Создание политики Information Protection Windows в Microsoft Intune

  • Статья

Примечание.

Начиная с июля 2022 г. корпорация Майкрософт не рекомендует использовать Windows Information Protection (WIP). Корпорация Майкрософт продолжит поддерживать WIP в поддерживаемых версиях Windows. Новые версии Windows не будут включать новые возможности для WIP, и они не будут поддерживаться в будущих версиях Windows. Дополнительные сведения см. в разделе Объявление о прекращении Information Protection Windows.

Для защиты данных корпорация Майкрософт рекомендует использовать Защита информации Microsoft Purview и Защита от потери данных Microsoft Purview. Purview упрощает настройку конфигурации и предоставляет расширенный набор возможностей.

Относится к:

  • Windows 10
  • Windows 11

Microsoft Intune простой способ создания и развертывания политики windows Information Protection (WIP). Вы можете выбрать приложения для защиты, уровень защиты и способ поиска корпоративных данных в сети. Устройствами можно полностью управлять с помощью мобильных Управление устройствами (MDM) или управления мобильными приложениями (MAM), где Intune управляет только приложениями на личном устройстве пользователя.

Различия между MDM и MAM для WIP

Вы можете создать политику защиты приложений в Intune с регистрацией устройства для MDM или без регистрации устройств для MAM. Процесс создания любой из политик аналогичен, но существуют важные различия:

  • В MAM есть дополнительные параметры доступа для Windows Hello для бизнеса.
  • MAM может выборочно очищать данные компании с личного устройства пользователя.
  • Для MAM требуется лицензия Microsoft Entra ID P1 или P2.
  • Лицензия Microsoft Entra ID P1 или P2 также требуется для автоматического восстановления WIP, когда устройство может повторно зарегистрировать и восстановить доступ к защищенным данным. Автоматическое восстановление WIP зависит от Microsoft Entra регистрации для резервного копирования ключей шифрования, что требует автоматической регистрации устройства с помощью MDM.
  • MAM поддерживает только одного пользователя на устройство.
  • MAM может управлять только просвещенными приложениями.
  • Только MDM могут использовать политики CSP BitLocker .
  • Если один и тот же пользователь и устройство предназначены для MDM и MAM, политика MDM будет применяться к устройствам, присоединенным к Microsoft Entra ID. Для личных устройств, присоединенных к рабочему месту (то есть добавленных с помощью параметров>Email & учетных записей>Добавление рабочей или учебной учетной записи), будет предпочтительна политика только MAM, но можно обновить управление устройствами до MDM в разделе Параметры. Выпуск Windows Home поддерживает только WIP для MAM; Обновление до политики MDM в выпуске Home приведет к отмене доступа к данным, защищенным WIP.

Предварительные условия

Прежде чем создавать политику WIP с помощью Intune, необходимо настроить поставщик MDM или MAM в Microsoft Entra ID. Для MAM требуется лицензия Microsoft Entra ID P1 или P2. Лицензия Microsoft Entra ID P1 или P2 также требуется для автоматического восстановления WIP, когда устройство может повторно зарегистрировать и восстановить доступ к защищенным данным. Автоматическое восстановление WIP зависит от регистрации Microsoft Entra для резервного копирования ключей шифрования, что требует автоматической регистрации устройства с помощью MDM.

Настройка поставщика MDM или MAM

  1. Войдите в портал Azure.

  2. Выберите Microsoft Entra ID>Мобильность (MDM и MAM)>Microsoft Intune.

  3. Выберите Восстановить URL-адреса по умолчанию или введите параметры для область пользователя MDM или MAM и нажмите кнопку Сохранить:

    Настройка поставщика MDM или MAM.

Создание политики WIP

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Откройте Microsoft Intune и выберите Приложения>защита приложений политики>Создать политику.

    Откройте клиентские приложения.

  3. На экране Политика приложений выберите Добавить политику, а затем заполните поля:

    • Имя. Введите имя новой политики (обязательная информация).

    • Описание. При необходимости введите описание.

    • Платформа. Выберите Windows 10.

    • Состояние регистрации. Выберите Без регистрации для MAM или С регистрацией для MDM.

    Добавьте политику мобильного приложения.

  4. Выберите Защищенные приложения , а затем — Добавить приложения.

    Добавление защищенных приложений.

    Вы можете добавить следующие типы приложений:

Примечание.

После удаления приложения из списка защищенных приложений приложение может возвращать ошибки, запрещенные в доступе. Вместо удаления приложения из списка удалите и переустановите приложение или исключите его из политики WIP.

Выберите Рекомендуемые приложения , выберите каждое приложение, которое вы хотите получить доступ к корпоративным данным, или выберите их все, а затем нажмите кнопку ОК.

Microsoft Intune консоль управления: рекомендуемые приложения.

Добавление приложений из Магазина

Выберите Приложения Магазина, введите название продукта приложения и издателя, а затем нажмите кнопку ОК. Например, чтобы добавить приложение Power BI Mobile из Магазина, введите следующее:

  • Имя: Microsoft Power BI
  • Издатель: CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
  • Название продукта: Microsoft.MicrosoftPowerBIForWindows

Добавьте приложение Магазина.

Чтобы добавить несколько приложений Магазина, нажмите кнопку с многоточием .

Если вы не знаете издателя приложения Store или название продукта, их можно найти, выполнив следующие действия.

  1. Перейдите на веб-сайт Microsoft Store для бизнеса и найдите необходимое приложение. Например, Power BI Mobile app.

  2. Скопируйте значение идентификатора из URL-адреса приложения. Например, Power BI Mobile URL-адрес идентификатора приложения — https://www.microsoft.com/store/p/microsoft-power-bi/9nblgggzlxn1, и вы скопируете значение идентификатора 9nblgggzlxn1.

  3. В браузере запустите веб-API портала Store для бизнеса, чтобы отправить файл нотации объектов JavaScript (JSON-файл), в котором содержится информация о названиях издателя и продукта. Например, выполните https://bspmts.mp.microsoft.com/v1/public/catalog/Retail/Products/9nblgggzlxn1/applockerdataкоманду , где 9nblgggzlxn1 заменяется значением идентификатора.

    После этого запустится API и откроется окно текстового редактора со сведениями о приложении.

     {
 	"packageIdentityName": "Microsoft.MicrosoftPowerBIForWindows",
 	"publisherCertificateName": "CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US"
 }

  4. Скопируйте значение publisherCertificateName в поле Издатель, а значение packageIdentityName — в поле Название в Intune.

    Важно.

    JSON-файл также может возвращать значение windowsPhoneLegacyId для полей Название издателя и Название продукта. Это означает, что у вас есть приложение, использующее пакет XAP и необходимо задать для параметра Product Name (НазваниеwindowsPhoneLegacyIdпродукта) значение , а имя издателя , как CN= следует за windowsPhoneLegacyId.

    Пример:

    {
    "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
}

Добавление классических приложений

Чтобы добавить классические приложения, заполните следующие поля в зависимости от того, какие результаты вы хотите получить.

Поле Управление
Все поля, помеченные как * Все файлы, подписанные любым издателем. (Не рекомендуется и может не работать)
Только издатель Если вы заполните только это поле, вы получите все файлы, подписанные именованным издателем. Это может быть удобно, если ваша компания является издателем и подписывает внутренние бизнес-приложения.
Только издатель и имя Если вы заполните только эти поля, вы получите все файлы для указанного продукта, подписанные именованным издателем.
Только издатель, имя и файл Если вы заполните только эти поля, вы получите любую версию именованного файла или пакета для указанного продукта, подписанную указанным издателем.
Только издатель, имя, файл и минимальная версия Если вы заполните только эти поля, вы получите указанную версию или более новые выпуски именованного файла или пакета для указанного продукта, подписанные именованным издателем. Этот вариант рекомендуется для допустимых приложений, предыдущие версии которых не были допустимыми.
Только издатель, имя, файл и максимальная версия Если вы заполните только эти поля, вы получите указанную версию или более старые выпуски именованного файла или пакета для указанного продукта, подписанные именованным издателем.
Все поля заполнены При заполнении всех полей вы получите указанную версию именованного файла или пакета для указанного продукта, подписанную указанным издателем.

Чтобы добавить другое классическое приложение, нажмите кнопку с многоточием . После ввода сведений в поля нажмите кнопку ОК.

Microsoft Intune консоль управления. Добавление сведений о классическом приложении.

Если вы не знаете, что следует включить для издателя, можно выполнить следующую команду PowerShell:

Get-AppLockerFileInformation -Path "<path_of_the_exe>"

Здесь "<path_of_the_exe>" — расположение приложения на устройстве. Пример:

Get-AppLockerFileInformation -Path "C:\Program Files\Windows NT\Accessories\wordpad.exe"

В этом примере после выполнения команды вы получите следующие сведения:

Path                   Publisher
----                   ---------
%PROGRAMFILES%\WINDOWS NT\ACCESSORIES\WORDPAD.EXE O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US

Где O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US — имя издателя , а WORDPAD.EXE — имя файла .

Чтобы узнать, как получить название продукта для приложений, которые вы хотите добавить, обратитесь в службу поддержки Windows, чтобы запросить рекомендации.

Импорт списка приложений

В этом разделе рассматриваются два примера использования XML-файла AppLocker в списке защищенных приложений . Вы будете использовать этот параметр, если хотите добавить несколько приложений одновременно.

Дополнительные сведения об AppLocker см. в статье AppLocker.

Создание правила упакованных приложений для приложений Магазина

  1. Откройте оснастку "Локальная политика безопасности" (SecPol.msc).

  2. Разверните узлы Политики управления приложениями, AppLocker, а затем выберите Правила упакованных приложений.

    Оснастка локальной безопасности с правилами упакованных приложений.

  3. Щелкните правой кнопкой мыши в правой части и выберите Создать новое правило.

    Откроется мастер создания правил упакованных приложений.

  4. На странице Перед началом работы нажмите кнопку Далее.

    Снимок экрана: вкладка

  5. На странице Разрешения убедитесь, что для параметра Действие задано значение Разрешить , а для параметра Пользователь или группазначение Все, а затем нажмите кнопку Далее.

    Снимок экрана: вкладка

  6. На странице Издатель выберите Выбрать в области Использовать установленное упаковаемое приложение в качестве ссылки .

    Снимок экрана: выбран переключатель

  7. В поле Выбор приложений выберите приложение, которое вы хотите использовать в качестве ссылки на правило, и нажмите кнопку ОК. В этом примере мы используем Microsoft Dynamics 365.

    Снимок экрана: список

  8. На обновленной странице Издатель выберите Создать.

    Снимок экрана: вкладка

  9. В появившемся диалоговом окне выберите Нет , чтобы узнать, хотите ли вы создать правила по умолчанию. Не создавайте правила по умолчанию для политики WIP.

    Снимок экрана: предупреждение AppLocker.

  10. Проверьте оснастку "Локальная политика безопасности" и убедитесь, что правило создано правильно.

    Оснастка

  11. В левой части экрана щелкните правой кнопкой мыши AppLocker и выберите Пункт Экспорт политики.

    Откроется окно Экспорт политики, в котором вы можете экспортировать новую политику и сохранить ее в формате XML.

    Оснастка

  12. В поле Экспорт политики найдите место, где должна храниться политика, присвойте политике имя и нажмите кнопку Сохранить.

    Политика будет сохранена, и вы увидите сообщение о том, что одно правило было экспортировано из политики.

    Пример XML-файла
    Это XML-файл, созданный AppLocker для приложения Microsoft Dynamics 365.

    <?xml version="1.0"?>
<AppLockerPolicy Version="1">
    <RuleCollection EnforcementMode="NotConfigured" Type="Appx">
        <FilePublisherRule Action="Allow" UserOrGroupSid="S-1-1-0" Description="" Name="Microsoft.MicrosoftDynamicsCRMforWindows10, version 3.2.0.0 and above, from Microsoft Corporation" Id="3da34ed9-aec6-4239-88ba-0afdce252ab4">
            <Conditions>
                <FilePublisherCondition BinaryName="*" ProductName="Microsoft.MicrosoftDynamicsCRMforWindows10" PublisherName="CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US">
                    <BinaryVersionRange HighSection="*" LowSection="3.2.0.0"/>
                </FilePublisherCondition>
            </Conditions>
        </FilePublisherRule>
    </RuleCollection>
    <RuleCollection EnforcementMode="NotConfigured" Type="Dll"/>
    <RuleCollection EnforcementMode="NotConfigured" Type="Exe"/>
    <RuleCollection EnforcementMode="NotConfigured" Type="Msi"/>
    <RuleCollection EnforcementMode="NotConfigured" Type="Script"/>
</AppLockerPolicy>

  13. После создания XML-файла его необходимо импортировать с помощью Microsoft Intune.

Создание правила исполняемого файла для неподписанных приложений

Исполняемое правило помогает создать правило AppLocker для подписывания любых неподписанных приложений. Он позволяет добавить путь к файлу или издатель приложения, содержащийся в цифровой подписи файла, необходимой для применения политики WIP.

  1. Откройте оснастку "Локальная политика безопасности" (SecPol.msc).

  2. В левой области выберите Политики управления приложениями>AppLocker>Исполняемые правила.

  3. Щелкните правой кнопкой мыши Пункт Правила> исполняемого файлаСоздать новое правило.

    Оснастка локальной безопасности с правилами исполняемых файлов.

  4. На странице Перед началом работы нажмите кнопку Далее.

  5. На странице Разрешения убедитесь, что для параметра Действие задано значение Разрешить , а для параметра Пользователь или группазначение Все, а затем нажмите кнопку Далее.

  6. На странице Условия выберите Путь , а затем нажмите кнопку Далее.

    Снимок экрана с выбранными условиями пути в мастере создания исполняемых правил.

  7. Выберите Обзор папок... и выберите путь для неподписанных приложений. В этом примере мы используем "C:\Program Files".

    Снимок экрана: поле Path мастера создания исполняемых правил.

  8. На странице Исключения добавьте все исключения и нажмите кнопку Далее.

  9. На странице Имя введите имя и описание правила, а затем нажмите кнопку Создать.

  10. В левой области щелкните правой кнопкой мышиПолитику экспортаAppLocker>.

  11. В поле Экспорт политики найдите место, где должна храниться политика, присвойте политике имя и нажмите кнопку Сохранить.

    Политика будет сохранена, и вы увидите сообщение о том, что одно правило было экспортировано из политики.

  12. После создания XML-файла его необходимо импортировать с помощью Microsoft Intune.

Импорт списка защищенных приложений с помощью Microsoft Intune

  1. В разделе Защищенные приложения выберите Импорт приложений.

    Импорт защищенных приложений.

    Затем импортируйте файл.

    Microsoft Intune импорт файла политики AppLocker с помощью Intune.

  2. Перейдите к экспортируемму файлу политики AppLocker и нажмите кнопку Открыть.

    Импортированные файлы и приложения добавляются в список защищенных приложений .

Освобождение приложений из политики WIP

Если ваше приложение несовместимо с WIP, но по-прежнему должно использоваться с корпоративными данными, вы можете исключить приложение из ограничений WIP. Это означает, что ваши приложения не будут выполнять автоматическое шифрование или добавление тегов и не будут соблюдать ограничения в сети. Это также означает, что эти приложения могут стать причиной утечки данных.

  1. В разделе Клиентские приложения — политики защита приложений выберите Исключить приложения.

    Исключенные приложения.

  2. В разделе Исключенные приложения выберите Добавить приложения.

    При исключении приложений они могут обходить ограничения WIP и получать доступ к корпоративным данным.

  3. Заполните остальные сведения о приложении в зависимости от типа добавляемого приложения:

  4. Нажмите ОК.

Управление режимом защиты WIP для корпоративных данных

После добавления приложений, которые необходимо защитить с помощью WIP, вам потребуется применить режим управления и защиты.

При проверке небольшой группы, для которой в списке защищенных приложений указаны правильные приложения, рекомендуется начать с уровня Автоматически или Переопределение. По завершении можно изменить окончательную политику принудительного применения Блокировать.

  1. В защита приложений политике выберите имя политики, а затем выберите Обязательные параметры.

    Microsoft Intune в разделе Обязательные параметры отображается режим Information Protection Windows.

    Режим Описание
    Блокирование WIP обнаруживает случаи недопустимого предоставления доступа к данным и запрещает сотруднику выполнить действие. Помимо прочего, под этим подразумевается обмен информацией через не защищенные на корпоративном уровне приложения, а также обмен корпоративными данными с другими пользователями и устройствами, находящимися за пределами компании.
    Разрешить переопределения WIP обнаруживает случаи недопустимого предоставления доступа к данным и предупреждает сотрудника о том, что он собирается выполнить потенциально небезопасное действие. Тем не менее в этом режиме управления сотрудник может переопределить политику и предоставить доступ к данным. При этом сведения о его действии будут внесены в журнал аудита. Сведения о том, как собирать файлы журнала аудита, вы найдете в статье Как собирать журналы событий аудита Windows Information Protection (WIP).
    Автоматически WIP работает автоматически, регистрируя недопустимый общий доступ к данным, не блокируя ничего, что было бы предложено для взаимодействия сотрудников в режиме Разрешить переопределение. Неразрешенные действия, например несанкционированные попытки приложений получить доступ к сетевым ресурсам или данным, защищенным с помощью WIP, останавливаются.
    Отключено Средство WIP отключено. Оно не защищает данные и не производит их аудит.

    После отключения WIP будет выполнена попытка расшифровать все файлы с тегами WIP на локально подключенных дисках. Необходимо отметить, что введенные ранее сведения о расшифровке и политике не применяются повторно автоматически, если снова включить защиту WIP. Дополнительные сведения см. в разделе Отключение Information Protection Windows.

  2. Выберите Сохранить.

Определение корпоративного удостоверения, управляемого организацией

Корпоративное удостоверение, обычно выраженное как основной интернет-домен (например, contoso.com), помогает идентифицировать корпоративные данные из приложений, которые вы помечаете как защищенные WIP. Например, электронные письма, использующие домен contoso.com, считаются корпоративными, и для них действуют ограничения, накладываемые политиками Windows Information Protection.

Начиная с Windows 10 версии 1703 Intune автоматически определяет корпоративное удостоверение и добавляет его в поле Корпоративное удостоверение.

Изменение корпоративного удостоверения

  1. В разделе Политика приложений выберите имя политики, а затем выберите Обязательные параметры.

  2. Если автоматическое удостоверение неправильное, вы можете изменить сведения в поле Корпоративный идентификатор .

    Microsoft Intune задайте корпоративный идентификатор для своей организации.

  3. Чтобы добавить домены, например доменные имена электронной почты>, выберите Настроить дополнительныепараметры Добавить границу сети и выберите Защищенные домены.

    Добавление защищенных доменов.

Выбор расположения для доступа к корпоративным данным из приложений

После того как вы включите режим защиты для приложений, вам потребуется решить, в каком расположении эти приложения будут получать доступ к корпоративным данным в вашей сети. Каждая политика WIP должна включать расположения вашей корпоративной сети.

WIP не использует какие-либо расположения по умолчанию, поэтому вам необходимо добавить каждое расположение в сети. Эта область применяется к любому устройству конечной точки сети, которое получает IP-адрес в диапазоне предприятия, а также привязано к одному из корпоративных доменов, включая общие папки SMB. Расположения в локальной файловой системе должны поддерживать шифрование (например, в локальных файловых системах NTFS, FAT или ExFAT).

Чтобы определить границы сети, выберите Политика> приложений, имя политики >Дополнительные параметры>Добавить границу сети.

Microsoft Intune укажите, где приложения могут получать доступ к корпоративным данным в сети.

В поле Тип границы выберите тип сетевых границ, который нужно добавить. Введите имя границы в поле Имя , добавьте значения в поле Значение на основе параметров, описанных в следующих подразделах, а затем нажмите кнопку ОК.

Облачные ресурсы

Укажите облачные ресурсы, которые следует рассматривать как корпоративные и защищенные с помощью WIP. Для каждого облачного ресурса вы можете дополнительно указать прокси-сервер из списка внутренних прокси-серверов для маршрутизации трафика этого облачного ресурса. Весь трафик, направляемый через внутренние прокси-серверы, считается корпоративным.

Разделите несколько ресурсов с помощью разделителя "|". Пример:

URL <,proxy>|URL <,proxy>

Личные приложения могут обращаться к облачному ресурсу с пустым пробелом или недопустимым символом, например к конечной точке в URL-адресе.

Чтобы добавить поддомен для облачного ресурса, используйте точку (.) вместо звездочки (*). Например, чтобы добавить все поддомены в Office.com, используйте ".office.com" (без кавычек).

В некоторых случаях, например когда приложение подключается непосредственно к облачному ресурсу через IP-адрес, Windows не может определить, пытается ли оно подключиться к корпоративному облачному ресурсу или к личному сайту. В этом случае Windows по умолчанию блокирует такое подключение. Чтобы запретить Windows автоматически блокировать эти подключения, можно добавить строку /*AppCompat*/ к данному параметру. Пример:

URL <,proxy>|URL <,proxy>|/*AppCompat*/

При использовании этой строки рекомендуется также включить Microsoft Entra условный доступ, используя параметр Присоединение к домену или отмечено как соответствующее, что запрещает приложениям доступ к любым корпоративным облачным ресурсам, защищенным условным доступом.

Формат значения с прокси-сервером:

contoso.sharepoint.com,contoso.internalproxy1.com|contoso.visualstudio.com,contoso.internalproxy2.com

Формат значения без прокси-сервера:

contoso.sharepoint.com|contoso.visualstudio.com|contoso.onedrive.com,

Защищенные домены

Укажите домены, используемые для удостоверений в вашей среде. Весь трафик в полные домены, отображаемые в этом списке, будет защищен. Разделите несколько доменов с помощью разделителя "|".

exchange.contoso.com|contoso.com|region.contoso.com

Сетевые домены

Укажите суффиксы DNS, используемые в вашей среде. Весь трафик в полные домены, отображаемые в этом списке, будет защищен. Разделите несколько ресурсов с помощью разделителя ",".

corp.contoso.com,region.contoso.com

Прокси-серверы

Укажите прокси-серверы, через которые будет проходить трафик ваших устройств на пути к облачным ресурсам. Использование этого типа сервера означает, что облачные ресурсы, к которым вы подключаетесь, являются корпоративными.

Этот список не должен включать серверы, перечисленные в списке внутренних прокси-серверов. Прокси-серверы можно использовать только для трафика, не защищенного с помощью WIP (некорпоративного). Разделите несколько ресурсов с помощью разделителя ";".

proxy.contoso.com:80;proxy2.contoso.com:443

Внутренние прокси-серверы

Укажите внутренние прокси-серверы, через которые будет проходить трафик ваших устройств на пути к облачным ресурсам. Использование этого типа сервера означает, что облачные ресурсы, к которым вы подключаетесь, являются корпоративными.

Этот список не должен включать серверы, перечисленные в списке прокси-серверов. Внутренние прокси-серверы можно использовать только для трафика, защищенного с помощью WIP (корпоративного). Разделите несколько ресурсов с помощью разделителя ";".

contoso.internalproxy1.com;contoso.internalproxy2.com

Диапазоны IPv4-адресов

Укажите адреса для допустимого диапазона значений IPv4-адресов в своей интрасети. Эти адреса, используемые вместе с доменными именами сети, определяют границы вашей корпоративной сети. Но Inter-Domain тация CIDR не поддерживается.

Разделите несколько диапазонов с помощью разделителя ",".

Начальный IPv4-адрес: 3.4.0.1
Конечный IPv4-адрес: 3.4.255.254
Настраиваемый URI: 3.4.0.1–3.4.255.254,
10.0.0.1–10.255.255.254

Диапазоны IPv6-адресов

Начиная с Windows 10 версии 1703, это поле является необязательным.

Укажите адреса для допустимого диапазона значений IPv6-адресов в своей интрасети. Эти адреса, используемые с доменными именами сети, определяют границы корпоративной сети. Но Inter-Domain тация CIDR не поддерживается.

Разделите несколько диапазонов с помощью разделителя ",".

Начальный IPv6-адрес:2a01:110::
Конечный IPv6-адрес:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff
Пользовательский URI:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff,'<br>'fd00::-fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

Нейтральные ресурсы

Укажите конечные точки перенаправления для проверки подлинности в вашей компании. Эти расположения считаются корпоративными или личными в зависимости контекста подключения, используемого до перенаправления. Разделите несколько ресурсов с помощью разделителя ",".

sts.contoso.com,sts.contoso2.com

Решите, хотите ли вы, чтобы Windows искала дополнительные параметры сети:

  • Список прокси-серверов предприятия заслуживает доверия (без автообнаружения). Включите этот параметр, если требуется, чтобы Windows обрабатывала прокси-серверы, указанные в определении границ сети, как полный список прокси-серверов, доступных в вашей сети. Если вы отключите эту функцию, Windows будет искать дополнительные прокси-серверы в вашей непосредственной сети.

  • Список диапазонов IP-адресов предприятия заслуживает доверия (без автообнаружения). Включите этот параметр, если требуется, чтобы Windows обрабатывала диапазоны IP-адресов, указанные в определении границ сети, как полный список диапазонов IP-адресов, доступных в вашей сети. Если это отключить, Windows будет искать дополнительные диапазоны IP-адресов на всех присоединенных к домену устройствах, подключенных к сети.

Microsoft Intune выберите, если вы хотите, чтобы Windows искала дополнительные прокси-серверы или диапазоны IP-адресов на предприятии.

Отправка сертификата агента восстановления данных (DRA)

После создания и развертывания политики WIP для сотрудников Windows начнет шифровать корпоративные данные на локальном диске устройства сотрудников. Если каким-либо образом локальные ключи шифрования сотрудников будут потеряны или отозваны, зашифрованные данные могут стать невосстановимыми. Чтобы избежать этого, сертификат агента восстановления данных (DRA) позволяет ОС Windows использовать включенный открытый ключ для шифрования локальных данных, в то время как у вас будет закрытый ключ, с помощью которого можно расшифровать данные.

Важно.

Использование сертификата DRA не является обязательным. Однако мы настоятельно рекомендуем это делать. Дополнительные сведения о поиске и экспорте сертификата восстановления данных см. в разделе Восстановление данных и шифрование файловой системы (EFS). Дополнительные сведения о создании и проверке сертификата EFS DRA см. в статье Создание и проверка сертификата агента восстановления данных (DRA) для зашифрованной файловой системы (EFS).

Отправка сертификата DRA

  1. В разделе Политика приложений выберите имя политики, а затем в появившемся меню выберите Дополнительные параметры .

    Отображаются дополнительные параметры .

  2. В поле Отправка сертификата агента восстановления данных (DRA), чтобы разрешить восстановление зашифрованных данных , выберите Обзор , чтобы добавить сертификат восстановления данных для политики.

    Microsoft Intune отправьте сертификат агента восстановления данных (DRA).

Определив, где защищенные приложения могут получать доступ к корпоративным данным в сети, можно выбрать дополнительные параметры.

Дополнительные необязательные параметры.

Отзывать ключи шифрования при отмене регистрации. Определяет, следует ли отзывать локальные ключи шифрования пользователя с устройства при отмене регистрации в Windows Information Protection. Если ключи шифрования отозваны, у пользователя не будет доступа к зашифрованным корпоративным данным. Ниже перечислены возможные варианты.

  • Включено или не настроено (рекомендуется). Отзывает локальные ключи шифрования с устройства в процессе отмены регистрации.

  • Выкл. Не отзывать локальные ключи шифрования с устройства в процессе отмены регистрации. Например, при миграции между решениями для мобильных Управление устройствами (MDM).

Показать значок защиты корпоративных данных. Определяет, отображается ли значок Windows Information Protection на корпоративных файлах в окне "Сохранить как" и представлениях проводника. Ниже перечислены возможные варианты.

  • Включено. Значок Windows Information Protection отображается на корпоративных файлах в окне "Сохранить как" и представлениях проводника. Кроме того, для незасвеченных, но защищенных приложений значок на плитке приложения также отображается с управляемым текстом в имени приложения в меню "Пуск ".

  • Выключено или не настроено (рекомендуется). Запрещает наложение значка windows Information Protection на корпоративные файлы или незасвеченные, но защищенные приложения. По умолчанию используется параметр "Не настроено".

Использовать Azure RMS для WIP. Определяет, использует ли WIP Microsoft Azure Rights Management для применения шифрования EFS к файлам, которые копируются из Windows 10 на USB или другие съемные диски, чтобы обеспечить безопасный общий доступ к ним сотрудникам. Другими словами, WIP использует "механизм" Azure Rights Management для применения шифрования EFS к файлам при их копировании на съемные диски. У вас уже должна быть настроена служба Azure Rights Management. Ключ шифрования файлов EFS защищен лицензией шаблона RMS. Только пользователи с разрешением на этот шаблон могут считывать его со съемного диска. WIP также может интегрироваться с Azure RMS с помощью параметров MDM AllowAzureRMSForEDP и RMSTemplateIDForEDP в поставщике CSP EnterpriseDataProtection.

  • Вкл. Защищает файлы, которые копируются на съемный диск. Вы можете ввести идентификатор GUID TemplateID, чтобы указать, кто может получить доступ к защищенным файлам Azure Rights Management и как долго. Шаблон RMS применяется только к файлам на съемных носителях и используется только для управления доступом— он фактически не применяет azure Information Protection к файлам.

    Если не указать шаблон RMS, это обычный файл EFS, использующий шаблон RMS по умолчанию, к которому могут получить доступ все пользователи.

  • Выключено или не настроено. Запрещает WIP шифровать файлы Azure Rights Management, которые копируются на съемный диск.

    Примечание.

    Независимо от этого параметра все файлы в OneDrive для бизнеса будут зашифрованы, включая перемещенные известные папки.

Разрешите Индексатору Поиска Windows выполнять поиск в зашифрованных файлах. Определяет, следует ли разрешить индексатору Поиска Windows индексировать зашифрованные элементы, например защищенные WIP-файлы.

  • Вкл. Запускает индексатор Поиска Windows для индексирования зашифрованных файлов.

  • Выключено или не настроено. Блокирует индексирование зашифрованных файлов индексатором Windows Search.

Расширения зашифрованных файлов

Вы можете ограничить, какие файлы защищены с помощью WIP, когда они скачиваются из общей папки SMB в расположениях корпоративной сети. Если этот параметр настроен, шифруются только файлы с расширениями в списке. Если этот параметр не указан, применяется существующее поведение автоматического шифрования.

Расширения зашифрованных файлов WIP.