Windows Information Protection (WIP)Windows Information Protection (WIP)

Hinweis Die Windows Information Protection (WIP)-Richtlinie kann auf Windows 10, Version 1607 angewendet werden.Note Windows Information Protection (WIP) policy can be applied to Windows 10, version 1607.

WIP schützt Daten, die zu einem Unternehmen gehören, indem Richtlinien durchgesetzt werden, die von dem Unternehmen definiert sind.WIP protects data that belongs to an organization by enforcing policies that are defined by the organization. Wenn Ihre App diese Richtlinien enthält, unterliegen alle Daten von der App den Richtlinien.If your app is included in those polices, all data produced by your app is subject to policy restrictions. Dieses Thema unterstützt Sie beim Erstellen von Apps, die diese Richtlinien besser durchsetzen, ohne Auswirkung auf persönliche Daten des Benutzers.This topic helps you to build apps that more gracefully enforce these policies without having any impact on the user's personal data.

Als Erstes: Was ist WIP?First, what is WIP?

WIP ist ein Satz von Features auf Desktops, Laptops, Tablets und Smartphones, welche das Mobile Device Management (MDM)-System und das System zur mobilen Anwendungsverwaltung (Mobile Application Management; MAM) des Unternehmens unterstützen.WIP is a set of features on desktops, laptops, tablets, and phones that support the organization's Mobile Device Management (MDM) and Mobile Application Management (MAM) system.

WIP kann mit MDM dem Unternehmen mehr Kontrolle darüber geben, wie Daten des Unternehmens auf Geräten, die das Unternehmen verwaltet, behandelt werden.WIP together with MDM gives the organization greater control over how its data is handled on devices that the organization manages. In einigen Fällen bringen Benutzer Geräte mit zur Arbeit und registrieren sie nicht im MDM der Organisation.Sometimes users bring devices to work and do not enroll them in the organization's MDM. In diesen Fällen können Organisationen MAM verwenden, um eine bessere Kontrolle über die Behandlung ihrer Daten in bestimmten Branchen-Apps zu erhalten, die Benutzer auf dem Gerät installieren.In those cases, organizations can use MAM to achieve greater control over how their data is handled on specific line of business apps that users install on their device.

Mit MDM oder MAM können Administratoren angeben, welche Apps auf Dateien zugreifen dürfen, die dem Unternehmen gehören, und ob Benutzer Daten aus diesen Dateien kopieren und dann in persönliche Dokumente einsetzen können.using MDM or MAM, administrators can identify which apps are allowed to access files that belong to the organization and whether users can copy data from those files and then paste that data into personal documents.

So funktioniert’s.Here's how it works. Benutzer registrieren ihre Geräte im System für Verwaltung mobiler Geräte (Mobile Device Management, MDM).Users enroll their devices into the organization's mobile device management (MDM) system. Ein Administrator im Verwaltungsunternehmen verwendet Microsoft Intune oder System Center Configuration Manager (SCCM) zur Definition einer Richtlinie und anschließender Bereitstellung auf den registrierten Geräten.An administrator in the managing organization uses Microsoft Intune or System Center Configuration Manager (SCCM) to define and then deploy a policy to the enrolled devices.

Wenn Benutzer ihre Geräte nicht registrieren müssen, verwenden Administratoren ihr MAM-System, um eine Richtlinie zu definieren und bereitzustellen, die für spezifische Apps gilt.If users aren't required to enroll their devices, administrators will use their MAM system to define and deploy a policy that applies to specific apps. Wenn Benutzer diese Apps installieren, erhalten sie die zugehörige Richtlinie.When users install any of those apps, they'll receive the associated policy.

Diese Richtlinie identifiziert die Apps, die Zugriff auf Unternehmensdaten haben dürfen (auch Liste der zugelassenen Appsder Richtlinie genannt).That policy identifies the apps that can access enterprise data (called the policy's allowed list). Diese Apps können auf geschützte Unternehmensdateien, virtuelle Private Netzwerke (VPN) und Unternehmensdaten in der Zwischenablage oder über einen Freigabe-Vertrag zugreifen.These apps can access enterprise protected files, Virtual Private Networks (VPN) and enterprise data on the clipboard or through a share contract. Die Richtlinie definiert auch die Regeln, die für die Daten gelten.The policy also defines the rules that govern the data. Beispielsweise, ob Daten von unternehmenseigenen Dateien kopiert und dann in nicht unternehmenseigene Dateien eingesetzt werden können.For example, whether data can be copied from enterprise-owned files and then pasted into non enterprise-owned files.

Wenn Benutzer die Registrierung ihres Geräts im MDM-System der Organisation aufheben oder Apps deinstallieren, die vom MAM-System der Organisation erkannt werden, können Administratoren Unternehmensdaten remote vom Gerät entfernen.If users unenroll their device from the organization's MDM system, or uninstall apps identified by the organizations MAM system, administrators can remotely wipe enterprise data from the device.

WIP-Lebenszyklus

Weitere Informationen zu WIPRead more about WIP

Wenn Ihre App auf der Liste der zugelassenen Apps steht, unterliegen alle von der App erstellten Daten den Einschränkungen der Richtlinien.If your app is on the allowed list, all data produced by your app is subject to policy restrictions. Das bedeutet: Wenn Administratoren den Zugriff des Benutzers auf Unternehmensdaten widerrufen, geht dem Benutzer der Zugriff auf alle Daten verloren, die Ihre App erstellt hat.That means that if administrators revoke the user's access to enterprise data, those users lose access to all of the data that your app produced.

Dies ist in Ordnung, wenn Ihre App nur für Unternehmen entwickelt wurde.This is fine if your app is designed only for enterprise use. Wenn Ihre App Daten erstellt, die die Benutzer als persönlich erachten, sollten Sie Ihre App optimieren, intelligent zwischen Unternehmens- und persönlichen Daten zu unterscheiden.But if your app creates data that users consider personal to them, you'll want to enlighten your app to intelligently discern between enterprise and personal data. Wir bezeichnen diese Art App unternehmensoptimiert, da sie problemlos eine Unternehmensrichtlinie durchsetzen und gleichzeitig die Integrität der persönlichen Daten des Benutzers beibehalten kann.We call this type of an app enterprise-enlightened because it can gracefully enforce enterprise policy while preserving the integrity of the user's personal data.

Erstellen Sie eine unternehmensoptimierte AppCreate an enterprise-enlightened app

Verwenden Sie WIP-APIs, um Ihre App zu optimieren und dann als unternehmensoptimiert zu deklarieren.Use WIP APIs to enlighten your app, and then declare your app as enterprise-enlightened.

Optimieren Sie Ihre App, wenn diese für Unternehmens- und persönliche Zwecke verwendet wird.Enlighten your app if it'll be used for both organizational and personal purposes.

Optimierung der App, wenn Sie das Durchsetzen der Richtlinienelemente problemlos behandeln möchten.Enlighten your app if you want to gracefully handle the enforcement of policy elements.

Beispiel: Wenn die Richtlinie Benutzern erlaubt, Unternehmensdaten in einem privaten Dokument einzusetzen, können Sie verhindern, dass Benutzer auf ein Zustimmungsdialogfeld reagieren müssen, bevor sie die Daten einsetzen können.For example, if policy allows users to paste enterprise data into a personal document, you can prevent users from having to respond to a consent dialog before they paste the data. Auf ähnliche Weise können Sie benutzerdefinierte Dialogfelder zu Informationszwecken als Antwort auf diese Art von Ereignissen darstellen.Similarly, you can present custom informational dialog boxes in response to these sorts of events.

Wenn Sie bereit sind, die App zu optimieren, sehen Sie sich eines dieser Handbücher an:If you're ready to enlighten your app, see one of these guides:

Für universelle Windows-Plattform (UWP)-apps, die Sie, indem Sie mithilfe von erstellenC#For Universal Windows Platform (UWP) apps that you build by using C#

Entwicklerhandbuch für Windows Information Protection (WIP)Windows Information Protection (WIP) developer guide.

Für Desktop-apps, die Sie erstellen mithilfe C++For Desktop apps that you build by using C++

Entwicklerhandbuch für Windows Information Protection (C++)Windows Information Protection (WIP) developer guide (C++).

Erstellen einer nicht für Unternehmen optimierten AppCreate non-enlightened enterprise app

Wenn Sie eine Branchen-App erstellen, die nicht zur privaten Verwendung vorgesehen ist, müssen Sie diese nicht optimieren.if you're creating an Line of Business (LOB) app that is not intended for personal use, you might not have to enlighten it.

Windows-Desktop-AppsWindows desktop apps

Sie müssen eine Windows-Desktop-App nicht optimieren, sollten aber Ihre App testen, um sicherzustellen, dass sie ordnungsgemäß unter der Richtlinie funktioniert.You don't need to enlighten a Windows desktop app but you should test your app to ensure that it functions properly under policy. Starten Sie beispielsweise Ihre App, verwenden Sie sie, und heben Sie dann die Registrierung des Geräts im MDM auf.For example, start your app, use it, then unenroll the device from MDM. Stellen Sie dann sicher, dass die App gestartet werden kann.Then, make sure the app can start again. Wenn für den Betrieb der App wichtige Dateien verschlüsselt werden, kann die App möglicherweise nicht gestartet werden.If files critical to the operation of the app are encrypted, the app might not start. Überprüfen Sie außerdem die Dateien, mit denen Ihre App interagiert, um sicherzustellen, dass Ihre App nicht versehentlich private Dateien des Benutzers verschlüsselt.Also, review the files that your app interacts with to ensure that your app won't inadvertently encrypt files that are personal to the user. Dies kann Metadatendateien, Bilder und andere Dinge umfassen.This might include metadata files, images and other things.

Nach dem Test Ihrer App fügen Sie der Ressourcendatei oder Ihrem Projekt dieses Kennzeichen hinzu, und kompilieren Sie die App dann neu.After you've tested your app, add this flag to the resource file or your project, and then recompile the app.

MICROSOFTEDPAUTOPROTECTIONALLOWEDAPPINFO EDPAUTOPROTECTIONALLOWEDAPPINFOID
BEGIN
    0x0001
END

Die MDM-Richtlinien erfordern zwar kein Kennzeichen, die MAM-Richtlinien allerdings schon.While MDM policies don't require the flag, MAM policies do.

UWP-AppsUWP apps

Wenn Ihre App in einer MAM-Richtlinie enthalten sein soll, müssen Sie sie optimieren.If you expect your app to be included in a MAM policy, you should enlighten it. Für Richtlinien, die für Geräte unter MDM bereitgestellt wurden, ist dies nicht erforderlich. Aber wenn Sie Ihre App an Unternehmenskunden verteilen, wird es schwierig, wenn nicht unmöglich, den Typ des verwendeten Richtlinienverwaltungssystems zu ermitteln.Policies deployed to devices under MDM won't require it, but if you distribute your app to organizational consumers, it's difficult if not impossible to determine what type of policy management system they'll use. Optimieren Sie Ihre App, um zu gewährleisten, dass Ihre App in beiden Richtlinienverwaltungssystemen (MDM und MAM) funktioniert.To ensure that your app will work in both types of policy management systems (MDM and MAM), you should enlighten your app.