Geräterichtlinie für Windows Information Protection

Windows Information Protection (WIP, zuvor “Unternehmensdatenschutz” oder auch “EDP”) ist eine Windows-Technologie zum Schutz vor der Preisgabe von Unternehmensdaten. Datenlecks können auftreten, wenn Unternehmensdaten in nicht vom Unternehmen geschützte Apps, von einer App zur anderen oder in Bereiche außerhalb des Unternehmensnetzwerks übertragen werden. Weitere Informationen finden Sie unter Protect your enterprise data using Windows Information Protection (WIP) in Microsoft TechNet.

Sie können über eine Geräterichtlinie in Endpoint Management angeben, welche Apps Windows Information Protection erfordern und eine Erzwingungsstufe festlegen. Die Richtlinie “Windows Informationen Protection” gilt für betreute Telefone, Tablets und PCs mit Windows 10 Version 1607 oder höher.

Endpoint Management enthält einige gebräuchliche Apps und Sie können weitere hinzufügen. Sie geben für die Richtlinie eine Erzwingungsstufe an, die sich auf die Benutzererfahrung auswirkt. Beispiel:

  • Unangemessene Dateifreigaben blockieren

  • Bei unangemessenen Datenfreigaben warnen und Außerkraftsetzen der Richtlinie durch die Benutzer zulassen

  • WIP im Hintergrund ausführen und unangemessene Datenfreigaben zulassen und protokollieren

Um Apps von Windows Information Protection auszuschließen, definieren Sie die Apps in Microsoft AppLocker-XML-Dateien und importieren die Dateien in Endpoint Management.

Zum Hinzufügen oder Konfigurieren dieser Richtlinie gehen Sie zu Konfigurieren > Geräterichtlinien. Weitere Informationen finden Sie unter Geräterichtlinien.

Windows Phone- und Windows Desktop-/Tablet-Einstellungen

Bild des Konfigurationsbildschirms für Geräterichtlinien

  • Desktop-App (Windows 10 Tablet) Store-App (Windows 10 Phone und Tablet): Endpoint Management enthält einige gebräuchliche Apps (siehe Beispiel oben). Sie können diese nach Bedarf bearbeiten oder entfernen.

    Klicken Sie zum Hinzufügen weiterer Apps in der Tabelle Desktop-App bzw. Store-App auf Hinzufügen und geben Sie die App-Informationen ein.

    Zugelassene Apps können Unternehmensdaten lesen, erstellen und aktualisieren. Abgelehnte Apps können nicht auf Unternehmensdaten zugreifen. Ausnahme-Apps können Unternehmensdaten lesen, jedoch nicht erstellen oder ändern.

    • AppLocker-XML: Microsoft stellt eine Liste der Microsoft-Apps bereit, bei denen Kompatibilitätsprobleme mit WIP bekannt sind. Zum Ausschließen dieser Apps aus WIP klicken Sie auf Durchsuchen, um die Liste hochzuladen. Endpoint Management führt die hochgeladene AppLocker-XML und die konfigurierten Desktop- und Store-Apps in der an das Gerät gesendeten Richtlinie zusammen. Weitere Informationen finden Sie unter Recommended deny list for Windows Information Protection.

    • Erzwingungsstufe: Wählen Sie aus, wie Windows Information Protection die Datenfreigabe schützen und verwalten soll. Der Standardwert ist Aus.

      • 0 - Aus: WIP ist deaktiviert und schützt bzw. überwacht keine Daten.

      • 1 - Unbeaufsichtigt: WIP wird im Hintergrund ausgeführt, protokolliert unzulässige Datenfreigabe und blockiert nichts. Sie können die Protokolle über Reporting CSP aufrufen.

      • 2 - Überschreiben: WIP warnt vor potenziell unsicheren Datenfreigaben. Die Benutzer können die Warnungen außer Kraft setzen und die Daten teilen. In diesem Modus werden Aktionen, einschließlich der Außerkraftsetzungen durch die Benutzer im Überwachungsprotokoll, verzeichnet.

      • 3 - Blockieren: WIP verhindert, dass Benutzer potenziell unsichere Datenfreigaben vollziehen können.

    • Geschützte Domänen: die Domänen, die im Unternehmen für die Benutzeridentitäten verwendet werden. Die Liste der Domänen zur Identitätsverwaltung stellen zusammen mit der primären Domäne die Identität Ihres Verwaltungsunternehmens dar. Die erste Domäne in der Liste ist die primäre Unternehmensidentität, die in der Windows-Benutzeroberfläche verwendet wird. Verwenden Sie “|” zum Trennen der einzelnen Listeneinträge. Beispiel:domain1.com \| domain2.com

    • Datenwiederherstellungszertifikat: Klicken Sie auf Durchsuchen und wählen Sie ein Zertifikat für die Wiederherstellung der Daten verschlüsselter Dateien. Dieses Zertifikat ist mit dem des Datenwiederherstellungsagent (DRA) für EFS (Encrypting File System) identisch, allerdings wird es per MDM anstatt per Gruppenrichtlinie bereitgestellt. Ist kein Zertifikat für die Wiederherstellung vorhanden, erstellen Sie eines. Informationen finden Sie unter “Erstellen eines Datenwiederherstellungszertifikats” im vorliegenden Artikel.

    • Netzwerkdomänennamen: Liste der Domänen, die die Grenzen des Unternehmens umfassen. WIP schützt den gesamten Datenverkehr an die vollständig qualifizierten Domänen in der Liste. Anhand dieser Einstellung und der Einstellung IP-Bereich wird erkannt, ob ein Netzwerkendpunkt zum Unternehmen oder einem privaten Netzwerk gehört. Verwenden Sie Kommas zum Trennen der einzelnen Listeneinträge. Beispiel: corp.beispiel.com,region.beispiel.com

    • IP-Bereich: Liste der IPv4- und IPv6-Adresssbereiche, die die Computer innerhalb des Unternehmensnetzwerks definieren. WIP betrachtet diese Adressen als sicheres Ziel für die Freigabe von Unternehmensdaten. Verwenden Sie Kommas zum Trennen der einzelnen Listeneinträge. Beispiel:

      10.0.0.0-10.255.255.255,2001:4898::-2001:4898:7fff:ffff:ffff:ffff:ffff:ffff

    • IP-Bereichsliste ist maßgebend: Soll die automatische Erkennung von IP-Adressbereichen durch Windows verhindert werden legen Sie diese Einstellung auf Ein fest. Der Standardwert ist Aus.

    • Proxyserver: Liste der Proxyserver, die das Unternehmen für Unternehmensressourcen verwenden kann. Diese Einstellung ist erforderlich, wenn Sie einen Proxyserver im Netzwerk verwenden. Ohne Proxyserver sind Unternehmensressourcen möglicherweise nicht verfügbar, wenn ein Client sich hinter einem Proxyserver befindet. Beispielsweise sind Ressourcen über bestimmte Wi-Fi-Hotspots in Hotels und Restaurants möglicherweise nicht verfügbar. Verwenden Sie Kommas zum Trennen der einzelnen Listeneinträge. Beispiel:

      proxy.example.com:80;157.54.11.118:443

    • Interne Proxyserver: Liste der Proxyserver, über die Ihre Geräte auf Cloudressourcen zugreifen. Die Verwendung dieses Servertyps bedeutet, dass die Cloudressourcen, mit denen Sie eine Verbindung herstellen, Unternehmensressourcen sind. Setzen Sie keinen der Server der Einstellung Proxyserver auf diese Liste, die für den nicht von WIP geschützten Datenverkehr verwendet werden. Verwenden Sie Kommas zum Trennen der einzelnen Listeneinträge. Beispiel:

      example.internalproxy1.com;10.147.80.50

    • Cloudressourcen: Liste der durch WIP geschützten Cloudressourcen. Für jede Cloudressource können Sie optional auch einen Proxyserver in der Liste Proxyserver angeben, um den Datenverkehr für diese Cloudressource zu routen. Der gesamte über die Proxyserver geleitete Datenverkehr wird als Unternehmensdatenverkehr behandelt. Verwenden Sie Kommas zum Trennen der einzelnen Listeneinträge. Beispiel:

      domain1.com:InternalProxy.domain1.com,domain2.com:InternalProxy.domain2.com

    • Bei Sperre Schutz erfordern: gilt nur für Windows 10 Phone. Bei Einstellung von Ein wird außerdem die Passcode-Richtlinie benötigt. Ansonsten schlägt die Bereitstellung der Windows Information Protection-Richtlinie fehl. Wenn diese Richtlinie auf Ein festgelegt ist, wird außerdem die Einstellung Bei Sperre Schutz erfordern angezeigt. Der Standardwert ist Aus.

    • Bei Sperre Schutz erfordern: gilt nur für Windows 10 Phone. Gibt an, ob Unternehmensdaten mit einem Schlüssel auf einem gesperrten, durch eine Mitarbeiter-PIN geschützten Gerät verschlüsselt werden sollen. Apps können Unternehmensdaten auf gesperrten Geräten nicht lesen. Die Standardeinstellung ist Ein.

    • Beim Aufheben der Registrierung WIP-Zertifikat widerrufen: gibt an, ob lokale Verschlüsselungsschlüssel von einem Benutzergerät widerrufen werden sollen, wenn die Registrierung des Geräts bei Windows Information Protection aufgehoben wird. Nach einem Widerruf von Verschlüsselungsschlüsseln kann der Benutzer nicht mehr auf verschlüsselte Unternehmensdaten zugreifen. Bei Auswahl von Aus werden die Schlüssel nicht widerrufen und der Benutzer hat nach dem Aufheben der Registrierung weiterhin Zugriff auf geschützte Dateien. Die Standardeinstellung ist Ein.

    • Symbolüberlagerungen anzeigen: gibt an, ob die Windows Information Protection-Symbolüberlagerung für Unternehmensdateien in Explorer und Unternehmens-App-Kacheln im Startmenü angezeigt werden soll. Der Standardwert ist Aus.

Erstellen eines Datenwiederherstellungszertifikats

Ein Datenwiederherstellungszertifikat ist zum Aktivieren der Richtlinie Windows Information Protection erforderlich.

  1. Öffnen Sie unter Endpoint Management-Server eine Eingabeaufforderung und navigieren Sie zu einem Ordner (außer Windows\System32), in dem das Zertifikat erstellt werden soll.

  2. Führen Sie folgenden Befehl aus:

    cipher /r:ESFDRA

  3. Wenn Sie dazu aufgefordert werden, geben Sie ein Kennwort zum Schutz der Datei mit dem privaten Schlüssel ein.

    Der cipher-Befehl erstellt eine CER- und eine PFX-Datei.

  4. Navigieren Sie in der Endpoint Management-Konsole zu Einstellungen > Zertifikate und importieren Sie die CER-Datei. Diese gilt für Windows 10-Tablets und -Telefone.

Benutzererfahrung

Wenn Windows Information Protection aktiviert ist, wird für Apps und Dateien folgendes Symbol angezeigt:

Beispiel für das Windows Information Protection-Symbol

Beispiel für das Windows Information Protection-Symbol

Wenn ein Benutzer eine geschützte Datei an einen nicht geschützten Speicherort kopiert oder dort speichert, wird abhängig von der konfigurierten Erzwingungsstufe die folgende Benachrichtigung angezeigt.

Beispiel für eine Benachrichtigung

Geräterichtlinie für Windows Information Protection