CSP EnterpriseDataProtection

Il provider di servizi di configurazione EnterpriseDataProtection (CSP) viene utilizzato per configurare le impostazioni per Windows Information Protection (WIP), in precedenza noto come Enterprise Data Protection. Per ulteriori informazioni su Windows Information Protection, vedere Proteggere i dati aziendali Windows Information Protection (WIP).

Nota

Per rendere funzionante WiP, è necessario configurare anche il CSP AppLocker e le impostazioni specifiche dell'isolamento di rete. Per altre informazioni, vedi CSP AppLocker e Criteri di networkIsolation in CSP criteri.

  • Questo provider di servizi di Windows 10 versione 1607.

Anche se WIP non ha alcuna dipendenza difficile da VPN, per ottenere risultati ottimali è consigliabile configurare i profili VPN prima di configurare i criteri wip. Per suggerimenti sulle procedure consigliate per vpn, vedere VPNv2 CSP.

Per altre informazioni su WiP, vedi gli articoli seguenti:

Di seguito viene illustrato il CSP EnterpriseDataProtection in formato albero.

./Device/Vendor/MSFT
EnterpriseDataProtection
----Settings
--------EDPEnforcementLevel
--------EnterpriseProtectedDomainNames
--------AllowUserDecryption
--------RequireProtectionUnderLockConfig
--------DataRecoveryCertificate
--------RevokeOnUnenroll
--------RMSTemplateIDForEDP
--------AllowAzureRMSForEDP
--------EDPShowIcons
----Status

./Device/Vendor/MSFT/EnterpriseDataProtection
Nodo radice per il provider di servizi di configurazione.

Impostazioni
Nodo radice per le impostazioni di Windows Information Protection (WIP).

Impostazioni/EDPEnforcementLevel
Imposta il livello di imposizione wip. Tieni presente che l'impostazione di questo valore non è sufficiente per abilitare WiP nel dispositivo. I tentativi di modificare questo valore avranno esito negativo durante l'esecuzione della pulizia wip.

L'elenco seguente mostra i valori supportati:

  • 0 (impostazione predefinita): disattivato/ nessuna protezione (decrittografa i dati precedentemente protetti).
  • 1 – Modalità invisibile all'utente (solo crittografia e controllo).
  • 2 – Consenti la modalità di sostituzione (crittografa, richiedi e consenti sostituzioni e controlla).
  • 3 - Nasconde le sostituzioni (crittografa, chiedi conferma, ma nascondi sostituzioni e controlla).

Le operazioni supportate sono Add, Get, Replace ed Delete. Il tipo di valore è un numero intero.

Impostazioni/EnterpriseProtectedDomainNames
Elenco dei domini utilizzati dall'organizzazione per le identità utente separate da pipe ( " | " ). Il primo dominio dell'elenco deve essere l'ID organizzazione principale, cio? quello che rappresenta l'autorità di gestione per WiP. Le identità utente da uno di questi domini sono considerate un account gestito dell'organizzazione e i dati associati devono essere protetti. Ad esempio, i domini per tutti gli account di posta elettronica di proprietà dell'organizzazione dovrebbero comparire in questo elenco. I tentativi di modificare questo valore avranno esito negativo durante l'esecuzione della pulizia wip.

La modifica dell'ID organizzazione principale non è supportata e può causare un comportamento imprevisto nel client.

Nota

Il client richiede che il nome di dominio sia canonico, altrimenti l'impostazione verrà rifiutata dal client.

Ecco la procedura per creare nomi di dominio canonici:

  1. Trasformare i caratteri ASCII (solo A-Z) in lettere minuscole. Ad esempio, Microsoft.COM -> microsoft.com.
  2. Chiama IdnToAscii con IDN_USE_STD3_ASCII_RULES come flag.
  3. Chiama IdnToUnicode senza flag impostati (dwFlags = 0).

Le operazioni supportate sono Add, Get, Replace ed Delete. Il tipo di valore è string.

Impostazioni/AllowUserDecryption
Consente all'utente di decrittografare i file. Se è impostato su 0 (Non consentito), l'utente non sarà in grado di rimuovere la protezione dal contenuto aziendale tramite il sistema operativo o le esperienze utente dell'applicazione.

Importante

A partire Windows 10 versione 1703, AllowUserDecryption non è più supportato.

L'elenco seguente mostra i valori supportati:

  • 0 - Non consentito.
  • 1 (impostazione predefinita) - Consentito.

Il valore con più restrizioni è 0.

Le operazioni supportate sono Add, Get, Replace ed Delete. Il tipo di valore è un numero intero.

Impostazioni/RequireProtectionUnderLockConfig
Specifica se deve essere configurata la funzionalità di protezione sotto blocco (nota anche come crittografa sotto pin). Per poter applicare questo criterio, è necessario configurare un PIN nel dispositivo.

L'elenco seguente mostra i valori supportati:

  • 0 (impostazione predefinita): non obbligatorio.
  • 1 - Obbligatorio.

Il valore con più restrizioni è 1.

Il provider di servizi di configurazione controlla l'edizione corrente e il supporto hardware (TPM) e restituisce un messaggio di errore se il dispositivo non dispone dell'hardware necessario.

Nota

Questa impostazione è supportata solo in Windows 10 Mobile.

Le operazioni supportate sono Add, Get, Replace ed Delete. Il tipo di valore è un numero intero.

Impostazioni/DataRecoveryCertificate
Specifica un certificato di ripristino che può essere utilizzato per il ripristino dei dati dei file crittografati. Corrisponde al certificato dell'agente di recupero dati (DRA) per la crittografia del file system (EFS), recapitato solo tramite gestione di dispositivi mobili (MDM) anziché Criteri di gruppo.

Nota

Se questo criterio e l'impostazione di Criteri di gruppo corrispondente sono entrambi configurati, viene applicata l'impostazione di Criteri di gruppo.

Le informazioni DRA dai criteri MDM devono essere un BLOB binario serializzato identico a quello previsto da Criteri di gruppo. Il BLOB binario è la versione serializzata della struttura seguente:

//
//  Recovery Policy Data Structures
//
 
typedef struct _RECOVERY_POLICY_HEADER {
    USHORT      MajorRevision;
    USHORT      MinorRevision;
    ULONG       RecoveryKeyCount;
} RECOVERY_POLICY_HEADER, *PRECOVERY_POLICY_HEADER;
 
typedef struct _RECOVERY_POLICY_1_1    {
        RECOVERY_POLICY_HEADER  RecoveryPolicyHeader;
        RECOVERY_KEY_1_1        RecoveryKeyList[1];
}   RECOVERY_POLICY_1_1, *PRECOVERY_POLICY_1_1;
 
#define EFS_RECOVERY_POLICY_MAJOR_REVISION_1   (1)
#define EFS_RECOVERY_POLICY_MINOR_REVISION_0   (0)
 
#define EFS_RECOVERY_POLICY_MINOR_REVISION_1   (1)
 
///////////////////////////////////////////////////////////////////////////////
//                                                                            /
//  RECOVERY_KEY Data Structure                                               /
//                                                                            /
///////////////////////////////////////////////////////////////////////////////
 
//
// Current format of recovery data.
//
 
typedef struct _RECOVERY_KEY_1_1   {
        ULONG               TotalLength;
        EFS_PUBLIC_KEY_INFO PublicKeyInfo;
} RECOVERY_KEY_1_1, *PRECOVERY_KEY_1_1;
 
 
typedef struct _EFS_PUBLIC_KEY_INFO {
 
    //
    // The length of this entire structure, including string data
    // appended to the end. The length should be a multiple of 8 for
    // 64 bit alignment
    //
 
    ULONG Length;
 
    //
    // Sid of owner of the public key (regardless of format).
   // This field is to be treated as a hint only.
    //
 
    ULONG PossibleKeyOwner;
 
    //
    // Contains information describing how to interpret
    // the public key information
    //
 
    ULONG KeySourceTag;
 
    union {
 
        struct {
 
            //
            // The following fields contain offsets based at the
            // beginning of the structure.  Each offset is to
            // a NULL terminated WCHAR string.
            //
 
            ULONG ContainerName;
            ULONG ProviderName;
 
            //
            // The exported public key used to encrypt the FEK.
            // This field contains an offset from the beginning of the
            // structure.
            //
 
            ULONG PublicKeyBlob;
 
            //
            // Length of the PublicKeyBlob in bytes
            //
 
            ULONG PublicKeyBlobLength;
 
        } ContainerInfo;
 
        struct {
 
            ULONG CertificateLength;       // in bytes
            ULONG Certificate;             // offset from start of structure
 
        } CertificateInfo;
 
 
        struct {
 
            ULONG ThumbprintLength;        // in bytes
            ULONG CertHashData;            // offset from start of structure
 
        } CertificateThumbprint;
    };
 
 
 
} EFS_PUBLIC_KEY_INFO, *PEFS_PUBLIC_KEY_INFO;
 
//
// Possible KeyTag values
//
 
typedef enum _PUBLIC_KEY_SOURCE_TAG {
    EfsCryptoAPIContainer = 1,
    EfsCertificate,
    EfsCertificateThumbprint
} PUBLIC_KEY_SOURCE_TAG, *PPUBLIC_KEY_SOURCE_TAG;
 

Per EFSCertificate KeyTag, si prevede che sia un certificato binario DER ENCODED.

Le operazioni supportate sono Add, Get, Replace ed Delete. Il tipo di valore è certificato codificato in base 64.

Impostazioni/RevokeOnUnenroll
Questo criterio controlla se revocare le chiavi wip quando un dispositivo annulla la registrazione dal servizio di gestione. Se impostato su 0 (non'revocare le chiavi), le chiavi non verranno revocate e l'utente continuerà ad avere accesso ai file protetti dopo l'annullamento della registrazione. Se le chiavi non vengono revocate, in seguito non verrà revocata la pulizia dei file. Prima di inviare il comando di annullamento della registrazione, quando vuoi che un dispositivo eseere una cancellazione selettiva quando ne viene annullata la registrazione, devi impostare esplicitamente questo criterio su 1.

L'elenco seguente mostra i valori supportati:

  • 0 - Non revocare le chiavi.
  • 1 (impostazione predefinita): revoca le chiavi.

Le operazioni supportate sono Add, Get, Replace ed Delete. Il tipo di valore è un numero intero.

Impostazioni/RevokeOnMDMHandoff
Aggiunto in Windows 10, versione 1703. Questo criterio controlla se revocare le chiavi wip quando un dispositivo viene aggiornato dalla gestione delle applicazioni mobili (MAM) a MDM. Se impostato su 0 (non'revocare le chiavi), le chiavi non verranno revocate e l'utente continuerà ad avere accesso ai file protetti dopo l'aggiornamento. Questa opzione è consigliata se il servizio MDM è configurato con lo stesso ENTERPRISEID wip del servizio MAM.

  • 0 - Non revocare le chiavi
  • 1 (impostazione predefinita) - Revocare le chiavi

Le operazioni supportate sono Add, Get, Replace ed Delete. Il tipo di valore è un numero intero.

Impostazioni/RMSTemplateIDForEDP
GUID TemplateID da utilizzare per la crittografia RMS (Rights Management Service). Il modello RMS consente all'amministratore IT di configurare i dettagli su chi ha accesso al file protetto con RMS e per quanto tempo ha accesso.

Le operazioni supportate sono Add, Get, Replace ed Delete. Il tipo di valore è string (GUID).

Impostazioni/AllowAzureRMSForEDP
Specifica se consentire la crittografia di Azure RMS per Wi-Fi.

  • 0 (impostazione predefinita): non utilizzare RMS.
  • 1 - Utilizzare RMS.

Le operazioni supportate sono Add, Get, Replace ed Delete. Il tipo di valore è un numero intero.

Impostazioni/SMBAutoEncryptedFileExtensions
Aggiunto in Windows 10, versione 1703. Specifica un elenco di estensioni di file, in modo che i file con queste estensioni siano crittografati durante la copia da una condivisione SMB (Server Message Block) all'interno del limite aziendale, come definito nei nodi CSP Criteri per NetworkIsolation/EnterpriseIPRange e NetworkIsolation/EnterpriseNetworkDomainNames. Utilizzare il punto e virgola (;) delimitatore nell'elenco. Quando questo criterio non viene specificato, viene applicato il comportamento di crittografia automatica esistente. Quando questo criterio è configurato, verranno crittografati solo i file con le estensioni nell'elenco. Le operazioni supportate sono Add, Get, Replace ed Delete. Il tipo di valore è string.

Impostazioni/EDPShowIcons
Determina se le sovrimpressione vengono aggiunte alle icone per i file protetti da WiP in Esplora risorse e solo i riquadri dell'app enterprise nel menu Start. A partire Windows 10 versione 1703, questa impostazione configura anche la visibilità dell'icona wip nella barra del titolo di un'app protetta da WiP. L'elenco seguente mostra i valori supportati:

  • 0 (impostazione predefinita): nessuna sovrimpressione WIP su icone o riquadri.
  • 1 - Mostra sovrimpressione WIP su file e app protetti che possono creare solo contenuto aziendale.

Le operazioni supportate sono Add, Get, Replace ed Delete. Il tipo di valore è un numero intero.

Stato
Maschera di bit di sola lettura che indica lo stato corrente di WiP nel dispositivo. Il servizio MDM può usare questo valore per determinare lo stato complessivo corrente di Windows 2000. WiP è attivato solo (bit 0 = 1) se sono configurati i criteri obbligatori di WiP e le impostazioni di AppLocker di WiP.

Valori suggeriti:

Riservato per uso futuro

Impostazioni obbligatorie wip

Set = 1

Non impostato = 0

Riservato per uso futuro

AppLocker configurato

Sì = 1

No = 0

WiP su = 1

WiP disattivato = 0

4

3

2

1

0

Il bit 0 indica se WiP è disattivato o disattivato.

Il bit 1 indica se sono impostati i criteri wip di AppLocker.

Il bit 3 indica se i criteri wip obbligatori sono configurati. Se uno o più criteri wip obbligatori non sono configurati, il bit 3 viene impostato su 0 (zero).

Ecco''elenco dei criteri WIP obbligatori:

  • EDPEnforcementLevel nel CSP EnterpriseDataProtection
  • DataRecoveryCertificate nel CSP EnterpriseDataProtection
  • EnterpriseProtectedDomainNames nel CSP EnterpriseDataProtection
  • NetworkIsolation/EnterpriseIPRange nel CSP criteri
  • NetworkIsolation/EnterpriseNetworkDomainNames nel CSP Criteri

I bit 2 e 4 sono riservati per utilizzi futuri.

L'operazione supportata è Get. Il tipo di valore è un numero intero.