Windows Information Protection (WIP)Windows Information Protection (WIP)

Примечание. Политика Windows Information Protection (WIP) может применяться в Windows 10 версии 1607.Note Windows Information Protection (WIP) policy can be applied to Windows 10, version 1607.

WIP защищает данные, принадлежащие организации, путем применения политик, которые определены этой организацией.WIP protects data that belongs to an organization by enforcing policies that are defined by the organization. Если ваше приложение включено в эти политики, на все данные, созданные вашим приложением, распространяются ограничения политики.If your app is included in those polices, all data produced by your app is subject to policy restrictions. Этот раздел поможет вам создавать приложения, которые более аккуратно обеспечивают принудительное применение этих политик без воздействия на персональные данные пользователя.This topic helps you to build apps that more gracefully enforce these policies without having any impact on the user's personal data.

Во-первых, что такое WIP?First, what is WIP?

WIP — это набор функций для настольных компьютеров, ноутбуков, планшетов и телефонов, поддерживающих систему управления мобильными устройствами (MDM) и систему управления мобильными приложениями (MAM) в организации.WIP is a set of features on desktops, laptops, tablets, and phones that support the organization's Mobile Device Management (MDM) and Mobile Application Management (MAM) system.

WIP вместе с MDM предоставляет организации больше контроля над обработкой данных на устройствах, которыми организация управляет.WIP together with MDM gives the organization greater control over how its data is handled on devices that the organization manages. Иногда пользователи приносят устройства на работу и не регистрируют их в системе MDM организации.Sometimes users bring devices to work and do not enroll them in the organization's MDM. В этих случаях организации могут использовать MAM, чтобы более полно контролировать работу с данными организации в определенных бизнес-приложениях, которые пользователи устанавливают на устройстве.In those cases, organizations can use MAM to achieve greater control over how their data is handled on specific line of business apps that users install on their device.

Используя MDM или MAM, администраторы могут определять, каким приложениям разрешено получать доступ к принадлежащим организации файлам и могут ли пользователи копировать данные из этих файлов и затем вставлять их в личные документы.using MDM or MAM, administrators can identify which apps are allowed to access files that belong to the organization and whether users can copy data from those files and then paste that data into personal documents.

Вот как это работает.Here's how it works. Пользователи регистрируют свои устройства в системе управления мобильными устройствами (MDM) организации.Users enroll their devices into the organization's mobile device management (MDM) system. Администратор в управляющей организации использует Microsoft Intune или System Center Configuration Manager (SCCM) для определения и последующего разворачивания политики на зарегистрированных устройствах.An administrator in the managing organization uses Microsoft Intune or System Center Configuration Manager (SCCM) to define and then deploy a policy to the enrolled devices.

Если пользователи не обязаны регистрировать свои устройства, администраторы воспользуются системой MAM, чтобы определить и развернуть политику, которая действует в отношении конкретных приложений.If users aren't required to enroll their devices, administrators will use their MAM system to define and deploy a policy that applies to specific apps. При установке любого из этих приложений пользователями, последние получают соответствующую политику.When users install any of those apps, they'll receive the associated policy.

Эта политика определяет, какие приложения могут получать доступ к корпоративным данным (список разрешенных для политики).That policy identifies the apps that can access enterprise data (called the policy's allowed list). Эти приложения могут получать доступ к корпоративным защищенным файлам, виртуальным частным сетям (VPN) и корпоративным данным в буфере обмена или с помощью контракта на отправку данных.These apps can access enterprise protected files, Virtual Private Networks (VPN) and enterprise data on the clipboard or through a share contract. Эта политика также определяет правила, которые распространяются на данные.The policy also defines the rules that govern the data. Например, могут ли данные быть скопированы из принадлежащих организации файлов и с последующей вставкой в файлы, не принадлежащие ей.For example, whether data can be copied from enterprise-owned files and then pasted into non enterprise-owned files.

Если пользователи отменяют регистрацию своего устройства в системе MDM организации или удаляют приложения, идентифицированные системой MAM организации, администратор может удаленно очистить корпоративные данные на устройстве.If users unenroll their device from the organization's MDM system, or uninstall apps identified by the organizations MAM system, administrators can remotely wipe enterprise data from the device.

Жизненный цикл WIP

Подробнее о WIPRead more about WIP

Если ваше приложение входит в список разрешенных, на все данные, созданные вашим приложением, распространяются ограничения политики.If your app is on the allowed list, all data produced by your app is subject to policy restrictions. Это означает, что если администраторы отзовут у пользователей права доступа к корпоративным данным, эти пользователи потеряют доступ ко всем данным, созданным в приложении.That means that if administrators revoke the user's access to enterprise data, those users lose access to all of the data that your app produced.

Это нормально, если ваше приложение предназначено только для корпоративного использования.This is fine if your app is designed only for enterprise use. Однако если ваше приложение создает данные, которые пользователи считают персональными, вам необходимо будет обучить свое приложение тому, как правильно различать корпоративные и персональные данные.But if your app creates data that users consider personal to them, you'll want to enlighten your app to intelligently discern between enterprise and personal data. Мы называем такие приложения корпоративно-грамотными, поскольку они могут аккуратно применять корпоративную политику, не нарушая целостность персональных данных пользователя.We call this type of an app enterprise-enlightened because it can gracefully enforce enterprise policy while preserving the integrity of the user's personal data.

Создание корпоративно-грамотного приложенияCreate an enterprise-enlightened app

Используйте интерфейсы API WIP для обучения своего приложения и затем объявите, что ваше приложение является корпоративно-грамотным.Use WIP APIs to enlighten your app, and then declare your app as enterprise-enlightened.

Обучите свое приложение, если оно будет использоваться как для корпоративных, так и для личных целей.Enlighten your app if it'll be used for both organizational and personal purposes.

Обучите свое приложение, если вы хотите аккуратно реализовывать принудительное применение элементов политики.Enlighten your app if you want to gracefully handle the enforcement of policy elements.

Например, если политика позволяет пользователям вставлять корпоративные данные в личные документы, можно предотвратить показ пользователям диалогового окна с запросом согласия перед вставкой данных.For example, if policy allows users to paste enterprise data into a personal document, you can prevent users from having to respond to a consent dialog before they paste the data. Аналогичным образом можно отображать собственные диалоговые окна в ответ на события такого рода.Similarly, you can present custom informational dialog boxes in response to these sorts of events.

Если вы готовы обучить свое приложение, ознакомьтесь с каким-либо из указанных ниже руководств.If you're ready to enlighten your app, see one of these guides:

Для приложений универсальная платформа Windows (UWP), создаваемых с помощьюC#For Universal Windows Platform (UWP) apps that you build by using C#

Руководство разработчика Windows Information Protection (WIP).Windows Information Protection (WIP) developer guide.

Для классических приложений, созданных с помощьюC++For Desktop apps that you build by using C++

Руководство разработчика Windows Information Protection (WIP) (C++).Windows Information Protection (WIP) developer guide (C++).

Создание корпоративного приложения, не поддерживающего корпоративную безопасностьCreate non-enlightened enterprise app

Если вы создаете бизнес-приложение, не предназначенное для личного пользователя, добавлять в него функции корпоративной безопасности, скорее всего, не потребуется.if you're creating an Line of Business (LOB) app that is not intended for personal use, you might not have to enlighten it.

Классические приложения для WindowsWindows desktop apps

Нет необходимости добавлять функции корпоративной безопасности в классическое приложение для Windows, однако необходимо протестировать его, чтобы убедиться в корректной работе приложения в рамках политики.You don't need to enlighten a Windows desktop app but you should test your app to ensure that it functions properly under policy. Например, запустите свое приложение, выполните в нем какие-нибудь действия, а затем отмените регистрацию устройства в MDM.For example, start your app, use it, then unenroll the device from MDM. Убедитесь, что приложение может быть запущено после этого.Then, make sure the app can start again. Если файлы, необходимые для работы приложения, зашифрованы, приложение, возможно, не запустится.If files critical to the operation of the app are encrypted, the app might not start. Изучите файлы, с которым взаимодействует ваше приложение, чтобы убедиться, что приложение случайно не зашифрует личные файлы пользователя.Also, review the files that your app interacts with to ensure that your app won't inadvertently encrypt files that are personal to the user. Сюда могут относиться файлы метаданных, изображения и другие объекты.This might include metadata files, images and other things.

Протестировав приложение, добавьте этот флаг в файл ресурсов или свой проект, а затем повторите компиляцию приложения.After you've tested your app, add this flag to the resource file or your project, and then recompile the app.

MICROSOFTEDPAUTOPROTECTIONALLOWEDAPPINFO EDPAUTOPROTECTIONALLOWEDAPPINFOID
BEGIN
    0x0001
END

Политики MDM, в отличие от политик MAM, не требуют этого флага.While MDM policies don't require the flag, MAM policies do.

Приложения UWPUWP apps

Если вы планируете включить ваше приложение в политику MAM, необходимо добавить в него корпоративные функции безопасности.If you expect your app to be included in a MAM policy, you should enlighten it. Политики, развернутые на устройствах в рамках политики MDM, не требуют этого, однако если приложение предоставляется корпоративным клиентам, определить, какой тип системы управления политиками будет использован, сложно, если не невозможно.Policies deployed to devices under MDM won't require it, but if you distribute your app to organizational consumers, it's difficult if not impossible to determine what type of policy management system they'll use. Чтобы убедиться, что приложение будет работать в обеих системах управления политиками (MDM и MAM), необходимо добавить в него функции корпоративной безопасности.To ensure that your app will work in both types of policy management systems (MDM and MAM), you should enlighten your app.