Использование WIP и Intune для защиты корпоративных данных в документах, в которых используются надстройки OfficeUse WIP and Intune to protect enterprise data in documents running Office Add-ins

Когда пользователи в организации используют надстройки Office для взаимодействия с данными организации, возникает потенциальный риск утечки некоторых данных.When users in an organization use Office Add-ins to interact with organizational data, this introduces a potential risk that some data might be leaked. Чтобы защитить корпоративные данные во время работы надстроек Office, можно воспользоваться службами Windows Information Protection (WIP) и Microsoft Intune.You can use Windows Information Protection (WIP) and Microsoft Intune to protect enterprise data when users are running Office Add-ins.

Служба WIP, ранее известная как защита корпоративных данных (EDP), позволяет организациям обеспечивать защиту интеллектуальной собственности и корпоративных данных.WIP, previously known as enterprise data protection (EDP), enables enterprises to protect intellectual property and corporate data. WIP защищает приложения и данные на устройствах, принадлежащих организации, и личных устройствах сотрудников от случайной утечки данных. При этом нет необходимости вносить какие-либо изменения в среду или другие приложения.WIP helps protect enterprise apps and data against accidental data leaks, on both enterprise-owned devices and personal devices that employees bring to work, without requiring changes to the environment or other apps.

Intune предоставляет широкий набор средств для управления сложной средой мобильных устройств и приложений.Intune provides a diverse set of tools for managing your complex mobile environment. Благодаря сочетанию реализованных в Intune возможностей управления мобильными приложениями и устройствами ИТ-администраторы и конечные пользователи получают преимущества гибкого управления мобильной работой и ее защиты.Intune’s combination of mobile application management and device management options gives IT administrators and end users the flexibility to manage and secure mobile productivity.

Intune можно использовать для создания и развертывания политики WIP.You can use Intune to create and deploy your WIP policy. С помощью Intune можно выбрать защищаемые приложения и уровень защиты WIP, а также найти корпоративные данные в сети.With Intune, you can choose your protected apps and your WIP protection level, and find enterprise data on the network.

Возможности WIP и Intune:With WIP and Intune:

  • Организации могут обеспечить разумную реализацию политик для корпоративных данных даже в случаях загрузки данных на личные устройства.Enterprises can provide reasonable corporate data policy enforcement, even when data is downloaded to personal devices.

  • Предоставляя сведения о контекстном применении политик, организации информируют пользователей о способах защиты от случайного раскрытия данных для неуправляемых приложений и служб.Enterprises can use contextual policy education to inform users about how to protect against inadvertent data disclosure to unmanaged apps and services.

  • Соблюдение политик, касающихся корпоративных данных, осуществляется без нарушения стандартного рабочего процесса конечного пользователя.End users can comply with corporate data policies without disrupting their typical workflow.

  • Пользователи могут легко переключаться между работой с личными или корпоративными данными.End users can seamlessly transition between work and personal productivity.

WIP и Intune работают в фоновом режиме и практически незаметны, если пользователи не смешивают личное и корпоративное содержимое.WIP and Intune run silently in the background and are virtually invisible when users don’t mix personal and enterprise content.

Надстройки Office созданы на основе веб-технологий.Office Add-ins are built on web technologies. Они привносят эффективные возможности и информацию из Интернета в приложения Office.They bring the power and information from the web to Office applications. Надстройки взаимодействуют с содержимым в приложении Office через API-интерфейсы, доступные в Office.js.Add-ins interact with the content in an Office application via the APIs available in Office.js. Основные принципы надстроек Office:Core tenets of Office Add-ins include:

  • Безопасность. Архитектура платформы Office JavaScript гарантирует, что код надстройки находится в изолированной среде и выполняется в отдельном процессе относительно ведущего приложения Office.Security: The Office JavaScript platform architecture ensures that the add-in code is sandboxed and runs in a separate process with respect to the host Office application. Если надстройка не соответствует стандартам производительности или является потенциально вредоносной, платформа предпринимает корректирующее действие, уведомляя пользователя, а в некоторых случаях и отключая надстройку.This enables the platform to take corrective action when an add-in does not meet performance standards or is potentially malicious by notifying the user, and in some cases, disabling the add-in. Эта архитектура работает на всех платформах, поддерживающих надстройки Office.This architecture works on all platforms that support Office Add-ins.

  • Устойчивость. За счет того, что платформа надстройки является внепроцессной, сама надстройка не влияет на производительность ведущего приложения Office или работу пользователя с этим приложением.Resiliency: The “out-of-process” nature of the add-in platform ensures that the add-in itself does not affect the performance or user experience of the host Office application. Это крайне важно для сохранения быстродействия Office и оперативного реагирования на действия пользователя.This is critical to keeping Office fast and responsive to user actions.

  • Кроссплатформенность. Созданная надстройка работает на всех платформах, поддерживающих Office.Cross-platform: Write once, run everywhere Office runs. Сейчас надстройки поддерживаются в Windows, Office Online, Mac и iPad.Add-ins are currently supported on Windows, Office Online, Mac, and iPad. Поддержка надстроек на Android и универсальной платформе будет доступна в ближайшее время.Support for add-ins on Android and Universal platform will be available soon.

Надстройки Office могут работать с корпоративными и потенциально конфиденциальными данными в документе.Office Add-ins can work with enterprise and potentially sensitive content within a document. В рамках расширяемости приложений надстройки наследуют права доступа от политики ведущего приложения.As part of the application extensibility, add-ins inherit their access from the host application policy. Например, если параметры WIP запрещают приложению Word доступ к корпоративным данным, надстройки не смогут обращаться к корпоративным данным в документе Word.For example, if WIP settings prevent Word from accessing enterprise content, add-ins won’t be able to access enterprise content in a Word document.

Одна из целей надстроек заключается в устранении стоящих перед пользователями серьезных проблем, а также в предоставлении администраторам возможности блокировки надстройки в случае необходимости.One of the goals for add-ins is to remove any blocking issues for end users while also ensuring that enterprise administrators can block add-ins if necessary. В число основных принципов надстроек Office относительно защиты данных входят следующие:The main principles for Office Add-ins regarding enabling data protection include:

  • предоставление ИТ-администраторам возможности блокировки загрузки надстроек;Provide a way for IT administrators to block add-ins from loading.

  • сведение к минимуму или устранение действий по подготовке надстроек для работы в организации;Minimize or eliminate work required by administrators to make add-ins enterprise ready.

  • сокращение количества запросов и сообщений, выводимых во время использования надстройки;Minimize the prompts and messages for end users during add-in usage.

  • исключение запросов, выводимых в случае одинакового контекста документа и надстройки.Eliminate prompts for end users when the document and the add-in have the same context.

Надстройки и WIPAdd-ins and WIP

При использовании WIP доступны следующие сценарии для надстроек Office.When you enable WIP in your environment, you can enable the following scenarios for your Office Add-ins:

  • Надстройки Office активируются с помощью контекста документа.Office Add-ins are activated using the document context. В Outlook контекст для надстройки основывается на текущем активном почтовом ящике.For Outlook, the context for the add-in is based on the current active mailbox. Разрешения для надстроек четко определяются в запросе о доверии перед активацией надстройки.Add-in permissions are clearly defined in the Trust prompt before the add-in is activated. Пользователь решает, подходит ли надстройка для конкретного документа и следует ли разрешить ее запуск.The user decides whether the add-in is appropriate in a specific document, and whether to allow the add-in to run.

  • Администраторы могут использовать групповую политику для блокировки всех надстроек из Магазина Office Store или всех надстроек Office. Это означает, что пользователи могут активировать только доверенные надстройки из корпоративного каталога SharePoint или Office 365.Administrators can use group policy to block all Office Store add-ins or all Office Add-ins. This means that users can activate only trusted add-ins from a SharePoint or Office 365 corporate catalog.

  • Администраторы могут блокировать надстройки на уровне брандмауэра с помощью управления мобильными устройствами (MDM).Administrators can block add-ins at the firewall level using mobile device management (MDM). Обратите внимание, что этот вариант не работает для сценариев использования мобильных устройств или подхода BYOD.Note that this does not work for mobile or bring your own device (BYOD) scenarios.

  • Надстройки применяют операцию копирования и вставки между корпоративными и личными контекстами.Add-ins apply the copy-paste operation between enterprise and personal contexts. Например, когда пользователь копирует данные из надстройки корпоративного контекста и вставляет их в личный документ, отображается заданный по умолчанию запрос на копирование и вставку между контекстами.For example, when a user copies from an enterprise context add-in and pastes into a personal document, the default copy-paste across contexts prompt is displayed.

В следующей таблице приводится описание ожидаемого поведения надстройки в корпоративных и личных контекстах и документах при включенной службе WIP.The following table lists the expected add-in behavior in enterprise and personal contexts and documents when WIP is enabled.

Примечание

  • Операции вырезания, копирования и вставки в ведущем приложении и вне его работают должным образом во всех сценариях.Cut, copy, and paste operations within and outside of the host application work as expected in all scenarios.
  • Передача данных в службы надстройки защищена не во всех сценариях.Data transfer to add-in services is not protected in all scenarios.
Тип документа или почтового ящикаDocument or mailbox type Надстройка в личном контекстеAdd-in in personal context Надстройка в корпоративном контекстеAdd-in in enterprise context
ЛичныйPersonal Надстройка загружается в личном контексте.Add-in loads in personal context.

Запрещен переход по корпоративным URL-адресам (даже в собственном домене приложения).Navigation to enterprise URLs is not allowed (even if in its own app domain).

Разрешен переход по личным URL-адресам.Navigation to personal URLS is allowed
Надстройку не удается загрузить или активировать.Add-in fails to load or activate.

В случае повышения уровня контекста документа (например, сохранение в корпоративном расположении):If the document’s context is elevated (for example: by saving it to an enterprise location):

Разрешен переход по корпоративным URL-адресам.- Navigation to enterprise URLs is allowed.

Разрешен переход по личным URL-адресам.- Navigation to personal URLs is allowed.
КорпоративныйEnterprise Надстройка загружается в корпоративном контексте.Add-in loads in enterprise context.

Разрешен переход по корпоративным URL-адресам.Navigation to enterprise URLs is allowed.

Разрешен переход по личным URL-адресам.Navigation to personal URLs is allowed.
Надстройка загружается в корпоративном контексте.Add-in loads in enterprise context.

Разрешен переход по корпоративным URL-адресам.Navigation to enterprise URLs is allowed.

Разрешен переход по личным URL-адресам.Navigation to personal URLs is allowed.
НесохраненныйUnsaved Надстройка загружается в личном контексте.Add-in loads in personal context.

Запрещен переход по корпоративным URL-адресам (даже в собственном домене приложения).Navigation to enterprise URLs is not allowed (even if in its own app domain).

Разрешен переход по личным URL-адресам.Navigation to personal URLs is allowed.
Надстройка загружается в корпоративном контексте, и документ автоматически преобразуется в корпоративный контекст.Add-in loads in enterprise context, and the document is silently converted to enterprise context. Это означает, что документ необходимо сохранить в корпоративном расположении.This means the document must be saved to an enterprise location.

Разрешен переход по корпоративным URL-адресам. Разрешен переход по личным URL-адресам.Navigation to enterprise URLs is allowed.Navigation to personal URLs is allowed.

Надстройки и IntuneAdd-ins and Intune

Сейчас поддерживаются надстройки Office для iPad и Office для Word, Excel и PowerPoint.On Office for iPad, Office Add-ins are currently supported for Word, Excel, and PowerPoint. Outlook поддерживает надстройки в iOS (iPad и iPhone).Outlook currently supports add-ins on iOS (iPad and iPhone). Администраторы Outlook могут отключить надстройки по умолчанию, в том числе надстройки, установленные разработчиками, и включить только определенные надстройки, утвержденные организацией.Outlook administrators can turn off the add-ins by default, including developer installed add-ins, and only enable the specific add-ins approved by their organization. В следующей таблице описывается поддержка сценариев защиты данных для надстроек, запущенных на устройствах iOS с Office, которые используют средства защиты приложений Intune.The following table outlines support for data protection scenarios for add-ins running on Office for iOS devices that use the Intune app protection tools.

Примечание

Сведения о надстройках Outlook, работающих на устройствах iOS и Android, см. в разделах Manage user access to add-ins for Outlook (Управление доступом пользователей к надстройкам для Outlook) и Add-ins for Outlook (Надстройки для Outlook).For information about Outlook add-ins running on Android and iOS devices, see Manage user access to add-ins for Outlook and Add-ins for Outlook.

Тип документа или почтового ящикаDocument or mailbox type Надстройки в личном контексте для iOS с защитой приложений Intune*Add-ins in personal context for iOS with Intune App Protection* Надстройки в корпоративном контексте для iOS с защитой приложений Intune*Add-ins in enterprise context for iOS with Intune App Protection*
ЛичныйPersonal Использование надстроек не зависит от защиты приложений Intune в личных документах.Add-ins usage is unaffected by Intune app protection in personal documents. Использование надстроек не зависит от защиты приложений Intune в личных документах.Add-ins usage is unaffected by Intune app protection in personal documents.
КорпоративныйEnterprise Разрешена активация личных надстроек.Personal add-ins are allowed to activate.

Политики защиты приложений Intune могут защищать сценарии вырезания, копирования, вставки и передачи данных между надстройкой и другими приложениями на устройстве.Intune app protection policies can protect cut, copy, paste, and data transfer scenarios between the add-in and other applications on the device.

Передача данных в службы надстроек не защищена.Data transfer to add-in services is not protected.
Разрешена активация корпоративных надстроек.Enterprise add-ins are allowed to activate. Администраторы могут контролировать, какие надстройки публикуются с помощью средств управления Office (централизованное развертывание Office 365).Administrators can control which add-ins are published via Office management tools (Office 365 centralized deployment).

Политики защиты приложений Intune могут защищать сценарии вырезания, копирования, вставки и передачи данных между надстройкой и другими приложениями на устройстве.Intune app protection policies can protect cut, copy, paste, and data transfer scenarios between the add-in and other applications on the device.

Передача данных в службы надстроек не защищена.Data transfer to add-in services is not protected.

* Администраторы могут использовать централизованное развертывание Office 365 для развертывания надстроек Word, Excel и PowerPoint для отдельных пользователей, групп или организации непосредственно в Центре администрирования Office 365 или с помощью скриптов PowerShell.* Administrators can use Office 365 Centralized deployment to deploy Word, Excel, and PowerPoint add-ins to individual users, groups, or an organization directly from the Office 365 admin center or using PowerShell scripts. При открытии приложения Office в Windows, Mac или Office Online надстройка автоматически устанавливается на их ленты.When users open an Office application on Windows, Mac, or Office Online, the add-in is automatically installed on their ribbon.

СводкаSummary

Принципы надстроек Office, WIP и Intune позволяют администраторам управлять корпоративными данными и предоставляют средства, необходимые конечным пользователям для выполнения поставленных задач.Given the principles with respect to Office Add-ins, WIP and Intune enable administrators to manage enterprise data and provide the tools that end users need to accomplish their work. При этом увеличивается вероятность утечки корпоративных данных за пределы организации.This creates the potential for enterprise data to leak outside the organization’s boundaries. Сейчас API-интерфейсы JavaScript Office не могут предоставить разработчикам возможность распознавать тип данных, передаваемых между документом Office и надстройкой.The Office JavaScript APIs do not currently provide a way for developers to recognize the type of data being transmitted between the Office document and the add-in. Поэтому разработчики вынуждены отправлять пользователю несколько запросов и в некоторых случаях помечать личные файлы как корпоративные, что может оказать отрицательное влияние на работу пользователя и не соответствует принципам защиты данных.This requires developers to surface multiple prompts to the user and in some cases erroneously mark personal files as enterprise files, which can have a negative effect on the user experience, and does not align with data protection principles.

Корпорация Майкрософт стремится обеспечить безопасность данных клиентов и будет продолжать работу над улучшением технологий Intune и WIP.Microsoft is committed to protecting customer data and will continue to invest in making the Intune and WIP technologies and experience better for customers.

Дополнительные сведенияLearn more