Tworzenie i wdrażanie zasad funkcji Windows Information Protection (WIP) za pomocą usługi IntuneCreate and deploy Windows Information Protection (WIP) policy with Intune

Zasad funkcji Windows Information Protection można używać z aplikacjami systemu Windows 10, aby chronić te aplikacje bez rejestrowania urządzenia.You can use Windows Information Protection (WIP) policies with Windows 10 apps to protect apps without device enrollment.

Przed rozpoczęciemBefore you begin

Podczas dodawania zasad funkcji WIP należy zrozumieć kilka koncepcji:You must understand a few concepts when adding a WIP policy:

Lista aplikacji dozwolonych i wykluczonychList of allowed and exempt apps

  • Chronione aplikacje: są to aplikacje, które muszą stosować się do tych zasad.Protected apps: These apps are the apps that need to adhere to this policy.

  • Wykluczone aplikacje: te aplikacje nie podlegają tym zasadom i mogą uzyskiwać dostęp do danych firmowych bez ograniczeń.Exempt apps: These apps are exempt from this policy and can access corporate data without restrictions.

Typy aplikacjiTypes of apps

  • Zalecane aplikacje: wstępnie wypełniona lista aplikacji (przede wszystkim pakietu Microsoft Office), którą możesz łatwo zaimportować do zasad.Recommended apps: A pre-populated list of (mostly Microsoft Office) apps that allow you easily import into policy.
  • Aplikacje ze Sklepu: możesz dodać do zasad dowolną aplikację ze Sklepu Windows.Store apps: You can add any app from the Windows store to the policy.
  • Aplikacje klasyczne systemu Windows: możesz dodać do zasad dowolne aplikacje klasyczne systemu Windows (np. plik exe, dll)Windows desktop apps: You can add any traditional Windows desktop apps to the policy (for example, .exe, .dll)

Wymagania wstępnePrerequisites

Aby można było utworzyć zasady funkcji WIP, musisz skonfigurować dostawcę usług MAM.You must configure the MAM provider before you can create a WIP policy. Dowiedz się więcej na temat konfiguracji dostawcy usług MAM za pomocą usługi Intune.Learn more about how to configure your MAM provider with Intune.

Ważne

Funkcja WIP nie obsługuje wielu tożsamości, jednorazowo może istnieć tylko jedna zarządzana tożsamość.WIP does not support multi-identity, only one managed identity can exist at a time. Aby uzyskać więcej informacji o możliwościach i ograniczeniach funkcji WIP, zobacz Ochrona danych przedsiębiorstwa za pomocą funkcji Windows Information Protection (WIP).For more information about the capabilities and limitations of WIP, see Protect your enterprise data using Windows Information Protection (WIP).

Ponadto wymagane są następujące licencje i aktualizacje:Additionally, you need to have the following license and update:

Aby dodać zasady funkcji WIPTo add a WIP policy

Po skonfigurowaniu usługi Intune w organizacji można utworzyć zasady dotyczące funkcji WIP.After you set up Intune in your organization, you can create a WIP-specific policy.

Porada

Aby uzyskać powiązane informacje dotyczące tworzenia zasad funkcji WIP usługi Intune, w tym dostępnych ustawień i sposobu ich konfigurowania, zobacz Create a Windows Information Protection (WIP) policy with MAM using the Azure portal for Microsoft Intune (Tworzenie zasad rozwiązania Windows Information Protection (WIP) przy użyciu funkcji MAM w witrynie Azure Portal dla usługi Microsoft Intune) w bibliotece dokumentacji dotyczącej zabezpieczeń systemu Windows.For related information about creating WIP policies for Intune, including available settings and how to configure them, see Create a Windows Information Protection (WIP) policy with MAM using the Azure portal for Microsoft Intune in the Windows Security documentation library.

  1. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.
  2. Wybierz kolejno pozycje Aplikacje > Zasady ochrony aplikacji > Utwórz zasady.Select Apps > App protection policies > Create policy.
  3. Dodaj następujące wartości:Add the following values:
    • Nazwa: wpisz nazwę (wymaganą) dla nowych zasad.Name: Type a name (required) for your new policy.
    • Opis: (opcjonalnie) wpisz opis.Description: (Optional) Type a description.
    • Platforma: Wybierz pozycję Windows 10 jako obsługiwaną platformę dla zasad funkcji WIP.Platform: Choose Windows 10 as the supported platform for your WIP policy.
    • Stan rejestracji: wybierz Bez rejestracji jako stan rejestracji dla zasad.Enrollment state: Choose Without enrollment as the enrollment state for your policy.
  4. Wybierz pozycję Utwórz.Choose Create. Zasady zostaną utworzone i pojawią się w tabeli w okienku Zasady ochrony aplikacji.The policy is created and appears in the table on the App protection policies pane.
  1. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.
  2. Wybierz kolejno pozycje Aplikacje > Zasady ochrony aplikacji.Select Apps > App protection policies.
  3. W okienku Zasady ochrony aplikacji wybierz zasady, które chcesz zmienić.On the App protection policies pane, choose the policy you want to modify. Zostanie wyświetlone okienko Intune App Protection.The Intune App Protection pane is displayed.
  4. W okienku Intune App Protection wybierz pozycję Chronione aplikacje.Choose Protected apps from the Intune App Protection pane. Zostanie otwarte okienko Chronione aplikacje zawierające wszystkie aplikacje, które zostały już dołączone do listy dla tych zasad ochrony aplikacji.The Protected apps pane opens showing you all apps that are already included in the list for this app protection policy.
  5. Wybierz pozycję Dodaj aplikacje.Select Add apps. W obszarze Dodawanie aplikacji jest wyświetlana filtrowana lista aplikacji.The Add apps information shows you a filtered list of apps. Lista w górnej części okienka pozwala na zmianę filtru listy.The list at the top of the pane allows you to change the list filter.
  6. Wybierz każdą aplikację, która ma mieć dostęp do danych firmowych.Select each app that you want to allow access your corporate data.
  7. Kliknij przycisk OK.Click OK. Okienko Chronione aplikacje zostanie zaktualizowane w celu wyświetlenia wszystkich wybranych aplikacji.The Protected apps pane is updated showing all selected apps.
  8. Kliknij przycisk Zapisz.Click Save.

Dodawanie aplikacji ze Sklepu do listy Chronione aplikacjeAdd a Store app to your protected apps list

Aby dodać aplikację ze SklepuTo add a Store app

  1. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.
  2. Wybierz kolejno pozycje Aplikacje > Zasady ochrony aplikacji.Select Apps > App protection policies.
  3. W okienku Zasady ochrony aplikacji wybierz zasady, które chcesz zmienić.On the App protection policies pane, choose the policy you want to modify. Zostanie wyświetlone okienko Intune App Protection.The Intune App Protection pane is displayed.
  4. W okienku Intune App Protection wybierz pozycję Chronione aplikacje.Choose Protected apps from the Intune App Protection pane. Zostanie otwarte okienko Chronione aplikacje zawierające wszystkie aplikacje, które zostały już dołączone do listy dla tych zasad ochrony aplikacji.The Protected apps pane opens showing you all apps that are already included in the list for this app protection policy.
  5. Wybierz pozycję Dodaj aplikacje.Select Add apps. W obszarze Dodawanie aplikacji jest wyświetlana filtrowana lista aplikacji.The Add apps information shows you a filtered list of apps. Lista w górnej części okienka pozwala na zmianę filtru listy.The list at the top of the pane allows you to change the list filter.
  6. Wybierz z listy pozycję Aplikacje ze sklepu.From the list, select Store apps.
  7. Wprowadź wartości w polach Nazwa, Wydawca, Nazwa produktu i Akcja.Enter values for Name, Publisher, Product Name, and Action. Ustaw w polu Akcja wartość Zezwalaj, aby aplikacja miała dostęp do danych firmowych.Be sure to set the Action value to Allow, so that the app will have access to your corporate data.
  8. Kliknij przycisk OK.Click OK. Okienko Chronione aplikacje zostanie zaktualizowane w celu wyświetlenia wszystkich wybranych aplikacji.The Protected apps pane is updated showing all selected apps.
  9. Kliknij przycisk Zapisz.Click Save.

Dodawanie aplikacji klasycznej do listy Chronione aplikacjeAdd a desktop app to your protected apps list

Aby dodać aplikację klasycznąTo add a desktop app

  1. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.
  2. Wybierz kolejno pozycje Aplikacje > Zasady ochrony aplikacji.Select Apps > App protection policies.
  3. W okienku Zasady ochrony aplikacji wybierz zasady, które chcesz zmienić.On the App protection policies pane, choose the policy you want to modify. Zostanie wyświetlone okienko Intune App Protection.The Intune App Protection pane is displayed.
  4. W okienku Intune App Protection wybierz pozycję Chronione aplikacje.Choose Protected apps from the Intune App Protection pane. Zostanie otwarte okienko Chronione aplikacje zawierające wszystkie aplikacje, które zostały już dołączone do listy dla tych zasad ochrony aplikacji.The Protected apps pane opens showing you all apps that are already included in the list for this app protection policy.
  5. Wybierz pozycję Dodaj aplikacje.Select Add apps. W obszarze Dodawanie aplikacji jest wyświetlana filtrowana lista aplikacji.The Add apps information shows you a filtered list of apps. Lista w górnej części okienka pozwala na zmianę filtru listy.The list at the top of the pane allows you to change the list filter.
  6. Wybierz z listy pozycję Aplikacje klasyczne.From the list, select Desktop apps.
  7. Wprowadź wartości w polach Nazwa, Wydawca, Nazwa produktu, Plik, Minimalna wersja, Maksymalna wersja i Akcja.Enter values for Name, Publisher, Product Name, File, Min Version, Max Version, and Action. Ustaw w polu Akcja wartość Zezwalaj, aby aplikacja miała dostęp do danych firmowych.Be sure to set the Action value to Allow, so that the app will have access to your corporate data.
  8. Kliknij przycisk OK.Click OK. Okienko Chronione aplikacje zostanie zaktualizowane w celu wyświetlenia wszystkich wybranych aplikacji.The Protected apps pane is updated showing all selected apps.
  9. Kliknij przycisk Zapisz.Click Save.

Uczenie funkcji WIPWIP Learning

Po dodaniu aplikacji, które chcesz chronić za pomocą funkcji WIP, konieczne jest zastosowanie trybu ochrony z wykorzystaniem opcji Uczenie funkcji WIP.After you add the apps you want to protect with WIP, you need to apply a protection mode by using WIP Learning.

Przed rozpoczęciemBefore you begin

Uczenie funkcji WIP to raport, który umożliwia monitorowanie aplikacji obsługujących funkcję WIP i nieznanych aplikacji funkcji WIP.WIP Learning is a report that allows you to monitor your WIP-enabled apps and WIP-unknown apps. Nieznane aplikacje to te, które nie zostały wdrożone przez dział IT organizacji użytkownika.The unknown apps are the ones not deployed by your organization's IT department. Możesz wyeksportować te aplikacje z raportu i dodać je do swoich zasad funkcji WIP, aby uniknąć zakłóceń produktywności przed wymuszeniem działania funkcji WIP w trybie „Zablokowanie”.You can export these apps from the report and add them to your WIP policies to avoid productivity disruption before they enforce WIP in "Block" mode.

Oprócz wyświetlania informacji o aplikacjach z włączoną funkcją WIP możesz wyświetlać podsumowanie urządzeń, które udostępniły dane robocze witrynom internetowym.In addition to viewing information about WIP-enabled apps, you can view a summary of the devices that have shared work data with websites. Dzięki tym informacjom można ustalić, które witryny sieci Web należy dodać do zasad WIP dotyczących grupy i użytkownika.With this information, you can determine which websites should be added to group and user WIP policies. Podsumowanie pokazuje, które adresy URL witryn internetowych są dostępne dla aplikacji obsługujących funkcję WIP.The summary shows which website URLs are accessed by WIP-enabled apps.

Podczas pracy z aplikacjami obsługującymi funkcję WIP i nieznanych aplikacji funkcji WIP zalecamy rozpoczęcie od opcji Cichy lub Zezwalaj na przesłonięcia i zweryfikowanie w małej grupie, czy na liście chronionych aplikacji znajdują się odpowiednie aplikacje.When working with WIP-enabled apps and WIP-unknown apps, we recommend that you start with Silent or Allow Overrides while verifying with a small group that you have the right apps on your protected apps list. Po wykonaniu tych czynności można przełączyć na ostateczne zasady wymuszania, Zablokowanie.After you're done, you can change to your final enforcement policy, Block.

Jakie są tryby ochrony?What are the protection modes?

ZablokowanieBlock

Funkcja WIP szuka niewłaściwych praktyk udostępniania danych i powstrzymuje użytkownika przed ukończeniem akcji.WIP looks for inappropriate data sharing practices and stops the user from completing the action. Zablokowane akcje mogą obejmować udostępnianie informacji aplikacjom nieobjętym firmową ochroną oraz udostępnianie danych firmowych innym osobom i urządzeniem poza organizacją.Blocked actions can include sharing info across non-corporate-protected apps, and sharing corporate data between other people and devices outside of your organization.

Zezwalaj na przesłonięciaAllow Overrides

Funkcja WIP szuka niewłaściwych przypadków udostępniania danych, ostrzegając użytkowników, gdy robią coś, co zostanie uznane za potencjalnie niebezpieczne.WIP looks for inappropriate data sharing, warning users when they do something deemed potentially unsafe. Ten tryb pozwala jednak użytkownikowi przesłonić zasady i udostępnić dane, przy czym dana akcja jest rejestrowana w dzienniku inspekcji.However, this mode lets the user override the policy and share the data, logging the action to your audit log.

DyskretnejSilent

Funkcja WIP jest uruchamiana w trybie cichym: niewłaściwe udostępnianie danych jest rejestrowane i nie są blokowane żadne akcje, które w trybie zezwolenia na przesłonięcia pojawiłyby się w monicie wymagającym interakcji z pracownikiem.WIP runs silently, logging inappropriate data sharing, without blocking anything that would have been prompted for employee interaction while in Allow Override mode. Niedozwolone akcje, np. gdy aplikacje podejmują próby uzyskania nieuprawnionego dostępu do zasobów sieciowych lub danych chronionych przy użyciu funkcji WIP, są nadal zatrzymywane.Unallowed actions, like apps inappropriately trying to access a network resource or WIP-protected data, are still stopped.

Funkcja WIP zostanie wyłączona i nie będzie używana do ochrony ani inspekcji danych.WIP is turned off and doesn't help to protect or audit your data.

Po wyłączeniu funkcji WIP zostanie podjęta próba odszyfrowania wszystkich plików oznakowanych przy użyciu funkcji WIP na dyskach podłączonych lokalnie.After you turn off WIP, an attempt is made to decrypt any WIP-tagged files on the locally attached drives. Zauważ, że informacje dotyczące poprzedniego odszyfrowywania i poprzednich zasad nie są automatycznie stosowane ponownie po ponownym włączeniu ochrony WIP.Note that previous decryption and policy info isn't automatically reapplied if you turn WIP protection back on.

Dodawanie trybu ochronyAdd a protection mode

  1. W okienku Zasady aplikacji wybierz nazwę swoich zasad, a następnie wybierz pozycję Wymagane ustawienia.From the App policy pane, choose the name of your policy, then choose Required settings.

    Zrzut ekranu przedstawiający okienko trybu uczenia

  2. Wybierz ustawienie, a następnie wybierz pozycję Zapisz.Select a setting and then choose Save.

Korzystanie z opcji Uczenie funkcji WIPUse WIP Learning

  1. Otwórz witrynę Azure Portal.Open the Azure portal. Wybierz pozycję Wszystkie usługi.Choose All services. Wpisz Intune w polu tekstowym filtru.Type Intune in the text box filter.

  2. Wybierz kolejno pozycje Intune > Aplikacje.Choose Intune > Apps.

  3. Wybierz pozycje Stan ochrony aplikacji > Raporty > Windows Information Protection — nauka.Choose App protection status > Reports > Windows Information Protection learning.

    Gdy aplikacje pojawią się w raporcie rejestracji funkcji Uczenie funkcji WIP, możesz dodać je do zasad ochrony aplikacji.Once you have the apps showing up in the WIP Learning logging report, you can add them to your app protection policies.

Zezwalanie indeksatorowi programu Windows Search na wyszukiwanie zaszyfrowanych elementówAllow Windows Search Indexer to search encrypted items

Zezwala lub nie zezwala na indeksowanie elementów.Allows or disallows the indexing of items. Ten przełącznik jest przeznaczony dla indeksatora programu Windows Search, który kontroluje, czy indeksuje on elementy, które są zaszyfrowane, takie jak pliki chronione przez funkcję Windows Information Protection (WIP).This switch is for the Windows Search Indexer, which controls whether it indexes items that are encrypted, such as the Windows Information Protection (WIP) protected files.

Ta opcja zasad ochrony aplikacji znajduje się w Ustawieniach zaawansowanych zasad Windows Information Protection.This app protection policy option is in the Advanced settings of the Windows Information Protection policy. Zasady ochrony aplikacji muszą być ustawione na platformę Windows 10, a zasady aplikacji Stan rejestracji muszą być ustawione na wartość Z rejestracją.The app protection policy must be set to the Windows 10 platform and the app policy Enrollment state must be set to With enrollment.

Gdy te zasady są włączone, elementy chronione przez funkcję WIP są indeksowane, a dotyczące ich metadane są przechowywane w lokalizacji niezaszyfrowanej.When the policy is enabled, WIP protected items are indexed and the metadata about them are stored in an unencrypted location. Metadane obejmują takie informacje, jak ścieżka do pliku i data modyfikacji.The metadata includes things like file path and date modified.

Gdy zasady są wyłączone, elementy chronione przez funkcję WIP nie są indeksowane i nie są wyświetlane w wynikach w Cortanie ani Eksploratorze plików.When the policy is disabled, the WIP protected items are not indexed and do not show up in the results in Cortana or file explorer. Jeśli na urządzeniu istnieje wiele plików multimedialnych chronionych przez funkcję WIP, może to także mieć wpływ na wydajność dla zdjęć i aplikacji Groove.There may also be a performance impact on photos and Groove apps if there are many WIP protected media files on the device.

Dodawanie rozszerzeń szyfrowanych plikówAdd encrypted file extensions

Oprócz ustawienia opcji Zezwalaj indeksatorowi programu Windows Search na wyszukiwanie elementów zaszyfrowanych możesz określić listę rozszerzeń nazw plików.In addition to setting the Allow Windows Search Indexer to search encrypted items option, you can specify a list of file extensions. Pliki z tymi rozszerzeniami są szyfrowane podczas kopiowania z udziału bloku komunikatów serwera (SMB, Server Message Block) w obrębie przedsiębiorstwa zgodnie z definicją na liście lokalizacji sieciowych.Files with these extensions are encrypted when copying from a Server Message Block (SMB) share within the corporate boundary as defined in the network location list. Gdy te zasady nie zostaną określone, jest stosowane istniejące zachowanie automatycznego szyfrowania.When this policy is not specified, the existing auto-encryption behavior is applied. Gdy te zasady zostaną skonfigurowane, będą szyfrowane tylko pliki mające rozszerzenia znajdujące się na liście.When this policy is configured, only files with the extensions in the list will be encrypted.

Wdrażanie zasad ochrony aplikacji w funkcji WIPDeploy your WIP app protection policy

Ważne

Te informacje mają zastosowanie do funkcji WIP bez rejestracji urządzeń.This information applies for WIP without device enrollment.

Po utworzeniu zasad ochrony aplikacji w funkcji WIP trzeba je wdrożyć do organizacji przy użyciu funkcji MAM.After you created your WIP app protection policy, you need to deploy it to your organization using MAM.

  1. W okienku Zasady aplikacji wybierz swoje nowo utworzone zasady ochrony aplikacji i wybierz pozycje Grupy użytkowników > Dodaj grupę użytkowników.On the App policy pane, choose your newly created app protection policy, choose User groups > Add user group.

    Lista grup użytkowników zawierająca wszystkie grupy zabezpieczeń w usłudze Azure Active Directory zostanie otwarta w okienku Dodaj grupę użytkowników.A list of user groups, made up of all the security groups in your Azure Active Directory, opens in the Add user group pane.

  2. Wybierz grupę, do której mają się odnosić zasady, a następnie wybierz pozycję Wybierz, aby wdrożyć zasady.Choose the group you want your policy to apply to, then choose Select to deploy the policy.

Następne krokiNext steps

Aby dowiedzieć się więcej na temat funkcji Windows Information Protection, zobacz Protect your enterprise data using Windows Information Protection (Chronienie danych przedsiębiorstwa przy użyciu funkcji Windows Information Protection [WIP]).Learn more about Windows Information Protection, see Protect your enterprise data using Windows Information Protection (WIP).