Schutz von Unternehmensdaten mit Windows Information Protection (WIP)Protect your enterprise data using Windows Information Protection (WIP)

Betrifft:Applies to:

  • Windows10, Version1607 und höherWindows 10, version 1607 and later
  • Windows10 Mobile, Version1607, und höherWindows 10 Mobile, version 1607 and later

Unter Vergleichen von Windows10-Editionen erfahren Sie, welche Features und Funktionen von den einzelnen Windows-Editionen unterstützt werden.Learn more about what features and functionality are supported in each Windows edition at Compare Windows 10 Editions.

Mit der Zunahme privater Mitarbeitergeräte in Unternehmen steigt auch das Risiko versehentlicher Datenverluste durch Apps und Dienste, die nicht der Kontrolle des Unternehmens unterliegen, z.B. E-Mail, soziale Medien und die öffentliche Cloud.With the increase of employee-owned devices in the enterprise, there’s also an increasing risk of accidental data leak through apps and services, like email, social media, and the public cloud, which are outside of the enterprise’s control. Ein solcher Datenverlust liegt vor, wenn ein Mitarbeiter beispielsweise die neuesten technischen Zeichnungen an sein persönliches E-Mail-Konto sendet, Produktinformationen kopiert und in einen Tweet einfügt oder einen aktuellen Vertriebsbericht in seinem öffentlichen Cloud-Speicher speichert.For example, when an employee sends the latest engineering pictures from their personal email account, copies and pastes product info into a tweet, or saves an in-progress sales report to their public cloud storage.

Windows Information Protection (WIP), früher bekannt als Unternehmensdatenschutz (Enterprise Data Protection, EDP), trägt zum Schutz vor diesen potenziellen Datenlecks bei, ohne die Mitarbeiter zu beeinträchtigen.Windows Information Protection (WIP), previously known as enterprise data protection (EDP), helps to protect against this potential data leakage without otherwise interfering with the employee experience. WIP schützt zudem Unternehmens-Apps und -daten auf unternehmenseigenen Geräten und auf persönlichen Geräten, die Mitarbeiter mit zur Arbeit bringen, vor versehentlichem Datenverlust. Dazu müssen weder die Unternehmensumgebung noch andere Apps geändert werden.WIP also helps to protect enterprise apps and data against accidental data leak on enterprise-owned devices and personal devices that employees bring to work without requiring changes to your environment or other apps. Zuletzt lässt sich eine weitere Technologie zum Schutz von Daten – Azure Rights Management – auch mit WIP kombinieren, um den Schutz auf Daten auszudehnen, die das Gerät verlassen, z.B., wenn E-Mail-Anhänge von einer unternehmensfähigen Version eines Mailclients für die Rechteverwaltung gesendet werden.Finally, another data protection technology, Azure Rights Management also works alongside WIP to extend data protection for data that leaves the device, such as when email attachments are sent from an enterprise aware version of a rights management mail client.

Wichtig

Während WIP versehentliche Datenlecks von ehrlichen Mitarbeitern verhindern kann, soll nicht verhindern, dass böswillige Insider Unternehmensdaten entfernen.While WIP can stop accidental data leaks from honest employees, it is not intended to stop malicious insiders from removing enterprise data. Weitere Informationen zu den Vorteilen, die WIP bietet, finden Sie unter Why use WIP?weiter in diesem Thema.For more details about the benefits WIP provides, see Why use WIP? later in this topic.

Video: Schützen von Unternehmensdaten vor versehentlichem Kopieren an den falschen OrtVideo: Protect enterprise data from being accidentally copied to the wrong place

VoraussetzungenPrerequisites

Sie benötigen die folgende Software, um WIP in Ihrem Unternehmen auszuführen:You’ll need this software to run WIP in your enterprise:

BetriebssystemOperating system VerwaltungslösungManagement solution
Windows10, Version 1607 oder höherWindows 10, version 1607 or later Microsoft IntuneMicrosoft Intune

– ODER –-OR-

Microsoft Endpoint Configuration ManagerMicrosoft Endpoint Configuration Manager

– ODER –-OR-

Ihre aktuelle unternehmensweite Lösung für die mobile Geräteverwaltung (Mobile Device Management, MDM) eines DrittanbietersYour current company-wide 3rd party mobile device management (MDM) solution. Informationen zu MDM-Lösungen von Drittanbietern finden Sie in der Begleitdokumentation Ihres Produkts.For info about 3rd party MDM solutions, see the documentation that came with your product. Wenn Ihre MDM-Lösung eines Drittanbieters keine UI-Unterstützung für die Richtlinien bietet, informieren Sie sich in der EnterpriseDataProtection CSP-Dokumentation.If your 3rd party MDM does not have UI support for the policies, refer to the EnterpriseDataProtection CSP documentation.

Was wird unter einer unternehmensweiten Datenkontrolle verstanden?What is enterprise data control?

Eine effektive Zusammenarbeit bedeutet, dass Sie Daten mit anderen Personen in Ihrem Unternehmen teilen müssen.Effective collaboration means that you need to share data with others in your enterprise. Die Bandbreite hier ist groß – von einer Freigabe, bei der jeder Zugriff auf alles hat, ohne dass Sicherheitsfunktionen vorhanden sind, bis zu einer Freigabe, bei der niemand etwas teilen kann und alles hochgradig geschützt ist.This sharing can be from one extreme where everyone has access to everything without any security, all the way to the other extreme where people can’t share anything and it’s all highly secured. Die meisten Unternehmen liegen irgendwo zwischen den beiden Extremen. Der Erfolg wird hier durch den gelungenen Ausgleich zwischen der Bereitstellung des notwendigen Zugriffs und dem Risiko einer nicht korrekten Offenlegung von Daten definiert.Most enterprises fall somewhere in between the two extremes, where success is balanced between providing the necessary access with the potential for improper data disclosure.

Als Administrator können Sie die Frage, wer Zugriff auf die Daten erhält, durch eine Zugriffssteuerung beantworten, beispielsweise mithilfe von Anmeldeinformationen der Mitarbeiter.As an admin, you can address the question of who gets access to your data by using access controls, such as employee credentials. Eine Zugriffsberechtigung garantiert jedoch nicht, dass die Daten an den durch das Unternehmen geschützten Speicherorten bleiben.However, just because someone has the right to access your data doesn’t guarantee that the data will remain within the secured locations of the enterprise. Das bedeutet, dass eine Zugriffssteuerung zwar ein guter Anfang ist, jedoch nicht ausreicht.This means that while access controls are a great start, they’re not enough.

Am Ende haben alle diese Sicherheitsmaßnahmen eines gemeinsam: Mitarbeiter werden nur ein bestimmtes Maß an Aufwand tolerieren, bevor sie nach Möglichkeiten suchen, die Sicherheitseinschränkungen zu umgehen.In the end, all of these security measures have one thing in common: employees will tolerate only so much inconvenience before looking for ways around the security restrictions. Wenn Sie Mitarbeitern beispielsweise nicht gestatten, Daten über ein geschütztes System zu teilen, werden sie eine externe App nutzen, die sehr wahrscheinlich nicht über ausreichende Sicherheitsfunktionen verfügt.For example, if you don’t allow employees to share files through a protected system, employees will turn to an outside app that more than likely lacks security controls.

Verwenden von Systemen zur Verhinderung von DatenverlustenUsing data loss prevention systems

Um diese Sicherheitslücke zu vermeiden, haben Unternehmen Systeme zur Verhinderung von Datenverlust (auch als DLP bezeichnet) entwickelt.To help address this security insufficiency, companies developed data loss prevention (also known as DLP) systems. Systeme zur Verhinderung von Datenverlusten erfordern:Data loss prevention systems require:

  • Einen Satz von Regeln, wie das System die Daten identifizieren und kategorisieren kann, die geschützt werden müssen.A set of rules about how the system can identify and categorize the data that needs to be protected. Beispielsweise kann ein Regelsatz eine Regel enthalten, die Kreditkartennummern identifiziert, und eine weitere Regel, die Sozialversicherungsnummern identifiziert.For example, a rule set might contain a rule that identifies credit card numbers and another rule that identifies Social Security numbers.

  • Eine Möglichkeit, wie Unternehmensdaten überprüft werden können, besteht darin, festzustellen, ob sie einer der von Ihnen definierten Regeln entspricht.A way to scan company data to see whether it matches any of your defined rules. Zurzeit stellen Microsoft Exchange Server und Exchange Online diesen Dienst für E-Mails während der Übertragung bereit. Microsoft SharePoint und SharePoint Online stellen diesen Dienst für Inhalte bereit, die in Dokumentbibliotheken gespeichert sind.Currently, Microsoft Exchange Server and Exchange Online provide this service for email in transit, while Microsoft SharePoint and SharePoint Online provide this service for content stored in document libraries.

  • Eine Möglichkeit, anzugeben, was passieren soll, wenn Daten einer Regel entsprechen. Dies schließt die Angabe ein, ob Mitarbeiter die Durchsetzung umgehen dürfen.The ability to specify what happens when data matches a rule, including whether employees can bypass enforcement. Beispielsweise ermöglicht Ihnen das von Microsoft entwickelte System zur Verhinderung von Datenverlusten in Microsoft SharePoint und SharePoint Online, Ihre Mitglieder zu warnen, dass die geteilten Daten sensible Daten enthalten. Die Mitglieder können die Daten jedoch teilen (mit einem optionalen Eintrag in ein Überwachungsprotokoll).For example, in Microsoft SharePoint and SharePoint Online, the Microsoft data loss prevention system lets you warn your employees that shared data includes sensitive info, and to share it anyway (with an optional audit log entry).

Leider haben Systeme zur Verhinderung von Datenverlusten ihre eigenen Probleme.Unfortunately, data loss prevention systems have their own problems. Wenn beispielsweise der Regelsatz weniger detailliert ist, desto mehr falsch positive Ergebnisse werden erstellt, was dazu führt, dass Mitarbeiter glauben, dass die Regeln ihre Arbeit verlangsamen und umgangen werden müssen, um produktiv zu bleiben, was möglicherweise dazu führt, dass Daten fälschlicherweise blockiert oder falsch freigegeben werden.For example, the less detailed the rule set, the more false positives are created, leading employees to believe that the rules slow down their work and need to be bypassed in order to remain productive, potentially leading to data being incorrectly blocked or improperly released. Ein anderes großes Problem besteht darin, dass Systeme zur Verhinderung von Datenverlusten umfassend implementiert werden müssen, um effektiv zu sein.Another major problem is that data loss prevention systems must be widely implemented to be effective. Wenn Ihr Unternehmen beispielsweise ein System zur Verhinderung von Datenverlusten für E-Mails verwendet, jedoch nicht für Dateiverzeichnisse oder Dokumentspeicher, werden Sie möglicherweise feststellen, dass Ihre Daten über die ungeschützten Kanäle offengelegt werden.For example, if your company uses a data loss prevention system for email, but not for file shares or document storage, you might find that your data leaks through the unprotected channels. Das vielleicht größte Problem bei Systemen zur Verhinderung von Datenverlust ist jedoch, dass es eine krübelige Erfahrung bietet, die den natürlichen Workflow der Mitarbeiter unterbricht, indem einige Vorgänge beendet werden (z. B. das Senden einer Nachricht mit einer Anlage, die vom System als vertraulich bezeichnet wird), während andere Benutzer zulassen, häufig nach subtilen Regeln, die der Mitarbeiter nicht sieht und nicht versteht.But perhaps the biggest problem with data loss prevention systems is that it provides a jarring experience that interrupts the employees’ natural workflow by stopping some operations (such as sending a message with an attachment that the system tags as sensitive) while allowing others, often according to subtle rules that the employee doesn’t see and can’t understand.

Verwenden von Information Rights Management-SystemenUsing information rights management systems

Um die möglichen Probleme im Zusammenhang mit Systemen zur Verhinderung von Datenverlusten zu beheben, wurden Information Rights Systeme entwickelt, auch als IRM-Systeme bekannt.To help address the potential data loss prevention system problems, companies developed information rights management (also known as IRM) systems. Information Rights Management-Systeme integrierten den Schutz direkt in Dokumente. Wenn Mitarbeiter Dokumente erstellen, können sie festlegen, welche Art von Schutz angewendet werden soll.Information rights management systems embed protection directly into documents, so that when an employee creates a document, he or she determines what kind of protection to apply. Beispielsweise kann ein Mitarbeiter festlegen, dass ein Dokument nicht weitergeleitet, gedruckt oder mit Personen außerhalb des Unternehmens geteilt werden darf usw.For example, an employee can choose to stop the document from being forwarded, printed, shared outside of the organization, and so on.

Nachdem die Art des Schutzes festgelegt wurde, wird das Dokument von der erstellenden App verschlüsselt, sodass nur autorisierte Personen sie öffnen können, und das nur in kompatiblen Apps.After the type of protection is set, the creating app encrypts the document so that only authorized people can open it, and even then, only in compatible apps. Nachdem ein Mitarbeiter das Dokument geöffnet hat, ist die App für die Durchsetzung der festgelegten Art von Schutz verantwortlich.After an employee opens the document, the app becomes responsible for enforcing the specified protections. Da der Schutz das Dokument stets begleitet, können nicht autorisierte Personen das Dokument weder lesen noch ändern, wenn es von einer autorisierten Person an eine nicht autorisierte Person gesendet wird.Because protection travels with the document, if an authorized person sends it to an unauthorized person, the unauthorized person won’t be able to read or change it. Damit dies jedoch effektiv funktioniert, erfordern Information Rights Management-Systeme die Bereitstellung eines Servers und einer Clientumgebung.However, for this to work effectively information rights management systems require you to deploy and set up both a server and client environment. Und da nur kompatible Clients mit geschützten Dokumenten arbeiten können, wird die Arbeit der Mitarbeiter möglicherweise unerwartet unterbrochen, wenn sie versuchen, eine nicht kompatible App zu verwenden.And, because only compatible clients can work with protected documents, an employees’ work might be unexpectedly interrupted if he or she attempts to use a non-compatible app.

Und was passiert, wenn ein Mitarbeiter das Unternehmen verlässt oder die Registrierung eines Geräts aufhebt?And what about when an employee leaves the company or unenrolls a device?

Und schließlich besteht die Gefahr, dass Daten aus Ihrem Unternehmen offengelegt werden, wenn ein Mitarbeiter das Unternehmen verlässt oder die Registrierung eines Geräts aufhebt.Finally, there’s the risk of data leaking from your company when an employee leaves or unenrolls a device. Zuvor hätten Sie einfach sämtliche Unternehmensdaten und alle persönlichen Daten auf dem Gerät gelöscht.Previously, you would simply erase all of the corporate data from the device, along with any other personal data on the device.

Vorteile von WIPBenefits of WIP

WIP bietet Folgendes:WIP provides:

  • Eindeutige Trennung zwischen persönlichen Daten und Unternehmensdaten, ohne dass Mitarbeiter zwischen Umgebungen oder Apps wechseln müssenObvious separation between personal and corporate data, without requiring employees to switch environments or apps.

  • Zusätzlicher Schutz von Daten für vorhandene Branchen-Apps, ohne dass die Apps aktualisiert werden müssenAdditional data protection for existing line-of-business apps without a need to update the apps.

  • Zurücksetzen von Unternehmensdaten auf für MDM registrierten Geräten, ohne dass persönliche Daten davon betroffen sindAbility to wipe corporate data from Intune MDM enrolled devices while leaving personal data alone.

  • Verwenden von Überwachungsberichten zum Nachverfolgen von Problemen und Einleiten von GegenmaßnahmenUse of audit reports for tracking issues and remedial actions.

  • Integration in Ihr vorhandenes Verwaltungssystem (Microsoft Intune, Microsoft Endpoint Configuration Manager oder Ihr aktuelles Mobile Device Management (MDM)-System), um WIP für Ihr Unternehmen zu konfigurieren, bereitzustellen und zu verwalten.Integration with your existing management system (Microsoft Intune, Microsoft Endpoint Configuration Manager, or your current mobile device management (MDM) system) to configure, deploy, and manage WIP for your company.

Gründe für die Verwendung von WIPWhy use WIP?

WIP ist der Mechanismus für die verwaltung mobiler Anwendungen (MOBILE Application Management, MAM) unter Windows 10.WIP is the mobile application management (MAM) mechanism on Windows 10. WIP bietet Ihnen eine neue Möglichkeit zum Verwalten der Erzwingung von Datenrichtlinien für Apps und Dokumente unter Windows 10-Desktopbetriebssystemen sowie die Möglichkeit, den Zugriff auf Unternehmensdaten von Unternehmens- und persönlichen Geräten zu entfernen (nach der Registrierung in einer Unternehmensverwaltungslösung wie Intune).WIP gives you a new way to manage data policy enforcement for apps and documents on Windows 10 desktop operating systems, along with the ability to remove access to enterprise data from both enterprise and personal devices (after enrollment in an enterprise management solution, like Intune).

  • Sehen Sie die Durchsetzung von Datenrichtlinien mit anderen Augen.Change the way you think about data policy enforcement. Als Administrator eines Unternehmens müssen Sie für die Einhaltung Ihrer Datenrichtlinien und Datenzugriffsbeschränkungen sorgen.As an enterprise admin, you need to maintain compliance in your data policy and data access. WIP trägt zum Schutz des Unternehmens auf Unternehmens- und Mitarbeitergeräten bei, auch wenn der Mitarbeiter das Gerät nicht verwendet.WIP helps protect enterprise on both corporate and employee-owned devices, even when the employee isn’t using the device. Wenn Mitarbeiter Inhalte auf einem unternehmensgeschützten Gerät erstellen, können Sie sie als Arbeitsdokument speichern.When employees create content on an enterprise-protected device, they can choose to save it as a work document. Falls ja, werden die Dokumentinhalte zu lokal verwalteten Unternehmensdaten.If it's a work document, it becomes locally-maintained as enterprise data.

  • Verwalten Sie Ihre Unternehmensdokumente, Apps und Verschlüsselungsmodi.Manage your enterprise documents, apps, and encryption modes.

    • Kopieren oder Herunterladen von Unternehmensdaten.Copying or downloading enterprise data. Wenn ein Mitarbeiter oder eine App Inhalte von einem Ort wie SharePoint, einer Netzwerkfreigabe oder einem Webspeicherort des Unternehmens auf ein WIP-geschütztes Gerät herunterlädt, werden die Daten auf dem Gerät durch WIP verschlüsselt.When an employee or an app downloads content from a location like SharePoint, a network share, or an enterprise web location, while using a WIP-protected device, WIP encrypts the data on the device.

    • Verwenden geschützter Apps.Using protected apps. Verwaltete Apps (Apps, die **** Sie in der Liste geschützte Apps in Ihrer WIP-Richtlinie enthalten haben) dürfen auf Ihre Unternehmensdaten zugreifen und interagieren anders, wenn sie mit nicht zulässigen, nicht unternehmensumgebungsgeschützten oder nur persönlichen Apps verwendet werden.Managed apps (apps that you've included on the Protected apps list in your WIP policy) are allowed to access your enterprise data and will interact differently when used with unallowed, non-enterprise aware, or personal-only apps. Wenn die WIP-Verwaltung z. B. auf Blockierenfestgelegt ist, können Ihre Mitarbeiter Daten aus einer geschützten App kopieren und in eine andere geschützte App einfügen, nicht aber in eine persönliche App.For example, if WIP management is set to Block, your employees can copy and paste from one protected app to another protected app, but not to personal apps. Stellen Sie sich vor, eine Personalperson möchte eine Stellenbeschreibung aus einer geschützten App in die interne Karrierewebsite kopieren, einen unternehmensgeschützten Standort, macht jedoch einen Fehler und versucht stattdessen, eine persönliche App hinzuzufügen.Imagine an HR person wants to copy a job description from a protected app to the internal career website, an enterprise-protected location, but makes a mistake and tries to paste into a personal app instead. Das Einfügen verursacht einen Fehler, und es wird eine Benachrichtigung mit dem Hinweis angezeigt, dass die App die Daten aufgrund einer Richtlinieneinschränkung nicht einfügen kann.The paste action fails and a notification pops up, saying that the app couldn’t paste because of a policy restriction. Der Mitarbeiter fügt die Daten dann auf der Website mit den Stellenanzeigen ein, was problemlos funktioniert.The HR person then correctly pastes to the career website without a problem.

    • Verwaltete Apps und Einschränkungen.Managed apps and restrictions. Mit WIP können Sie steuern, welche Apps auf Unternehmensdaten zugreifen und diese verwenden dürfen.With WIP you can control which apps can access and use your enterprise data. Nachdem Sie Ihrer Liste geschützter Apps eine App hinzugefügt haben, wird diese als vertrauenswürdig für Unternehmensdaten eingestuft.After adding an app to your protected apps list, the app is trusted with enterprise data. Für alle Apps, die nicht in dieser Liste enthalten sind, wird der Zugriff auf Unternehmensdaten abhängig vom WIP-Verwaltungsmodus blockiert.All apps not on this list are stopped from accessing your enterprise data, depending on your WIP management-mode.

      Sie müssen keine #A0 ändern, die personenbezogene Daten nie berühren, um sie als geschützte Apps auflisten zu können. Fügen Sie sie einfach in die Liste der geschützten Apps ein.You don’t have to modify line-of-business apps that never touch personal data to list them as protected apps; just include them in the protected apps list.

    • Festlegen der Ebene für den Datenzugriff.Deciding your level of data access. Mit WIP können Sie die Datenfreigabeaktionen Ihrer Mitarbeiter blockieren und überwachen oder Außerkraftsetzungen zulassen.WIP lets you block, allow overrides, or audit employees' data sharing actions. Das Ausblenden von Außerkraftsetzungen hält die Aktion sofort an.Hiding overrides stops the action immediately. Wird eine Außerkraftsetzung zugelassen, werden Mitarbeiter zwar gewarnt, dass ein Risiko besteht, können die Daten jedoch weiterhin teilen. Die Aktion wird aufgezeichnet und überwacht.Allowing overrides lets the employee know there's a risk, but lets him or her continue to share the data while recording and auditing the action. Silent protokolliert einfach die Aktion, ohne alle Aktionen zu beenden, die der Mitarbeiter während der Verwendung dieser Einstellung außer Kraft setzen konnte. Sammeln von Informationen, mit deren Hilfe Sie Muster unangemessener Freigaben sehen können, damit Sie erzieherische Maßnahmen ergreifen oder Apps finden können, die Ihrer Liste geschützter Apps hinzugefügt werden sollten.Silent just logs the action without stopping anything that the employee could've overridden while using that setting; collecting info that can help you to see patterns of inappropriate sharing so you can take educative action or find apps that should be added to your protected apps list. Weitere Informationen zum Erfassen Ihrer Überwachungsprotokolldateien finden Sie unter Erfassen von Windows Information Protection-Überwachungsprotokolldateien (WIP).For info about how to collect your audit log files, see How to collect Windows Information Protection (WIP) audit event logs.

    • Verschlüsselung ruhender Daten.Data encryption at rest. WIP trägt zum Schutz von Unternehmensdaten in lokalen Dateien und auf Wechselmedien bei.WIP helps protect enterprise data on local files and on removable media.

      Anwendungen wie Microsoft Word wirken mit WIP zusammen, um den Schutz Ihrer Daten auf lokale Dateien und Wechselmedien auszuweiten.Apps such as Microsoft Word work with WIP to help continue your data protection across local files and removable media. Diese Apps werden als unternehmensfähig bezeichnet.These apps are being referred to as, enterprise aware. Beispiel: Wenn ein Mitarbeiter WIP-verschlüsselte Inhalte aus Word öffnet, den Inhalt bearbeitet und dann versucht, die bearbeitete Version unter einem anderen Namen zu speichern, wendet Word automatisch WIP auf das neue Dokument an.For example, if an employee opens WIP-encrypted content from Word, edits the content, and then tries to save the edited version with a different name, Word automatically applies WIP to the new document.

    • Verhindern der versehentlichen Offenlegung von Daten an öffentlichen Orten.Helping prevent accidental data disclosure to public spaces. WIP schützt Ihre Unternehmensdaten davor, dass sie an öffentlichen Orten, z. B. im Public Cloud-Speicher, versehentlich geteilt werden.WIP helps protect your enterprise data from being accidentally shared to public spaces, such as public cloud storage. Falls Dropbox™ beispielsweise nicht in der Liste der geschützten Apps enthalten ist, können Mitarbeiter verschlüsselte Dateien nicht mit ihrem persönlichen Cloudspeicher synchronisieren.For example, if Dropbox™ isn’t on your protected apps list, employees won’t be able to sync encrypted files to their personal cloud storage. Wenn der Mitarbeiter den Inhalt stattdessen in einer App aus der Liste der geschützten Apps, wie Microsoft OneDrive for Business, speichert, können die verschlüsselten Dateien problemlos mit der Unternehmenscloud synchronisiert werden, während die Verschlüsselung lokal erhalten bleibt.Instead, if the employee stores the content to an app on your protected apps list, like Microsoft OneDrive for Business, the encrypted files can sync freely to the business cloud, while maintaining the encryption locally.

    • Verhindern der versehentlichen Offenlegung von Daten auf Wechselmedien.Helping prevent accidental data disclosure to removable media. WIP verhindert den Verlust von Unternehmensdaten, wenn Sie auf Wechselmedium kopiert oder übertragen werden.WIP helps prevent enterprise data from leaking when it's copied or transferred to removable media. Angenommen, ein Mitarbeiter kopiert Unternehmensdaten auf ein USB (Universal Serial Bus)-Laufwerk, auf dem auch personenbezogene Daten enthalten sind. In diesem Fall bleiben die Unternehmensdaten verschlüsselt, die personenbezogenen Daten aber nicht.For example, if an employee puts enterprise data on a Universal Serial Bus (USB) drive that also has personal data, the enterprise data remains encrypted while the personal data doesn’t.

  • Entfernen des Zugriffs auf Unternehmensdaten von unternehmensgeschützten Geräten.Remove access to enterprise data from enterprise-protected devices. Mithilfe von WIP können Administratoren Unternehmensdaten auf einzelnen oder mehreren, in MDM registrierten Geräten entfernen, ohne dass personenbezogene Daten davon betroffen sind.WIP gives admins the ability to revoke enterprise data from one or many MDM-enrolled devices, while leaving personal data alone. Dies ist ein Vorteil, wenn ein Mitarbeiter Ihr Unternehmen verlässt oder ein Gerät gestohlen wird.This is a benefit when an employee leaves your company, or in the case of a stolen device. Nachdem Sie sich entschieden haben, den Datenzugriff zu widerrufen, können Sie die Geräteregistrierung mit Microsoft Intune aufheben. Sobald das Gerät dann eine Verbindung mit dem Netzwerk herstellt, wird der Verschlüsselungsschlüssel des Benutzers für das Gerät widerrufen, und die Unternehmensdaten werden unlesbar.After determining that the data access needs to be removed, you can use Microsoft Intune to unenroll the device so when it connects to the network, the user's encryption key for the device is revoked and the enterprise data becomes unreadable.

    Hinweis

    Für die Verwaltung von Surface-Geräten wird empfohlen, den Current Branch von Microsoft Endpoint Configuration Manager zu verwenden.For management of Surface devices it is recommended that you use the Current Branch of Microsoft Endpoint Configuration Manager.
    Microsoft Endpoint Manager ermöglicht es Ihnen auch, Unternehmensdaten zu widerrufen.Microsoft Endpoint Manager also allows you to revoke enterprise data. Dazu wird das Gerät jedoch auf die Werkseinstellungen zurückgesetzt.However, it does it by performing a factory reset of the device.

Funktionsweise von WIPHow WIP works

WIP hilft Ihnen bei der Bewältigung der täglichen Herausforderungen im Unternehmen.WIP helps address your everyday challenges in the enterprise. Beispiele:Including:

  • Der Verlust von Unternehmensdaten kann selbst auf Mitarbeitergeräten verhindert werden, die nicht gesperrt werden können.Helping to prevent enterprise data leaks, even on employee-owned devices that can't be locked down.

  • Die Mitarbeiterzufriedenheit wird nicht durch restriktive Datenverwaltungsrichtlinien auf unternehmenseigenen Geräten beeinträchtigt.Reducing employee frustrations because of restrictive data management policies on enterprise-owned devices.

  • Geschäftsdaten bleiben Unternehmenseigentum und sind leichter zu kontrollieren.Helping to maintain the ownership and control of your enterprise data.

  • Der Netzwerk- und Datenzugriff sowie die Datenfreigabe für nicht unternehmenskompatible Apps können besser gesteuert werden.Helping control the network and data access and data sharing for apps that aren’t enterprise aware

UnternehmensszenarienEnterprise scenarios

Mit WIP werden zurzeit die folgenden Unternehmensszenarien abgedeckt:WIP currently addresses these enterprise scenarios:

  • Sie können Unternehmensdaten auf Geräten von Mitarbeitern und auf unternehmenseigenen Geräten verschlüsseln.You can encrypt enterprise data on employee-owned and corporate-owned devices.

  • Sie können Unternehmensdaten per Remotezugriff auf verwalteten Computern zurücksetzen, ohne dass dies Auswirkungen auf die persönlichen Daten hat. Dies gilt auch für Computer, die Mitarbeitern gehören.You can remotely wipe enterprise data off managed computers, including employee-owned computers, without affecting the personal data.

  • Sie können bestimmte Apps schützen, die auf Unternehmensdaten zugreifen können, die für Mitarbeiter klar erkennbar sind.You can protect specific apps that can access enterprise data that are clearly recognizable to employees. Außerdem haben Sie die Möglichkeit, den Zugriff auf Unternehmensdaten für ungeschützte Apps zu blockieren.You can also stop non-protected apps from accessing enterprise data.

  • Während die Richtlinien des Unternehmens aktiv sind, müssen Ihre Mitarbeiter die Arbeit nicht anderweitig unterbrechen, wenn sie zwischen persönlichen Apps und Apps des Unternehmens wechseln.Your employees won't have their work otherwise interrupted while switching between personal and enterprise apps while the enterprise policies are in place. Es ist nicht erforderlich, die Umgebung zu wechseln oder sich mehrfach anzumelden.Switching environments or signing in multiple times isn’t required.

WIP-SchutzmodiWIP-protection modes

Unternehmensdaten werden automatisch verschlüsselt, nachdem sie aus einer Unternehmensquelle auf ein Gerät geladen wurden oder ein Mitarbeiter die Daten als Unternehmensdaten kennzeichnet.Enterprise data is automatically encrypted after it’s loaded on a device from an enterprise source or if an employee marks the data as corporate. Wenn die Unternehmensdaten auf einen Datenträger geschrieben werden, verwendet WIP das von Windows bereitgestellte verschlüsselnde Dateisystem (Encrypting File System, EFS), um ihn zu schützen und mit der Identität Ihres Unternehmens zu verknüpfen.Then, when the enterprise data is written to disk, WIP uses the Windows-provided Encrypting File System (EFS) to protect it and associate it with your enterprise identity.

Ihre WIP-Richtlinie enthält eine Liste vertrauenswürdiger Apps, die für den Zugriff auf und die Verarbeiten von Unternehmensdaten geschützt sind.Your WIP policy includes a list of trusted apps that are protected to access and process corporate data. Diese Liste von Apps wird über die AppLocker-Funktionen implementiert. Diese steuern, welche Apps ausgeführt werden dürfen, und teilen dem Windows-Betriebssystem mit, dass die Apps Unternehmensdaten bearbeiten dürfen.This list of apps is implemented through the AppLocker functionality, controlling what apps are allowed to run and letting the Windows operating system know that the apps can edit corporate data. Apps, die in dieser Liste enthalten sind, müssen nicht geändert werden, um auf Unternehmensdaten zugreifen zu können, da ihr Vorhandensein auf der Liste Windows ermöglicht, zu entscheiden, ob ihnen Zugriff gewährt werden kann.Apps included on this list don’t have to be modified to open corporate data because their presence on the list allows Windows to determine whether to grant them access. Eine Neuerung in Windows10 stellt App-Entwicklern einen neuen Satz von Anwendungsprogrammierschnittstellen (APIs) zum Erstellen kompatibler Apps bereit, die sowohl unternehmenseigene als auch persönliche Daten verwenden und bearbeiten können.However, new for Windows 10, app developers can use a new set of application programming interfaces (APIs) to create enlightened apps that can use and edit both enterprise and personal data. Ein großer Vorteil beim Arbeiten mit kompatiblen Apps besteht darin, dass Apps, die für das Unternehmen und privat verwendet werden können, wie z.B. Microsoft Word, mit weniger Bedenken hinsichtlich der versehentlichen Verschlüsselung persönlicher Daten verwendet werden können, da die APIs der App ermöglichen, festzustellen, ob es sich um Unternehmens- oder persönliche Daten handelt.A huge benefit to working with enlightened apps is that dual-use apps, like Microsoft Word, can be used with less concern about encrypting personal data by mistake because the APIs allow the app to determine whether data is owned by the enterprise or if it’s personally owned.

Hinweis

Weitere Informationen zum Erfassen Ihrer Überwachungsprotokolldateien finden Sie unter Erfassen von Windows Information Protection-Überwachungsprotokolldateien (WIP).For info about how to collect your audit log files, see How to collect Windows Information Protection (WIP) audit event logs.

Sie können für das WIP-System 1 von 4 verfügbaren Schutz- und Verwaltungsmodi festlegen:You can set your WIP policy to use 1 of 4 protection and management modes:

ModusMode BeschreibungDescription
BlockierenBlock WIP sucht nach unerwünschten Datenfreigaben und hindert Mitarbeiter daran, den Schritt auszuführen.WIP looks for inappropriate data sharing practices and stops the employee from completing the action. Beispielsweise können Unternehmensdaten für Apps freigegeben werden, die keinem Unternehmensschutz unterliegen, und Unternehmensdaten können zwischen Apps oder außerhalb des Unternehmensnetzwerks freigegeben werden.This can include sharing enterprise data to non-enterprise-protected apps in addition to sharing enterprise data between apps or attempting to share outside of your organization’s network.
Außerkraftsetzungen zulassenAllow overrides WIP ermittelt ungeeignete Datenfreigaben und warnt Mitarbeiter davor, eine potenziell unsichere Aktion auszuführen.WIP looks for inappropriate data sharing, warning employees if they do something deemed potentially unsafe. Bei diesem Verwaltungsmodus können Mitarbeiter die Richtlinie jedoch außer Kraft setzen und die Daten freigeben, wobei die Aktion jedoch in ihrem Überwachungsprotokoll protokolliert wird.However, this management mode lets the employee override the policy and share the data, logging the action to your audit log.
UnbeaufsichtigtSilent Im Modus „Außerkraftsetzungen zulassen“ wird WIP im Hintergrund ausgeführt und protokolliert unerwünschte Datenfreigaben, ohne Aktionen zu blockieren, für die normalerweise die Interaktion eines Mitarbeiters erforderlich wäre.WIP runs silently, logging inappropriate data sharing, without stopping anything that would’ve been prompted for employee interaction while in Allow overrides mode. Unerlaubte Aktionen, z.B. wenn Apps unzulässigerweise versuchen, auf eine Netzwerkressource oder auf WIP-geschützte Daten zuzugreifen, werden weiterhin verhindert.Unallowed actions, like apps inappropriately trying to access a network resource or WIP-protected data, are still stopped.
DeaktiviertOff WIP ist deaktiviert, und Ihre Daten werden weder geschützt noch überwacht.WIP is turned off and doesn't help to protect or audit your data.

Nachdem WIP deaktiviert wurde, wird versucht, alle durch WIP gekennzeichneten Dateien auf den lokal angeschlossenen Laufwerken zu entschlüsseln.After you turn off WIP, an attempt is made to decrypt any WIP-tagged files on the locally attached drives. Beachten Sie, dass frühere Entschlüsselungs- und Richtlinieninformationen nicht automatisch erneut angewendet werden, wenn Sie den WIP-Schutz wieder aktivieren.Be aware that your previous decryption and policy info isn’t automatically reapplied if you turn WIP protection back on.

Deaktivieren von WIPTurn off WIP

Sie können Windows Information Protection und die Einschränkungen vollständig deaktivieren. Dadurch werden alle von WIP verwalteten Geräte entschlüsselt, und Sie kehren zum Zustand vor WIP zurück, ohne dass Daten verloren gehen.You can turn off all Windows Information Protection and restrictions, decrypting all devices managed by WIP and reverting to where you were pre-WIP, with no data loss. Diese Vorgehensweise wird jedoch nicht empfohlen.However, this isn’t recommended. Wenn Sie sich für die Deaktivierung entscheiden, können Sie WIP jederzeit wieder aktivieren. Ihre Entschlüsselungs- und Richtlinieninformationen werden von WIP jedoch nicht automatisch neu angewendet.If you choose to turn WIP off, you can always turn it back on, but your decryption and policy info won’t be automatically reapplied.

Nächste SchritteNext steps

Nachdem Sie sich für die Verwendung von WIP in Ihrem Unternehmen entschieden haben, ist folgender Schritt erforderlich:After deciding to use WIP in your enterprise, you need to:

Hinweis

Tragen Sie dazu bei, dieses Thema zu verbessern, indem Sie uns Bearbeitungen, Ergänzungen und Feedback bereitstellen.Help to make this topic better by providing us with edits, additions, and feedback. Informationen zum Beitrag zu diesem Thema finden Sie in der Dokumentation zum Bearbeiten von Windows IT Professional.For info about how to contribute to this topic, see Editing Windows IT professional documentation.