Erstellen und Bereitstellen von WIP-App-Schutzrichtlinien (Windows Information Protection) in IntuneCreate and deploy Windows Information Protection (WIP) app protection policy with Intune

Gilt für: Intune im Azure-PortalApplies to: Intune in the Azure portal
Suchen Sie nach der Dokumentation zu Intune im klassischen Portal?Looking for documentation about Intune in the classic portal? Klicken Sie hier.Go here.

Ab Version Intune 1704 können Sie bei Windows 10 App-Schutzrichtlinien zum Schutz von Apps ohne Registrierung verwenden.Beginning with Intune 1704 release, you can use app protection policies with Windows 10 in to protect apps without device enrollment.

VorbereitungBefore you begin

Sprechen Sie wir über einige Konzepte, wenn Sie eine WIP-Richtlinie hinzufügen.Let’s talk about a few concepts when adding a WIP policy.

Liste der zulässigen und ausgenommenen AppsList of allowed and exempt apps

  • Zulässige Apps: Dies sind die Apps, die dieser Richtlinie entsprechen müssen.Allowed apps: These are the apps that need to adhere to this policy.

  • Ausgenommene Apps: Diese Apps sind von dieser Richtlinie ausgenommen und können ohne Einschränkungen auf Unternehmensdaten zugreifen.Exempt apps: These apps are exempt from this policy and can access corporate data without restrictions.

App-TypenTypes of apps

  • Empfohlene Apps: Eine vorab aufgefüllte Liste von Apps (hauptsächlich Microsoft Office), die Ihnen einen einfachen Import in die Richtlinie ermöglicht.Recommended apps: a pre-populated list of (mostly Microsoft Office) apps that allow you easily import into policy.

  • Store-Apps: Sie können der Richtlinie eine beliebige App aus dem Windows Store hinzufügen.Store apps: You can add any app from the Windows store to the policy.

  • Windows Desktop-Apps: Sie haben außerdem die Möglichkeit,der Richtlinie traditionelle Windows Desktop-Apps hinzufügen (z.B. .exe, .dll, usw.)Windows desktop apps: You can add any traditional Windows desktop apps to the policy (for example, .exe, .dll)

VoraussetzungenPre-requisites

Sie müssen den MAM-Anbieter konfigurieren, bevor Sie eine WIP-App-Schutzrichtlinie erstellen können.You must configure the MAM provider before you can create a WIP app protection policy. Weitere Informationen finden Sie unter Konfigurieren Ihres MAM-Anbieters in Intune.Learn more about how to configure your MAM provider with Intune.

Darüber hinaus benötigen Sie Folgendes:Additionally, you need to have the following:

Wichtig

WIP unterstützt nicht mehrere Identitäten; nur jeweils eine verwaltete Identität darf vorhanden sein.WIP does not support multi-identity, only one managed identity can exist at a time.

Hinzufügen einer WIP-RichtlinieTo add a WIP policy

Nachdem Sie in Ihrer Organisation Intune eingerichtet haben, können Sie eine WIP-spezifische Richtlinie durch das Azure-Portal erstellen.After you set up Intune in your organization, you can create a WIP-specific policy through the Azure portal.

  1. Wechseln Sie zum Intune-Dashboard für die mobile Anwendungsverwaltung, wählen Sie Alle Einstellungen und anschließend App-Richtlinie aus.Go to the Intune mobile application management dashboard, choose All settings, > App policy.

  2. Wählen Sie auf dem Blatt App-Richtlinie die Option Richtlinie hinzufügen aus und geben Sie folgende Werte ein:In the App policy blade, choose Add a policy, then enter the following values:

    a.a. Name: Geben Sie einen Namen (Pflichtfeld) für Ihre neue Richtlinie ein.Name: Type a name (required) for your new policy.

    b.b. Beschreibung: Geben Sie eine optionale Beschreibung ein.Description: Type an optional description.

    c.c. Plattform: Wählen Sie Windows 10 als unterstützte Plattform für Ihre App-Schutzrichtlinie aus.Platform: Choose Windows 10 as the supported platform for your app protection policy.

    d.d. Registrierungsstatus: Wählen Sie Ohne Registrierung als Registrierungsstatus für Ihre Richtlinie aus.Enrollment state: Choose Without enrollment as the enrollment state for your policy.

  3. Wählen Sie Erstellen aus.Choose Create. Die Richtlinie wird erstellt und in der Tabelle auf dem Blatt App-Richtlinie angezeigt.The policy is created and appears in the table on the App Policy blade.

  1. Wählen Sie auf dem Blatt App-Richtlinie den Namen Ihrer Richtlinie und anschließend die Option Zulässige Apps auf dem Blatt Richtlinie hinzufügen aus.From the App policy blade, choose the name of your policy, then choose Allowed apps from the Add a policy blade. Das Blatt Zulässige Apps wird geöffnet, auf dem alle Apps angezeigt werden, die bereits in der Liste für diese App-Schutzrichtlinie enthalten sind.The Allowed apps blade opens, showing you all apps that are already included in the list for this app protection policy.

  2. Wählen Sie auf dem Blatt Zulässige Apps die Option Apps hinzufügen aus.From the Allowed apps blade, choose Add apps. Das Blatt Apps hinzufügen wird geöffnet, auf dem alle zu dieser Liste gehörenden Apps angezeigt werden.The Add apps blade opens, showing you all apps that are part of this list.

  3. Wählen Sie alle Apps aus, die auf Ihre Unternehmensdaten zugreifen dürfen, und wählen Sie dann OK aus.Select each app you want to access your corporate data, and then choose OK. Das Blatt Zulässige Apps wird aktualisiert und zeigt alle ausgewählten Apps an.The Allowed apps blade gets updated showing you all selected apps.

Hinzufügen einer Store-App zur Liste der zulässigen AppsAdd a Store app to your allowed apps list

Hinzufügen eine Store-AppTo add a Store app

  1. Wählen Sie auf dem Blatt App-Richtlinie den Namen Ihrer Richtlinie und im angezeigten Menü Zulässige Apps aus. Daraufhin werden alle Apps angezeigt, die bereits in der Liste für diese App-Schutzrichtlinie enthalten sind.From the App policy blade, choose the name of your policy, then choose Allowed apps from the menu that appears showing all apps that are already included in the list for this app protection policy.

  2. Wählen Sie auf dem Blatt Zulässige Apps die Option Apps hinzufügen aus.From the Allowed apps blade, choose Add apps.

  3. Wählen Sie auf dem Blatt Apps hinzufügen die Option Store-Apps aus der Dropdownliste aus.On the Add apps blade, choose Store apps from the dropdown list. Auf dem Blatt werden dann Felder angezeigt, mit denen Sie einen Herausgeber und App-Namen hinzufügen können.The blade changes to show boxes for you to add a publisher and app name.

  4. Geben Sie den Namen der App und des jeweiligen Herausgebers ein und wählen Sie dann OK aus.Type the name of the app and the name of its publisher, and then choose OK.

    Tipp

    Im Folgenden wird ein Beispiel für eine App gezeigt: Der Herausgeber ist dabei CN = Microsoft Corporation, O = Microsoft Corporation, L = Redmond, S = Washington, C = US und der Name des Produkts lautet Microsoft.MicrosoftAppForWindows.Here’s an app example, where the Publisher is CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US and the Product name is Microsoft.MicrosoftAppForWindows.

  5. Nachdem Sie die Informationen in die Felder eingegeben haben, wählen Sie OK aus, um die App zur Liste Zulässige Apps hinzuzufügen.After you’ve entered the info into the fields, choose OK to add the app to your Allowed apps list.

Hinweis

Um mehrere Store-Apps gleichzeitig hinzuzufügen, können Sie auf das Menü (...) am Ende der App-Zeile klicken. Anschließend können Sie weitere Apps hinzufügen.To add multiple Store apps at the same time, you can click the menu (…) at the end of the app row, then continue to add more apps. Wenn Sie fertig sind, wählen Sie OK aus.Once you’re done, choose OK.

Hinzufügen einer Desktop-App zur Liste der zulässigen AppsAdd a desktop app to your allowed apps list

So fügen Sie eine Desktop-App hinzuTo add a desktop app

  1. Wählen Sie auf dem Blatt App-Richtlinie den Namen Ihrer Richtlinie und anschließend die Option Zulässige Apps aus.From the App policy blade, choose the name of your policy, and then choose Allowed apps. Das Blatt Zulässige Apps wird geöffnet, auf dem alle Apps angezeigt werden, die bereits in der Liste für diese App-Schutzrichtlinie enthalten sind.The Allowed apps blade opens showing you all apps that are already included in the list for this app protection policy.

  2. Wählen Sie auf dem Blatt Zulässige Apps die Option Apps hinzufügen aus.From the Allowed apps blade, choose Add apps.

  3. Wählen Sie auf dem Blatt Apps hinzufügen die Option Desktop-Apps aus der Dropdownliste aus.On the Add apps blade, choose Desktop apps from the drop-down list.

  4. Nachdem Sie die Informationen in die Felder eingegeben haben, wählen Sie OK aus, um die App zur Liste Zulässige Apps hinzuzufügen.After you entered the info into the fields, choose OK to add the app to your Allowed apps list.

Hinweis

Um mehrere Desktop-Apps gleichzeitig hinzuzufügen, können Sie auf das Menü (...) am Ende der App-Zeile klicken. Anschließend können Sie weitere Apps hinzufügen.To add multiple desktop apps at the same time, you can click the menu (…) at the end of the app row, then continue to add more apps. Wenn Sie fertig sind, wählen Sie OK aus.Once you’re done, choose OK.

WIP LearningWIP Learning

Nachdem Sie die Apps hinzugefügt haben, die durch WIP geschützt werden sollen, müssen Sie mittels WIP Learning einen Schutzmodus anwenden.After you add the apps you want to protect with WIP, you need to apply a protection mode by using WIP Learning.

VorbereitungBefore you begin

WIP Learning ist ein Bericht, mit dem Sie Ihre WIP unbekannten Apps überwachen können.WIP Learning is a report that allows you to monitor your WIP-unknown apps. Unbekannte Apps sind Apps, die nicht von der IT-Abteilung Ihrer Organisation bereitgestellt wurden.The unknown apps are the ones not deployed by your organization’s IT department. Sie können diese Apps vor der Erzwingung von WIP im Modus „Blockieren“ über den Bericht exportieren und zu Ihren WIP-Richtlinien hinzufügen, um Produktivitätseinbußen zu verhindern.You can export these apps from the report and add them to your WIP policies to avoid productivity disruption before they enforce WIP in “Block” mode.

Es wird empfohlen, mit Automatisch oder Außerkraftsetzungen zulassen zu beginnen und bei einer kleinen Gruppe zu überprüfen, ob die Liste der zulässigen Apps die richtigen Apps enthält.We recommend that you start with Silent or Allow Overrides while verifying with a small group that you have the right apps on your allowed apps list. Wenn Sie fertig sind, können Sie Ihre endgültige Erzwingungsrichtlinie in Blockieren ändern.After you're done, you can change to your final enforcement policy, Block.

Was sind Schutzmodi?What are the protection modes?

BlockierenBlock

WIP prüft auf ungeeignete Datenfreigabeverfahren und hindert den Benutzer an der Durchführung der Aktion.WIP looks for inappropriate data sharing practices and stops the user from completing the action. Dies kann die Freigabe von Informationen über nicht geschützte Unternehmens-Apps hinweg sowie die Freigabe von Unternehmensdaten zwischen anderen Personen und Geräten außerhalb Ihrer Organisation einschließen.This can include sharing info across non-corporate-protected apps, and sharing corporate data between other people and devices outside of your organization.

Außerkraftsetzungen zulassenAllow Overrides

WIP prüft auf ungeeignete Datenfreigabeverfahren, bei dem Benutzer gewarnt werden, wenn sie einen potenziell unsicheren Vorgang durchführen.WIP looks for inappropriate data sharing, warning users if they do something deemed potentially unsafe. In diesem Modus können Benutzer jedoch die Richtlinie überschreiben und die Daten freigeben. Die Aktion wird dabei in Ihrem Überwachungsprotokoll protokolliert.However, this mode lets the user override the policy and share the data, logging the action to your audit log.

AutomatischSilent

WIP wird automatisch ausgeführt, wobei ungeeignete Datenfreigabeverfahren protokolliert werden. Dabei werden im Modus „Außerkraftsetzungen zulassen“ keine Vorgänge blockiert, die zu einer Mitarbeiterinteraktion auffordern würden.WIP runs silently, logging inappropriate data sharing, without blocking anything that would have been prompted for employee interaction while in Allow Override mode. Unzulässige Aktionen wie bei Apps, die unzulässigerweise versuchen, auf eine Netzwerkressource oder auf WIP-geschützte Daten zuzugreifen, werden trotzdem angehalten.Unallowed actions, like apps inappropriately trying to access a network resource or WIP-protected data, are still stopped.

WIP ist deaktiviert und unterstützt nicht beim Schutz oder der Überwachung Ihrer Daten.WIP is turned off and doesn't help to protect or audit your data.

Nachdem Sie WIP deaktiviert haben, wird versucht, WIP-getaggte Dateien auf den lokalen Laufwerken zu entschlüsseln.After you turn off WIP, an attempt is made to decrypt any WIP-tagged files on the locally attached drives. Denken Sie daran, dass Ihre vorherigen Informationen zu Entschlüsselungen und Richtlinien nicht automatisch erneut angewendet werden, wenn Sie den WIP-Schutz wieder aktivieren.Be aware that previous decryption and policy info isn’t automatically reapplied if you turn WIP protection back on.

Hinzufügen eines SchutzmodusAdd a protection mode

  1. Wählen Sie auf dem Blatt App-Richtlinie den Namen Ihrer Richtlinie und anschließend die Option Erforderliche Einstellungen aus.From the App policy blade, choose the name of your policy, then chose Required settings.

    Screenshot des Learning-Modus

  2. Wählen Sie Speichern aus.Choose Save.

Verwenden von WIP LearningUse WIP Learning

  1. Öffnen Sie das Azure-Portal.Open the Azure portal. Wählen Sie Weitere Dienste aus.Choose More services. Geben Sie Intune in das Filtertextfeld ein.Type Intune in the text box filter.

  2. Klicken Sie auf Intune > Mobile Apps.Choose Intune > Mobile Apps.

  3. Klicken Sie anschließend auf Status des App-Schutzes > Berichte > Windows Information Protection-Tutorial.Choose App protection status > Reports > Windows Information Protection learning.

    Wenn dann die Apps im WIP Learning-Protokollierungsbericht angezeigt werden, können Sie sie zu Ihren App-Schutzrichtlinien hinzufügen.Once you have the apps showing up in the WIP Learning logging report, you can add them to your app protection policies.

Bereitstellen der WIP-App-SchutzrichtlinieDeploy your WIP app protection policy

Wichtig

Dies gilt für WIP ohne Geräteregistrierung.This applies for WIP without device enrollment.

Nachdem Sie Ihre WIP-App-Schutzrichtlinie erstellt haben, müssen Sie sie Ihrer Organisation über MAM bereitstellen.After you created your WIP app protection policy, you need to deploy it to your organization using MAM.

  1. Wählen Sie auf dem Blatt App-Richtlinie die neu erstellte App-Schutzrichtlinie aus. Wählen Sie anschließend Benutzergruppen > Benutzergruppe hinzufügen aus.On the App policy blade, choose your newly created app protection policy, choose User groups > Add user group.

    Auf dem Blatt Benutzergruppe hinzufügen wird eine Liste von Benutzergruppen geöffnet, die aus allen Sicherheitsgruppen in Azure Active Directory besteht.A list of user groups, made up of all the security groups in your Azure Active Directory, opens in the Add user group blade.

  2. Wählen Sie die Gruppe aus, auf die Ihre Richtlinie angewendet werden soll, und klicken Sie dann auf Auswählen, um die Richtlinie bereitzustellen.Choose the group you want your policy to apply to, then choose Select to deploy the policy.