Deaktivieren von Windows Information Protection (WIP)

  • Artikel

Hinweis

Ab Juli 2022 wird Windows Information Protection (WIP) von Microsoft eingestellt. Microsoft unterstützt WIP weiterhin auf unterstützten Versionen von Windows. Neue Versionen von Windows enthalten keine neuen Funktionen für WIP und werden in zukünftigen Versionen von Windows nicht unterstützt. Weitere Informationen finden Sie unter Ankündigung des Sonnenuntergangs von Windows Information Protection.

Für Ihre Datenschutzanforderungen empfiehlt Microsoft, Microsoft Purview Information Protection und Microsoft Purview Data Loss Prevention zu verwenden. Purview vereinfacht die Einrichtung der Konfiguration und bietet erweiterte Funktionen.

Gilt für:

  • Windows 10
  • Windows 11

Verwenden von Intune zum Deaktivieren von WIP

Um Windows Information Protection (WIP) mit Intune zu deaktivieren, haben Sie die folgenden Optionen:

Option 1: Aufheben der Zuweisung der WIP-Richtlinie (bevorzugt)

Wenn Sie die Zuweisung einer vorhandenen Richtlinie aufheben, wird die Absicht, WIP von diesen Geräten bereitzustellen, entfernt. Wenn diese Absicht entfernt wird, entfernt das Gerät den Schutz für Dateien und die Konfiguration für WIP. Weitere Informationen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen in Microsoft Intune.

Option 2: Ändern der aktuellen WIP-Richtlinie in "Aus"

Wenn Sie derzeit eine WIP-Richtlinie für registrierte oder nicht registrierte Geräte bereitstellen, setzen Sie die WIP-Richtlinie auf Aus. Wenn Geräte nach dieser Änderung eingecheckt werden, heben die Geräte den Schutz von Dateien auf, die zuvor durch WIP geschützt wurden.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.
  2. Öffnen Sie Microsoft Intune, und wählen Sie Apps>App-Schutz Richtlinien aus.
  3. Wählen Sie die vorhandene Richtlinie aus, um sie zu deaktivieren, und wählen Sie dann Eigenschaften aus.
  4. Bearbeiten Sie Erforderliche Einstellungen. Intune Eigenschaften der App-Schutzrichtlinie, erforderliche Einstellungen, mit WIP-Modus Aus.
  5. Legen Sie den Windows Information Protection-Modus auf Aus fest.
  6. Nachdem Sie diese Änderung vorgenommen haben, wählen Sie Überprüfen und Speichern aus.
  7. Wählen Sie Speichern.

Hinweis

Eine weitere Möglichkeit besteht darin, eine Deaktivierungsrichtlinie zu erstellen, die WIP auf Aus festlegt.

Sie können eine separate Deaktivierungsrichtlinie für WIP (sowohl registriert als auch nicht registriert) erstellen und in einer neuen Gruppe bereitstellen. Anschließend können Sie den Übergang in diesen deaktivierten Zustand stufen. Verschieben Sie Geräte aus der vorhandenen Gruppe in die neue Gruppe. Bei diesem Prozess werden Geräte langsam und nicht alle gleichzeitig migriert.

Widerrufen lokaler Verschlüsselungsschlüssel während der Aufhebung der Registrierung

Bestimmen Sie, ob die lokalen Verschlüsselungsschlüssel eines Benutzers von einem Gerät widerrufen werden sollen, wenn die Registrierung bei Windows Information Protection aufgehoben wird. Wenn die Verschlüsselungsschlüssel widerrufen werden, kann ein Benutzer nicht mehr auf verschlüsselte Unternehmensdaten zugreifen. Die Optionen sind:

  • Ja, oder nicht konfiguriert. Die lokalen Verschlüsselungsschlüssel werden während der Aufhebung der Registrierung von einem Gerät widerrufen.
  • Nein (empfohlen). Das Widerrufen lokaler Verschlüsselungsschlüssel von einem Gerät während der Aufhebung der Registrierung wird beendet.

Verwenden von Configuration Manager zum Deaktivieren von WIP

Um Windows Information Protection (WIP) mit Configuration Manager zu deaktivieren, erstellen Sie ein neues Konfigurationselement, das WIP deaktiviert. Konfigurieren Sie das neue Objekt für Ihre Umgebung so, dass es mit der vorhandenen Richtlinie übereinstimmt, mit Ausnahme der Deaktivierung von WIP. Stellen Sie dann die neue Richtlinie bereit, und verschieben Sie Geräte in die neue Sammlung.

Warnung

Löschen Sie nicht nur Ihre vorhandene WIP-Richtlinie. Wenn Sie die alte Richtlinie löschen, Configuration Manager das Senden weiterer WIP-Richtlinienupdates beendet, wip aber auch auf den Geräten erzwungen wird. Um WIP von Ihren verwalteten Geräten zu entfernen, führen Sie die Schritte in diesem Abschnitt aus, um eine neue Richtlinie zum Deaktivieren von WIP zu erstellen.

Erstellen einer WIP-Richtlinie

Um WIP für Ihre organization zu deaktivieren, erstellen Sie zunächst ein Konfigurationselement.

  1. Öffnen Sie die Configuration Manager Konsole, wählen Sie den Knoten Bestand und Kompatibilität aus, erweitern Sie den Knoten Übersicht, erweitern Sie den Knoten Kompatibilitätseinstellungen, und erweitern Sie dann den Knoten Konfigurationselemente.

  2. Wählen Sie die Schaltfläche Konfigurationselement erstellen aus. Der Assistent zum Erstellen von Konfigurationselementen wird gestartet.

    Assistent zum Erstellen von Konfigurationselementen, definieren Sie das Konfigurationselement, und wählen Sie den Konfigurationstyp aus.

  3. Geben Sie auf dem Bildschirm Allgemeine Informationeneinen Namen (erforderlich) und eine optionale Beschreibung für die Richtlinie in die Felder Name und Beschreibung ein.

  4. Wählen Sie im Bereich Geben Sie den Typ des Konfigurationselements an, das Sie erstellen möchten die Option Windows 10 oder höher für Geräte aus, die mit dem Configuration Manager Client verwaltet werden, und wählen Sie dann Weiter aus.

  5. Wählen Sie auf dem Bildschirm Unterstützte Plattformen das Kontrollkästchen Windows 10 und dann Weiter aus.

  6. Wählen Sie auf dem Bildschirm Geräteeinstellungendie Option Windows Information Protection und dann Weiter aus.

Die Seite Configure Windows Information Protection settings wird angezeigt. Hier konfigurieren Sie die Richtlinie für Ihre Organisation. Die folgenden Abschnitte enthalten Details zu den erforderlichen Einstellungen auf dieser Seite.

Tipp

Weitere Informationen zum Ausfüllen der erforderlichen Felder finden Sie unter Erstellen und Bereitstellen einer Windows Information Protection-Richtlinie (WIP) mit Microsoft Configuration Manager.

Deaktivieren von WIP

Wählen Sie unter den vier Optionen zum Angeben des Einschränkungsmodus Die Option Aus aus, um Windows Information Protection zu deaktivieren.

Assistent zum Erstellen von Konfigurationselementen, wählen Sie Ihre WIP-Schutzebene aus.

Angeben der Unternehmensidentität

Fügen Sie den Wert Ihrer Unternehmensidentität in das Feld Unternehmensidentität ein. Beispiel: contoso.com oder contoso.com|newcontoso.com

Assistent zum Erstellen von Konfigurationselementen, Hinzufügen der primären Internetdomäne für Ihre Unternehmensidentität.

Wichtig

Dieser Unternehmensidentitätswert muss mit der Zeichenfolge in der ursprünglichen Richtlinie übereinstimmen. Kopieren Sie die Zeichenfolge aus Ihrer ursprünglichen Richtlinie, die WIP aktiviert, und fügen Sie sie ein.

Angeben der Unternehmensnetzwerkdefinition

Wählen Sie für die Definition Unternehmensnetzwerkdie Option Hinzufügen aus, um die erforderlichen Netzwerkstandorte anzugeben. Das Feld Unternehmensnetzwerkdefinition hinzufügen oder bearbeiten wird angezeigt. Fügen Sie die erforderlichen Felder hinzu.

Wichtig

Diese Unternehmensnetzwerkdefinitionen müssen mit der ursprünglichen Richtlinie übereinstimmen. Kopieren Sie die Zeichenfolgen aus Ihrer ursprünglichen Richtlinie, die WIP aktiviert, und fügen Sie sie ein.

Angeben des Datenwiederherstellungs-Agent-Zertifikats

Wählen Sie im erforderlichen Feld Datenwiederherstellungs-Agent-Zertifikat (DRA) hochladen, um die Wiederherstellung verschlüsselter Daten zu ermöglichen die Option Durchsuchen aus, um ihrer Richtlinie ein Datenwiederherstellungszertifikat hinzuzufügen. Dieses Zertifikat sollte mit der ursprünglichen Richtlinie identisch sein, die WIP aktiviert.

Assistent zum Erstellen von Konfigurationselementen, Hinzufügen eines DRA-Zertifikats (Data Recovery Agent).

Bereitstellen der WIP-Richtlinie

Nachdem Sie die neue Richtlinie zum Deaktivieren von WIP erstellt haben, stellen Sie sie auf den Geräten Ihres organization bereit. Weitere Informationen zu Bereitstellungsoptionen finden Sie in den folgenden Artikeln: