EnterpriseDataProtection-Konfigurationsdienstanbieter

  • Artikel

Die folgende Tabelle zeigt die Anwendbarkeit von Windows:

Edition Windows 10 Windows 11
POS1 Ja Ja
Vorteil Ja Ja
Windows SE Nein Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Der EnterpriseDataProtection-Konfigurationsdienstanbieter (CSP) wird verwendet, um Einstellungen für Windows Information Protection (WIP) zu konfigurieren, früher als Enterprise Data Protection bezeichnet. Weitere Informationen zu WIP finden Sie unter Schützen Ihrer Unternehmensdaten mithilfe von Windows Information Protection (WIP).For more information about WIP, see Protect your enterprise data using Windows Information Protection (WIP).

Hinweis

Ab Juli 2022 wird Windows Information Protection (WIP) und die APIs, die WIP unterstützen, von Microsoft eingestellt. Microsoft unterstützt WIP weiterhin auf unterstützten Versionen von Windows. Neue Versionen von Windows enthalten keine neuen Funktionen für WIP und werden in zukünftigen Versionen von Windows nicht unterstützt. Weitere Informationen finden Sie unter Ankündigung des Sonnenuntergangs von Windows Information Protection.

Für Ihre Datenschutzanforderungen empfiehlt Microsoft, Microsoft Purview Information Protection und Microsoft Purview Data Loss Prevention zu verwenden. Purview vereinfacht die Einrichtung der Konfiguration und bietet erweiterte Funktionen.

Hinweis

Damit Windows Information Protection funktionsfähig ist, müssen auch der AppLocker-CSP und die spezifischen Einstellungen für die Netzwerkisolation konfiguriert werden. Weitere Informationen finden Sie unter AppLocker-CSP - und NetworkIsolation-Richtlinien in Richtlinien-CSP.

Während Windows Information Protection keine feste Abhängigkeit von VPN aufweist, sollten Sie vpn-Profile konfigurieren, um optimale Ergebnisse zu erzielen, bevor Sie die WIP-Richtlinien konfigurieren. Empfehlungen zu bewährten VPN-Methoden finden Sie unter VPNv2-CSP.

Weitere Informationen zu Windows Information Protection finden Sie in den folgenden Artikeln:

Das folgende Beispiel zeigt den EnterpriseDataProtection-CSP im Strukturformat.

./Device/Vendor/MSFT
EnterpriseDataProtection
----Settings
--------EDPEnforcementLevel
--------EnterpriseProtectedDomainNames
--------AllowUserDecryption
--------DataRecoveryCertificate
--------RevokeOnUnenroll
--------RMSTemplateIDForEDP
--------AllowAzureRMSForEDP
--------EDPShowIcons
----Status

./Device/Vendor/MSFT/EnterpriseDataProtection Der Stammknoten für den CSP.

Einstellungen Der Stammknoten für die Windows Information Protection -Konfigurationseinstellungen (WIP).

Settings/EDPEnforcementLevel Legen Sie die WIP-Erzwingungsebene fest.

Hinweis

Das Festlegen dieses Werts reicht nicht aus, um Windows Information Protection auf dem Gerät zu aktivieren. Versuche, diesen Wert zu ändern, schlagen fehl, wenn die WIP-Bereinigung ausgeführt wird.

Die folgende Liste zeigt die unterstützten Werte:

  • 0 (Standard) – Aus/ Kein Schutz (entschlüsselt zuvor geschützte Daten).
  • 1 – Automatischer Modus (nur Verschlüsseln und Überwachen).
  • 2 – Überschreibungsmodus zulassen (Verschlüsseln, Auffordern und Zulassen von Außerkraftsetzungen und Überwachung).
  • 3 – Blendet Außerkraftsetzungen aus (Verschlüsseln, Eingabeaufforderung, aber Ausblenden von Außerkraftsetzungen und Überwachung).

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen". Der Werttyp ist eine ganze Zahl.

Settings/EnterpriseProtectedDomainNames Eine Liste der Domänen, die vom Unternehmen für seine Benutzeridentitäten verwendet werden, getrennt durch Pipes ("|"). Die erste Domäne in der Liste muss die primäre Unternehmens-ID sein, d. h. die Domäne, die die Verwaltungsautorität für Windows Information Protection darstellt. Benutzeridentitäten von einer dieser Domänen werden als vom Unternehmen verwaltete Konten betrachtet, und die damit verknüpften Daten werden geschützt. Beispielsweise wird erwartet, dass die Domänen für alle E-Mail-Konten, die sich im Besitz des Unternehmens befinden, in dieser Liste angezeigt werden. Versuche, diesen Wert zu ändern, schlagen fehl, wenn die WIP-Bereinigung ausgeführt wird.

Das Ändern der primären Unternehmens-ID wird nicht unterstützt und kann zu unerwartetem Verhalten auf dem Client führen.

Hinweis

Der Client erfordert, dass der Domänenname kanonisch ist, andernfalls wird die Einstellung vom Client abgelehnt.

Hier sind die Schritte zum Erstellen kanonischer Domänennamen:

  1. Transformieren Sie die ASCII-Zeichen (nur A-Z) in Kleinbuchstaben. Beispiel: Microsoft.COM –> microsoft.com.
  2. Rufen Sie IdnToAscii mit IDN_USE_STD3_ASCII_RULES als Flags auf.
  3. Rufen Sie IdnToUnicode ohne festgelegte Flags auf (dwFlags = 0).

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen". Werttyp ist Zeichenfolge.

Settings/AllowUserDecryption Ermöglicht dem Benutzer das Entschlüsseln von Dateien. Wenn dies auf 0 (nicht zulässig) festgelegt ist, kann der Benutzer den Schutz von Unternehmensinhalten nicht über das Betriebssystem oder die Benutzererfahrung der Anwendung entfernen.

Wichtig

Ab Windows 10 Version 1703 wird AllowUserDecryption nicht mehr unterstützt.

Die folgende Liste zeigt die unterstützten Werte:

  • 0 – Nicht zulässig.
  • 1 (Standard) – Zugelassen.

Der am stärksten eingeschränkte Wert ist 0.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen". Der Werttyp ist eine ganze Zahl.

Settings/DataRecoveryCertificate Gibt ein Wiederherstellungszertifikat an, das für die Datenwiederherstellung verschlüsselter Dateien verwendet werden kann. Dieses Zertifikat ist identisch mit dem DRA-Zertifikat (Data Recovery Agent) für das Verschlüsseln des Dateisystems (Encrypting File System, EFS), das nur über die Verwaltung mobiler Geräte (Mobile Device Management, MDM) anstelle von Gruppenrichtlinie bereitgestellt wird.

Hinweis

Wenn diese Richtlinie und die entsprechende Gruppenrichtlinie-Einstellung konfiguriert sind, wird die Gruppenrichtlinie-Einstellung erzwungen.

DRA-Informationen aus der MDM-Richtlinie müssen ein serialisiertes Binärblob sein, das mit dem identisch ist, was wir von GP erwarten. Das binäre Blob ist die serialisierte Version der folgenden Struktur:

//
//  Recovery Policy Data Structures
//

typedef struct _RECOVERY_POLICY_HEADER {
    USHORT      MajorRevision;
    USHORT      MinorRevision;
    ULONG       RecoveryKeyCount;
} RECOVERY_POLICY_HEADER, *PRECOVERY_POLICY_HEADER;

typedef struct _RECOVERY_POLICY_1_1    {
        RECOVERY_POLICY_HEADER  RecoveryPolicyHeader;
        RECOVERY_KEY_1_1        RecoveryKeyList[1];
}   RECOVERY_POLICY_1_1, *PRECOVERY_POLICY_1_1;

#define EFS_RECOVERY_POLICY_MAJOR_REVISION_1   (1)
#define EFS_RECOVERY_POLICY_MINOR_REVISION_0   (0)

#define EFS_RECOVERY_POLICY_MINOR_REVISION_1   (1)

///////////////////////////////////////////////////////////////////////////////
//                                                                            /
//  RECOVERY_KEY Data Structure                                               /
//                                                                            /
///////////////////////////////////////////////////////////////////////////////

//
// Current format of recovery data.
//

typedef struct _RECOVERY_KEY_1_1   {
        ULONG               TotalLength;
        EFS_PUBLIC_KEY_INFO PublicKeyInfo;
} RECOVERY_KEY_1_1, *PRECOVERY_KEY_1_1;


typedef struct _EFS_PUBLIC_KEY_INFO {

    //
    // The length of this entire structure, including string data
    // appended to the end. The length should be a multiple of 8 for
    // 64 bit alignment
    //

    ULONG Length;

    //
    // Sid of owner of the public key (regardless of format).
   // This field is to be treated as a hint only.
    //

    ULONG PossibleKeyOwner;

    //
    // Contains information describing how to interpret
    // the public key information
    //

    ULONG KeySourceTag;

    union {

        struct {

            //
            // The following fields contain offsets based at the
            // beginning of the structure.  Each offset is to
            // a NULL terminated WCHAR string.
            //

            ULONG ContainerName;
            ULONG ProviderName;

            //
            // The exported public key used to encrypt the FEK.
            // This field contains an offset from the beginning of the
            // structure.
            //

            ULONG PublicKeyBlob;

            //
            // Length of the PublicKeyBlob in bytes
            //

            ULONG PublicKeyBlobLength;

        } ContainerInfo;

        struct {

            ULONG CertificateLength;       // in bytes
            ULONG Certificate;             // offset from start of structure

        } CertificateInfo;


        struct {

            ULONG ThumbprintLength;        // in bytes
            ULONG CertHashData;            // offset from start of structure

        } CertificateThumbprint;
    };



} EFS_PUBLIC_KEY_INFO, *PEFS_PUBLIC_KEY_INFO;

//
// Possible KeyTag values
//

typedef enum _PUBLIC_KEY_SOURCE_TAG {
    EfsCryptoAPIContainer = 1,
    EfsCertificate,
    EfsCertificateThumbprint
} PUBLIC_KEY_SOURCE_TAG, *PPUBLIC_KEY_SOURCE_TAG;

Für EFSCertificate KeyTag wird erwartet, dass es sich um ein DER ENCODED-Binärzertifikat handelt.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen". Der Werttyp ist base64-codiertes Zertifikat.

Settings/RevokeOnUnenroll Diese Richtlinie steuert, ob die Windows-Information Protection-Schlüssel widerrufen werden, wenn die Registrierung eines Geräts beim Verwaltungsdienst aufgehoben wird. Bei Festlegung auf 0 (Schlüssel nicht widerrufen) werden die Schlüssel nicht widerrufen, und der Benutzer hat nach dem Aufheben der Registrierung weiterhin Zugriff auf geschützte Dateien. Wenn die Schlüssel nicht widerrufen werden, gibt es später keine widerrufene Dateibereinigung. Vor dem Senden des Befehls zum Aufheben der Registrierung sollten Sie diese Richtlinie explizit auf 1 festlegen, wenn ein Gerät eine selektive Zurücksetzung durchführen soll, wenn die Registrierung aufgehoben wird.

Die folgende Liste zeigt die unterstützten Werte:

  • 0 – Widerrufen Sie keine Schlüssel.
  • 1 (Standard) – Schlüssel widerrufen.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen". Der Werttyp ist eine ganze Zahl.

Settings/RevokeOnMDMHandoff In Windows 10 Version 1703 hinzugefügt. Diese Richtlinie steuert, ob die Windows-Information Protection-Schlüssel widerrufen werden, wenn ein Gerät von der Verwaltung mobiler Anwendungen (MAM) auf MDM aktualisiert wird. Bei Festlegung auf 0 (Schlüssel nicht widerrufen) werden die Schlüssel nicht widerrufen, und der Benutzer hat nach dem Upgrade weiterhin Zugriff auf geschützte Dateien. Diese Einstellung wird empfohlen, wenn der MDM-Dienst mit derselben WIP EnterpriseID wie der MAM-Dienst konfiguriert ist.

  • 0 – Sperren Sie keine Schlüssel.
  • 1 (Standard) – Schlüssel widerrufen.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen". Der Werttyp ist eine ganze Zahl.

Settings/RMSTemplateIDForEDP TemplateID GUID, die für die RmS-Verschlüsselung (Rights Management Service) verwendet werden soll. Die RMS-Vorlage ermöglicht es dem IT-Administrator, die Details darüber zu konfigurieren, wer Zugriff auf RMS-geschützte Dateien hat und wie lange er Zugriff hat.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen". Der Werttyp ist Zeichenfolge (GUID).

Settings/AllowAzureRMSForEDP Gibt an, ob Die Azure RMS-Verschlüsselung für Windows Information Protection zugelassen werden soll.

  • 0 (Standard) – Verwenden Sie RMS nicht.
  • 1 – Verwenden Sie RMS.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen". Der Werttyp ist eine ganze Zahl.

Settings/SMBAutoEncryptedFileExtensions In Windows 10 Version 1703 hinzugefügt. Gibt eine Liste von Dateierweiterungen an, sodass Dateien mit diesen Erweiterungen beim Kopieren aus einer SMB-Freigabe (Server Message Block) innerhalb der Unternehmensgrenze verschlüsselt werden, wie in den Richtlinien-CSP-Knoten für NetworkIsolation/EnterpriseIPRange und NetworkIsolation/EnterpriseNetworkDomainNames definiert. Verwenden Sie semikolon (;) Trennzeichen in der Liste. Wenn diese Richtlinie nicht angegeben ist, wird das vorhandene Verhalten für die automatische Verschlüsselung angewendet. Wenn diese Richtlinie konfiguriert ist, werden nur Dateien mit den Erweiterungen in der Liste verschlüsselt. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen". Werttyp ist Zeichenfolge.

Einstellungen/EDPShowIcons Bestimmt, ob Überlagerungen zu Symbolen für WIP-geschützte Dateien in Explorer- und Unternehmens-App-Kacheln im Startmenü hinzugefügt werden. Ab Windows 10, Version 1703, konfiguriert diese Einstellung auch die Sichtbarkeit des Windows-Information Protection-Symbols in der Titelleiste einer WIP-geschützten App. Die folgende Liste zeigt die unterstützten Werte:

  • 0 (Standard) – Keine WIP-Überlagerungen auf Symbolen oder Kacheln.
  • 1 – Anzeigen von WIP-Überlagerungen für geschützte Dateien und Apps, die nur Unternehmensinhalte erstellen können.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen". Der Werttyp ist eine ganze Zahl.

Status Eine schreibgeschützte Bitmaske, die den aktuellen Zustand von Windows Information Protection auf dem Gerät angibt. Der MDM-Dienst kann diesen Wert verwenden, um den aktuellen Gesamtzustand von WIP zu bestimmen. WIP ist nur aktiviert (Bit 0 = 1), wenn WIP-obligatorische Richtlinien und WIP AppLocker-Einstellungen konfiguriert sind.

Vorgeschlagene Werte:

Reserviert für die zukünftige Verwendung OBLIGATORISCHE WIP-Einstellungen
Festlegen = 1
Nicht festgelegt = 0		 Reserviert für die zukünftige Verwendung AppLocker konfiguriert
Ja = 1
Nein = 0		 WIP on = 1
WIP off = 0
4 3 2 1 0

Bit 0 gibt an, ob WIP aktiviert oder deaktiviert ist.

Bit 1 gibt an, ob AppLocker-WIP-Richtlinien festgelegt sind.

Bit 3 gibt an, ob die obligatorischen Windows Information Protection-Richtlinien konfiguriert sind. Wenn mindestens eine der obligatorischen WIP-Richtlinien nicht konfiguriert ist, wird das Bit 3 auf 0 (null) festgelegt.

Hier ist die Liste der obligatorischen WIP-Richtlinien:

  • EDPEnforcementLevel in EnterpriseDataProtection CSP
  • DataRecoveryCertificate in EnterpriseDataProtection CSP
  • EnterpriseProtectedDomainNames in EnterpriseDataProtection CSP
  • NetworkIsolation/EnterpriseIPRange im Richtlinien-CSP
  • NetworkIsolation/EnterpriseNetworkDomainNames in Richtlinien-CSP

Die Bits 2 und 4 sind für die zukünftige Verwendung reserviert.

Unterstützter Vorgang ist Get. Der Werttyp ist eine ganze Zahl.

Referenz zum Konfigurationsdienstanbieter