CSP EnterpriseDataProtection

  • Articolo

La tabella seguente mostra l'applicabilità di Windows:

Edizione Windows 10 Windows 11
Home
Pro
Windows SE No
Lavoro
Per le aziende
Istruzione

Il provider di servizi di configurazione EnterpriseDataProtection (CSP) viene usato per configurare le impostazioni per Windows Information Protection (WIP), noto in precedenza come Protezione dei dati aziendali. Per altre informazioni su WIP, vedere Proteggere i dati aziendali usando Windows Information Protection (WIP).For more information about WIP, see Protect your enterprise data using Windows Information Protection (WIP).

Nota

A partire da luglio 2022, Microsoft sta deprecando Windows Information Protection (WIP) e le API che supportano WIP. Microsoft continuerà a supportare WIP nelle versioni supportate di Windows. Le nuove versioni di Windows non includeranno nuove funzionalità per WIP e non saranno supportate nelle versioni future di Windows. Per altre informazioni, vedere Annuncio del tramonto di Windows Information Protection.

Per le esigenze di protezione dei dati, Microsoft consiglia di usare Microsoft Purview Information Protection e Prevenzione della perdita dei dati Microsoft Purview. Purview semplifica la configurazione e offre un set avanzato di funzionalità.

Nota

Per rendere funzionale Windows Information Protection, è necessario configurare anche il CSP AppLocker e le impostazioni specifiche dell'isolamento della rete. Per altre informazioni, vedere AppLocker CSP e NetworkIsolation policies (Criteri disolazione di rete) in Policy CSP .For more information, see AppLocker CSP and NetworkIsolation policies in Policy CSP.

Anche se Windows Information Protection non ha una dipendenza rigida dalla VPN, per ottenere risultati ottimali è necessario configurare i profili VPN prima di configurare i criteri WIP. Per consigli sulle procedure consigliate per la VPN, vedere VPNv2 CSP.

Per altre informazioni su Windows Information Protection, vedere gli articoli seguenti:

Nell'esempio seguente viene illustrato il CSP EnterpriseDataProtection in formato albero.

./Device/Vendor/MSFT
EnterpriseDataProtection
----Settings
--------EDPEnforcementLevel
--------EnterpriseProtectedDomainNames
--------AllowUserDecryption
--------DataRecoveryCertificate
--------RevokeOnUnenroll
--------RMSTemplateIDForEDP
--------AllowAzureRMSForEDP
--------EDPShowIcons
----Status

./Device/Vendor/MSFT/EnterpriseDataProtection Nodo radice per il provider di servizi di configurazione.

Impostazioni Nodo radice per le impostazioni di configurazione di Windows Information Protection (WIP).

Settings/EDPEnforcementLevel Impostare il livello di imposizione WIP.

Nota

L'impostazione di questo valore non è sufficiente per abilitare Windows Information Protection nel dispositivo. I tentativi di modificare questo valore avranno esito negativo quando è in esecuzione la pulizia di WIP.

L'elenco seguente mostra i valori supportati:

  • 0 (impostazione predefinita) - Off/No protection (decrittografa i dati protetti in precedenza).
  • 1 - Modalità invisibile all'utente (solo crittografia e controllo).
  • 2 : consente la modalità di override (crittografia, richiesta e consenti sostituzioni e controllo).
  • 3: nasconde le sostituzioni (crittografa, richiede ma nasconde le sostituzioni e il controllo).

Le operazioni supportate sono Add, Get, Replace ed Delete. Il tipo di valore è un numero intero.

Settings/EnterpriseProtectedDomainNames Elenco di domini usati dall'organizzazione per le identità utente separate da pipe ("|"). Il primo dominio nell'elenco deve essere l'ID organizzazione principale, ovvero quello che rappresenta l'autorità di gestione per Windows Information Protection. Le identità utente da uno di questi domini sono considerate un account gestito dell'organizzazione e i dati associati devono essere protetti. Ad esempio, i domini per tutti gli account di posta elettronica di proprietà dell'organizzazione dovrebbero essere visualizzati in questo elenco. I tentativi di modificare questo valore avranno esito negativo quando è in esecuzione la pulizia di WIP.

La modifica dell'ID organizzazione primario non è supportata e può causare un comportamento imprevisto nel client.

Nota

Il client richiede che il nome di dominio sia canonico, in caso contrario l'impostazione verrà rifiutata dal client.

Ecco i passaggi per creare nomi di dominio canonici:

  1. Trasformare i caratteri ASCII (solo A-Z) in lettere minuscole. Ad esempio, Microsoft.COM -> microsoft.com.
  2. Chiamare IdnToAscii con IDN_USE_STD3_ASCII_RULES come flag.
  3. Chiamare IdnToUnicode senza flag impostati (dwFlags = 0).

Le operazioni supportate sono Add, Get, Replace ed Delete. Il tipo di valore è string.

Impostazioni/AllowUserDecryption Consente all'utente di decrittografare i file. Se è impostato su 0 (non consentito), l'utente non sarà in grado di rimuovere la protezione dal contenuto aziendale tramite il sistema operativo o l'esperienza utente dell'applicazione.

Importante

A partire da Windows 10 versione 1703, AllowUserDecryption non è più supportato.

L'elenco seguente mostra i valori supportati:

  • 0 - Non consentito.
  • 1 (impostazione predefinita) - Consentito.

Il valore con più restrizioni è 0.

Le operazioni supportate sono Add, Get, Replace ed Delete. Il tipo di valore è un numero intero.

Settings/DataRecoveryCertificate Specifica un certificato di ripristino che può essere usato per il ripristino dei dati dei file crittografati. Questo certificato è lo stesso del certificato dell'agente di recupero dati (DRA) per la crittografia del file system (EFS), recapitato solo tramite la gestione dei dispositivi mobili (MDM) anziché Criteri di gruppo.

Nota

Se questo criterio e l'impostazione Criteri di gruppo corrispondente sono entrambi configurati, viene applicata l'impostazione Criteri di gruppo.

Le informazioni sulla DRA dai criteri MDM devono essere un BLOB binario serializzato identico a quello previsto da Criteri di gruppo. Il BLOB binario è la versione serializzata della struttura seguente:

//
//  Recovery Policy Data Structures
//

typedef struct _RECOVERY_POLICY_HEADER {
    USHORT      MajorRevision;
    USHORT      MinorRevision;
    ULONG       RecoveryKeyCount;
} RECOVERY_POLICY_HEADER, *PRECOVERY_POLICY_HEADER;

typedef struct _RECOVERY_POLICY_1_1    {
        RECOVERY_POLICY_HEADER  RecoveryPolicyHeader;
        RECOVERY_KEY_1_1        RecoveryKeyList[1];
}   RECOVERY_POLICY_1_1, *PRECOVERY_POLICY_1_1;

#define EFS_RECOVERY_POLICY_MAJOR_REVISION_1   (1)
#define EFS_RECOVERY_POLICY_MINOR_REVISION_0   (0)

#define EFS_RECOVERY_POLICY_MINOR_REVISION_1   (1)

///////////////////////////////////////////////////////////////////////////////
//                                                                            /
//  RECOVERY_KEY Data Structure                                               /
//                                                                            /
///////////////////////////////////////////////////////////////////////////////

//
// Current format of recovery data.
//

typedef struct _RECOVERY_KEY_1_1   {
        ULONG               TotalLength;
        EFS_PUBLIC_KEY_INFO PublicKeyInfo;
} RECOVERY_KEY_1_1, *PRECOVERY_KEY_1_1;


typedef struct _EFS_PUBLIC_KEY_INFO {

    //
    // The length of this entire structure, including string data
    // appended to the end. The length should be a multiple of 8 for
    // 64 bit alignment
    //

    ULONG Length;

    //
    // Sid of owner of the public key (regardless of format).
   // This field is to be treated as a hint only.
    //

    ULONG PossibleKeyOwner;

    //
    // Contains information describing how to interpret
    // the public key information
    //

    ULONG KeySourceTag;

    union {

        struct {

            //
            // The following fields contain offsets based at the
            // beginning of the structure.  Each offset is to
            // a NULL terminated WCHAR string.
            //

            ULONG ContainerName;
            ULONG ProviderName;

            //
            // The exported public key used to encrypt the FEK.
            // This field contains an offset from the beginning of the
            // structure.
            //

            ULONG PublicKeyBlob;

            //
            // Length of the PublicKeyBlob in bytes
            //

            ULONG PublicKeyBlobLength;

        } ContainerInfo;

        struct {

            ULONG CertificateLength;       // in bytes
            ULONG Certificate;             // offset from start of structure

        } CertificateInfo;


        struct {

            ULONG ThumbprintLength;        // in bytes
            ULONG CertHashData;            // offset from start of structure

        } CertificateThumbprint;
    };



} EFS_PUBLIC_KEY_INFO, *PEFS_PUBLIC_KEY_INFO;

//
// Possible KeyTag values
//

typedef enum _PUBLIC_KEY_SOURCE_TAG {
    EfsCryptoAPIContainer = 1,
    EfsCertificate,
    EfsCertificateThumbprint
} PUBLIC_KEY_SOURCE_TAG, *PPUBLIC_KEY_SOURCE_TAG;

Per EFSCertificate KeyTag, si prevede che sia un certificato binario DER ENCODED.

Le operazioni supportate sono Add, Get, Replace ed Delete. Il tipo di valore è un certificato con codifica base 64.

Impostazioni/RevokeOnUnenroll Questo criterio controlla se revocare le chiavi di Windows Information Protection quando un dispositivo annulla la registrazione dal servizio di gestione. Se impostato su 0 (non revocare le chiavi), le chiavi non verranno revocate e l'utente continuerà ad avere accesso ai file protetti dopo l'annullamento della registrazione. Se le chiavi non vengono revocate, in un secondo momento non verrà revocata la pulizia del file. Prima di inviare il comando di annullamento della registrazione, quando si vuole che un dispositivo esegua una cancellazione selettiva quando viene annullata, è consigliabile impostare in modo esplicito questo criterio su 1.

L'elenco seguente mostra i valori supportati:

  • 0 : non revocare le chiavi.
  • 1 (impostazione predefinita) - Revocare le chiavi.

Le operazioni supportate sono Add, Get, Replace ed Delete. Il tipo di valore è un numero intero.

Settings/RevokeOnMDMHandoff Aggiunta in Windows 10 versione 1703. Questo criterio controlla se revocare le chiavi di Windows Information Protection quando un dispositivo viene aggiornato da Gestione applicazioni mobili (MAM) a MDM. Se impostato su 0 (Non revocare le chiavi), le chiavi non verranno revocate e l'utente continuerà ad avere accesso ai file protetti dopo l'aggiornamento. Questa impostazione è consigliata se il servizio MDM è configurato con lo stesso ENTERPRISEID WIP del servizio MAM.

  • 0 - Non revocare le chiavi.
  • 1 (impostazione predefinita) - Revocare le chiavi.

Le operazioni supportate sono Add, Get, Replace ed Delete. Il tipo di valore è un numero intero.

Settings/RMSTemplateIDForEDP GUID templateID da usare per la crittografia RMS (Rights Management Service). Il modello RMS consente all'amministratore IT di configurare i dettagli su chi può accedere al file protetto da RMS e per quanto tempo ha accesso.

Le operazioni supportate sono Add, Get, Replace ed Delete. Il tipo di valore è stringa (GUID).

Impostazioni/ConsentiAzureRMSForEDP Specifica se consentire la crittografia di Azure RMS per Windows Information Protection.

  • 0 (impostazione predefinita): non usare RMS.
  • 1: usare RMS.

Le operazioni supportate sono Add, Get, Replace ed Delete. Il tipo di valore è un numero intero.

Settings/SMBAutoEncryptedFileExtensions Aggiunta in Windows 10 versione 1703. Specifica un elenco di estensioni di file, in modo che i file con queste estensioni vengano crittografati durante la copia da una condivisione SMB (Server Message Block) all'interno del limite aziendale, come definito nei nodi CSP dei criteri per NetworkIsolation/EnterpriseIPRange e NetworkIsolation/EnterpriseNetworkDomainNames. Usare il punto e virgola (;) delimitatore nell'elenco. Quando questo criterio non viene specificato, viene applicato il comportamento di crittografia automatica esistente. Quando questo criterio è configurato, verranno crittografati solo i file con le estensioni nell'elenco. Le operazioni supportate sono Add, Get, Replace ed Delete. Il tipo di valore è string.

Impostazioni/EDPShowIcons Determina se le sovrimpressioni vengono aggiunte alle icone per i file protetti da WIP in Explorer e nei riquadri delle app solo aziendali nel menu Start . A partire da Windows 10, versione 1703 questa impostazione configura anche la visibilità dell'icona di Windows Information Protection nella barra del titolo di un'app protetta da WIP. L'elenco seguente mostra i valori supportati:

  • 0 (impostazione predefinita) - Nessuna sovrapposizione WIP su icone o riquadri.
  • 1 - Mostra sovrimpressioni WIP su file e app protetti che possono creare solo contenuti aziendali.

Le operazioni supportate sono Add, Get, Replace ed Delete. Il tipo di valore è un numero intero.

Stato Maschera di bit di sola lettura che indica lo stato corrente di Windows Information Protection nel dispositivo. Il servizio MDM può usare questo valore per determinare lo stato complessivo corrente di WIP. Wip è attivato solo (bit 0 = 1) se sono configurati i criteri obbligatori wip e le impostazioni di Wip AppLocker.

Valori suggeriti:

Riservato per uso futuro Impostazioni obbligatorie di WIP
Set = 1
Non impostato = 0		 Riservato per uso futuro AppLocker configurato
Sì = 1
No = 0		 WIP su = 1
WIP disattivato = 0
4 3 2 1 0

Bit 0 indica se WIP è attivato o disattivato.

Bit 1 indica se i criteri WIP di AppLocker sono impostati.

Il bit 3 indica se i criteri di Information Protection di Windows obbligatori sono configurati. Se uno o più criteri WIP obbligatori non sono configurati, il bit 3 è impostato su 0 (zero).

Ecco l'elenco dei criteri WIP obbligatori:

  • EDPEnforcementLevel in EnterpriseDataProtection CSP
  • DataRecoveryCertificate in EnterpriseDataProtection CSP
  • EnterpriseProtectedDomainNames in EnterpriseDataProtection CSP
  • NetworkIsolation/EnterpriseIPRange in Policy CSP
  • NetworkIsolation/EnterpriseNetworkDomainNames in Policy CSP

I bit 2 e 4 sono riservati per l'uso futuro.

L'operazione supportata è Get. Il tipo di valore è un numero intero.

Riferimento del provider di servizi di configurazione