Vytvoření a nasazení zásady ochrany aplikací WIP (Windows Information Protection) u IntuneCreate and deploy Windows Information Protection (WIP) app protection policy with Intune

Platí pro: IntuneApplies to: Intune
Toto téma platí pro Intune na Azure Portalu i na klasickém portálu.This topic applies to Intune in both the Azure portal and the classic portal.

Počínaje verzí Intune 1704 můžete používat zásady ochrany aplikací u Windows 10 ve správě mobilních aplikací (MAM) bez scénáře registrace.Beginning with Intune 1704 release, you can use app protection policies with Windows 10 in the mobile application management (MAM) without enrollment scenario.

Před zahájenímBefore you begin

Povězme si o několika konceptech při přidání zásady WIP.Let’s talk about a few concepts when adding a WIP policy.

Seznamy Povolené aplikace a Aplikace s výjimkouList of Allowed and Exempt apps

  • Povolené aplikace: Tyto aplikace musí tuto zásadu dodržovat.Allowed apps: These are the apps that need to adhere to this policy.

  • Aplikace s výjimkou: Tyto aplikace mají z této zásady výjimku a můžou k podnikovým datům přistupovat bez omezení.Exempt apps: These apps are exempt from this policy and can access corporate data without restrictions.

Typy aplikacíTypes of apps

  • Doporučené aplikace: Předem naplněný seznam aplikací (většinou Microsoft Office), které správcům umožňují snadný import do zásady.Recommended apps: a pre-populated list of (mostly Microsoft Office) apps that allow admins easily import into policy.

  • Aplikace pro Store: Správce může do zásady přidat libovolnou aplikaci z Windows Storu.Store apps: Admin can add any app from the Windows store to policy.

  • Desktopové aplikace Windows: Správce může do zásady přidat libovolné tradiční desktopové aplikace Windows (např. soubory typu exe, dll atd.)Windows desktop apps: Admin can add any traditional Windows desktop apps to the policy (e.g. exe, dll, etc.)

PožadavkyPre-requisites

Abyste mohli vytvořit zásadu ochrany aplikací WIP, musíte nejdříve nakonfigurovat poskytovatele MAM.You need to configure the MAM provider before you can create a WIP app protection policy.

Navíc musíte mít toto:Additionally, you need to have the following:

Důležité

WIP nepodporuje víc identit. Vždy může existovat jenom jedna spravovaná identita.WIP does not support multi-identity, only one managed identity can exist at a time.

Přidání zásady WIPTo add a WIP policy

Pokud už máte v organizaci nastavenou službu Intune, můžete přes portál Azure Portal vytvořit zásadu specifickou pro WIP.After you set up Intune in your organization, you can create a WIP-specific policy through the Azure portal.

  1. Přejděte na řídicí panel Správa mobilních aplikací Intune, zvolte Všechna nastavení a potom zvolte Zásada aplikace.Go to the Intune mobile application management dashboard, choose All settings, and then choose App policy.

  2. V okně Zásada aplikace zvolte Přidat zásadu a pak zadejte následující hodnoty:In the App policy blade, choose Add a policy, then enter the following values:

    a.a. Název: Zadejte název nové zásady (povinné).Name: Type a name (required) for your new policy.

    b.b. Popis: Zadejte volitelný popis.Description: Type an optional description.

    c.c. Platforma: Jako podporovanou platformu pro vaši zásadu ochrany aplikací zvolte Windows 10.Platform: Choose Windows 10 as the supported platform for your app protection policy.

    d.d. Stav registrace: Jako stav registrace pro vaši zásadu zvolte Bez registrace.Enrollment state: Choose Without enrollment as the enrollment state for your policy.

  3. Zvolte Vytvořit.Choose Create. Zásada se vytvoří a objeví se v tabulce v okně Zásada aplikace.The policy is created and appears in the table on the App Policy blade.

  1. V okně Zásada aplikace zvolte název zásady a potom v okně Přidat zásadu zvolte možnost Povolené aplikace.From the App policy blade, choose the name of your policy, then choose Allowed apps from the Add a policy blade. Otevře se okno Povolené aplikace a zobrazí se v něm všechny aplikace, které už jsou obsažené v seznamu pro tuto zásadu ochrany aplikací.The Allowed apps blade opens, showing you all apps that are already included in the list for this app protection policy.

  2. V okně Povolené aplikace zvolte Přidat aplikace.From the Allowed apps blade, choose Add apps. Otevře se okno Přidat aplikace a zobrazí se v něm všechny aplikace, které jsou součástí tohoto seznamu.The Add apps blade opens, showing you all apps that are part of this list.

  3. Otevřete každou aplikaci, která má mít přístup k podnikovým datům, a zvolte OK.Select each app you want to access your corporate data, and then choose OK. Okno Povolené aplikace se aktualizuje a zobrazí se v něm všechny vaše vybrané aplikace.The Allowed apps blade gets updated showing you all selected apps.

Přidání aplikace ze Storu do seznamu Povolené aplikaceAdd a Store app to your Allowed apps list

Přidání aplikace ze StoruTo add a Store app

  1. V okně Zásada aplikace zvolte název zásady. Objeví se nabídka ukazující všechny aplikace, které už jsou obsažené v seznamu pro tuto zásadu ochrany aplikací. V této nabídce zvolte Povolené aplikace.From the App policy blade, choose the name of your policy, then choose Allowed apps from the menu that appears showing all apps that are already included in the list for this app protection policy.

  2. V okně Povolené aplikace zvolte Přidat aplikace.From the Allowed apps blade, choose Add apps.

  3. V okně Přidat aplikace zvolte v rozevíracím seznamu možnost Aplikace pro Store.On the Add apps blade, choose Store apps from the dropdown list. Okno se změní a objeví se v něm pole pro přidání vydavatele a názvu aplikace.The blade changes to show boxes for you to add a publisher and app name.

  4. Zadejte název aplikace a jejího vydavatele a zvolte OK.Type the name of the app and the name of its publisher, and then choose OK.

    Tip

    Tady je příklad aplikace, u které vydavatel je CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US a název produktu je Microsoft.MicrosoftAppForWindows.Here’s an app example, where the Publisher is CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US and the Product name is Microsoft.MicrosoftAppForWindows.

  5. Až zadáte do polí příslušné informace, zvolte OK a přidejte tak aplikaci do seznamu Povolené aplikace.After you’ve entered the info into the fields, choose OK to add the app to your Allowed apps list.

Poznámka

Pokud chcete přidat najednou více aplikací ze Storu, můžete na konci řádku aplikace kliknout na nabídku (…) a pokračovat v přidávání dalších aplikací.To add multiple Store apps at the same time, you can click the menu (…) at the end of the app row, then continue to add more apps. Až budete hotovi, zvolte OK.Once you’re done, choose OK.

Přidání desktopové aplikace do seznamu Povolené aplikaceAdd a Desktop app to your Allowed apps list

Přidání desktopové aplikaceTo add a Desktop app

  1. V okně Zásada aplikace zvolte název zásady a potom zvolte Povolené aplikace.From the App policy blade, choose the name of your policy, and then choose Allowed apps. Otevře se okno Povolené aplikace a zobrazí se v něm všechny aplikace, které už jsou obsažené v seznamu pro tuto zásadu ochrany aplikací.The Allowed apps blade opens showing you all apps that are already included in the list for this app protection policy.

  2. V okně Povolené aplikace zvolte Přidat aplikace.From the Allowed apps blade, choose Add apps.

  3. V okně Přidat aplikace zvolte v rozevíracím seznamu možnost Desktopové aplikace.On the Add apps blade, choose Desktop apps from the drop-down list.

  4. Až zadáte do polí příslušné informace, zvolte OK a přidejte tak aplikaci do seznamu Povolené aplikace.After you entered the info into the fields, choose OK to add the app to your Allowed apps list.

Poznámka

Pokud chcete přidat najednou víc desktopových aplikací, můžete na konci řádku aplikace kliknout na nabídku (…) a pokračovat přidáváním dalších aplikací.To add multiple Desktop apps at the same time, you can click the menu (…) at the end of the app row, then continue to add more apps. Až budete hotovi, zvolte OK.Once you’re done, choose OK.

Kurzy k WIP (Windows Information Protection)Windows Information Protection (WIP) Learning

Po přidání aplikací, které chcete chránit pomocí WIP, je potřeba použít režim ochrany prostřednictvím Kurzů k WIP.After you add the apps you want to protect with WIP, you need to apply a protection mode by using WIP Learning.

Před zahájenímBefore you begin

Kurzy k WIP (Windows Information Protection) je sestava, která správcům umožňuje monitorovat aplikace pro WIP neznámé.Windows Information Protection (WIP) Learning is a report that allows admins to monitor their WIP unknown apps. Neznámé aplikace jsou aplikace, které nenasadilo IT oddělení vaší organizace.The unknown apps are the ones not deployed by your organization’s IT department. Správce může tyto aplikace ze sestavy exportovat a přidat je do zásad WIP. Zabrání tak přerušení produktivity po dobu, než vynutí WIP v režimu Skrýt potlačení.The admin can export these apps from the report and add them to their WIP policies to avoid productivity disruption before they enforce WIP in “Hide Override” mode.

Doporučujeme začít s režimem Tiché nebo Povolit potlačení a u malé skupiny ověřit, jestli máte v seznamu povolených aplikací správné aplikace.We recommend that you start with Silent or Allow Overrides while verifying with a small group that you have the right apps on your allowed apps list. Až budete hotovi, můžete režim změnit na konečnou zásadu vynucení Skrýt potlačení.After you're done, you can change to your final enforcement policy, Hide Overrides.

Jaké jsou režimy ochrany?What the protection modes are?

  • Skrýt potlačení:Hide Overrides:

    • WIP hledá nepatřičné postupy sdílení dat a zabrání uživateli dokončit akci.WIP looks for inappropriate data sharing practices and stops the user from completing the action.
    • K takovým postupům může patřit sdílení mezi podnikově nechráněnými aplikacemi a sdílení podnikových dat mezi dalšími lidmi a zařízeními mimo vaši organizaci.This can include sharing info across non-corporate-protected apps, and sharing corporate data between other people and devices outside of your organization.
  • Povolit potlačení:Allow Overrides:

    • WIP hledá nepatřičné sdílení dat, a pokud uživatelé udělají něco potenciálně nebezpečného, upozorní je na to.WIP looks for inappropriate data sharing, warning users if they do something deemed potentially unsafe.
    • Uživatel ale může v tomto režimu zásady potlačit a data sdílet. Akce se v takovém případě zaznamená do protokolu auditu.However, this mode lets the user override the policy and share the data, logging the action to your audit log.
  • Tiché:Silent:
    • WIP běží tiše s protokolováním nepatřičného sdílení dat. Neblokuje nic, co by v režimu Povolit potlačení vyžadovalo interakci uživatele.WIP runs silently, logging inappropriate data sharing, without blocking anything that would’ve been prompted for employee interaction while in Allow Override mode.
    • Nepovolené akce, jako jsou nepatřičné pokusy aplikací o přístup k síťovému prostředku nebo k datům chráněným pomocí WIP, budou ale zastaveny.Unallowed actions, like apps inappropriately trying to access a network resource or WIP-protected data, are still stopped.
  • Vypnuto (nedoporučuje se):Off (not recommended):
    • WIP je vypnuté a nepomáhá chránit nebo auditovat data.WIP is turned off and doesn't help to protect or audit your data.
    • Když WIP vypnete, proběhne pokus o dešifrování všech souborů označených přes WIP na místně připojených jednotkách.After you turn off WIP, an attempt is made to decrypt any WIP-tagged files on the locally attached drives. Dejte pozor: Po opětovném zapnutí WIP se vaše předchozí šifrování a informace zásady znovu automaticky nepoužijí.Be aware that your previous decryption and policy info isn’t automatically reapplied if you turn WIP protection back on.

Přidání režimu ochranyTo add a protection mode

  1. V okně Zásada aplikace zvolte název zásady a potom v okně Přidat zásadu klikněte na Požadovaná nastavení.From the App policy blade, choose the name of your policy, then click Required settings from the Add Policy blade.

    Snímek obrazovky s režimem Kurzy

  2. Zvolte Uložit.Choose Save.

Použití Kurzů k WIPTo use WIP Learning

  1. Přejděte na řídicí panel Azure.Go to the Azure Dashboard.

  2. V nabídce vlevo zvolte Další služby a do filtru textového pole pak zadejte Intune.Choose More services from the left menu, then type Intune in the text box filter.

  3. Zvolte Intune. Na řídicím panelu Intune, který se otevře, zvolte Mobilní aplikace.Choose Intune, the Intune dashboard opens, choose Mobile Apps.

  4. V části Monitorování zvolte Kurzy k WIP.Choose WIP Learning under Monitor section. Uvidíte neznámé aplikace protokolované prostřednictvím Kurzů k WIP.You see the unknown apps logged by the WIP Learning.

Důležité

Když se tyto aplikace objeví v sestavě protokolování Kurzy k WIP, můžete je přidat do zásad ochrany aplikací.Once you have the apps showing up in the WIP Learning logging report, you can them into your app protection policies.

Nasazení zásady ochrany aplikací WIPTo deploy your WIP app protection policy

Důležité

Toto platí pro WIP se správou mobilních aplikací (MAM) bez scénáře registrace.This applies for WIP with mobile application management (MAM) without enrollment scenario.

Když jste vytvořili zásadu ochrany aplikací WIP, potřebujete ji nasadit ve vaší organizaci s použitím MAM.After you created your WIP app protection policy, you need to deploy it to your organization using MAM.

  1. V okně Zásada aplikace zvolte vaši nově vytvořenou zásadu pro ochranu aplikací, zvolte Skupiny uživatelů a potom zvolte Přidat skupinu uživatelů.On the App policy blade, choose your newly-created app protection policy, choose User groups, then choose Add user group.

    V okně Přidat skupinu uživatelů se otevře seznam skupin uživatelů, který obsahuje všechny skupiny zabezpečení v Azure Active Directory.A list of user groups, made up of all the security groups in your Azure Active Directory, opens in the Add user group blade.

  2. Zvolte skupinu, u které chcete zásadu použít, a kliknutím na Vybrat zásadu nasaďte.Choose the group you want your policy to apply to, then click Select to deploy the policy.