Tworzenie i wdrażanie zasad ochrony aplikacji w funkcji Windows Information Protection (WIP) za pomocą usługi IntuneCreate and deploy Windows Information Protection (WIP) app protection policy with Intune

Dotyczy: usługa IntuneApplies to: Intune
Ten temat dotyczy usługi Intune zarówno w witrynie Azure Portal, jak i w portalu klasycznym.This topic applies to Intune in both the Azure portal and the classic portal.

Począwszy od usługi Intune w wersji 1704, można używać zasad ochrony aplikacji z systemem Windows 10 w ramach scenariusza zarządzania aplikacjami mobilnymi (MAM) bez rejestracji.Beginning with Intune 1704 release, you can use app protection policies with Windows 10 in the mobile application management (MAM) without enrollment scenario.

Przed rozpoczęciemBefore you begin

Omówmy kilka założeń dotyczących dodawania zasad funkcji WIP.Let’s talk about a few concepts when adding a WIP policy.

Lista aplikacji dozwolonych i wykluczonychList of Allowed and Exempt apps

  • Dozwolone aplikacje: są to aplikacje, które muszą stosować się do tych zasad.Allowed apps: These are the apps that need to adhere to this policy.

  • Wykluczone aplikacje: te aplikacje nie podlegają tym zasadom i mogą uzyskiwać dostęp do danych firmowych bez ograniczeń.Exempt apps: These apps are exempt from this policy and can access corporate data without restrictions.

Typy aplikacjiTypes of apps

  • Zalecane aplikacje: wstępnie wypełniona lista aplikacji (przede wszystkim pakietu Microsoft Office), którą administratorzy mogą łatwo zaimportować do zasad.Recommended apps: a pre-populated list of (mostly Microsoft Office) apps that allow admins easily import into policy.

  • Aplikacje ze sklepu: administrator może dodać do zasad dowolną aplikację ze sklepu Windows.Store apps: Admin can add any app from the Windows store to policy.

  • Aplikacje klasyczne systemu Windows: administrator może dodać do zasad dowolne aplikacje klasyczne systemu Windows (np. plik exe, dll itd.).Windows desktop apps: Admin can add any traditional Windows desktop apps to the policy (e.g. exe, dll, etc.)

Wymagania wstępnePre-requisites

Aby można było utworzyć zasady ochrony aplikacji w funkcji WIP, trzeba skonfigurować dostawcę usług MAM.You need to configure the MAM provider before you can create a WIP app protection policy.

Ponadto wymagane są następujące elementy:Additionally, you need to have the following:

Ważne

Funkcja WIP nie obsługuje wielu tożsamości, jednorazowo może istnieć tylko jedna zarządzana tożsamość.WIP does not support multi-identity, only one managed identity can exist at a time.

Aby dodać zasady funkcji WIPTo add a WIP policy

Po skonfigurowaniu usługi Intune w organizacji można utworzyć zasady dotyczące funkcji WIP za pośrednictwem witryny Azure Portal.After you set up Intune in your organization, you can create a WIP-specific policy through the Azure portal.

  1. Przejdź do pulpitu nawigacyjnego zarządzania aplikacjami mobilnymi usługi Intune, wybierz pozycję Wszystkie ustawienia, a następnie pozycję Zasady aplikacji.Go to the Intune mobile application management dashboard, choose All settings, and then choose App policy.

  2. W bloku Zasady aplikacji wybierz pozycję Dodaj zasady, następnie wprowadź następujące wartości:In the App policy blade, choose Add a policy, then enter the following values:

    a.a. Nazwa:wpisz nazwę (wymaganą) dla nowych zasad.Name: Type a name (required) for your new policy.

    b.b. Opis: wpisz opcjonalny opis.Description: Type an optional description.

    c.c. Platforma: wybierz Windows 10 jako obsługiwaną platformę dla zasad ochrony aplikacji.Platform: Choose Windows 10 as the supported platform for your app protection policy.

    d.d. Stan rejestracji: wybierz Bez rejestracji jako stan rejestracji dla zasad.Enrollment state: Choose Without enrollment as the enrollment state for your policy.

  3. Wybierz pozycję Utwórz.Choose Create. Zasady zostaną utworzone i pojawią się w tabeli w bloku Zasady aplikacji.The policy is created and appears in the table on the App Policy blade.

  1. W bloku Zasady aplikacji wybierz nazwę swoich zasad, a następnie wybierz pozycję Dozwolone aplikacje w bloku Dodaj zasady.From the App policy blade, choose the name of your policy, then choose Allowed apps from the Add a policy blade. Zostanie otwarty blok Dozwolone aplikacje zawierający wszystkie aplikacje, które zostały już dołączone do listy dla tych zasad ochrony aplikacji.The Allowed apps blade opens, showing you all apps that are already included in the list for this app protection policy.

  2. W bloku Dozwolone aplikacje wybierz pozycję Dodaj aplikacje.From the Allowed apps blade, choose Add apps. Zostanie otwarty blok Dodaj aplikacje zawierający wszystkie aplikacje należące do tej listy.The Add apps blade opens, showing you all apps that are part of this list.

  3. Wybierz każdą aplikację, która ma uzyskiwać dostęp do danych firmowych, a następnie wybierz przycisk OK.Select each app you want to access your corporate data, and then choose OK. Blok Dozwolone aplikacje zostanie zaktualizowany i będzie zawierać wszystkie wybrane aplikacje.The Allowed apps blade gets updated showing you all selected apps.

Dodawanie aplikacji ze Sklepu do listy Dozwolone aplikacjeAdd a Store app to your Allowed apps list

Aby dodać aplikację ze SklepuTo add a Store app

  1. W bloku Zasady aplikacji wybierz nazwę zasad, następnie wybierz pozycję Dozwolone aplikacje z wyświetlonego menu, które zawiera wszystkie aplikacje dołączone już do listy dla tych zasad ochrony aplikacji.From the App policy blade, choose the name of your policy, then choose Allowed apps from the menu that appears showing all apps that are already included in the list for this app protection policy.

  2. W bloku Dozwolone aplikacje wybierz pozycję Dodaj aplikacje.From the Allowed apps blade, choose Add apps.

  3. W bloku Dodaj aplikacje z listy rozwijanej wybierz pozycję Aplikacje ze Sklepu.On the Add apps blade, choose Store apps from the dropdown list. Blok zostanie zmieniony, aby udostępnić pola umożliwiające dodanie wydawcy oraz nazwy aplikacji.The blade changes to show boxes for you to add a publisher and app name.

  4. Wpisz nazwę aplikacji i nazwę jej wydawcy, a następnie wybierz przycisk OK.Type the name of the app and the name of its publisher, and then choose OK.

    Porada

    Oto przykład aplikacji, dla której Wydawca to CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US, a nazwa produktu to Microsoft.MicrosoftAppForWindows.Here’s an app example, where the Publisher is CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US and the Product name is Microsoft.MicrosoftAppForWindows.

  5. Po wprowadzeniu informacji w polach wybierz przycisk OK, aby dodać aplikację do listy Dozwolone aplikacje.After you’ve entered the info into the fields, choose OK to add the app to your Allowed apps list.

Uwaga

Aby równocześnie dodać wiele aplikacji ze Sklepu, można kliknąć menu (...) na końcu wiersza aplikacji, a następnie kontynuować dodawanie dalszych aplikacji.To add multiple Store apps at the same time, you can click the menu (…) at the end of the app row, then continue to add more apps. Po zakończeniu tych czynności wybierz przycisk OK.Once you’re done, choose OK.

Dodawanie aplikacji klasycznej do listy Dozwolone aplikacjeAdd a Desktop app to your Allowed apps list

Aby dodać aplikację klasycznąTo add a Desktop app

  1. W bloku Zasady aplikacji wybierz nazwę swoich zasad, a następnie wybierz pozycję Dozwolone aplikacje.From the App policy blade, choose the name of your policy, and then choose Allowed apps. Zostanie otwarty blok Dozwolone aplikacje zawierający wszystkie aplikacje, które zostały już dołączone do listy dla tych zasad ochrony aplikacji.The Allowed apps blade opens showing you all apps that are already included in the list for this app protection policy.

  2. W bloku Dozwolone aplikacje wybierz pozycję Dodaj aplikacje.From the Allowed apps blade, choose Add apps.

  3. W bloku Dodaj aplikacje z listy rozwijanej wybierz pozycję Aplikacje klasyczne.On the Add apps blade, choose Desktop apps from the drop-down list.

  4. Po wprowadzeniu informacji w polach wybierz przycisk OK, aby dodać aplikację do listy Dozwolone aplikacje.After you entered the info into the fields, choose OK to add the app to your Allowed apps list.

Uwaga

Aby równocześnie dodać wiele aplikacji klasycznych, można kliknąć menu (...) na końcu wiersza aplikacji, a następnie kontynuować dodawanie dalszych aplikacji.To add multiple Desktop apps at the same time, you can click the menu (…) at the end of the app row, then continue to add more apps. Po zakończeniu tych czynności wybierz przycisk OK.Once you’re done, choose OK.

Uczenie funkcji Windows Information Protection (WIP)Windows Information Protection (WIP) Learning

Po dodaniu aplikacji, które chcesz chronić za pomocą funkcji WIP, konieczne jest zastosowanie trybu ochrony z wykorzystaniem opcji Uczenie funkcji WIP.After you add the apps you want to protect with WIP, you need to apply a protection mode by using WIP Learning.

Przed rozpoczęciemBefore you begin

Uczenie funkcji Windows Information Protection (WIP) to raport, który umożliwia administratorom monitorowanie aplikacji nieznanych funkcji WIP.Windows Information Protection (WIP) Learning is a report that allows admins to monitor their WIP unknown apps. Nieznane aplikacje to te, które nie zostały wdrożone przez dział informatyczny organizacji użytkownika.The unknown apps are the ones not deployed by your organization’s IT department. Administrator może wyeksportować te aplikacje z raportu i dodać je do swoich zasad funkcji WIP, aby uniknąć zakłóceń produktywności przed wymuszeniem działania funkcji WIP w trybie „Ukryj przesłonięcia”.The admin can export these apps from the report and add them to their WIP policies to avoid productivity disruption before they enforce WIP in “Hide Override” mode.

Firma Microsoft zaleca rozpoczęcie od opcji Cichy lub Zezwalaj na przesłonięcia i zweryfikowania w małej grupie, czy na liście aplikacji dozwolonych znajdują się odpowiednie aplikacje.We recommend that you start with Silent or Allow Overrides while verifying with a small group that you have the right apps on your allowed apps list. Po wykonaniu tych czynności można przełączyć na ostateczne zasady wymuszania Ukryj przesłonięcia.After you're done, you can change to your final enforcement policy, Hide Overrides.

Jakie są tryby ochrony?What the protection modes are?

  • Ukryj przesłonięcia:Hide Overrides:

    • Funkcja WIP szuka niewłaściwych praktyk udostępniania danych i powstrzymuje użytkownika przed ukończeniem akcji.WIP looks for inappropriate data sharing practices and stops the user from completing the action.
    • Może to obejmować udostępnianie informacji aplikacjom nieobjętym firmową ochroną oraz udostępnianie danych firmowych innym osobom i urządzeniem poza organizacją.This can include sharing info across non-corporate-protected apps, and sharing corporate data between other people and devices outside of your organization.
  • Zezwalaj na przesłonięcia:Allow Overrides:

    • Funkcja WIP szuka niewłaściwych przypadków udostępniania danych, ostrzegając użytkowników, jeśli robią coś, co zostanie uznane za potencjalnie niebezpieczne.WIP looks for inappropriate data sharing, warning users if they do something deemed potentially unsafe.
    • Ten tryb pozwala jednak użytkownikowi przesłonić zasady i udostępnić dane, przy czym dana akcja jest rejestrowana w dzienniku inspekcji.However, this mode lets the user override the policy and share the data, logging the action to your audit log.
  • Cichy:Silent:
    • Funkcja WIP jest uruchamiana w trybie cichym: niewłaściwe udostępnianie danych jest rejestrowane i nie są blokowane żadne akcje, które w trybie zezwolenia na przesłonięcia pojawiłyby się w monicie wymagającym interakcji z pracownikiem.WIP runs silently, logging inappropriate data sharing, without blocking anything that would’ve been prompted for employee interaction while in Allow Override mode.
    • Niedozwolone akcje, np. gdy aplikacje podejmują próby uzyskania nieuprawnionego dostępu do zasobów sieciowych lub danych chronionych przy użyciu funkcji WIP, są nadal zatrzymywane.Unallowed actions, like apps inappropriately trying to access a network resource or WIP-protected data, are still stopped.
  • Wyłączona (niezalecane):Off (not recommended):
    • Funkcja WIP zostanie wyłączona i nie będzie używana do ochrony ani inspekcji danych.WIP is turned off and doesn't help to protect or audit your data.
    • Po wyłączeniu funkcji WIP zostanie podjęta próba odszyfrowania wszystkich plików oznakowanych przy użyciu funkcji WIP na dyskach podłączonych lokalnie.After you turn off WIP, an attempt is made to decrypt any WIP-tagged files on the locally attached drives. Należy mieć świadomość, że informacje dotyczące poprzedniego odszyfrowania i poprzednich zasad nie są automatycznie stosowane ponownie po ponownym włączeniu ochrony WIP.Be aware that your previous decryption and policy info isn’t automatically reapplied if you turn WIP protection back on.

Aby dodać tryb ochronyTo add a protection mode

  1. W bloku Zasady aplikacji wybierz nazwę zasad, a następnie kliknij pozycję Wymagane ustawienia w bloku Dodaj zasady.From the App policy blade, choose the name of your policy, then click Required settings from the Add Policy blade.

    Zrzut ekranu trybu uczenia

  2. Wybierz polecenie Zapisz.Choose Save.

Aby korzystać z opcji Uczenie funkcji WIPTo use WIP Learning

  1. Przejdź do pulpitu nawigacyjnego platformy Azure.Go to the Azure Dashboard.

  2. W menu po lewej stronie wybierz pozycję Więcej usług, a następnie w filtrze pola tekstowego wpisz Intune.Choose More services from the left menu, then type Intune in the text box filter.

  3. Wybierz pozycję Intune, a kiedy zostanie otwarty pulpit nawigacyjny Intune, wybierz pozycję Aplikacje mobilne.Choose Intune, the Intune dashboard opens, choose Mobile Apps.

  4. Wybierz pozycję Uczenie funkcji WIP w obszarze sekcji Monitor.Choose WIP Learning under Monitor section. Zostaną wyświetlone nieznane aplikacje zarejestrowane przy użyciu funkcji Uczenie funkcji WIP.You see the unknown apps logged by the WIP Learning.

Ważne

Gdy aplikacje pojawią się w raporcie rejestracji funkcji Uczenie funkcji WIP, można dodać je do zasad ochrony aplikacji.Once you have the apps showing up in the WIP Learning logging report, you can them into your app protection policies.

Aby wdrożyć zasady ochrony aplikacji w funkcji WIPTo deploy your WIP app protection policy

Ważne

Dotyczy to funkcji WIP w scenariuszu zarządzania aplikacjami mobilnymi (MAM) bez rejestracji.This applies for WIP with mobile application management (MAM) without enrollment scenario.

Po utworzeniu zasad ochrony aplikacji w funkcji WIP trzeba je wdrożyć do organizacji przy użyciu funkcji MAM.After you created your WIP app protection policy, you need to deploy it to your organization using MAM.

  1. W bloku Zasady aplikacji wybierz nowo utworzone zasady ochrony aplikacji, wybierz pozycję Grupy użytkowników, następnie wybierz pozycję Dodaj grupę użytkowników.On the App policy blade, choose your newly-created app protection policy, choose User groups, then choose Add user group.

    Lista grup użytkowników zawierająca wszystkie grupy zabezpieczeń w usłudze Azure Active Directory zostanie otwarta w bloku Dodaj grupę użytkowników.A list of user groups, made up of all the security groups in your Azure Active Directory, opens in the Add user group blade.

  2. Wybierz grupę, do której mają się odnosić zasady, a następnie kliknij pozycję Wybierz, aby wdrożyć zasady.Choose the group you want your policy to apply to, then click Select to deploy the policy.