Создание политики Information Protection Windows в Microsoft Intune
Примечание.
Начиная с июля 2022 г. корпорация Майкрософт не рекомендует использовать Windows Information Protection (WIP). Корпорация Майкрософт продолжит поддерживать WIP в поддерживаемых версиях Windows. Новые версии Windows не будут включать новые возможности для WIP, и они не будут поддерживаться в будущих версиях Windows. Дополнительные сведения см. в разделе Объявление о прекращении Information Protection Windows.
Для защиты данных корпорация Майкрософт рекомендует использовать Защита информации Microsoft Purview и Защита от потери данных Microsoft Purview. Purview упрощает настройку конфигурации и предоставляет расширенный набор возможностей.
Относится к:
- Windows 10
- Windows 11
Microsoft Intune простой способ создания и развертывания политики windows Information Protection (WIP). Вы можете выбрать приложения для защиты, уровень защиты и способ поиска корпоративных данных в сети. Устройствами можно полностью управлять с помощью мобильных Управление устройствами (MDM) или управления мобильными приложениями (MAM), где Intune управляет только приложениями на личном устройстве пользователя.
Различия между MDM и MAM для WIP
Вы можете создать политику защиты приложений в Intune с регистрацией устройства для MDM или без регистрации устройств для MAM. Процесс создания любой из политик аналогичен, но существуют важные различия:
- В MAM есть дополнительные параметры доступа для Windows Hello для бизнеса.
- MAM может выборочно очищать данные компании с личного устройства пользователя.
- Для MAM требуется лицензия Microsoft Entra ID P1 или P2.
- Лицензия Microsoft Entra ID P1 или P2 также требуется для автоматического восстановления WIP, когда устройство может повторно зарегистрировать и восстановить доступ к защищенным данным. Автоматическое восстановление WIP зависит от Microsoft Entra регистрации для резервного копирования ключей шифрования, что требует автоматической регистрации устройства с помощью MDM.
- MAM поддерживает только одного пользователя на устройство.
- MAM может управлять только просвещенными приложениями.
- Только MDM могут использовать политики CSP BitLocker .
- Если один и тот же пользователь и устройство предназначены для MDM и MAM, политика MDM будет применяться к устройствам, присоединенным к Microsoft Entra ID. Для личных устройств, присоединенных к рабочему месту (то есть добавленных с помощью параметров>Email & учетных записей>Добавление рабочей или учебной учетной записи), будет предпочтительна политика только MAM, но можно обновить управление устройствами до MDM в разделе Параметры. Выпуск Windows Home поддерживает только WIP для MAM; Обновление до политики MDM в выпуске Home приведет к отмене доступа к данным, защищенным WIP.
Предварительные условия
Прежде чем создавать политику WIP с помощью Intune, необходимо настроить поставщик MDM или MAM в Microsoft Entra ID. Для MAM требуется лицензия Microsoft Entra ID P1 или P2. Лицензия Microsoft Entra ID P1 или P2 также требуется для автоматического восстановления WIP, когда устройство может повторно зарегистрировать и восстановить доступ к защищенным данным. Автоматическое восстановление WIP зависит от регистрации Microsoft Entra для резервного копирования ключей шифрования, что требует автоматической регистрации устройства с помощью MDM.
Настройка поставщика MDM или MAM
Войдите в портал Azure.
Выберите Microsoft Entra ID>Мобильность (MDM и MAM)>Microsoft Intune.
Выберите Восстановить URL-адреса по умолчанию или введите параметры для область пользователя MDM или MAM и нажмите кнопку Сохранить:
Создание политики WIP
Войдите в Центр администрирования Microsoft Intune.
Откройте Microsoft Intune и выберите Приложения>защита приложений политики>Создать политику.
На экране Политика приложений выберите Добавить политику, а затем заполните поля:
Имя. Введите имя новой политики (обязательная информация).
Описание. При необходимости введите описание.
Платформа. Выберите Windows 10.
Состояние регистрации. Выберите Без регистрации для MAM или С регистрацией для MDM.
Выберите Защищенные приложения , а затем — Добавить приложения.
Вы можете добавить следующие типы приложений:
Примечание.
После удаления приложения из списка защищенных приложений приложение может возвращать ошибки, запрещенные в доступе. Вместо удаления приложения из списка удалите и переустановите приложение или исключите его из политики WIP.
Добавление рекомендуемых приложений
Выберите Рекомендуемые приложения , выберите каждое приложение, которое вы хотите получить доступ к корпоративным данным, или выберите их все, а затем нажмите кнопку ОК.
Добавление приложений из Магазина
Выберите Приложения Магазина, введите название продукта приложения и издателя, а затем нажмите кнопку ОК. Например, чтобы добавить приложение Power BI Mobile из Магазина, введите следующее:
- Имя: Microsoft Power BI
- Издатель:
CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
- Название продукта:
Microsoft.MicrosoftPowerBIForWindows
Чтобы добавить несколько приложений Магазина, нажмите кнопку с многоточием …
.
Если вы не знаете издателя приложения Store или название продукта, их можно найти, выполнив следующие действия.
Перейдите на веб-сайт Microsoft Store для бизнеса и найдите необходимое приложение. Например, Power BI Mobile app.
Скопируйте значение идентификатора из URL-адреса приложения. Например, Power BI Mobile URL-адрес идентификатора приложения —
https://www.microsoft.com/store/p/microsoft-power-bi/9nblgggzlxn1
, и вы скопируете значение идентификатора9nblgggzlxn1
.В браузере запустите веб-API портала Store для бизнеса, чтобы отправить файл нотации объектов JavaScript (JSON-файл), в котором содержится информация о названиях издателя и продукта. Например, выполните
https://bspmts.mp.microsoft.com/v1/public/catalog/Retail/Products/9nblgggzlxn1/applockerdata
команду , где9nblgggzlxn1
заменяется значением идентификатора.После этого запустится API и откроется окно текстового редактора со сведениями о приложении.
{ "packageIdentityName": "Microsoft.MicrosoftPowerBIForWindows", "publisherCertificateName": "CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US" }
Скопируйте значение
publisherCertificateName
в поле Издатель, а значениеpackageIdentityName
— в поле Название в Intune.Важно.
JSON-файл также может возвращать значение
windowsPhoneLegacyId
для полей Название издателя и Название продукта. Это означает, что у вас есть приложение, использующее пакет XAP и необходимо задать для параметра Product Name (НазваниеwindowsPhoneLegacyId
продукта) значение , а имя издателя , какCN=
следует заwindowsPhoneLegacyId
.Пример:
{ "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d", }
Добавление классических приложений
Чтобы добавить классические приложения, заполните следующие поля в зависимости от того, какие результаты вы хотите получить.
Поле | Управление |
---|---|
Все поля, помеченные как * |
Все файлы, подписанные любым издателем. (Не рекомендуется и может не работать) |
Только издатель | Если вы заполните только это поле, вы получите все файлы, подписанные именованным издателем. Это может быть удобно, если ваша компания является издателем и подписывает внутренние бизнес-приложения. |
Только издатель и имя | Если вы заполните только эти поля, вы получите все файлы для указанного продукта, подписанные именованным издателем. |
Только издатель, имя и файл | Если вы заполните только эти поля, вы получите любую версию именованного файла или пакета для указанного продукта, подписанную указанным издателем. |
Только издатель, имя, файл и минимальная версия | Если вы заполните только эти поля, вы получите указанную версию или более новые выпуски именованного файла или пакета для указанного продукта, подписанные именованным издателем. Этот вариант рекомендуется для допустимых приложений, предыдущие версии которых не были допустимыми. |
Только издатель, имя, файл и максимальная версия | Если вы заполните только эти поля, вы получите указанную версию или более старые выпуски именованного файла или пакета для указанного продукта, подписанные именованным издателем. |
Все поля заполнены | При заполнении всех полей вы получите указанную версию именованного файла или пакета для указанного продукта, подписанную указанным издателем. |
Чтобы добавить другое классическое приложение, нажмите кнопку с многоточием …
. После ввода сведений в поля нажмите кнопку ОК.
Если вы не знаете, что следует включить для издателя, можно выполнить следующую команду PowerShell:
Get-AppLockerFileInformation -Path "<path_of_the_exe>"
Здесь "<path_of_the_exe>"
— расположение приложения на устройстве. Пример:
Get-AppLockerFileInformation -Path "C:\Program Files\Windows NT\Accessories\wordpad.exe"
В этом примере после выполнения команды вы получите следующие сведения:
Path Publisher
---- ---------
%PROGRAMFILES%\WINDOWS NT\ACCESSORIES\WORDPAD.EXE O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US
Где O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US
— имя издателя , а WORDPAD.EXE
— имя файла .
Чтобы узнать, как получить название продукта для приложений, которые вы хотите добавить, обратитесь в службу поддержки Windows, чтобы запросить рекомендации.
Импорт списка приложений
В этом разделе рассматриваются два примера использования XML-файла AppLocker в списке защищенных приложений . Вы будете использовать этот параметр, если хотите добавить несколько приложений одновременно.
- Создание правила упакованных приложений для приложений Магазина
- Создание правила исполняемого файла для неподписанных приложений
Дополнительные сведения об AppLocker см. в статье AppLocker.
Создание правила упакованных приложений для приложений Магазина
Откройте оснастку "Локальная политика безопасности" (SecPol.msc).
Разверните узлы Политики управления приложениями, AppLocker, а затем выберите Правила упакованных приложений.
Щелкните правой кнопкой мыши в правой части и выберите Создать новое правило.
Откроется мастер создания правил упакованных приложений.
На странице Перед началом работы нажмите кнопку Далее.
На странице Разрешения убедитесь, что для параметра Действие задано значение Разрешить , а для параметра Пользователь или группа — значение Все, а затем нажмите кнопку Далее.
На странице Издатель выберите Выбрать в области Использовать установленное упаковаемое приложение в качестве ссылки .
В поле Выбор приложений выберите приложение, которое вы хотите использовать в качестве ссылки на правило, и нажмите кнопку ОК. В этом примере мы используем Microsoft Dynamics 365.
На обновленной странице Издатель выберите Создать.
В появившемся диалоговом окне выберите Нет , чтобы узнать, хотите ли вы создать правила по умолчанию. Не создавайте правила по умолчанию для политики WIP.
Проверьте оснастку "Локальная политика безопасности" и убедитесь, что правило создано правильно.
В левой части экрана щелкните правой кнопкой мыши AppLocker и выберите Пункт Экспорт политики.
Откроется окно Экспорт политики, в котором вы можете экспортировать новую политику и сохранить ее в формате XML.
В поле Экспорт политики найдите место, где должна храниться политика, присвойте политике имя и нажмите кнопку Сохранить.
Политика будет сохранена, и вы увидите сообщение о том, что одно правило было экспортировано из политики.
Пример XML-файла
Это XML-файл, созданный AppLocker для приложения Microsoft Dynamics 365.<?xml version="1.0"?> <AppLockerPolicy Version="1"> <RuleCollection EnforcementMode="NotConfigured" Type="Appx"> <FilePublisherRule Action="Allow" UserOrGroupSid="S-1-1-0" Description="" Name="Microsoft.MicrosoftDynamicsCRMforWindows10, version 3.2.0.0 and above, from Microsoft Corporation" Id="3da34ed9-aec6-4239-88ba-0afdce252ab4"> <Conditions> <FilePublisherCondition BinaryName="*" ProductName="Microsoft.MicrosoftDynamicsCRMforWindows10" PublisherName="CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US"> <BinaryVersionRange HighSection="*" LowSection="3.2.0.0"/> </FilePublisherCondition> </Conditions> </FilePublisherRule> </RuleCollection> <RuleCollection EnforcementMode="NotConfigured" Type="Dll"/> <RuleCollection EnforcementMode="NotConfigured" Type="Exe"/> <RuleCollection EnforcementMode="NotConfigured" Type="Msi"/> <RuleCollection EnforcementMode="NotConfigured" Type="Script"/> </AppLockerPolicy>
После создания XML-файла его необходимо импортировать с помощью Microsoft Intune.
Создание правила исполняемого файла для неподписанных приложений
Исполняемое правило помогает создать правило AppLocker для подписывания любых неподписанных приложений. Он позволяет добавить путь к файлу или издатель приложения, содержащийся в цифровой подписи файла, необходимой для применения политики WIP.
Откройте оснастку "Локальная политика безопасности" (SecPol.msc).
В левой области выберите Политики управления приложениями>AppLocker>Исполняемые правила.
Щелкните правой кнопкой мыши Пункт Правила> исполняемого файлаСоздать новое правило.
На странице Перед началом работы нажмите кнопку Далее.
На странице Разрешения убедитесь, что для параметра Действие задано значение Разрешить , а для параметра Пользователь или группа — значение Все, а затем нажмите кнопку Далее.
На странице Условия выберите Путь , а затем нажмите кнопку Далее.
Выберите Обзор папок... и выберите путь для неподписанных приложений. В этом примере мы используем "C:\Program Files".
На странице Исключения добавьте все исключения и нажмите кнопку Далее.
На странице Имя введите имя и описание правила, а затем нажмите кнопку Создать.
В левой области щелкните правой кнопкой мышиПолитику экспортаAppLocker>.
В поле Экспорт политики найдите место, где должна храниться политика, присвойте политике имя и нажмите кнопку Сохранить.
Политика будет сохранена, и вы увидите сообщение о том, что одно правило было экспортировано из политики.
После создания XML-файла его необходимо импортировать с помощью Microsoft Intune.
Импорт списка защищенных приложений с помощью Microsoft Intune
В разделе Защищенные приложения выберите Импорт приложений.
Затем импортируйте файл.
Перейдите к экспортируемму файлу политики AppLocker и нажмите кнопку Открыть.
Импортированные файлы и приложения добавляются в список защищенных приложений .
Освобождение приложений из политики WIP
Если ваше приложение несовместимо с WIP, но по-прежнему должно использоваться с корпоративными данными, вы можете исключить приложение из ограничений WIP. Это означает, что ваши приложения не будут выполнять автоматическое шифрование или добавление тегов и не будут соблюдать ограничения в сети. Это также означает, что эти приложения могут стать причиной утечки данных.
В разделе Клиентские приложения — политики защита приложений выберите Исключить приложения.
В разделе Исключенные приложения выберите Добавить приложения.
При исключении приложений они могут обходить ограничения WIP и получать доступ к корпоративным данным.
Заполните остальные сведения о приложении в зависимости от типа добавляемого приложения:
Нажмите ОК.
Управление режимом защиты WIP для корпоративных данных
После добавления приложений, которые необходимо защитить с помощью WIP, вам потребуется применить режим управления и защиты.
При проверке небольшой группы, для которой в списке защищенных приложений указаны правильные приложения, рекомендуется начать с уровня Автоматически или Переопределение. По завершении можно изменить окончательную политику принудительного применения Блокировать.
В защита приложений политике выберите имя политики, а затем выберите Обязательные параметры.
Режим Описание Блокирование WIP обнаруживает случаи недопустимого предоставления доступа к данным и запрещает сотруднику выполнить действие. Помимо прочего, под этим подразумевается обмен информацией через не защищенные на корпоративном уровне приложения, а также обмен корпоративными данными с другими пользователями и устройствами, находящимися за пределами компании. Разрешить переопределения WIP обнаруживает случаи недопустимого предоставления доступа к данным и предупреждает сотрудника о том, что он собирается выполнить потенциально небезопасное действие. Тем не менее в этом режиме управления сотрудник может переопределить политику и предоставить доступ к данным. При этом сведения о его действии будут внесены в журнал аудита. Сведения о том, как собирать файлы журнала аудита, вы найдете в статье Как собирать журналы событий аудита Windows Information Protection (WIP). Автоматически WIP работает автоматически, регистрируя недопустимый общий доступ к данным, не блокируя ничего, что было бы предложено для взаимодействия сотрудников в режиме Разрешить переопределение. Неразрешенные действия, например несанкционированные попытки приложений получить доступ к сетевым ресурсам или данным, защищенным с помощью WIP, останавливаются. Отключено Средство WIP отключено. Оно не защищает данные и не производит их аудит.
После отключения WIP будет выполнена попытка расшифровать все файлы с тегами WIP на локально подключенных дисках. Необходимо отметить, что введенные ранее сведения о расшифровке и политике не применяются повторно автоматически, если снова включить защиту WIP. Дополнительные сведения см. в разделе Отключение Information Protection Windows.Выберите Сохранить.
Определение корпоративного удостоверения, управляемого организацией
Корпоративное удостоверение, обычно выраженное как основной интернет-домен (например, contoso.com), помогает идентифицировать корпоративные данные из приложений, которые вы помечаете как защищенные WIP. Например, электронные письма, использующие домен contoso.com, считаются корпоративными, и для них действуют ограничения, накладываемые политиками Windows Information Protection.
Начиная с Windows 10 версии 1703 Intune автоматически определяет корпоративное удостоверение и добавляет его в поле Корпоративное удостоверение.
Изменение корпоративного удостоверения
В разделе Политика приложений выберите имя политики, а затем выберите Обязательные параметры.
Если автоматическое удостоверение неправильное, вы можете изменить сведения в поле Корпоративный идентификатор .
Чтобы добавить домены, например доменные имена электронной почты>, выберите Настроить дополнительныепараметры Добавить границу сети и выберите Защищенные домены.
Выбор расположения для доступа к корпоративным данным из приложений
После того как вы включите режим защиты для приложений, вам потребуется решить, в каком расположении эти приложения будут получать доступ к корпоративным данным в вашей сети. Каждая политика WIP должна включать расположения вашей корпоративной сети.
WIP не использует какие-либо расположения по умолчанию, поэтому вам необходимо добавить каждое расположение в сети. Эта область применяется к любому устройству конечной точки сети, которое получает IP-адрес в диапазоне предприятия, а также привязано к одному из корпоративных доменов, включая общие папки SMB. Расположения в локальной файловой системе должны поддерживать шифрование (например, в локальных файловых системах NTFS, FAT или ExFAT).
Чтобы определить границы сети, выберите Политика> приложений, имя политики >Дополнительные параметры>Добавить границу сети.
В поле Тип границы выберите тип сетевых границ, который нужно добавить. Введите имя границы в поле Имя , добавьте значения в поле Значение на основе параметров, описанных в следующих подразделах, а затем нажмите кнопку ОК.
Облачные ресурсы
Укажите облачные ресурсы, которые следует рассматривать как корпоративные и защищенные с помощью WIP. Для каждого облачного ресурса вы можете дополнительно указать прокси-сервер из списка внутренних прокси-серверов для маршрутизации трафика этого облачного ресурса. Весь трафик, направляемый через внутренние прокси-серверы, считается корпоративным.
Разделите несколько ресурсов с помощью разделителя "|". Пример:
URL <,proxy>|URL <,proxy>
Личные приложения могут обращаться к облачному ресурсу с пустым пробелом или недопустимым символом, например к конечной точке в URL-адресе.
Чтобы добавить поддомен для облачного ресурса, используйте точку (.) вместо звездочки (*). Например, чтобы добавить все поддомены в Office.com, используйте ".office.com" (без кавычек).
В некоторых случаях, например когда приложение подключается непосредственно к облачному ресурсу через IP-адрес, Windows не может определить, пытается ли оно подключиться к корпоративному облачному ресурсу или к личному сайту.
В этом случае Windows по умолчанию блокирует такое подключение.
Чтобы запретить Windows автоматически блокировать эти подключения, можно добавить строку /*AppCompat*/
к данному параметру.
Пример:
URL <,proxy>|URL <,proxy>|/*AppCompat*/
При использовании этой строки рекомендуется также включить Microsoft Entra условный доступ, используя параметр Присоединение к домену или отмечено как соответствующее, что запрещает приложениям доступ к любым корпоративным облачным ресурсам, защищенным условным доступом.
Формат значения с прокси-сервером:
contoso.sharepoint.com,contoso.internalproxy1.com|contoso.visualstudio.com,contoso.internalproxy2.com
Формат значения без прокси-сервера:
contoso.sharepoint.com|contoso.visualstudio.com|contoso.onedrive.com,
Защищенные домены
Укажите домены, используемые для удостоверений в вашей среде. Весь трафик в полные домены, отображаемые в этом списке, будет защищен. Разделите несколько доменов с помощью разделителя "|".
exchange.contoso.com|contoso.com|region.contoso.com
Сетевые домены
Укажите суффиксы DNS, используемые в вашей среде. Весь трафик в полные домены, отображаемые в этом списке, будет защищен. Разделите несколько ресурсов с помощью разделителя ",".
corp.contoso.com,region.contoso.com
Прокси-серверы
Укажите прокси-серверы, через которые будет проходить трафик ваших устройств на пути к облачным ресурсам. Использование этого типа сервера означает, что облачные ресурсы, к которым вы подключаетесь, являются корпоративными.
Этот список не должен включать серверы, перечисленные в списке внутренних прокси-серверов. Прокси-серверы можно использовать только для трафика, не защищенного с помощью WIP (некорпоративного). Разделите несколько ресурсов с помощью разделителя ";".
proxy.contoso.com:80;proxy2.contoso.com:443
Внутренние прокси-серверы
Укажите внутренние прокси-серверы, через которые будет проходить трафик ваших устройств на пути к облачным ресурсам. Использование этого типа сервера означает, что облачные ресурсы, к которым вы подключаетесь, являются корпоративными.
Этот список не должен включать серверы, перечисленные в списке прокси-серверов. Внутренние прокси-серверы можно использовать только для трафика, защищенного с помощью WIP (корпоративного). Разделите несколько ресурсов с помощью разделителя ";".
contoso.internalproxy1.com;contoso.internalproxy2.com
Диапазоны IPv4-адресов
Укажите адреса для допустимого диапазона значений IPv4-адресов в своей интрасети. Эти адреса, используемые вместе с доменными именами сети, определяют границы вашей корпоративной сети. Но Inter-Domain тация CIDR не поддерживается.
Разделите несколько диапазонов с помощью разделителя ",".
Начальный IPv4-адрес: 3.4.0.1
Конечный IPv4-адрес: 3.4.255.254
Настраиваемый URI: 3.4.0.1–3.4.255.254,
10.0.0.1–10.255.255.254
Диапазоны IPv6-адресов
Начиная с Windows 10 версии 1703, это поле является необязательным.
Укажите адреса для допустимого диапазона значений IPv6-адресов в своей интрасети. Эти адреса, используемые с доменными именами сети, определяют границы корпоративной сети. Но Inter-Domain тация CIDR не поддерживается.
Разделите несколько диапазонов с помощью разделителя ",".
Начальный IPv6-адрес:2a01:110::
Конечный IPv6-адрес:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff
Пользовательский URI:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff,'<br>'fd00::-fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
Нейтральные ресурсы
Укажите конечные точки перенаправления для проверки подлинности в вашей компании. Эти расположения считаются корпоративными или личными в зависимости контекста подключения, используемого до перенаправления. Разделите несколько ресурсов с помощью разделителя ",".
sts.contoso.com,sts.contoso2.com
Решите, хотите ли вы, чтобы Windows искала дополнительные параметры сети:
Список прокси-серверов предприятия заслуживает доверия (без автообнаружения). Включите этот параметр, если требуется, чтобы Windows обрабатывала прокси-серверы, указанные в определении границ сети, как полный список прокси-серверов, доступных в вашей сети. Если вы отключите эту функцию, Windows будет искать дополнительные прокси-серверы в вашей непосредственной сети.
Список диапазонов IP-адресов предприятия заслуживает доверия (без автообнаружения). Включите этот параметр, если требуется, чтобы Windows обрабатывала диапазоны IP-адресов, указанные в определении границ сети, как полный список диапазонов IP-адресов, доступных в вашей сети. Если это отключить, Windows будет искать дополнительные диапазоны IP-адресов на всех присоединенных к домену устройствах, подключенных к сети.
Отправка сертификата агента восстановления данных (DRA)
После создания и развертывания политики WIP для сотрудников Windows начнет шифровать корпоративные данные на локальном диске устройства сотрудников. Если каким-либо образом локальные ключи шифрования сотрудников будут потеряны или отозваны, зашифрованные данные могут стать невосстановимыми. Чтобы избежать этого, сертификат агента восстановления данных (DRA) позволяет ОС Windows использовать включенный открытый ключ для шифрования локальных данных, в то время как у вас будет закрытый ключ, с помощью которого можно расшифровать данные.
Важно.
Использование сертификата DRA не является обязательным. Однако мы настоятельно рекомендуем это делать. Дополнительные сведения о поиске и экспорте сертификата восстановления данных см. в разделе Восстановление данных и шифрование файловой системы (EFS). Дополнительные сведения о создании и проверке сертификата EFS DRA см. в статье Создание и проверка сертификата агента восстановления данных (DRA) для зашифрованной файловой системы (EFS).
Отправка сертификата DRA
В разделе Политика приложений выберите имя политики, а затем в появившемся меню выберите Дополнительные параметры .
Отображаются дополнительные параметры .
В поле Отправка сертификата агента восстановления данных (DRA), чтобы разрешить восстановление зашифрованных данных , выберите Обзор , чтобы добавить сертификат восстановления данных для политики.
Выбор необязательных параметров, связанных с WIP
Определив, где защищенные приложения могут получать доступ к корпоративным данным в сети, можно выбрать дополнительные параметры.
Отзывать ключи шифрования при отмене регистрации. Определяет, следует ли отзывать локальные ключи шифрования пользователя с устройства при отмене регистрации в Windows Information Protection. Если ключи шифрования отозваны, у пользователя не будет доступа к зашифрованным корпоративным данным. Ниже перечислены возможные варианты.
Включено или не настроено (рекомендуется). Отзывает локальные ключи шифрования с устройства в процессе отмены регистрации.
Выкл. Не отзывать локальные ключи шифрования с устройства в процессе отмены регистрации. Например, при миграции между решениями для мобильных Управление устройствами (MDM).
Показать значок защиты корпоративных данных. Определяет, отображается ли значок Windows Information Protection на корпоративных файлах в окне "Сохранить как" и представлениях проводника. Ниже перечислены возможные варианты.
Включено. Значок Windows Information Protection отображается на корпоративных файлах в окне "Сохранить как" и представлениях проводника. Кроме того, для незасвеченных, но защищенных приложений значок на плитке приложения также отображается с управляемым текстом в имени приложения в меню "Пуск ".
Выключено или не настроено (рекомендуется). Запрещает наложение значка windows Information Protection на корпоративные файлы или незасвеченные, но защищенные приложения. По умолчанию используется параметр "Не настроено".
Использовать Azure RMS для WIP. Определяет, использует ли WIP Microsoft Azure Rights Management для применения шифрования EFS к файлам, которые копируются из Windows 10 на USB или другие съемные диски, чтобы обеспечить безопасный общий доступ к ним сотрудникам. Другими словами, WIP использует "механизм" Azure Rights Management для применения шифрования EFS к файлам при их копировании на съемные диски. У вас уже должна быть настроена служба Azure Rights Management. Ключ шифрования файлов EFS защищен лицензией шаблона RMS. Только пользователи с разрешением на этот шаблон могут считывать его со съемного диска. WIP также может интегрироваться с Azure RMS с помощью параметров MDM AllowAzureRMSForEDP и RMSTemplateIDForEDP в поставщике CSP EnterpriseDataProtection.
Вкл. Защищает файлы, которые копируются на съемный диск. Вы можете ввести идентификатор GUID TemplateID, чтобы указать, кто может получить доступ к защищенным файлам Azure Rights Management и как долго. Шаблон RMS применяется только к файлам на съемных носителях и используется только для управления доступом— он фактически не применяет azure Information Protection к файлам.
Если не указать шаблон RMS, это обычный файл EFS, использующий шаблон RMS по умолчанию, к которому могут получить доступ все пользователи.
Выключено или не настроено. Запрещает WIP шифровать файлы Azure Rights Management, которые копируются на съемный диск.
Примечание.
Независимо от этого параметра все файлы в OneDrive для бизнеса будут зашифрованы, включая перемещенные известные папки.
Разрешите Индексатору Поиска Windows выполнять поиск в зашифрованных файлах. Определяет, следует ли разрешить индексатору Поиска Windows индексировать зашифрованные элементы, например защищенные WIP-файлы.
Вкл. Запускает индексатор Поиска Windows для индексирования зашифрованных файлов.
Выключено или не настроено. Блокирует индексирование зашифрованных файлов индексатором Windows Search.
Расширения зашифрованных файлов
Вы можете ограничить, какие файлы защищены с помощью WIP, когда они скачиваются из общей папки SMB в расположениях корпоративной сети. Если этот параметр настроен, шифруются только файлы с расширениями в списке. Если этот параметр не указан, применяется существующее поведение автоматического шифрования.
Связанные статьи
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по