Erstellen und Bereitstellen von WIP-App-Schutzrichtlinien (Windows Information Protection) in IntuneCreate and deploy Windows Information Protection (WIP) app protection policy with Intune

Sie können App-Schutzrichtlinien bei Windows 10-Apps verwenden, um Apps ohne Geräteregistrierung zu schützen.You can use app protection policies with Windows 10 apps to protect apps without device enrollment.

VorbereitungBefore you begin

Sie müssen mit einigen Konzepten vertraut sein, wenn Sie eine WIP-Richtlinie hinzufügen:You must understand a few concepts when adding a WIP policy:

Liste der zulässigen und ausgenommenen AppsList of allowed and exempt apps

  • Geschützte Apps: Diese Apps müssen dieser Richtlinie entsprechen.Protected apps: These apps are the apps that need to adhere to this policy.

  • Ausgenommene Apps: Diese Apps sind von dieser Richtlinie ausgenommen und können ohne Einschränkungen auf Unternehmensdaten zugreifen.Exempt apps: These apps are exempt from this policy and can access corporate data without restrictions.

App-TypenTypes of apps

  • Empfohlene Apps Eine vorab aufgefüllte Liste von Apps (hauptsächlich Microsoft Office), die Ihnen einen einfachen Import in die Richtlinie ermöglicht.Recommended apps: A pre-populated list of (mostly Microsoft Office) apps that allow you easily import into policy.
  • Store-Apps: Sie können der Richtlinie eine beliebige App aus dem Windows Store hinzufügen.Store apps: You can add any app from the Windows store to the policy.
  • Windows Desktop-Apps: Sie haben außerdem die Möglichkeit,der Richtlinie traditionelle Windows Desktop-Apps hinzufügen (z.B. .exe, .dll, usw.)Windows desktop apps: You can add any traditional Windows desktop apps to the policy (for example, .exe, .dll)

VoraussetzungenPrerequisites

Sie müssen den MAM-Anbieter konfigurieren, bevor Sie eine WIP-App-Schutzrichtlinie erstellen können.You must configure the MAM provider before you can create a WIP app protection policy. Weitere Informationen finden Sie unter Konfigurieren Ihres MAM-Anbieters in Intune.Learn more about how to configure your MAM provider with Intune.

Darüber hinaus benötigen Sie folgende Lizenz und folgendes Update:Additionally, you need to have the following license and update:

Wichtig

WIP unterstützt nicht mehrere Identitäten; nur jeweils eine verwaltete Identität darf vorhanden sein.WIP does not support multi-identity, only one managed identity can exist at a time.

So erstellen Sie eine WIP-App-SchutzrichtlinieTo add a WIP app protection policy

Nachdem Sie Intune in Ihrer Organisation eingerichtet haben, können Sie eine WIP-spezifische Richtlinie erstellen.After you set up Intune in your organization, you can create a WIP-specific policy.

  1. Melden Sie sich beim Azure-Portal an.Sign in to the Azure portal.
  2. Klicken Sie auf Alle Dienste > Intune.Choose All Services > Intune.
  3. Wählen Sie auf dem Blatt Microsoft Intune die Option Mobile Apps aus.Select Mobile apps on the Microsoft Intune blade.
  4. Wählen Sie auf dem Blatt Mobile Apps die Option App-Schutzrichtlinien aus.Select App protection policies on the Mobile apps blade.
  5. Klicken Sie auf Richtlinie hinzufügen, um das Blatt Richtlinie hinzufügen anzuzeigen.Select Add a policy to display the Add a policy blade.
  6. Fügen Sie die folgenden Werte hinzu:Add the following values:
    • Name: Geben Sie einen Namen (Pflichtfeld) für Ihre neue Richtlinie ein.Name: Type a name (required) for your new policy.
    • Beschreibung: Geben Sie eine Beschreibung ein (optional).Description: (Optional) Type a description.
    • Plattform: Wählen Sie Windows 10 als unterstützte Plattform für Ihre App-Schutzrichtlinie aus.Platform: Choose Windows 10 as the supported platform for your app protection policy.
    • Registrierungsstatus: Wählen Sie Ohne Registrierung als Registrierungsstatus für Ihre Richtlinie aus.Enrollment state: Choose Without enrollment as the enrollment state for your policy.
  7. Wählen Sie Erstellen aus.Choose Create. Die Richtlinie wird erstellt und in der Tabelle auf dem Blatt App-Schutzrichtlinien angezeigt.The policy is created and appears in the table on the App protection policies blade.
  1. Wählen Sie auf dem Blatt Microsoft Intune die Option Mobile Apps aus.Select Mobile apps on the Microsoft Intune blade.
  2. Wählen Sie auf dem Blatt Mobile Apps die Option App-Schutzrichtlinien aus.Select App protection policies on the Mobile apps blade.
  3. Wählen Sie auf dem Blatt App-Schutzrichtlinien die Richtlinie aus, die Sie ändern möchten.On the App protection policies blade, choose the policy you want to modify. Das Blatt Intune-App-Schutz wird angezeigt.The Intune App Protection blade is displayed.
  4. Wählen Sie auf dem Blatt Intune-App-Schutz die Option Geschützte Apps aus.Choose Protected apps from the Intune App Protection blade. Das Blatt Geschützte Apps wird geöffnet und zeigt alle Apps an, die bereits in der Liste für diese App-Schutzrichtlinie enthalten sind.The Protected apps blade opens showing you all apps that are already included in the list for this app protection policy.
  5. Klicken Sie auf Apps hinzufügen.Select Add apps. Die Informationen bei Apps hinzufügen zeigen eine gefilterte Liste von Apps.The Add apps information shows you a filtered list of apps. Mit der Liste im oberen Bereich des Blatts können Sie den Listenfilter ändern.The list at the top of the blade allows you to change the list filter.
  6. Wählen Sie alle Apps aus, denen Sie Zugriff auf Ihre Unternehmensdaten gewähren möchten.Select each app that you want to allow access your corporate data.
  7. Klicken Sie auf OK.Click OK. Das Blatt Geschützte Apps wird aktualisiert und zeigt alle ausgewählten Apps an.The Protected apps blade is updated showing all selected apps.
  8. Klicken Sie auf Speichern.Click Save.

Hinzufügen einer Store-App zur Liste der geschützten AppsAdd a Store app to your protected apps list

Hinzufügen eine Store-AppTo add a Store app

  1. Wählen Sie auf dem Blatt Microsoft Intune die Option Mobile Apps aus.Select Mobile apps on the Microsoft Intune blade.
  2. Wählen Sie auf dem Blatt Mobile Apps die Option App-Schutzrichtlinien aus.Select App protection policies on the Mobile apps blade.
  3. Wählen Sie auf dem Blatt App-Schutzrichtlinien die Richtlinie aus, die Sie ändern möchten.On the App protection policies blade, choose the policy you want to modify. Das Blatt Intune-App-Schutz wird angezeigt.The Intune App Protection blade is displayed.
  4. Wählen Sie auf dem Blatt Intune-App-Schutz die Option Geschützte Apps aus.Choose Protected apps from the Intune App Protection blade. Das Blatt Geschützte Apps wird geöffnet und zeigt alle Apps an, die bereits in der Liste für diese App-Schutzrichtlinie enthalten sind.The Protected apps blade opens showing you all apps that are already included in the list for this app protection policy.
  5. Klicken Sie auf Apps hinzufügen.Select Add apps. Die Informationen bei Apps hinzufügen zeigen eine gefilterte Liste von Apps.The Add apps information shows you a filtered list of apps. Mit der Liste im oberen Bereich des Blatts können Sie den Listenfilter ändern.The list at the top of the blade allows you to change the list filter.
  6. Wählen Sie Store-Apps aus der Liste aus.From the list, select Store apps.
  7. Geben Sie Werte für Name, Herausgeber, Produktname und Aktion ein.Enter values for Name, Pubisher, Product Name, and Action. Stellen Sie sicher, dass der Wert für Aktion auf Zulassen festgelegt ist, damit die App auf Ihre Unternehmensdaten zugreifen kann.Be sure to set the Action value to Allow, so that the app will have access to your corporate data.
  8. Klicken Sie auf OK.Click OK. Das Blatt Geschützte Apps wird aktualisiert und zeigt alle ausgewählten Apps an.The Protected apps blade is updated showing all selected apps.
  9. Klicken Sie auf Speichern.Click Save.

Hinzufügen einer Desktop-App zur Liste der geschützten AppsAdd a desktop app to your protected apps list

So fügen Sie eine Desktop-App hinzuTo add a desktop app

  1. Wählen Sie auf dem Blatt Microsoft Intune die Option Mobile Apps aus.Select Mobile apps on the Microsoft Intune blade.
  2. Wählen Sie auf dem Blatt Mobile Apps die Option App-Schutzrichtlinien aus.Select App protection policies on the Mobile apps blade.
  3. Wählen Sie auf dem Blatt App-Schutzrichtlinien die Richtlinie aus, die Sie ändern möchten.On the App protection policies blade, choose the policy you want to modify. Das Blatt Intune-App-Schutz wird angezeigt.The Intune App Protection blade is displayed.
  4. Wählen Sie auf dem Blatt Intune-App-Schutz die Option Geschützte Apps aus.Choose Protected apps from the Intune App Protection blade. Das Blatt Geschützte Apps wird geöffnet und zeigt alle Apps an, die bereits in der Liste für diese App-Schutzrichtlinie enthalten sind.The Protected apps blade opens showing you all apps that are already included in the list for this app protection policy.
  5. Klicken Sie auf Apps hinzufügen.Select Add apps. Die Informationen bei Apps hinzufügen zeigen eine gefilterte Liste von Apps.The Add apps information shows you a filtered list of apps. Mit der Liste im oberen Bereich des Blatts können Sie den Listenfilter ändern.The list at the top of the blade allows you to change the list filter.
  6. Wählen Sie Desktop-Apps aus der Liste aus.From the list, select Desktop apps.
  7. Geben Sie Werte für Name, Herausgeber, Produktname, Datei, Mindestversion, Maximale Version und Aktion ein.Enter values for Name, Pubisher, Product Name, File, Min Version, Max Version, and Action. Stellen Sie sicher, dass der Wert für Aktion auf Zulassen festgelegt ist, damit die App auf Ihre Unternehmensdaten zugreifen kann.Be sure to set the Action value to Allow, so that the app will have access to your corporate data.
  8. Klicken Sie auf OK.Click OK. Das Blatt Geschützte Apps wird aktualisiert und zeigt alle ausgewählten Apps an.The Protected apps blade is updated showing all selected apps.
  9. Klicken Sie auf Speichern.Click Save.

WIP LearningWIP Learning

Nachdem Sie die Apps hinzugefügt haben, die durch WIP geschützt werden sollen, müssen Sie mittels WIP Learning einen Schutzmodus anwenden.After you add the apps you want to protect with WIP, you need to apply a protection mode by using WIP Learning.

VorbereitungBefore you begin

WIP Learning ist ein Bericht, mit dem Sie Ihre WIP-tauglichen und WIP-unbekannten Apps überwachen können.WIP Learning is a report that allows you to monitor your WIP-enabled apps and WIP-unknown apps. Unbekannte Apps sind Apps, die nicht von der IT-Abteilung Ihrer Organisation bereitgestellt wurden.The unknown apps are the ones not deployed by your organization’s IT department. Sie können diese Apps vor der Erzwingung von WIP im Modus „Blockieren“ über den Bericht exportieren und zu Ihren WIP-Richtlinien hinzufügen, um Produktivitätseinbußen zu verhindern.You can export these apps from the report and add them to your WIP policies to avoid productivity disruption before they enforce WIP in “Block” mode.

Neben der Anzeige von Informationen über WIP-fähige Apps können Sie eine Zusammenfassung der Geräte anzeigen, die Arbeitsdaten für Websites freigegeben haben.In addition to viewing information about WIP-enabled apps, you can view a summary of the devices that have shared work data with websites. Anhand dieser Informationen können Sie festlegen, welche Websites zu WIP-Gruppen- und Benutzerrichtlinien hinzugefügt werden sollen.With this information, you can determine which websites should be added to group and user WIP policies. Die Zusammenfassung zeigt, auf welche Website-URLs von WIP-aktivierten Apps zugegriffen werden kann.The summary shows which website URLs are accessed by WIP-enabled apps.

Beim Arbeiten mit WIP-tauglichen und WIP-unbekannten Apps sollten Sie mit Automatisch oder Außerkraftsetzungen zulassen beginnen und bei einer kleinen Gruppe überprüfen, ob die Liste der geschützten Apps die richtigen Apps enthält.When working with WIP-enabled apps and WIP-unknown apps, we recommend that you start with Silent or Allow Overrides while verifying with a small group that you have the right apps on your protected apps list. Wenn Sie fertig sind, können Sie Ihre endgültige Erzwingungsrichtlinie in Blockieren ändern.After you're done, you can change to your final enforcement policy, Block.

Was sind Schutzmodi?What are the protection modes?

BlockierenBlock

WIP prüft auf ungeeignete Datenfreigabeverfahren und hindert den Benutzer an der Durchführung der Aktion.WIP looks for inappropriate data sharing practices and stops the user from completing the action. Dies kann die Freigabe von Informationen über nicht geschützte Unternehmens-Apps hinweg sowie die Freigabe von Unternehmensdaten zwischen anderen Personen und Geräten außerhalb Ihrer Organisation einschließen.This can include sharing info across non-corporate-protected apps, and sharing corporate data between other people and devices outside of your organization.

Außerkraftsetzungen zulassenAllow Overrides

WIP prüft auf ungeeignete Datenfreigabeverfahren, bei dem Benutzer gewarnt werden, wenn sie einen potenziell unsicheren Vorgang durchführen.WIP looks for inappropriate data sharing, warning users when they do something deemed potentially unsafe. In diesem Modus können Benutzer jedoch die Richtlinie überschreiben und die Daten freigeben. Die Aktion wird dabei in Ihrem Überwachungsprotokoll protokolliert.However, this mode lets the user override the policy and share the data, logging the action to your audit log.

AutomatischSilent

WIP wird automatisch ausgeführt, wobei ungeeignete Datenfreigabeverfahren protokolliert werden. Dabei werden im Modus „Außerkraftsetzungen zulassen“ keine Vorgänge blockiert, die zu einer Mitarbeiterinteraktion auffordern würden.WIP runs silently, logging inappropriate data sharing, without blocking anything that would have been prompted for employee interaction while in Allow Override mode. Unzulässige Aktionen wie bei Apps, die unzulässigerweise versuchen, auf eine Netzwerkressource oder auf WIP-geschützte Daten zuzugreifen, werden trotzdem angehalten.Unallowed actions, like apps inappropriately trying to access a network resource or WIP-protected data, are still stopped.

WIP ist deaktiviert und unterstützt nicht beim Schutz oder der Überwachung Ihrer Daten.WIP is turned off and doesn't help to protect or audit your data.

Nachdem Sie WIP deaktiviert haben, wird versucht, WIP-getaggte Dateien auf den lokalen Laufwerken zu entschlüsseln.After you turn off WIP, an attempt is made to decrypt any WIP-tagged files on the locally attached drives. Denken Sie daran, dass Ihre vorherigen Informationen zu Entschlüsselungen und Richtlinien nicht automatisch erneut angewendet werden, wenn Sie den WIP-Schutz wieder aktivieren.Note that previous decryption and policy info isn’t automatically reapplied if you turn WIP protection back on.

Hinzufügen eines SchutzmodusAdd a protection mode

  1. Wählen Sie auf dem Blatt App-Richtlinie den Namen Ihrer Richtlinie und anschließend die Option Erforderliche Einstellungen aus.From the App policy blade, choose the name of your policy, then choose Required settings.

    Screenshot des Learning-Modus

  2. Wählen Sie eine Einstellung aus, und klicken Sie auf Speichern.Select a setting and then choose Save.

Verwenden von WIP LearningUse WIP Learning

  1. Öffnen Sie das Azure-Portal.Open the Azure portal. Wählen Sie Alle Dienste aus.Choose All services. Geben Sie Intune in das Filtertextfeld ein.Type Intune in the text box filter.

  2. Klicken Sie auf Intune > Mobile Apps.Choose Intune > Mobile Apps.

  3. Klicken Sie anschließend auf Status des App-Schutzes > Berichte > Windows Information Protection-Tutorial.Choose App protection status > Reports > Windows Information Protection learning.

    Wenn dann die Apps im WIP Learning-Protokollierungsbericht angezeigt werden, können Sie sie zu Ihren App-Schutzrichtlinien hinzufügen.Once you have the apps showing up in the WIP Learning logging report, you can add them to your app protection policies.

Der Windows Search-Indexerstellung die Suche nach verschlüsselten Elementen gestattenAllow Windows Search Indexer to search encrypted items

Hiermit wird die Indizierung von Elementen zugelassen oder verweigert.Allows or disallows the indexing of items. Diese Option ist für die Windows Search-Indexerstellung bestimmt und steuert, ob verschlüsselte Elemente wie beispielsweise WIP-geschützte Dateien (Windows Information Protection) indiziert werden.This switch is for the Windows Search Indexer, which controls whether it indexes items that are encrypted, such as the Windows Information Protection (WIP) protected files.

Diese App-Schutzrichtlinienoption befindet sich in den erweiterten Einstellungen der WIP-Richtlinie (Windows Information Protection).This app protection policy option is in the Advanced settings of the Windows Information Protection policy. Für die App-Schutzrichtlinie muss die Windows 10-Plattform und für die App-Richtlinie Registrierungsstatus muss Mit Registrierung festgelegt werden.The app protection policy must be set to the Windows 10 platform and the app policy Enrollment state must be set to With enrollment.

Wenn die Richtlinie aktiviert ist, werden WIP-geschützte Elemente indiziert und die zugehörigen Metadaten werden an einem nicht verschlüsselten Speicherort gespeichert.When the policy is enabled, WIP protected items are indexed and the metadata about them are stored in an unencrypted location. Die Metadaten umfassen beispielsweise den Dateipfad und das Änderungsdatum.The metadata includes things like file path and date modified.

Wenn die Richtlinie deaktiviert ist, werden WIP-geschützte Elemente nicht indiziert und sie werden nicht in den Ergebnissen in Cortana oder im Datei-Explorer angezeigt.When the policy is disabled, the WIP protected items are not indexed and do not show up in the results in Cortana or file explorer. Ferner sind bei Fotos und Groove-Apps Leistungseinbußen möglich, wenn sich auf dem Gerät große Mengen an WIP-geschützten Mediendateien befinden.There may also be a performance impact on photos and Groove apps if there are many WIP protected media files on the device.

Hinzufügen von verschlüsselten DateierweiterungenAdd encrypted file extensions

Sie können nicht nur die Option Der Windows Search-Indexerstellung die Suche nach verschlüsselten Elementen gestatten festlegen, sondern auch eine Liste mit Dateierweiterungen angeben.In addition to setting the Allow Windows Search Indexer to search encrypted items option, you can specify a list of file extensions. Dateien mit diesen Erweiterungen werden beim Kopieren aus einer SMB-Freigabe innerhalb der Unternehmensgrenzen (gemäß Definition in der Liste mit Netzwerkstandorten) verschlüsselt.Files with these extensions are encrypted when copying from a Server Message Block (SMB) share within the corporate boundary as defined in the network location list. Wenn diese Richtlinie nicht festgelegt ist, wird das vorhandene Verhalten zur automatischen Verschlüsselung angewendet.When this policy is not specified, the existing auto-encryption behavior is applied. Wenn diese Richtlinie konfiguriert ist, werden nur Dateien mit den in der Liste enthaltenen Erweiterungen verschlüsselt.When this policy is configured, only files with the extensions in the list will be encrypted.

Bereitstellen der WIP-App-SchutzrichtlinieDeploy your WIP app protection policy

Wichtig

Diese Informationen gelten für WIP ohne Geräteregistrierung.This information applies for WIP without device enrollment.

Nachdem Sie Ihre WIP-App-Schutzrichtlinie erstellt haben, müssen Sie sie Ihrer Organisation über MAM bereitstellen.After you created your WIP app protection policy, you need to deploy it to your organization using MAM.

  1. Wählen Sie auf dem Blatt App-Richtlinie die neu erstellte App-Schutzrichtlinie aus. Wählen Sie anschließend Benutzergruppen > Benutzergruppe hinzufügen aus.On the App policy blade, choose your newly created app protection policy, choose User groups > Add user group.

    Auf dem Blatt Benutzergruppe hinzufügen wird eine Liste von Benutzergruppen geöffnet, die aus allen Sicherheitsgruppen in Azure Active Directory besteht.A list of user groups, made up of all the security groups in your Azure Active Directory, opens in the Add user group blade.

  2. Wählen Sie die Gruppe aus, auf die Ihre Richtlinie angewendet werden soll, und klicken Sie dann auf Auswählen, um die Richtlinie bereitzustellen.Choose the group you want your policy to apply to, then choose Select to deploy the policy.

Nächste SchritteNext steps

Weitere Informationen zu Windows Information Protection finden Sie unter Protect your enterprise data using Windows Information Protection (WIP) (Schützen Ihrer Unternehmensdaten mit Windows Information Protection (WIP)).Learn more about Windows Information Protection, see Protect your enterprise data using Windows Information Protection (WIP).