Erstellen einer Windows Information Protection-Richtlinie in Microsoft Intune

  • Artikel

Hinweis

Ab Juli 2022 wird Windows Information Protection (WIP) von Microsoft eingestellt. Microsoft unterstützt WIP weiterhin auf unterstützten Versionen von Windows. Neue Versionen von Windows enthalten keine neuen Funktionen für WIP und werden in zukünftigen Versionen von Windows nicht unterstützt. Weitere Informationen finden Sie unter Ankündigung des Sonnenuntergangs von Windows Information Protection.

Für Ihre Datenschutzanforderungen empfiehlt Microsoft, Microsoft Purview Information Protection und Microsoft Purview Data Loss Prevention zu verwenden. Purview vereinfacht die Einrichtung der Konfiguration und bietet erweiterte Funktionen.

Gilt für:

  • Windows 10
  • Windows 11

Microsoft Intune hat eine einfache Möglichkeit, eine Windows Information Protection -Richtlinie (WIP) zu erstellen und bereitzustellen. Sie können auswählen, welche Apps geschützt werden sollen, welche Schutzebene sie haben und wie Unternehmensdaten im Netzwerk gefunden werden sollen. Die Geräte können vollständig von Mobile Geräteverwaltung (MDM) oder von mam (Mobile Application Management) verwaltet werden, wobei Intune nur die Apps auf dem persönlichen Gerät eines Benutzers verwaltet.

Unterschiede zwischen MDM und MAM für WIP

Sie können eine App-Schutzrichtlinie in Intune entweder mit Geräteregistrierung für MDM oder ohne Geräteregistrierung für MAM erstellen. Der Prozess zum Erstellen einer richtlinie ist ähnlich, aber es gibt wichtige Unterschiede:

  • MAM verfügt über weitere Zugriffseinstellungen für Windows Hello for Business.
  • MAM kann Unternehmensdaten selektiv vom persönlichen Gerät eines Benutzers löschen.
  • MAM erfordert eine Microsoft Entra ID P1- oder P2-Lizenz.
  • Eine Microsoft Entra ID P1- oder P2-Lizenz ist auch für die automatische WIP-Wiederherstellung erforderlich, bei der ein Gerät sich erneut registrieren und den Zugriff auf geschützte Daten wiederherstellen kann. Die automatische WIP-Wiederherstellung hängt von Microsoft Entra Registrierung ab, um die Verschlüsselungsschlüssel zu sichern. Dies erfordert die automatische Registrierung des Geräts mit MDM.
  • MAM unterstützt nur einen Benutzer pro Gerät.
  • MAM kann nur optimierte Apps verwalten.
  • Nur MDM kann BitLocker-CSP-Richtlinien verwenden.
  • Wenn derselbe Benutzer und dasselbe Gerät sowohl für MDM als auch für MAM vorgesehen sind, wird die MDM-Richtlinie auf Geräte angewendet, die mit Microsoft Entra ID verbunden sind. Für persönliche Geräte, die in den Arbeitsplatz eingebunden sind (d. h. durch Hinzufügen von Einstellungen>Email & Konten>Hinzufügen eines Geschäfts-, Schul- oder Unikontos), wird die richtlinie nur für MAM bevorzugt, aber es ist möglich, die Geräteverwaltung in den Einstellungen auf MDM zu aktualisieren. Windows Home Edition unterstützt wiP nur für MAM; Durch ein Upgrade auf die MDM-Richtlinie in der Home Edition wird der WIP-geschützte Datenzugriff widerrufen.

Voraussetzungen

Bevor Sie eine WIP-Richtlinie mit Intune erstellen können, müssen Sie einen MDM- oder MAM-Anbieter in Microsoft Entra ID konfigurieren. MAM erfordert eine Microsoft Entra ID P1- oder P2-Lizenz. Eine Microsoft Entra ID P1- oder P2-Lizenz ist auch für die automatische WIP-Wiederherstellung erforderlich, bei der ein Gerät sich erneut registrieren und den Zugriff auf geschützte Daten wiederherstellen kann. Die automatische WIP-Wiederherstellung basiert auf Microsoft Entra Registrierung, um die Verschlüsselungsschlüssel zu sichern. Dies erfordert die automatische Registrierung des Geräts mit MDM.

Konfigurieren des MDM- oder MAM-Anbieters

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie Microsoft Entra ID>Mobilität (MDM und MAM)>Microsoft Intune aus.

  3. Wählen Sie Standard-URLs wiederherstellen aus, oder geben Sie die Einstellungen für den MDM- oder MAM-Benutzerbereich ein, und wählen Sie Speichern aus:

    Konfigurieren Sie MDM- oder MAM-Anbieter.

Erstellen einer WIP-Richtlinie

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Öffnen Sie Microsoft Intune, und wählen Sie Apps>App-Schutz Richtlinien>Richtlinie erstellen aus.

    Öffnen Sie Client-Apps.

  3. Wählen Sie auf dem Bildschirm App-Richtlinie die Option Richtlinie hinzufügen aus, und füllen Sie dann die Felder aus:

    • Name. Geben Sie einen Namen (erforderlich) für Ihre neue Richtlinie ein.

    • Beschreibung. Geben Sie eine optionale Beschreibung ein.

    • Plattform. Wählen Sie Windows 10 aus.

    • Anmeldungsstatus. Wählen Sie Ohne Registrierung für MAM oder Mit Registrierung für MDM aus.

    Fügen Sie eine Richtlinie für mobile Apps hinzu.

  4. Wählen Sie Geschützte Apps und dann Apps hinzufügen aus.

    Fügen Sie geschützte Apps hinzu.

    Sie können diese Arten von Apps hinzufügen:

Hinweis

Eine Anwendung gibt möglicherweise Fehler vom Zugriff verweigert zurück, nachdem sie aus der Liste der geschützten Apps entfernt wurde. Anstatt sie aus der Liste zu entfernen, deinstallieren Sie die Anwendung, und installieren Sie sie erneut, oder nehmen Sie sie von der WIP-Richtlinie aus.

Wählen Sie Empfohlene Apps und dann jede App aus, auf die Sie auf Ihre Unternehmensdaten zugreifen möchten, oder wählen Sie sie alle aus, und klicken Sie auf OK.

Microsoft Intune Verwaltungskonsole: Empfohlene Apps.

Hinzufügen von Store-Apps

Wählen Sie Store-Apps aus, geben Sie den App-Produktnamen und herausgeber ein, und wählen Sie OK aus. Um beispielsweise die Power BI Mobile App aus dem Store hinzuzufügen, geben Sie Folgendes ein:

  • Name: Microsoft Power BI
  • Herausgeber: CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
  • Produktname: Microsoft.MicrosoftPowerBIForWindows

Store-App hinzufügen.

Um mehrere Store-Apps hinzuzufügen, wählen Sie die Auslassungspunkte aus .

Wenn Sie den Herausgeber oder den Produktnamen der Store-App nicht kennen, finden Sie diese mithilfe der folgenden Schritte.

  1. Wechseln Sie zur Website Microsoft Store für Unternehmen, und suchen Sie Ihre App. Beispiel: Power BI Mobile App.

  2. Kopieren Sie den ID-Wert aus der App-URL. Die Power BI Mobile App-ID-URL lautet https://www.microsoft.com/store/p/microsoft-power-bi/9nblgggzlxn1beispielsweise , und Sie würden den ID-Wert 9nblgggzlxn1kopieren.

  3. Führen Sie in einem Browser die Web-API im Microsoft Store für Unternehmen-Portal aus, um eine JavaScript Object Notation (JSON)-Datei zurückzugeben, die die Werte für den Herausgeber- und Produktnamen enthält. Führen Sie beispielsweise aus https://bspmts.mp.microsoft.com/v1/public/catalog/Retail/Products/9nblgggzlxn1/applockerdata, wobei 9nblgggzlxn1 durch Ihren ID-Wert ersetzt wird.

    Die API wird ausgeführt und öffnet einen Text-Editor mit allen App-Details.

     {
 	"packageIdentityName": "Microsoft.MicrosoftPowerBIForWindows",
 	"publisherCertificateName": "CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US"
 }

  4. Kopieren Sie den Wert publisherCertificateName in das Feld Publisher und den Wert packageIdentityName in das Feld Name in Intune.

    Wichtig

    Die JSON-Datei kann auch einen Wert windowsPhoneLegacyId für die Felder Herausgebername und Produktname zurückgeben. Dies bedeutet, dass Sie über eine App verfügen, die ein XAP-Paket verwendet, und Dass Sie den Produktnamen auf windowsPhoneLegacyIdund den Herausgebernamen als CN= gefolgt von windowsPhoneLegacyIdfestlegen müssen.

    Zum Beispiel:

    {
    "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
}

Hinzufügen von Desktop-Apps

Um Desktop-Apps hinzuzufügen, füllen Sie die folgenden Felder aus, je nachdem, welche Ergebnisse zurückgegeben werden sollen.

Feld Verwaltet
Alle Felder, die als gekennzeichnet sind * Alle von einem Herausgeber signierten Dateien. (Nicht empfohlen und funktioniert möglicherweise nicht)
Nur Herausgeber Wenn Sie nur dieses Feld ausfüllen, erhalten Sie alle Dateien, die vom benannten Herausgeber signiert wurden. Dies kann nützlich sein, wenn Ihr Unternehmen der Herausgeber und Signaturgeber interner Branchen-Apps ist.
Nur Herausgeber und Name Wenn Sie nur diese Felder ausfüllen, erhalten Sie alle Dateien für das angegebene Produkt, signiert vom benannten Herausgeber.
Nur Herausgeber, Name und Datei Wenn Sie nur diese Felder ausfüllen, erhalten Sie eine beliebige Version der benannten Datei oder des Pakets für das angegebene Produkt, signiert vom benannten Herausgeber.
Nur Herausgeber, Name, Datei und Min-Version Wenn Sie nur diese Felder ausfüllen, erhalten Sie die angegebene Version oder neuere Versionen der benannten Datei oder des pakets für das angegebene Produkt, signiert vom benannten Herausgeber. Diese Option wird für optimierte Apps empfohlen, die zuvor nicht optimiert wurden.
Nur Herausgeber, Name, Datei und Max-Version Wenn Sie nur diese Felder ausfüllen, erhalten Sie die angegebene Version oder ältere Versionen der benannten Datei oder des pakets für das angegebene Produkt, signiert vom benannten Herausgeber.
Alle Felder ausgefüllt Wenn Sie alle Felder ausfüllen, erhalten Sie die angegebene Version der benannten Datei oder des pakets für das angegebene Produkt, signiert vom benannten Herausgeber.

Um eine weitere Desktop-App hinzuzufügen, wählen Sie die Auslassungspunkte aus . Nachdem Sie die Informationen in die Felder eingegeben haben, wählen Sie OK aus.

Microsoft Intune Verwaltungskonsole: Hinzufügen von Desktop-App-Informationen.

Wenn Sie nicht sicher sind, was für den Herausgeber enthalten sein soll, können Sie diesen PowerShell-Befehl ausführen:

Get-AppLockerFileInformation -Path "<path_of_the_exe>"

Dabei gibt "<path_of_the_exe>" den Speicherort der App auf dem Gerät an. Zum Beispiel:

Get-AppLockerFileInformation -Path "C:\Program Files\Windows NT\Accessories\wordpad.exe"

In diesem Beispiel erhalten Sie die folgenden Informationen:

Path                   Publisher
----                   ---------
%PROGRAMFILES%\WINDOWS NT\ACCESSORIES\WORDPAD.EXE O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US

Dabei O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US ist der Name des Verlegers und WORDPAD.EXE der Dateiname .

Wenden Sie sich bezüglich des Abrufens des Produktnamens für die Apps, die Sie hinzufügen möchten, an das Windows-Supportteam, um die Richtlinien anzufordern.

Importieren einer Liste von Apps

In diesem Abschnitt werden zwei Beispiele für die Verwendung einer AppLocker-XML-Datei in der Liste Geschützte Apps behandelt . Sie verwenden diese Option, wenn Sie mehrere Apps gleichzeitig hinzufügen möchten.

Weitere Informationen zu AppLocker finden Sie im Thema AppLocker.

Erstellen einer gepackten App-Regel für Store-Apps

  1. Öffnen Sie das Snap-In „Lokale Sicherheitsrichtlinie“ (secpol.msc).

  2. Erweitern Sie Anwendungssteuerungsrichtlinien, erweitern Sie AppLocker, und wählen Sie dann App-gepackte Regeln aus.

    Lokales Sicherheits-Snap-In mit den App-Paketregeln.

  3. Klicken Sie mit der rechten Maustaste auf die rechte Seite, und wählen Sie dann Neue Regel erstellen aus.

    Der Assistent Create Packaged app Rules wird angezeigt.

  4. Wählen Sie auf der Seite Before You Begin (Vorbereitung ) die Option Weiter aus.

    Screenshot der Registerkarte

  5. Stellen Sie auf der Seite Berechtigungen sicher, dass die Aktion auf Zulassen und der Benutzer oder die Gruppe auf Jeder festgelegt ist, und wählen Sie dann Weiter aus.

    Screenshot der Registerkarte

  6. Wählen Sie auf der Seite Herausgeber im Bereich Eine installierte gepackte App als Referenz verwenden die Option Auswählen aus.

    Screenshot des ausgewählten Optionsfelds

  7. Wählen Sie im Feld Anwendungen auswählen die App aus, die Sie als Referenz für Ihre Regel verwenden möchten, und wählen Sie dann OK aus. In diesem Beispiel verwenden wir Microsoft Dynamics 365.

    Screenshot der Liste

  8. Wählen Sie auf der aktualisierten Seite Verlegerdie Option Erstellen aus.

    Screenshot der Registerkarte

  9. Wählen Sie im angezeigten Dialogfeld Nein aus, und fragen Sie, ob Sie die Standardregeln erstellen möchten. Erstellen Sie keine Standardregeln für Ihre WIP-Richtlinie.

    Screenshot der AppLocker-Warnung.

  10. Überprüfen Sie das Snap-In „Lokale Sicherheitsrichtlinie“, um sicherzustellen, dass die Regel richtig ist.

    Lokales Sicherheits-Snap-In mit der neuen Regel.

  11. Klicken Sie auf der linken Seite mit der rechten Maustaste auf AppLocker, und wählen Sie dann Richtlinie exportieren aus.

    Das Feld Richtlinie exportieren wird geöffnet, in dem Sie die neue Richtlinie im XML-Format exportieren und speichern können.

    Lokales Sicherheits-Snap-In mit der Option Richtlinie exportieren.

  12. Navigieren Sie im Feld Richtlinie exportieren zum Speicherort der Richtlinie, geben Sie der Richtlinie einen Namen, und wählen Sie dann Speichern aus.

    Die Richtlinie wird gespeichert, und Es wird eine Meldung mit dem Hinweis angezeigt, dass eine Regel aus der Richtlinie exportiert wurde.

    XML-Beispieldatei
    Dies ist die XML-Datei, die AppLocker für Microsoft Dynamics 365 erstellt.

    <?xml version="1.0"?>
<AppLockerPolicy Version="1">
    <RuleCollection EnforcementMode="NotConfigured" Type="Appx">
        <FilePublisherRule Action="Allow" UserOrGroupSid="S-1-1-0" Description="" Name="Microsoft.MicrosoftDynamicsCRMforWindows10, version 3.2.0.0 and above, from Microsoft Corporation" Id="3da34ed9-aec6-4239-88ba-0afdce252ab4">
            <Conditions>
                <FilePublisherCondition BinaryName="*" ProductName="Microsoft.MicrosoftDynamicsCRMforWindows10" PublisherName="CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US">
                    <BinaryVersionRange HighSection="*" LowSection="3.2.0.0"/>
                </FilePublisherCondition>
            </Conditions>
        </FilePublisherRule>
    </RuleCollection>
    <RuleCollection EnforcementMode="NotConfigured" Type="Dll"/>
    <RuleCollection EnforcementMode="NotConfigured" Type="Exe"/>
    <RuleCollection EnforcementMode="NotConfigured" Type="Msi"/>
    <RuleCollection EnforcementMode="NotConfigured" Type="Script"/>
</AppLockerPolicy>

  13. Nachdem Sie Ihre XML-Datei erstellt haben, müssen Sie sie mithilfe von Microsoft Intune importieren.

Erstellen einer ausführbaren Regel für nicht signierte Apps

Die ausführbare Regel hilft beim Erstellen einer AppLocker-Regel, um alle apps ohne Vorzeichen zu signieren. Es ermöglicht das Hinzufügen des Dateipfads oder des App-Herausgebers, der in der digitalen Signatur der Datei enthalten ist, die für die Anwendung der WIP-Richtlinie erforderlich ist.

  1. Öffnen Sie das Snap-In „Lokale Sicherheitsrichtlinie“ (secpol.msc).

  2. Wählen Sie im linken Bereich Anwendungssteuerungsrichtlinien>AppLocker>Ausführbare Regeln aus.

  3. Klicken Sie mit der rechten Maustaste auf Ausführbare Regeln>Neue Regel erstellen.

    Lokales Sicherheits-Snap-In mit den ausführbaren Regeln.

  4. Wählen Sie auf der Seite Before You Begin (Vorbereitung ) die Option Weiter aus.

  5. Stellen Sie auf der Seite Berechtigungen sicher, dass die Aktion auf Zulassen und der Benutzer oder die Gruppe auf Jeder festgelegt ist, und wählen Sie dann Weiter aus.

  6. Wählen Sie auf der Seite Bedingungen die Option Pfad und dann Weiter aus.

    Screenshot mit ausgewählten Pfadbedingungen im Assistenten zum Erstellen ausführbarer Regeln.

  7. Wählen Sie Ordner durchsuchen... und dann den Pfad für die nicht signierten Apps aus. In diesem Beispiel verwenden wir "C:\Programme".

    Screenshot des Felds

  8. Fügen Sie auf der Seite Ausnahmen alle Ausnahmen hinzu, und wählen Sie dann Weiter aus.

  9. Geben Sie auf der Seite Name einen Namen und eine Beschreibung für die Regel ein, und wählen Sie dann Erstellen aus.

  10. Klicken Sie im linken Bereich mit der rechten Maustaste aufAppLocker-Exportrichtlinie>.

  11. Navigieren Sie im Feld Richtlinie exportieren zum Speicherort der Richtlinie, geben Sie der Richtlinie einen Namen, und wählen Sie dann Speichern aus.

    Die Richtlinie wird gespeichert, und Es wird eine Meldung mit dem Hinweis angezeigt, dass eine Regel aus der Richtlinie exportiert wurde.

  12. Nachdem Sie Ihre XML-Datei erstellt haben, müssen Sie sie mithilfe von Microsoft Intune importieren.

So importieren Sie eine Liste geschützter Apps mithilfe von Microsoft Intune

  1. Wählen Sie unter Geschützte Appsdie Option Apps importieren aus.

    Importieren geschützter Apps.

    Importieren Sie dann Ihre Datei.

    Microsoft Intune importieren Sie Ihre AppLocker-Richtliniendatei mithilfe von Intune.

  2. Navigieren Sie zu Ihrer exportierten AppLocker-Richtliniendatei, und wählen Sie dann Öffnen aus.

    Die Dateiimporte und die Apps werden Ihrer Liste Geschützte Apps hinzugefügt.

Ausnehmen von Apps von einer WIP-Richtlinie

Wenn Ihre App nicht mit WIP kompatibel ist, aber dennoch mit Unternehmensdaten verwendet werden muss, können Sie die App von den WIP-Einschränkungen ausschließen. Dies bedeutet, dass Ihre Apps keine automatische Verschlüsselung oder Tags enthalten und nicht die Netzwerkbeschränkungen berücksichtigen. Dies bedeutet auch, dass bei den ausgenommenen Apps Datenverluste auftreten können.

  1. Wählen Sie unter Client-Apps – App-Schutz Richtlinien die Option Apps ausschließen aus.

    Ausgenommene Apps.

  2. Wählen Sie unter Ausgenommene Apps die Option Apps hinzufügen aus.

    Wenn Sie Apps ausnehmen, dürfen sie die WIP-Einschränkungen umgehen und auf Ihre Unternehmensdaten zugreifen.

  3. Füllen Sie die restlichen App-Informationen basierend auf dem Typ der App aus, die Sie hinzufügen:

  4. Wählen Sie OK aus.

Verwalten des WIP-Schutzmodus für Ihre Unternehmensdaten

Nachdem Sie die Apps hinzugefügt haben, die mit WIP geschützt werden sollen, müssen Sie einen Verwaltungs- und Schutzmodus anwenden.

Es wird empfohlen, dass Sie mit Unbeaufsichtigt oder Außerkraftsetzungen zulassen beginnen und für eine kleine Gruppe überprüfen, dass die richtigen Apps in der Liste der geschützten Apps enthalten sind. Nachdem Sie fertig sind, können Sie zu Ihrer endgültigen Erzwingungsrichtlinie , Blockieren, wechseln.

  1. Wählen Sie in App-Schutz Richtlinie den Namen Ihrer Richtlinie und dann Erforderliche Einstellungen aus.

    Microsoft Intune unter Erforderliche Einstellungen wird der Windows-Information Protection-Modus angezeigt.

    Modus Beschreibung
    Blockieren WIP sucht nach unerwünschten Datenfreigaben und hindert Mitarbeiter daran, den Schritt auszuführen. Beispielsweise können Informationen zwischen Apps geteilt werden, die keinem Unternehmensschutz unterliegen, und Unternehmensdaten für andere Personen und Geräte außerhalb Ihres Unternehmens freigegeben werden.
    Allow Overrides WIP ermittelt ungeeignete Datenfreigaben und warnt Mitarbeiter davor, eine potenziell unsichere Aktion auszuführen. Bei diesem Verwaltungsmodus können Mitarbeiter die Richtlinie jedoch außer Kraft setzen und die Daten freigeben, wobei die Aktion jedoch in ihrem Überwachungsprotokoll protokolliert wird. Weitere Informationen zum Erfassen Ihrer Überwachungsprotokolldateien finden Sie unter Erfassen von Windows Information Protection-Überwachungsprotokolldateien (WIP).
    Unbeaufsichtigt WIP wird im Hintergrund ausgeführt und protokolliert unangemessene Datenfreigaben, ohne alles zu blockieren, was im Modus Außerkraftsetzung zulassen zur Interaktion der Mitarbeiter aufgefordert worden wäre. Unerlaubte Aktionen, z. B. wenn Apps unzulässigerweise versuchen, auf eine Netzwerkressource oder auf WIP-geschützte Daten zuzugreifen, werden weiterhin verhindert.
    Deaktiviert WIP ist deaktiviert, und Ihre Daten werden weder geschützt noch überwacht.

    Nachdem WIP deaktiviert wurde, wird versucht, alle durch WIP gekennzeichneten Dateien auf den lokal angeschlossenen Laufwerken zu entschlüsseln. Ihre vorherigen Entschlüsselungs- und Richtlinieninformationen werden nicht automatisch erneut angewendet, wenn Sie den WIP-Schutz wieder aktivieren. Weitere Informationen finden Sie unter Deaktivieren von Windows Information Protection.

  2. Wählen Sie Speichern.

Definieren der intern verwalteten Unternehmensidentität

Die Unternehmensidentität, die in der Regel als Primäre Internetdomäne (z. B. contoso.com) ausgedrückt wird, hilft ihnen, Ihre Unternehmensdaten aus Apps zu identifizieren und zu markieren, die Sie als durch WIP geschützt markiert haben. Beispielsweise werden E-Mails mit contoso.com als Unternehmensdaten gekennzeichnet und durch die Windows Information Protection-Richtlinien eingeschränkt.

Ab Windows 10, Version 1703, bestimmt Intune Ihre Unternehmensidentität automatisch und fügt sie dem Feld Unternehmensidentität hinzu.

So ändern Sie Ihre Unternehmensidentität

  1. Wählen Sie unter App-Richtlinie den Namen Ihrer Richtlinie und dann Erforderliche Einstellungen aus.

  2. Wenn die automatisch definierte Identität nicht korrekt ist, können Sie die Informationen im Feld Unternehmensidentität ändern.

    Microsoft Intune legen Sie Ihre Unternehmensidentität für Ihre organization fest.

  3. Wenn Sie Domänen hinzufügen möchten, z. B. Ihre E-Mail-Domänennamen, wählen Sie Konfigurieren Erweiterte Einstellungen>Netzwerkgrenze hinzufügen und dann Geschützte Domänen aus.

    Fügen Sie geschützte Domänen hinzu.

Auswählen der Speicherorte, an denen Apps Zugriff auf Unternehmensdaten haben

Nachdem Sie Ihren Apps einen Schutzmodus hinzugefügt haben, müssen Sie entscheiden, wo diese Apps in Ihrem Netzwerk auf Unternehmensdaten zugreifen können. Jede WIP-Richtlinie sollte Ihre Unternehmensnetzwerkstandorte enthalten.

Es gibt keine in WIP enthaltenen Standardspeicherorte, Sie müssen alle Ihre Netzwerkadressen hinzufügen. Dieser Bereich gilt für jedes Netzwerkendpunktgerät, das eine IP-Adresse im Bereich Ihres Unternehmens erhält und auch an eine Ihrer Unternehmensdomänen gebunden ist, einschließlich SMB-Freigaben. Speicherorte im lokalen Dateisystem sollten nur die Verschlüsselung verwalten (z. B. auf dem lokalen NTFS, FAT, ExFAT).

Um die Netzwerkgrenzen zu definieren, wählen Sie App-Richtlinie> den Namen Ihrer Richtlinie >Erweiterte Einstellungen>Netzwerkgrenze hinzufügen aus.

Microsoft Intune legen Sie fest, wo Ihre Apps auf Unternehmensdaten in Ihrem Netzwerk zugreifen können.

Wählen Sie den Typ der Netzwerkgrenze im Feld Boundary type aus. Geben Sie einen Namen für Ihre Grenze in das Feld Name ein, fügen Sie ihre Werte dem Feld Wert hinzu, basierend auf den in den folgenden Unterabschnitten behandelten Optionen, und wählen Sie dann OK aus.

Cloudressourcen

Geben Sie die Cloudressourcen an, die als unternehmenseigen behandelt und durch WIP geschützt werden sollen. Für jede Cloudressource können Sie optional auch einen Proxyserver aus der Liste der internen Proxyserver angeben, um den Datenverkehr für diese Cloudressource weiterzuleiten. Der gesamte Datenverkehr, der über Ihre internen Proxyserver geleitet wird, gilt als Enterprise.

Trennen Sie mehrere Ressourcen durch das Trennzeichen "|". Zum Beispiel:

URL <,proxy>|URL <,proxy>

Persönliche Anwendungen können auf eine Cloudressource zugreifen, die einen Leerraum oder ein ungültiges Zeichen aufweist, z. B. einen nachfolgenden Punkt in der URL.

Um eine Unterdomäne für eine Cloudressource hinzuzufügen, verwenden Sie anstelle eines Sternchens (*) einen Punkt (.). Um beispielsweise alle Unterdomänen innerhalb Office.com hinzuzufügen, verwenden Sie ".office.com" (ohne Anführungszeichen).

In einigen Fällen, z. B. wenn eine App über eine IP-Adresse eine direkte Verbindung mit einer Cloudressource herstellt, kann Windows nicht feststellen, ob versucht wird, eine Verbindung mit einer Unternehmenscloudressource oder einer persönlichen Website herzustellen. In diesem Fall wird die Verbindung von Windows standardmäßig blockiert. Um zu verhindern, dass Windows diese Verbindungen automatisch blockiert, fügen Sie der Einstellung die Zeichenfolge /*AppCompat*/ hinzu. Zum Beispiel:

URL <,proxy>|URL <,proxy>|/*AppCompat*/

Wenn Sie diese Zeichenfolge verwenden, empfiehlt es sich, auch Microsoft Entra bedingten Zugriff zu aktivieren, indem Sie die Option Domäne eingebunden oder als konform markiert verwenden, die Apps am Zugriff auf Unternehmenscloudressourcen hindert, die durch bedingten Zugriff geschützt sind.

Wertformat mit Proxy:

contoso.sharepoint.com,contoso.internalproxy1.com|contoso.visualstudio.com,contoso.internalproxy2.com

Wertformat ohne Proxy:

contoso.sharepoint.com|contoso.visualstudio.com|contoso.onedrive.com,

Geschützte Domänen

Geben Sie die Domänen an, die für Identitäten in Ihrer Umgebung verwendet werden. Der gesamte Datenverkehr zu den vollqualifizierten Domänen, die in dieser Liste angezeigt werden, wird geschützt. Trennen Sie mehrere Domänen durch das Trennzeichen "|".

exchange.contoso.com|contoso.com|region.contoso.com

Netzwerkdomänen

Geben Sie die in Ihrer Umgebung verwendeten DNS-Suffixe an. Der gesamte Datenverkehr zu den vollqualifizierten Domänen, die in dieser Liste angezeigt werden, wird geschützt. Trennen Sie mehrere Ressourcen durch das Trennzeichen ",".

corp.contoso.com,region.contoso.com

Proxyserver

Geben Sie die Proxyserver an, die Ihre Geräte durchlaufen, um die Cloudressourcen zu erreichen. Die Verwendung dieses Servertyps gibt an, dass die Cloudressourcen, mit denen Sie eine Verbindung herstellen, Unternehmensressourcen sind.

Diese Liste sollte keine Server enthalten, die in der Liste Der internen Proxyserver aufgeführt sind. Proxyserver dürfen nur für den nicht mit WIP-geschützten (nicht-Unternehmens-)Datenverkehr verwendet werden. Trennen Sie mehrere Ressourcen durch das Trennzeichen ";".

proxy.contoso.com:80;proxy2.contoso.com:443

Interne Proxyserver

Geben Sie die internen Proxyserver an, die Ihre Geräte durchlaufen, um die Cloudressourcen zu erreichen. Die Verwendung dieses Servertyps gibt an, dass die Cloudressourcen, mit denen Sie eine Verbindung herstellen, Unternehmensressourcen sind.

Diese Liste sollte keine Server enthalten, die in Der Liste der Proxyserver aufgeführt sind. Interne Proxyserver dürfen nur für den WIP-geschützten (Unternehmens-)Datenverkehr verwendet werden. Trennen Sie mehrere Ressourcen durch das Trennzeichen ";".

contoso.internalproxy1.com;contoso.internalproxy2.com

IPv4-Bereiche

Geben Sie die Adressen für einen gültigen IPv4-Wertebereich in Ihrem Intranet an. Diese in Verbindung mit Ihren Netzwerkdomänennamen verwendeten Adressen definieren die Grenzen Ihres Unternehmensnetzwerks. Die CIDR-Notation (Classless Inter-Domain Routing) wird nicht unterstützt.

Trennen Sie mehrere Bereiche durch das Trennzeichen ",".

IPv4-Startadresse: 3.4.0.1
IPv4-Endadresse: 3.4.255.254
Benutzerdefinierter URI: 3.4.0.1-3.4.255.254,
10.0.0.1-10.255.255.254

IPv6-Bereiche

Ab Windows 10, Version 1703, ist dieses Feld optional.

Geben Sie die Adressen für einen gültigen IPv6-Wertebereich in Ihrem Intranet an. Diese Adressen, die mit Ihren Netzwerkdomänennamen verwendet werden, definieren die Grenzen Ihres Unternehmensnetzwerks. Die CIDR-Notation (Classless Inter-Domain Routing) wird nicht unterstützt.

Trennen Sie mehrere Bereiche durch das Trennzeichen ",".

IPv6-Adresse wird gestartet:2a01:110::
End-IPv6-Adresse:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff
Benutzerdefinierter URI:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff,'<br>'fd00::-fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

Neutrale Ressourcen

Geben Sie die Endpunkte für die Authentifizierungsumleitung in Ihrem Unternehmen an. Diese Adressen gelten als unternehmenseigen oder persönlich, basierend auf dem Kontext der Verbindung vor der Umleitung. Trennen Sie mehrere Ressourcen durch das Trennzeichen ",".

sts.contoso.com,sts.contoso2.com

Entscheiden Sie, ob Windows nach weiteren Netzwerkeinstellungen suchen soll:

  • Liste der Unternehmensproxyserver ist autoritativ (keine automatische Erkennung). Aktivieren Sie diese Option, wenn Windows die proxyserver, die Sie in der Definition der Netzwerkgrenze angegeben haben, als vollständige Liste der in Ihrem Netzwerk verfügbaren Proxyserver behandeln soll. Wenn Sie dies deaktivieren, sucht Windows nach weiteren Proxyservern in Ihrem unmittelbaren Netzwerk.

  • Liste der Unternehmens-IP-Bereiche ist autoritativ (keine automatische Erkennung). Aktivieren Sie diese Option, wenn Windows die ip-Adressbereiche, die Sie in der Definition der Netzwerkgrenze angegeben haben, als vollständige Liste der in Ihrem Netzwerk verfügbaren IP-Bereiche behandeln soll. Wenn Sie dies deaktivieren, sucht Windows auf allen in die Domäne eingebundenen Geräten, die mit Ihrem Netzwerk verbunden sind, nach weiteren IP-Adressbereichen.

Microsoft Intune wählen Sie aus, ob Windows nach weiteren Proxyservern oder IP-Adressbereichen in Ihrem Unternehmen suchen soll.

Hochladen des Datenwiederherstellungs-Agent-Zertifikats

Nachdem Sie Ihre WIP-Richtlinie erstellt und für Ihre Mitarbeiter bereitgestellt haben, beginnt Windows mit der Verschlüsselung Ihrer Unternehmensdaten auf dem lokalen Gerätelaufwerk der Mitarbeiter. Wenn die lokalen Verschlüsselungsschlüssel der Mitarbeiter verloren gehen oder widerrufen werden, können die verschlüsselten Daten nicht wiederhergestellt werden. Um dies zu vermeiden, ermöglicht das Data Recovery Agent (DRA)-Zertifikat Windows die Verwendung eines angegebenen öffentlichen Schlüssels zum Verschlüsseln der lokalen Daten, während Sie den privaten Schlüssel verwalten, der die Daten entschlüsseln kann.

Wichtig

Die Verwendung eines DRA-Zertifikats ist nicht obligatorisch. Wir empfehlen dies jedoch dringend. Weitere Informationen zum Suchen und Exportieren Ihres Datenwiederherstellungszertifikats finden Sie unter Datenwiederherstellung und verschlüsselndes Dateisystem (EFS). Weitere Informationen zum Erstellen und Überprüfen Ihres EFS DRA-Zertifikats finden Sie unter Erstellen und Überprüfen eines EFS-DRA-Zertifikats (Encrypting File System).

So laden Sie Ihr DRA-Zertifikat hoch

  1. Wählen Sie unter App-Richtlinie den Namen Ihrer Richtlinie und dann im angezeigten Menü Erweiterte Einstellungen aus.

    Erweiterte Einstellungen werden angezeigt.

  2. Wählen Sie im Feld Hochladen eines DRA-Zertifikats (Data Recovery Agent) zum Zulassen der Wiederherstellung verschlüsselter Datendie Option Durchsuchen aus, um ein Datenwiederherstellungszertifikat für Ihre Richtlinie hinzuzufügen.

    Microsoft Intune, Laden Sie Ihr DRA-Zertifikat (Data Recovery Agent) hoch.

Nachdem Sie entschieden haben, wo Ihre geschützten Apps auf Unternehmensdaten in Ihrem Netzwerk zugreifen können, können Sie optionale Einstellungen auswählen.

Erweiterte optionale Einstellungen.

Beim Aufheben der Registrierung Verschlüsselungsschlüssel widerrufen. Bestimmt, ob die lokalen Verschlüsselungsschlüssel eines Benutzers von einem Gerät widerrufen werden, wenn die Registrierung bei Windows Information Protection aufgehoben wird. Wenn die Verschlüsselungsschlüssel widerrufen werden, kann ein Benutzer nicht mehr auf verschlüsselte Unternehmensdaten zugreifen. Die Optionen sind:

  • Aus, oder nicht konfiguriert (empfohlen). Die lokalen Verschlüsselungsschlüssel werden während der Aufhebung der Registrierung von einem Gerät widerrufen.

  • Deaktiviert. Das Widerrufen lokaler Verschlüsselungsschlüssel von einem Gerät während der Aufhebung der Registrierung wird beendet. Wenn Sie z. B. zwischen Mobile Geräteverwaltung(MDM)-Lösungen migrieren.

Zeigen Sie das Datenschutzsymbol des Unternehmens an. Legt fest, ob die WIP-Symbolüberlagerung (Windows Information Protection) für Unternehmensdateien in der Ansicht „Speichern unter“ und im Datei-Explorer angezeigt wird. Die Optionen sind:

  • Ein. Lässt zu, dass die WIP-Symbolüberlagerung (Windows Information Protection) für Unternehmensdateien in der Ansicht „Speichern unter“ und im Datei-Explorer angezeigt wird. Außerdem wird für nicht unterstützte, aber geschützte Apps die Symbolüberlagerung auch auf der App-Kachel und mit verwaltetem Text im App-Namen im Startmenü angezeigt.

  • Aus, oder nicht konfiguriert (empfohlen). Verhindert, dass die Windows Information Protection-Symbolüberlagerung in Unternehmensdateien oder nicht aufgehellten, aber geschützten Apps angezeigt wird. Die Standardoption ist „Nicht konfiguriert“.

Verwenden Sie Azure RMS für WIP. Bestimmt, ob WIP Microsoft Azure Rights Management verwendet, um DIE EFS-Verschlüsselung auf Dateien anzuwenden, die von Windows 10 auf USB oder andere Wechseldatenträger kopiert werden, damit sie sicher für Mitarbeiter freigegeben werden können. Anders ausgedrückt: WIP verwendet Azure Rights Management-Maschinen, um die EFS-Verschlüsselung auf Dateien anzuwenden, wenn sie auf Wechseldatenträger kopiert werden. Azure Rights Management muss bereits eingerichtet sein. Der EFS-Dateiverschlüsselungsschlüssel wird durch die Lizenz der RMS-Vorlage geschützt. Nur Benutzer mit der Berechtigung für diese Vorlage können sie vom Wechseldatenträger lesen. WIP kann auch mithilfe der Mdm-Einstellungen AllowAzureRMSForEDP und RMSTemplateIDForEDP im EnterpriseDataProtection-CSP in Azure RMS integriert werden.

  • Ein. Schützt Dateien, die auf einen Wechseldatenträger kopiert werden. Sie können eine TemplateID-GUID eingeben, um anzugeben, wer und wie lange auf die durch Azure Rights Management geschützten Dateien zugreifen darf. Die RMS-Vorlage wird nur auf die Dateien auf Wechselmedien angewendet und nur für die Zugriffssteuerung verwendet. Azure Information Protection wird nicht tatsächlich auf die Dateien angewendet.

    Wenn Sie keine RMS-Vorlage angeben, handelt es sich um eine reguläre EFS-Datei mit einer RMS-Standardvorlage, auf die alle Benutzer zugreifen können.

  • Aus, oder nicht konfiguriert. Verhindert, dass WIP Azure Rights Management-Dateien verschlüsselt, die auf ein Wechsellaufwerk kopiert werden.

    Hinweis

    Unabhängig von dieser Einstellung werden alle Dateien in OneDrive for Business verschlüsselt, einschließlich der verschobenen bekannten Ordner.

Erlauben Sie Windows Search Indexer, verschlüsselte Dateien zu durchsuchen. Bestimmt, ob der Windows Search-Indexer verschlüsselte Elemente indizieren darf, z. B. WIP-geschützte Dateien.

  • Ein. Startet Windows Search Indexer, um verschlüsselte Dateien zu indizieren.

  • Aus, oder nicht konfiguriert. Hindert den Windows Search-Indexer an der Indizierung verschlüsselter Dateien.

Verschlüsselte Dateierweiterungen

Sie können einschränken, welche Dateien durch WIP geschützt werden, wenn sie von einer SMB-Freigabe in Ihrem Unternehmensnetzwerk heruntergeladen werden. Wenn diese Einstellung konfiguriert ist, werden nur Dateien mit den Erweiterungen in der Liste verschlüsselt. Wenn diese Einstellung nicht angegeben wird, wird das vorhandene Verhalten für die automatische Verschlüsselung angewendet.

WIP-verschlüsselte Dateierweiterungen.