EnterpriseDataProtection CSP

En la tabla siguiente se muestra la aplicabilidad de Windows:

Edición Windows10 Windows11
Inicio
Pro
WindowsSE No
Negocios
Empresa
Educación

El proveedor de servicios de configuración (CSP) EnterpriseDataProtection se usa para configurar los valores de Windows Information Protection (WIP), anteriormente conocido como Enterprise Data Protection. Para obtener más información sobre WIP, consulte Protección de los datos empresariales mediante Windows Information Protection (WIP).

Nota

Para que Windows Information Protection sea funcional, también deben configurarse el CSP de AppLocker y la configuración específica del aislamiento de red. Para obtener más información, vea CSP de AppLocker y Directivas de networkIsolation en CSP de directivas.

Aunque Windows Information Protection no tiene ninguna dependencia rígida de VPN, para obtener mejores resultados, primero debe configurar los perfiles de VPN antes de configurar las directivas de WIP. Para obtener recomendaciones de procedimientos recomendados de VPN, consulte CSP de VPNv2.

Para obtener más información sobre Windows Information Protection, consulte los artículos siguientes:

En el ejemplo siguiente se muestra el CSP EnterpriseDataProtection en formato de árbol.

./Device/Vendor/MSFT
EnterpriseDataProtection
----Settings
--------EDPEnforcementLevel
--------EnterpriseProtectedDomainNames
--------AllowUserDecryption
--------DataRecoveryCertificate
--------RevokeOnUnenroll
--------RMSTemplateIDForEDP
--------AllowAzureRMSForEDP
--------EDPShowIcons
----Status

./Device/Vendor/MSFT/EnterpriseDataProtection
Nodo raíz del CSP.

Configuración
Nodo raíz de la configuración de Windows Information Protection (WIP).

Settings/EDPEnforcementLevel
Establezca el nivel de cumplimiento de WIP.

Nota

Establecer este valor no es suficiente para habilitar Windows Information Protection en el dispositivo. Los intentos de cambiar este valor producirán un error cuando se ejecute la limpieza de WIP.

La siguiente lista muestra los valores permitidos:

  • 0 (valor predeterminado): desactivado o sin protección (descifra los datos protegidos previamente).
  • 1– Modo silencioso (solo cifrar y auditar).
  • 2: permitir el modo de invalidación (cifrar, solicitar y permitir invalidaciones y auditoría).
  • 3: oculta las invalidaciones (cifrar, preguntar, ocultar invalidaciones y auditoría).

Las operaciones admitidas son Agregar, Obtener, Reemplazar y Eliminar. El tipo de valor es entero.

Configuración/EnterpriseProtectedDomainNames
Lista de dominios utilizados por la empresa para sus identidades de usuario separadas por canalizaciones ("|"). El primer dominio de la lista debe ser el identificador de empresa principal, es decir, el que representa la autoridad de administración de Windows Information Protection. Las identidades de los usuario de uno de estos dominios se consideran cuentas administradas por la empresa y los datos asociados con ellas deben protegerse. Por ejemplo, se espera que los dominios de todas las cuentas de correo electrónico propiedad de la empresa aparezcan en esta lista. Los intentos de cambiar este valor producirán un error cuando se ejecute la limpieza de WIP.

No se admite el cambio del identificador de empresa principal y puede provocar un comportamiento inesperado en el cliente.

Nota

El cliente requiere que el nombre de dominio sea canónico; de lo contrario, el cliente rechazará la configuración.

Estos son los pasos para crear nombres de dominio canónicos:

  1. Transforme los caracteres ASCII (solo A-Z) en minúsculas. Por ejemplo, Microsoft.COM -> microsoft.com.
  2. Llame a IdnToAscii con IDN_USE_STD3_ASCII_RULES como marcas.
  3. Llame a IdnToUnicode sin establecer marcas (dwFlags = 0).

Las operaciones admitidas son Agregar, Obtener, Reemplazar y Eliminar. El tipo de valor es cadena.

Configuración/AllowUserDecryption
Permite al usuario descifrar archivos. Si se establece en 0 (no permitido), el usuario no podrá quitar la protección del contenido empresarial a través del sistema operativo o las experiencias del usuario de la aplicación.

Importante

A partir de Windows 10, versión 1703, AllowUserDecryption ya no se admite.

La siguiente lista muestra los valores permitidos:

  • 0: No admitido.
  • 1: (valor predeterminado): permitido.

El valor de mayor restricción es 0.

Las operaciones admitidas son Agregar, Obtener, Reemplazar y Eliminar. El tipo de valor es entero.

Configuración/DataRecoveryCertificate
Especifica un certificado de recuperación que se puede usar para la recuperación de datos de archivos cifrados. Este certificado es el mismo que el certificado del agente de recuperación de datos (DRA) para cifrar el sistema de archivos (EFS), que solo se entrega a través de la administración de dispositivos móviles (MDM) en lugar de la directiva de grupo.

Nota

Si esta directiva y la configuración de directiva de grupo correspondiente están configuradas, se aplica la configuración de directiva de grupo.

La información dra de la directiva MDM debe ser un blob binario serializado idéntico a lo que esperamos de GP. El blob binario es la versión serializada de la siguiente estructura:

//
//  Recovery Policy Data Structures
//
 
typedef struct _RECOVERY_POLICY_HEADER {
    USHORT      MajorRevision;
    USHORT      MinorRevision;
    ULONG       RecoveryKeyCount;
} RECOVERY_POLICY_HEADER, *PRECOVERY_POLICY_HEADER;
 
typedef struct _RECOVERY_POLICY_1_1    {
        RECOVERY_POLICY_HEADER  RecoveryPolicyHeader;
        RECOVERY_KEY_1_1        RecoveryKeyList[1];
}   RECOVERY_POLICY_1_1, *PRECOVERY_POLICY_1_1;
 
#define EFS_RECOVERY_POLICY_MAJOR_REVISION_1   (1)
#define EFS_RECOVERY_POLICY_MINOR_REVISION_0   (0)
 
#define EFS_RECOVERY_POLICY_MINOR_REVISION_1   (1)
 
///////////////////////////////////////////////////////////////////////////////
//                                                                            /
//  RECOVERY_KEY Data Structure                                               /
//                                                                            /
///////////////////////////////////////////////////////////////////////////////
 
//
// Current format of recovery data.
//
 
typedef struct _RECOVERY_KEY_1_1   {
        ULONG               TotalLength;
        EFS_PUBLIC_KEY_INFO PublicKeyInfo;
} RECOVERY_KEY_1_1, *PRECOVERY_KEY_1_1;
 
 
typedef struct _EFS_PUBLIC_KEY_INFO {
 
    //
    // The length of this entire structure, including string data
    // appended to the end. The length should be a multiple of 8 for
    // 64 bit alignment
    //
 
    ULONG Length;
 
    //
    // Sid of owner of the public key (regardless of format).
   // This field is to be treated as a hint only.
    //
 
    ULONG PossibleKeyOwner;
 
    //
    // Contains information describing how to interpret
    // the public key information
    //
 
    ULONG KeySourceTag;
 
    union {
 
        struct {
 
            //
            // The following fields contain offsets based at the
            // beginning of the structure.  Each offset is to
            // a NULL terminated WCHAR string.
            //
 
            ULONG ContainerName;
            ULONG ProviderName;
 
            //
            // The exported public key used to encrypt the FEK.
            // This field contains an offset from the beginning of the
            // structure.
            //
 
            ULONG PublicKeyBlob;
 
            //
            // Length of the PublicKeyBlob in bytes
            //
 
            ULONG PublicKeyBlobLength;
 
        } ContainerInfo;
 
        struct {
 
            ULONG CertificateLength;       // in bytes
            ULONG Certificate;             // offset from start of structure
 
        } CertificateInfo;
 
 
        struct {
 
            ULONG ThumbprintLength;        // in bytes
            ULONG CertHashData;            // offset from start of structure
 
        } CertificateThumbprint;
    };
 
 
 
} EFS_PUBLIC_KEY_INFO, *PEFS_PUBLIC_KEY_INFO;
 
//
// Possible KeyTag values
//
 
typedef enum _PUBLIC_KEY_SOURCE_TAG {
    EfsCryptoAPIContainer = 1,
    EfsCertificate,
    EfsCertificateThumbprint
} PUBLIC_KEY_SOURCE_TAG, *PPUBLIC_KEY_SOURCE_TAG;

Para EFSCertificate KeyTag, se espera que sea un certificado binario CODIFICADO DER.

Las operaciones admitidas son Agregar, Obtener, Reemplazar y Eliminar. El tipo de valor es un certificado codificado en base 64.

Configuración/RevokeOnUnenroll
Esta directiva controla si se revocan las claves de Windows Information Protection cuando un dispositivo se anula la inscripción del servicio de administración. Si se establece en 0 (No revocar claves), las claves no se revocarán y el usuario seguirá teniendo acceso a los archivos protegidos después de anular la inscripción. Si no se revocan las claves, no habrá limpieza de archivos revocada más adelante. Antes de enviar el comando de anulación de la inscripción, cuando desee que un dispositivo realice un borrado selectivo cuando no esté inscrito, debe establecer explícitamente esta directiva en 1.

La siguiente lista muestra los valores permitidos:

  • 0: no revoque las claves.
  • 1 (valor predeterminado): revoca las claves.

Las operaciones admitidas son Agregar, Obtener, Reemplazar y Eliminar. El tipo de valor es entero.

Configuración/RevokeOnMDMHandoff
Agregado en Windows 10, versión 1703. Esta directiva controla si se revocan las claves de Windows Information Protection cuando un dispositivo se actualiza de la administración de aplicaciones móviles (MAM) a MDM. Si se establece en 0 (No revocar claves), las claves no se revocarán y el usuario seguirá teniendo acceso a los archivos protegidos después de la actualización. Esta configuración se recomienda si el servicio MDM está configurado con el mismo WIP EnterpriseID que el servicio MAM.

  • 0: no revoque claves.
  • 1 (valor predeterminado): revoca las claves.

Las operaciones admitidas son Agregar, Obtener, Reemplazar y Eliminar. El tipo de valor es entero.

Settings/RMSTemplateIDForEDP
GUID de TemplateID que se usará para el cifrado de Rights Management Service (RMS). La plantilla RMS permite al administrador de TI configurar los detalles sobre quién tiene acceso al archivo protegido por RMS y cuánto tiempo tienen acceso.

Las operaciones admitidas son Agregar, Obtener, Reemplazar y Eliminar. El tipo de valor es string (GUID).

Configuración/PermitirAzureRMSForEDP
Especifica si se va a permitir el cifrado de Azure RMS para Windows Information Protection.

  • 0 (valor predeterminado): no use RMS.
  • 1 : use RMS.

Las operaciones admitidas son Agregar, Obtener, Reemplazar y Eliminar. El tipo de valor es entero.

Settings/SMBAutoEncryptedFileExtensions
Agregado en Windows 10, versión 1703. Especifica una lista de extensiones de archivo, de modo que los archivos con estas extensiones se cifran al copiar desde un recurso compartido de bloque de mensajes de servidor (SMB) dentro del límite corporativo tal como se define en los nodos CSP de directiva para NetworkIsolation/EnterpriseIPRange y NetworkIsolation/EnterpriseNetworkDomainNames. Usar punto y coma (;) delimitador de la lista. Cuando no se especifica esta directiva, se aplica el comportamiento de cifrado automático existente. Cuando se configura esta directiva, solo se cifrarán los archivos con las extensiones de la lista. Las operaciones admitidas son Agregar, Obtener, Reemplazar y Eliminar. El tipo de valor es cadena.

Settings/EDPShowIcons
Determina si las superposiciones se agregan a iconos para archivos protegidos por WIP en el Explorador y solo iconos de aplicaciones empresariales en el menú Inicio . A partir de Windows 10, versión 1703, esta configuración también configura la visibilidad del icono de Windows Information Protection en la barra de título de una aplicación protegida por WIP. La siguiente lista muestra los valores permitidos:

  • 0 (valor predeterminado): no hay superposiciones WIP en iconos o iconos.
  • 1- Mostrar superposiciones WIP en archivos protegidos y aplicaciones que solo pueden crear contenido empresarial.

Las operaciones admitidas son Agregar, Obtener, Reemplazar y Eliminar. El tipo de valor es entero.

Estado
Máscara de solo lectura que indica el estado actual de Windows Information Protection en el dispositivo. El servicio MDM puede usar este valor para determinar el estado general actual de WIP. WIP solo está activado (bit 0 = 1) si se configuran las directivas obligatorias de WIP y la configuración de APPLocker de WIP.

Valores sugeridos:

Reservado para uso futuro Configuración obligatoria de WIP
Set = 1
No establecido = 0
Reservado para uso futuro AppLocker configurado
Sí = 1
No = 0
WIP en = 1
WIP off = 0
4 3 2 1 0

Bit 0 indica si WIP está activado o desactivado.

Bit 1 indica si se han establecido directivas WIP de AppLocker.

Bit 3 indica si están configuradas las directivas obligatorias de Windows Information Protection. Si no se configuran una o varias directivas WIP obligatorias, el bit 3 se establece en 0 (cero).

Esta es la lista de directivas WIP obligatorias:

  • EDPEnforcementLevel en ENTERPRISEDataProtection CSP
  • DataRecoveryCertificate en ENTERPRISEDataProtection CSP
  • EnterpriseProtectedDomainNames en ENTERPRISEDataProtection CSP
  • NetworkIsolation/EnterpriseIPRange en CSP de directiva
  • NetworkIsolation/EnterpriseNetworkDomainNames en CSP de directiva

Los bits 2 y 4 se reservan para su uso futuro.

La operación admitida es Obtener. El tipo de valor es entero.

Temas relacionados

Referencia de proveedor de servicios de configuración