etki alanı adını yazarak kurumsal kimliğinizi eklersiniz.

Ağ çevresi

WIP'nin, uygulamaların ağınızdaki kuruluş verilerini nerede bulabileceğini ve bunlara erişebileceğini bilmesi gerekir( ağ sınırı olarak da bilinir). Bu konumları tanımlamanın varsayılan bir konum kümesi veya otomatik bir yolu yoktur. Bunları WIP ilkelerinize eklemeniz gerekir ve istediğiniz kadar konum ekleyebilirsiniz.

Ağ sınırı tanımı eklediğinizde, sınır türünü seçersiniz; bu seçime bağlı olarak tanımı belirli bir biçimde sağlarsınız. İlkeyi, ara sunucu listeleri veya IP adresleri gibi bazı sınır listelerinin kesin olup olmadığını veya ağınızdaki diğer sunucuları veya IP adreslerini aramaya izin verilip verilmediğini windows'a bildirmek için de yapılandırabilirsiniz.

Aşağıdaki tabloda farklı sınır türü seçenekleri açıklanmaktadır.

Ağ öğesi Açıklama
Bulut kaynakları SharePoint Online veya Microsoft Visual Studio Codespace gibi bulut tabanlı kaynaklar veya uygulamalar için kuruluş verileri içeriyor olarak ele alınması gereken URL'leri belirtir. URL1|URL2 biçimini kullanarak birden çok giriş yapabilirsiniz.
Korumalı etki alanları Korumalı olarak ele alınması gereken etki alanları için DNS son eklerini tanımlar. Etkialanıadı1,etkialanıadı2 biçimi kullanılarak birden çok girişe izin verilir; örneğin, corp.adatum.com,sales.adatum.com.
Ağ etki alanları Ortamınızda kullanılan DNS son eklerini tanımlar. Etkialanıadı1,etkialanıadı2 biçimi kullanılarak birden çok girişe izin verilir; örneğin, corp.adatum.com,sales.adatum.com.
Ara sunucular WIP'nin trafiği koruması gereken dış ara sunucu adreslerini ve bağlantı noktalarını belirtir. Örneğin, proxy.adatum.com:80; proxy2.adatum.com:137.
İç ara sunucu Cihazların bulut tabanlı kaynaklara ulaşmak için kullandığı proxy sunucularını belirtir. Kurumsal proxy sunucularıyla aynı biçimi kullanır.
IPv4 aralıkları Ağınızda kullanılan İnternet Protokolü sürüm 4 (IPv4) adresleri aralığını belirtir. Birden çok aralık virgülle ayrılmış olarak startingaddress-endingaddress biçimini kullanarak girin. Kurumsal İnternet Protokolü sürüm 6 (IPv6) aralığı belirtmezseniz bu ağ öğesi gereklidir.
IPv6 aralıkları Ağınızda kullanılan IPv6 adres aralığını belirtir. Bu ağ öğesi, kurumsal IPv4 aralıklarını belirtmezseniz ve IPv4 ile aynı biçimi kullanıyorsa gereklidir.
Nötr kaynaklar Şirketiniz için Active Directory Federasyon Hizmetleri (AD FS) uç noktaları gibi kimlik doğrulama yeniden yönlendirme uç noktalarını belirtir. URL1|URL2 biçimini kullanarak girin.

Veri Kurtarma Aracısı (DRA) sertifikası

Daha önce açıklandığı gibi WIP, yerel sürücülerde olduğunda kurumsal verileri şifreler. Şifreleme anahtarı kaybolur veya iptal edilirse verileri kurtaramazsınız. BIR DRA sertifikası ekleyerek, yerel verileri şifreleyecek bir ortak anahtar sağlarsınız ve bu anahtar daha sonra gerekirse bu verilerin şifrelemesini kaldırmanıza olanak sağlar.

Şifreleme Dosya Sistemi (EFS) DRA sertifikanız yoksa, dağıtmadan önce bir sertifika oluşturmanız ve ilkenize yüklemeniz gerekir.

Daha fazla bilgi için bkz . Şifreleme Dosya Sistemi (EFS) Veri Kurtarma Aracısı (DFA) sertifikası oluşturma ve doğrulama.

Bu diğer WIP ilkesi ayarlarını da yapılandırabilirsiniz:

  • Kayıt kaldırma sırasında şifreleme anahtarlarını iptal edin. Bir cihazın Intune kaydı kaldırıldığında kullanıcılar şifrelenmiş kuruluş verilerine erişemez.
  • Windows Bilgi Koruması simgesi katmanını gösterin. WIP simgesinin Dosya Gezgini veya Farklı Kaydet görünümündeki dosyaları katmanladığını belirler.
  • WIP için Azure RMS kullanın. WiP için Azure RMS şifrelemesi kullanılıp kullanılmayacağını belirler. Azure RMS olmalıdır.
  • Windows'ta oturum açmak için bir yöntem olarak İş İçin Windows Hello kullanın. Kullanıcıların cihazlarında oturum açmak için Windows Hello kullanıp kullanamadığını ve Windows Hello'yu kullanma kurallarını belirler.