Erstellen und Bereitstellen einer Windows Information Protection-Richtlinie in Configuration Manager

Hinweis

Ab Juli 2022 wird Windows Information Protection (WIP) von Microsoft eingestellt. Microsoft unterstützt WIP weiterhin auf unterstützten Versionen von Windows. Neue Versionen von Windows enthalten keine neuen Funktionen für WIP und werden in zukünftigen Versionen von Windows nicht unterstützt. Weitere Informationen finden Sie unter Ankündigung des Sonnenuntergangs von Windows Information Protection.

Für Ihre Datenschutzanforderungen empfiehlt Microsoft, Microsoft Purview Information Protection und Microsoft Purview Data Loss Prevention zu verwenden. Purview vereinfacht die Einrichtung der Konfiguration und bietet erweiterte Funktionen.

Gilt für:

• Windows 10
• Windows 11

Microsoft Configuration Manager unterstützt Sie beim Erstellen und Bereitstellen Ihrer Windows Information Protection(WIP)-Richtlinie. Sie können Ihre geschützten Apps, Ihren WIP-Schutzmodus und die Suche nach Unternehmensdaten im Netzwerk auswählen.

Hinzufügen einer WIP-Richtlinie

Nachdem Sie Configuration Manager für Ihre organization installiert und eingerichtet haben, müssen Sie ein Konfigurationselement für WIP erstellen, das wiederum Zu Ihrer WIP-Richtlinie wird.

Tipp

Lesen Sie den Artikel Einschränkungen bei der Verwendung von Windows Information Protection (WIP), bevor Sie ein neues Konfigurationselement erstellen, um häufige Probleme zu vermeiden.

So erstellen Sie ein Konfigurationselement für WIP

1. Öffnen Sie die Configuration Manager Konsole, wählen Sie den Knoten Bestand und Kompatibilität aus, erweitern Sie den Knoten Übersicht, erweitern Sie den Knoten Kompatibilitätseinstellungen, und erweitern Sie dann den Knoten Konfigurationselemente.

   

2. Wählen Sie die Schaltfläche Konfigurationselement erstellen aus.

   Der Assistent zum Erstellen von Konfigurationselementen wird gestartet.

   

3. Geben Sie auf dem Bildschirm Allgemeine Informationeneinen Namen (erforderlich) und eine optionale Beschreibung für die Richtlinie in die Felder Name und Beschreibung ein.

4. Wählen Sie im Bereich Geben Sie den Typ des konfigurationselements an, das Sie erstellen möchten die Option aus, die angibt, ob Sie Configuration Manager für die Geräteverwaltung verwenden, und wählen Sie dann Weiter aus.

   • Einstellungen für mit dem Konfigurations-Manager-Client verwaltete Geräte: Windows 10

     -oder-

   • Einstellungen für ohne den Konfigurations-Manager-Client verwaltete Geräte: Windows 8.1 und Windows 10

5. Wählen Sie auf dem Bildschirm Unterstützte Plattformen das Kontrollkästchen Windows 10 und dann Weiter aus.

   

6. Wählen Sie auf dem Bildschirm Geräteeinstellungendie Option Windows Information Protection und dann Weiter aus.

   

Die Seite Configure Windows Information Protection settings wird angezeigt. Hier konfigurieren Sie die Richtlinie für Ihre Organisation.

Hinzufügen von App-Regeln zur Richtlinie

Während der Richtlinienerstellung in Configuration Manager können Sie die Apps auswählen, die Sie über Windows Information Protection Zugriff auf Ihre Unternehmensdaten gewähren möchten. In dieser Liste enthaltene App können Daten im Namen des Unternehmens schützen und können Unternehmensdaten nicht an ungeschützte Apps kopieren oder verschieben.

Die Schritte zum Hinzufügen der App-Regeln basieren auf dem Typ der angewendeten Regelvorlage. Sie können eine Store-App (wird auch als Universelle Windows-Plattform (UWP)-App bezeichnet), eine signierte Windows-Desktop-App oder eine AppLocker-Richtliniendatei hinzufügen.

Wichtig

Optimierte Apps sollten verhindern, dass Unternehmensdaten an ungeschützte Netzwerkadressen gesendet werden, und vermeiden, dass persönliche Daten verschlüsselt werden. Andererseits berücksichtigen nicht mit WIP geschützte Apps unter Umständen nicht die Netzwerkgrenze und verschlüsseln alle Dateien, die sie erstellen oder ändern. Dies bedeutet, dass sie persönliche Daten verschlüsseln und Datenverluste während des Sperrvorgangs verursachen könnten.

Es muss darauf geachtet werden, eine Support-Erklärung des Softwareanbieters zu erhalten, dass seine App mit Windows Information Protection sicher ist, bevor Sie sie Ihrer App-Regelliste hinzufügen. Wenn Sie diese Anweisung nicht erhalten, können Probleme beim App-Komppat auftreten, da eine App nach der Sperrung nicht mehr auf eine erforderliche Datei zugreifen kann.

Hinzufügen einer Store-App-Regel zur Richtlinie

In diesem Beispiel fügen wir Microsoft OneNote, eine Store-App, der Liste App-Regeln hinzu.

So fügen Sie eine Store-App hinzu

1. Wählen Sie im Bereich App-Regelndie Option Hinzufügen aus.

   Das Feld App-Regel hinzufügen wird angezeigt.

   

2. Fügen Sie einen Anzeigenamen für die App im Feld Titel ein. In diesem Beispiel ist dies Microsoft OneNote.

3. Wählen Sie in der Dropdownliste Windows Information Protection Modus die Option Zulassen aus.

   Allow aktiviert WIP und trägt durch die Erzwingung von WIP-Einschränkungen zum Schutz der Unternehmensdaten dieser App bei. Wenn Sie eine App ausnehmen möchten, können Sie die Schritte im Abschnitt Ausnehmen von Apps aus WIP-Einschränkungen ausführen.

4. Wählen Sie Store-App in der Dropdownliste Regelvorlage aus.

   Im Feld werden nun die Store-App-Regeloptionen angezeigt.

5. Geben Sie den Namen der App und den Namen des Herausgebers ein, und wählen Sie dann OK aus. In diesem Beispiel einer UWP-App ist CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US der Herausgeber, und der Produktname ist Microsoft.Office.OneNote.

Wenn Sie den Herausgeber- oder Produktnamen nicht kennen, finden Sie sie für beide Desktopgeräte, indem Sie die folgenden Schritte ausführen.

So finden Sie den Herausgeber- und Produktnamen für Store-Apps heraus, ohne diese zu installieren

1. Navigieren Sie zur Microsoft Store-Website , und suchen Sie Ihre App. Beispiel: Microsoft OneNote.

   Hinweis

   Wenn Ihre App bereits auf Desktopgeräten installiert ist, können Sie über das MMC-Snap-In „Lokale Sicherheitsrichtlinie“ von AppLocker die Informationen zum Hinzufügen der App zur Liste der geschützten Apps sammeln. Informationen dazu finden Sie in den Schritten unter Hinzufügen einer AppLocker-Richtliniendatei in diesem Artikel.

2. Kopieren Sie den ID-Wert aus der App-URL. Die ID-URL von Microsoft OneNote lautet https://www.microsoft.com/store/apps/onenote/9wzdncrfhvjlbeispielsweise , und Sie würden den ID-Wert 9wzdncrfhvjlkopieren.

3. Führen Sie in einem Browser die Web-API im Microsoft Store für Unternehmen-Portal aus, um eine JavaScript Object Notation (JSON)-Datei zurückzugeben, die die Werte für den Herausgeber- und Produktnamen enthält. Führen Sie beispielsweise aus https://bspmts.mp.microsoft.com/v1/public/catalog/Retail/Products/9wzdncrfhvjl/applockerdata, wobei 9wzdncrfhvjl durch Ihren ID-Wert ersetzt wird.

   Die API führt einen Text-Editor aus und öffnet diesen mit allen App-Details.

   {
       "packageIdentityName": "Microsoft.Office.OneNote",
       "publisherCertificateName": "CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US"
   }
   

4. Kopieren Sie den Wert publisherCertificateName, und fügen Sie ihn in das Feld Herausgebername ein. Kopieren Sie den Wert packageIdentityName in das Feld Produktname von Intune.

   Wichtig

   Die JSON-Datei kann auch einen Wert windowsPhoneLegacyId für die Felder Herausgebername und Produktname zurückgeben. Dies bedeutet, dass Sie über eine App verfügen, die ein XAP-Paket verwendet, und Dass Sie den Produktnamen auf windowsPhoneLegacyIdund den Herausgebernamen auf "CN=" gefolgt von windowsPhoneLegacyIdfestlegen müssen.

   Beispiel:

   {
       "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
   }
   

Hinzufügen einer Desktop-App-Regel zur Richtlinie

In diesem Beispiel fügen wir internet Explorer, eine Desktop-App, zur Liste App-Regeln hinzu.

So fügen Sie eine Desktop-App zur Richtlinie hinzu

1. Wählen Sie im Bereich App-Regelndie Option Hinzufügen aus.

   Das Feld App-Regel hinzufügen wird angezeigt.

   

2. Fügen Sie einen Anzeigenamen für die App im Feld Titel ein. In diesem Beispiel handelt es sich um internet Explorer.

3. Wählen Sie in der Dropdownliste Windows Information Protection Modus die Option Zulassen aus.

   Allow aktiviert WIP und trägt durch die Erzwingung von WIP-Einschränkungen zum Schutz der Unternehmensdaten dieser App bei. Wenn Sie eine App ausnehmen möchten, können Sie die Schritte im Abschnitt Ausnehmen von Apps aus WIP-Einschränkungen ausführen.

4. Wählen Sie Desktop-App in der Dropdownliste Regelvorlage aus.

   Im Feld werden nun die Desktop-App-Regeloptionen angezeigt.

5. Wählen Sie die Optionen aus, die Sie für die App-Regel einschließen möchten (siehe Tabelle), und wählen Sie dann OK aus.

   Option	Verwaltet
   Alle Felder, die als "*" übrig bleiben	Alle von einem Herausgeber signierten Dateien. (Nicht empfohlen.)
   Herausgeber ausgewählt	Alle vom benannten Herausgeber signierten Dateien. Dies kann nützlich sein, wenn Ihr Unternehmen der Herausgeber und Signaturgeber interner Branchen Apps ist.
   Herausgeber und Produktname ausgewählt	Alle Dateien für das angegebene Produkt, die vom benannten Herausgeber signiert sind.
   Herausgeber, Produktname und Binärname ausgewählt	Alle Versionen der benannten Datei oder des Pakets für das angegebene Produkt, die vom benannten Herausgeber signiert sind.
   Herausgeber, Produktname, Binärname und Dateiversion und höher, ausgewählt	Angegebene Version oder neuere Versionen der benannten Datei oder des Pakets für das angegebene Produkt, die vom benannten Herausgeber signiert sind. Diese Option wird für optimierte Apps empfohlen, die zuvor nicht optimiert wurden.
   Herausgeber, Produktname, Binärname und Dateiversion, Und darunter ausgewählt	Angegebene Version oder ältere Versionen der benannten Datei oder des Pakets für das angegebene Produkt, die vom benannten Herausgeber signiert sind.
   Herausgeber, Produktname, Binärname und Dateiversion, Genau ausgewählt	Die angegebene Version der benannten Datei oder des Pakets für das angegebene Produkt, die vom benannten Herausgeber signiert ist.

Wenn Sie nicht sicher sind, was für den Herausgeber enthalten sein soll, können Sie diesen PowerShell-Befehl ausführen:

Get-AppLockerFileInformation -Path "<path of the exe>"

Dabei gibt "<path of the exe>" den Speicherort der App auf dem Gerät an. Beispiel: Get-AppLockerFileInformation -Path "C:\Program Files\Internet Explorer\iexplore.exe".

In diesem Beispiel erhalten Sie die folgenden Informationen:

Path                   Publisher
----                   ---------
%PROGRAMFILES%\INTERNET EXPLORER\IEXPLORE.EXE O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\INTERNET EXPLOR...

Dabei ist der Text O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US der Herausgebername, der im Feld Herausgebername eingegeben wird.

Hinzufügen einer AppLocker-Richtliniendatei

In diesem Beispiel fügen wir der Liste App-Regeln eine AppLocker-XML-Datei hinzu. Sie verwenden diese Option, wenn Sie mehrere Apps gleichzeitig hinzufügen möchten. Weitere Informationen zu AppLocker finden Sie im Thema AppLocker.

So erstellen Sie eine App-Regel und XML-Datei mit dem AppLocker-Tool

1. Öffnen Sie das Snap-In „Lokale Sicherheitsrichtlinie“ (secpol.msc).

2. Erweitern Sie im linken Bereich Anwendungssteuerungsrichtlinien, erweitern Sie AppLocker, und wählen Sie dann App-gepackte App-Regeln aus.

   

3. Klicken Sie mit der rechten Maustaste in den rechten Bereich, und wählen Sie dann Neue Regel erstellen aus.

   Der Assistent Create Packaged app Rules wird angezeigt.

4. Wählen Sie auf der Seite Before You Begin (Vorbereitung ) die Option Weiter aus.

   

5. Stellen Sie auf der Seite Berechtigungen sicher, dass die Aktion auf Zulassen und der Benutzer oder die Gruppe auf Jeder festgelegt ist, und wählen Sie dann Weiter aus.

   

6. Wählen Sie auf der Seite Herausgeber im Bereich Installierte gepackte App als Referenz verwenden die Option Auswählen aus.

   

7. Wählen Sie im Feld Anwendungen auswählen die App aus, die Sie als Referenz für Ihre Regel verwenden möchten, und wählen Sie dann OK aus. In diesem Beispiel verwenden wir Microsoft Fotos.

   

8. Wählen Sie auf der aktualisierten Seite Verlegerdie Option Erstellen aus.

   

9. Überprüfen Sie das Snap-In „Lokale Sicherheitsrichtlinie“, um sicherzustellen, dass die Regel richtig ist.

   

10. Klicken Sie im linken Bereich mit der rechten Maustaste auf AppLocker, und wählen Sie dann Richtlinie exportieren aus.

    Das Feld Richtlinie exportieren wird geöffnet, in dem Sie die neue Richtlinie im XML-Format exportieren und speichern können.

    

11. Navigieren Sie im Feld Richtlinie exportieren zum Speicherort der Richtlinie, geben Sie der Richtlinie einen Namen, und wählen Sie dann Speichern aus.

    Die Richtlinie wird gespeichert, und Es wird eine Meldung mit dem Hinweis angezeigt, dass eine Regel aus der Richtlinie exportiert wurde.

    XML-Beispieldatei
    Dies ist der XML-Datei, die AppLocker für Microsoft Fotos erstellt.

     <AppLockerPolicy Version="1">
        <RuleCollection Type="Exe" EnforcementMode="NotConfigured" />
        <RuleCollection Type ="Msi" EnforcementMode="NotConfigured" />
        <RuleCollection Type ="Script" EnforcementMode="NotConfigured" />
        <RuleCollection Type ="Dll" EnforcementMode="NotConfigured" />
        <RuleCollection Type ="Appx" EnforcementMode="NotConfigured">
            <FilePublisherRule Id="5e0c752b-5921-4f72-8146-80ad5f582110" Name="Microsoft.Windows.Photos, version 16.526.0.0 and above, from Microsoft Corporation" Description="" UserOrGroupSid="S-1-1-0" Action="Allow">
                <Conditions>
                    <FilePublisherCondition PublisherName="CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="Microsoft.Windows.Photos" BinaryName="*">
                        <BinaryVersionRange LowSection="16.526.0.0" HighSection="*" />
                    </FilePublisherCondition>
                </Conditions>
            </FilePublisherRule>
        </RuleCollection>
    </AppLockerPolicy>
    

12. Nachdem Sie Ihre XML-Datei erstellt haben, müssen Sie sie mithilfe von Configuration Manager importieren.

So importieren Sie ihre AppLocker-Richtliniendatei-App-Regel mithilfe von Configuration Manager

1. Wählen Sie im Bereich App-Regelndie Option Hinzufügen aus.

   Das Feld App-Regel hinzufügen wird angezeigt.

   

2. Fügen Sie einen Anzeigenamen für die App im Feld Titel ein. In diesem Beispiel ist dies die Liste zulässiger Apps.

3. Wählen Sie in der Dropdownliste Windows Information Protection Modus die Option Zulassen aus.

   Allow aktiviert WIP und trägt durch die Erzwingung von WIP-Einschränkungen zum Schutz der Unternehmensdaten dieser App bei. Wenn Sie eine App ausnehmen möchten, können Sie die Schritte im Abschnitt Ausnehmen von Apps aus WIP-Einschränkungen ausführen.

4. Wählen Sie die AppLocker-Richtliniendatei in der Dropdownliste Regelvorlage aus.

   Im Feld können Sie nun die AppLocker-XML-Richtliniendatei importieren.

5. Wählen Sie die Auslassungspunkte (...) aus, um nach Ihrer AppLocker-XML-Datei zu suchen, wählen Sie Öffnen und dann OK aus, um das Feld App-Regel hinzufügen zu schließen.

   Die Datei wird importiert, und die Apps werden der Liste App-Regeln hinzugefügt.

Ausnehmen von Apps aus WIP-Einschränkungen

Wenn Kompatibilitätsprobleme auftreten, bei denen Ihre App nicht mit Windows Information Protection (WIP) kompatibel ist, aber dennoch mit Unternehmensdaten verwendet werden muss, können Sie die App von den WIP-Einschränkungen ausschließen. Dies bedeutet, dass Ihre Apps keine automatische Verschlüsselung oder Tags enthalten und nicht die Netzwerkbeschränkungen berücksichtigen. Dies bedeutet auch, dass bei den ausgenommenen Apps Datenverluste auftreten können.

So nehmen Sie eine Store-App, eine Desktop-App oder eine AppLocker-Richtliniendatei-App-Regel aus

1. Wählen Sie im Bereich App-Regelndie Option Hinzufügen aus.

   Das Feld App-Regel hinzufügen wird angezeigt.

2. Fügen Sie einen Anzeigenamen für die App im Feld Titel ein. In diesem Beispiel handelt es sich um eine Liste ausgenommener Apps.

3. Wählen Sie in der Dropdownliste Windows Information Protection Modus die Option Ausgenommen aus.

   Wenn Sie Apps ausnehmen, dürfen sie die WIP-Einschränkungen umgehen und auf Ihre Unternehmensdaten zugreifen. Informationen zum Zulassen von Apps finden Sie unter Hinzufügen von App-Regeln zu Ihrer Richtlinie in diesem Artikel.

4. Füllen Sie die restlichen App-Regelinformationen basierend auf dem Typ der regel aus, die Sie hinzufügen:

   • Store-App. Befolgen Sie die Anweisungen für Herausgeber und Produktname im Abschnitt Hinzufügen einer Store-App-Regel zu Ihrer Richtlinie dieses Artikels.

   • Desktop-App. Befolgen Sie die Anweisungen herausgeber, Produktname, Binärname und Version im Abschnitt Hinzufügen einer Desktop-App-Regel zu Ihrer Richtlinie dieses Artikels.

   • AppLocker-Richtliniendatei. Befolgen Sie die Anweisungen zum Importieren im Abschnitt Hinzufügen einer AppLocker-Richtliniendatei dieses Artikels, indem Sie eine Liste der ausgenommenen Apps verwenden.

5. Wählen Sie OK aus.

Verwalten der WIP-Schutzebene für Ihre Unternehmensdaten

Nachdem Sie die Apps hinzugefügt haben, die mit WIP geschützt werden sollen, müssen Sie einen Verwaltungs- und Schutzmodus anwenden.

Es wird empfohlen, dass Sie mit Unbeaufsichtigt oder Außer Kraft setzen beginnen und für eine kleine Gruppe überprüfen, dass die richtigen Apps in der Liste der geschützten Apps enthalten sind. Danach können Sie zur endgültigen Erzwingungsrichtlinie wechseln, entweder Außer Kraft setzen oder Blockieren.

Hinweis

Weitere Informationen zum Erfassen Ihrer Überwachungsprotokolldateien finden Sie unter Erfassen von Windows Information Protection-Überwachungsprotokolldateien (WIP).

Modus	Beschreibung
Blockieren	WIP sucht nach unerwünschten Datenfreigaben und hindert Mitarbeiter daran, den Schritt auszuführen. Beispielsweise können Informationen zwischen Apps geteilt werden, die keinem Unternehmensschutz unterliegen, und Unternehmensdaten für andere Personen und Geräte außerhalb Ihres Unternehmens freigegeben werden.
Außer Kraft setzen	WIP ermittelt ungeeignete Datenfreigaben und warnt Mitarbeiter davor, eine potenziell unsichere Aktion auszuführen. Bei diesem Verwaltungsmodus können Mitarbeiter die Richtlinie jedoch außer Kraft setzen und die Daten freigeben, wobei die Aktion jedoch in ihrem Überwachungsprotokoll protokolliert wird.
Unbeaufsichtigt	WIP wird im Hintergrund ausgeführt und protokolliert unangemessene Datenfreigaben, ohne alles zu blockieren, was im Außerkraftsetzungsmodus zur Interaktion der Mitarbeiter aufgefordert worden wäre. Unerlaubte Aktionen, z. B., dass Apps unzulässigerweise versuchen, auf eine Netzwerkressource oder WIP-geschützte Daten zuzugreifen, werden weiterhin blockiert.
Deaktiviert	WIP ist deaktiviert, und Ihre Daten werden weder geschützt noch überwacht. Nachdem WIP deaktiviert wurde, wird versucht, alle durch WIP gekennzeichneten Dateien auf den lokal angeschlossenen Laufwerken zu entschlüsseln. Ihre vorherigen Entschlüsselungs- und Richtlinieninformationen werden nicht automatisch erneut angewendet, wenn Sie den WIP-Schutz wieder aktivieren. Weitere Informationen finden Sie unter Deaktivieren von Windows Information Protection.

Definieren der vom Unternehmen verwalteten Identitätsdomänen

Die Unternehmensidentität, die normalerweise als Primäre Internetdomäne (z. B. contoso.com) ausgedrückt wird, hilft ihnen, Ihre Unternehmensdaten aus Apps zu identifizieren und zu markieren, die Sie als durch WIP geschützt markiert haben. Beispielsweise werden E-Mails mit contoso.com als Unternehmensdaten gekennzeichnet und durch die Windows Information Protection-Richtlinien eingeschränkt.

Sie können mehrere Domänen im Besitz Ihres Unternehmens angeben, indem Sie sie durch das | Zeichen trennen. Beispiel: contoso.com|newcontoso.com. Bei mehreren Domänen wird die erste als Ihre Unternehmensidentität und alle weiteren als im Besitz der ersten befindlich festgelegt. Es wird dringend empfohlen, dass Sie alle Ihre E-Mail-Adresse-Domänen in diese Liste aufnehmen.

So fügen Sie Ihre Unternehmensidentität hinzu

• Geben Sie den Namen Ihrer Unternehmensidentität im Feld Unternehmensidentität ein. Beispiel: contoso.com oder contoso.com|newcontoso.com

  

Auswählen der Speicherorte, an denen Apps Zugriff auf Unternehmensdaten haben

Nachdem Sie Ihren Apps einen Schutzmodus hinzugefügt haben, müssen Sie entscheiden, wo diese Apps in Ihrem Netzwerk auf Unternehmensdaten zugreifen können.

Es gibt keine in WIP enthaltenen Standardspeicherorte, Sie müssen alle Ihre Netzwerkadressen hinzufügen. Dieser Bereich gilt für jedes Netzwerkendpunktgerät, das eine IP-Adresse im Bereich Ihres Unternehmens erhält und auch an eine Ihrer Unternehmensdomänen gebunden ist, einschließlich SMB-Freigaben. Speicherorte im lokalen Dateisystem sollten nur die Verschlüsselung verwalten (z. B. auf dem lokalen NTFS, FAT, ExFAT).

Wichtig

Jede WIP-Richtlinie sollten Richtlinien enthalten, die Ihre Unternehmensnetzwerkadressen definieren.
Die CIDR-Notation (Classless Inter-Domain Routing) wird für WIP-Konfigurationen nicht unterstützt.

So definieren Sie, wo Ihre geschützten Apps Unternehmensdaten in Ihrem Netzwerk finden und senden können

1. Klicken Sie auf Hinzufügen, um zusätzliche Netzwerkadressen hinzuzufügen, auf die Ihre Apps zugreifen können.

   Das Feld Unternehmensnetzwerkdefinition hinzufügen oder bearbeiten wird angezeigt.

2. Geben Sie einen Namen für Ihr Unternehmensnetzwerkelement im Feld Name ein, und wählen Sie dann den Typ des Netzwerkelements im Dropdownfeld Netzwerkelement aus. Dies kann eine beliebige Option aus der folgenden Tabelle sein.

   

   • Enterprise Cloud-Ressourcen: Geben Sie die Cloudressourcen an, die als Unternehmensressourcen behandelt und durch WIP geschützt werden sollen.

     Für jede Cloudressource können Sie optional auch einen Proxyserver aus der Liste der internen Proxyserver angeben, um Datenverkehr für diese Cloudressource weiterzuleiten. Der gesamte Datenverkehr, der über Ihre internen Proxyserver geleitet wird, gilt als Enterprise.

     Wenn Sie über mehrere Ressourcen verfügen, müssen Sie diese mithilfe des | Trennzeichens trennen. Wenn Sie keine Proxyserver verwenden, müssen Sie auch das , Trennzeichen direkt vor dem |einschließen. Beispiel: URL <,proxy>|URL <,proxy>.

     Formatbeispiele:

     • Mit Proxy: contoso.sharepoint.com,contoso.internalproxy1.com|contoso.visualstudio.com,contoso.internalproxy2.com

     • Ohne Proxy: contoso.sharepoint.com|contoso.visualstudio.com

     Wichtig

     In einigen Fällen, z. B. wenn eine App über eine IP-Adresse eine direkte Verbindung mit einer Cloudressource herstellt, kann Windows nicht feststellen, ob versucht wird, eine Verbindung mit einer Unternehmenscloudressource oder einer persönlichen Website herzustellen. In diesem Fall wird die Verbindung von Windows standardmäßig blockiert. Um zu verhindern, dass Windows diese Verbindungen automatisch blockiert, können Sie der Einstellung die Zeichenfolge /AppCompat/ hinzufügen. Beispiel: URL <,proxy>|URL <,proxy>|/AppCompat/.

   • Enterprise Network Domain Names (Required): Geben Sie die DNS-Suffixe an, die in Ihrer Umgebung verwendet werden. Der gesamte Datenverkehr zu den vollqualifizierten Domänen, die in dieser Liste angezeigt werden, wird geschützt.

     Diese Einstellung funktioniert mit den Einstellungen für die IP-Bereiche, um festzustellen, ob ein Netzwerkendpunkt in privaten Netzwerken unternehmenseigen oder persönlich ist.

     Wenn Sie mehrere Ressourcen verwenden, müssen Sie diese mit dem Trennzeichen „,“ trennen.

     Formatbeispiele: corp.contoso.com,region.contoso.com

   • Proxyserver: Geben Sie die Proxyserver an, die Ihre Geräte durchlaufen werden, um Ihre Cloudressourcen zu erreichen. Die Verwendung dieses Servertyps gibt an, dass die Cloudressourcen, mit denen Sie eine Verbindung herstellen, Unternehmensressourcen sind.

     Diese Liste sollte keine Server enthalten, die in der Liste Der internen Proxyserver aufgeführt sind. Interne Proxyserver dürfen nur für den WIP-geschützten (Unternehmens-)Datenverkehr verwendet werden.

     Wenn Sie mehrere Ressourcen verwenden, müssen Sie diese mit dem Trennzeichen „;“ trennen.

     Formatbeispiele: proxy.contoso.com:80;proxy2.contoso.com:443

   • Interne Proxyserver: Geben Sie die internen Proxyserver an, die Ihre Geräte durchlaufen, um Ihre Cloudressourcen zu erreichen. Die Verwendung dieses Servertyps gibt an, dass die Cloudressourcen, mit denen Sie eine Verbindung herstellen, Unternehmensressourcen sind.

     Diese Liste sollte keine Server enthalten, die in Der Liste der Proxyserver aufgeführt sind. Proxyserver dürfen nur für den nicht mit WIP-geschützten (nicht-Unternehmens-)Datenverkehr verwendet werden.

     Wenn Sie mehrere Ressourcen verwenden, müssen Sie diese mit dem Trennzeichen „;“ trennen.

     Formatbeispiele: contoso.internalproxy1.com;contoso.internalproxy2.com

   • Enterprise-IPv4-Bereich (erforderlich):Geben Sie die Adressen für einen gültigen IPv4-Wertbereich in Ihrem Intranet an. Diese in Verbindung mit Ihren Unternehmensnetzwerk-Domänennamen verwendeten Adressen definieren die Grenzen Ihres Unternehmensnetzwerks.

     Wenn Sie mehrere Bereiche verwenden, müssen Sie diese mit dem Trennzeichen „,“ trennen.

     Formatbeispiele:

     • IPv4-Adresse wird gestartet:3.4.0.1
     • End-IPv4-Adresse:3.4.255.254
     • Benutzerdefinierter URI:3.4.0.1-3.4.255.254, 10.0.0.1-10.255.255.254

   • Unternehmens-IPv6-Bereich: Geben Sie die Adressen für einen gültigen IPv6-Wertbereich in Ihrem Intranet an. Diese in Verbindung mit Ihren Unternehmensnetzwerk-Domänennamen verwendeten Adressen definieren die Grenzen Ihres Unternehmensnetzwerks.

     Wenn Sie mehrere Bereiche verwenden, müssen Sie diese mit dem Trennzeichen „,“ trennen.

     Formatbeispiele:

     • IPv6-Adresse wird gestartet:2a01:110::
     • End-IPv6-Adresse:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff
     • Benutzerdefinierter URI:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff,fd00::-fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

   • Neutrale Ressourcen: Geben Sie Ihre Endpunkte für die Authentifizierungsumleitung für Ihr Unternehmen an. Diese Adressen gelten als unternehmenseigen oder persönlich, basierend auf dem Kontext der Verbindung vor der Umleitung.

     Wenn Sie mehrere Ressourcen verwenden, müssen Sie diese mit dem Trennzeichen „,“ trennen.

     Formatbeispiele: sts.contoso.com,sts.contoso2.com

3. Fügen Sie beliebig viele Speicherorte hinzu, und wählen Sie dann OK aus.

   Das Feld Unternehmensnetzwerkdefinition hinzufügen oder bearbeiten wird geschlossen.

4. Legen Sie fest, ob Windows nach zusätzlichen Netzwerkeinstellungen suchen soll und ob das WIP-Symbol für Ihre Unternehmensdateien im Datei-Explorer angezeigt werden soll.

   

   • Liste der Unternehmensproxyserver ist autoritativ (keine automatische Erkennung). Aktivieren Sie dieses Kontrollkästchen, wenn Windows die Proxyserver, die Sie in der Definition der Netzwerkgrenze angegeben haben, als vollständige Liste der in Ihrem Netzwerk verfügbaren Proxyserver behandeln soll. Wenn Sie dieses Kontrollkästchen deaktivieren, sucht Windows nach weiteren Proxyservern im jeweiligen Netzwerk. Die Standardoption ist „Nicht konfiguriert“.

   • Liste der Unternehmens-IP-Bereiche ist autoritativ (keine automatische Erkennung). Aktivieren Sie dieses Kontrollkästchen, wenn Windows die ip-Bereiche, die Sie in der Definition der Netzwerkgrenze angegeben haben, als vollständige Liste der in Ihrem Netzwerk verfügbaren IP-Bereiche behandeln soll. Wenn Sie dieses Kontrollkästchen deaktivieren, sucht Windows nach weiteren IP-Bereichen auf allen in eine Domäne eingebundenen Geräten, die mit dem Netzwerk verbunden sind. Die Standardoption ist „Nicht konfiguriert“.

   • Zeigt die WIP-Symbolüberlagerung (Windows Information Protection) für Ihre zugelassenen, nicht WIP-kompatiblen Apps für Unternehmensdateien im Datei-Explorer an. Aktivieren Sie dieses Kontrollkästchen, wenn die Windows Information Protection-Symbolüberlagerung in Unternehmensdateien in den Ansichten Speichern unter und Explorer angezeigt werden soll. Darüber hinaus wird die Symbolüberlagerung für nicht optimierte, aber zulässige Apps auch auf der App-Kachel und mit dem Text Verwaltet für den App-Namen im Menü Start angezeigt. Die Standardoption ist „Nicht konfiguriert“.

5. Wählen Sie im erforderlichen Feld Datenwiederherstellungs-Agent-Zertifikat (DRA) hochladen, um die Wiederherstellung verschlüsselter Daten zu ermöglichen die Option Durchsuchen aus, um ihrer Richtlinie ein Datenwiederherstellungszertifikat hinzuzufügen.

   

   Nachdem Sie Ihre WIP-Richtlinie erstellt und für Ihre Mitarbeiter bereitgestellt haben, beginnt Windows mit der Verschlüsselung Ihrer Unternehmensdaten auf dem lokalen Gerätelaufwerk der Mitarbeiter. Wenn die lokalen Verschlüsselungsschlüssel der Mitarbeiter verloren gehen oder widerrufen werden, können die verschlüsselten Daten nicht wiederhergestellt werden. Um dies zu vermeiden, ermöglicht das DRA-Zertifikat Windows die Verwendung eines angegebenen öffentlichen Schlüssels zum Verschlüsseln der lokalen Daten, während Sie den privaten Schlüssel verwalten, der die Daten entschlüsseln kann.

   Weitere Informationen zum Suchen und Exportieren Ihres Datenwiederherstellungszertifikats finden Sie unter Datenwiederherstellung und verschlüsselndes Dateisystem (EFS). Weitere Informationen zum Erstellen und Überprüfen Ihres EFS DRA-Zertifikats finden Sie unter Erstellen und Überprüfen eines EFS-DRA-Zertifikats (Encrypting File System).

Auswählen der optionalen WIP-bezogenen Einstellungen

Nachdem Sie entschieden haben, wo Ihre geschützten Apps auf Unternehmensdaten in Ihrem Netzwerk zugreifen können, werden Sie gefragt, ob Sie optionale WIP-Einstellungen hinzufügen möchten.

So legen Sie die optionalen Einstellungen fest

1. Sie können einige oder alle optionalen Einstellungen festlegen:

   • Die Suche nach verschlüsselten Daten und Store-Apps durch Windows Search zulassen. Legt fest, ob Windows Search nach verschlüsselten Unternehmensdaten und Store-Apps suchen und diese indizieren kann. Die Optionen sind:

     • Ja. Ermöglicht Windows Search das Suchen und Indizieren verschlüsselter Unternehmensdaten und Store-Apps.

     • Nein, oder nicht konfiguriert (empfohlen). Verhindert, dass Windows Search verschlüsselte Unternehmensdaten und Store-Apps sucht und indiziert.

   • Widerrufen Sie lokale Verschlüsselungsschlüssel während der Aufhebung der Registrierung. Bestimmt, ob die lokalen Verschlüsselungsschlüssel eines Benutzers von einem Gerät widerrufen werden, wenn die Registrierung bei Windows Information Protection aufgehoben wird. Wenn die Verschlüsselungsschlüssel widerrufen werden, kann ein Benutzer nicht mehr auf verschlüsselte Unternehmensdaten zugreifen. Die Optionen sind:

     • Ja, oder nicht konfiguriert (empfohlen). Die lokalen Verschlüsselungsschlüssel werden während der Aufhebung der Registrierung von einem Gerät widerrufen.

     • Nein. Das Widerrufen lokaler Verschlüsselungsschlüssel von einem Gerät während der Aufhebung der Registrierung wird beendet. Wenn Sie z. B. zwischen Mobile Geräteverwaltung(MDM)-Lösungen migrieren.

   • Azure RMS zulassen. Ermöglicht die sichere Freigabe von Dateien mithilfe von Wechselmedien wie USB-Laufwerken. Weitere Informationen zur Funktionsweise von RMS mit WIP finden Sie unter Erstellen einer WIP-Richtlinie mit Intune. Führen Sie Get-AadrmTemplate aus dem AADRM PowerShell-Modul aus, um zu überprüfen, welche Vorlagen Ihr Mandant besitzt. Wenn Sie keine Vorlage angeben, verwendet WIP einen Schlüssel aus einer RMS-Standardvorlage, auf die jeder im Mandanten Zugriff hat.

2. Nachdem Sie alle Einstellungen ausgewählt haben, die Sie einschließen möchten, wählen Sie Zusammenfassung aus.

Überprüfen der Konfigurationsoptionen auf dem Bildschirm „Zusammenfassung“

Nachdem Sie die Konfiguration der Richtlinie abgeschlossen haben, können Sie Ihre Informationen auf dem Bildschirm Zusammenfassung überprüfen.

So zeigen Sie den Bildschirm „Zusammenfassung“ an

• Wählen Sie die Schaltfläche Zusammenfassung aus, um Ihre Richtlinienoptionen zu überprüfen, und wählen Sie dann Weiter aus, um die Richtlinie abzuschließen und zu speichern.

  

  Es wird eine Statusleiste mit dem Fortschritt der Richtlinie angezeigt. Klicken Sie anschließend auf Schließen , um zur Seite Konfigurationselemente zurückzukehren.

Bereitstellen der WIP-Richtlinie

Nachdem Sie Ihre WIP-Richtlinie erstellt haben, müssen Sie sie auf den Geräten Ihrer organization bereitstellen. Weitere Informationen zu Ihren Bereitstellungsoptionen finden Sie in den folgenden Artikeln:

• Erstellen von Konfigurationsbaselines in Configuration Manager

• Bereitstellen von Konfigurationsbaselines in Configuration Manager

Verwandte Artikel

• Sammeln von Windows Information Protection (WIP)-Überwachungsprotokollen

• Allgemeiner Leitfaden und bewährte Methoden für Windows Information Protection (WIP)

• Einschränkungen bei der Verwendung von Windows Information Protection (WIP)