Vytvoření a nasazení zásad windows Information Protection (WIP) s Intune
Poznámka
Microsoft Intune ukončila budoucí investice do správy a nasazování windows Information Protection.
Podpora pro scénář windows Information Protection bez registrace v Microsoft Intune byla odebrána.
Další informace najdete v tématu Ukončení podpory pro Windows Information Protection.
Informace o Intune MAM ve Windows najdete v tématu MAM pro Windows a nastavení zásad Ochrana aplikací pro Windows.
Zásady windows Information Protection (WIP) můžete použít s Windows 10 aplikacemi k ochraně aplikací bez registrace zařízení.
Než začnete
Při přidávání zásad WIP je potřeba pochopit několik konceptů:
Seznam povolených a vyloučených aplikací
Chráněné aplikace: Tyto aplikace musí tyto zásady dodržovat.
Aplikace s výjimkou: Tyto aplikace jsou z této zásady vyloučené a mají přístup k podnikovým datům bez omezení.
Typy aplikací
- Doporučené aplikace: Předem vyplněný seznam aplikací (většinou Microsoft 365 (Office)), které umožňují snadno importovat do zásad.
- Aplikace pro Store: Do zásad můžete přidat libovolnou aplikaci z Windows Storu.
- Desktopové aplikace pro Windows: Do zásad můžete přidat jakékoli tradiční desktopové aplikace pro Windows (například .exe, .dll).
Požadavky
Než budete moct vytvořit zásadu WIP, musíte nakonfigurovat poskytovatele MAM. Přečtěte si další informace o tom, jak nakonfigurovat poskytovatele MAM pomocí Intune.
Důležité
WIP nepodporuje více identit, najednou může existovat jenom jedna spravovaná identita. Další informace o možnostech a omezeních programu WIP najdete v tématu Ochrana podnikových dat pomocí windows Information Protection (WIP).
Kromě toho musíte mít následující licenci a aktualizaci:
Přidání zásady WIP
Po nastavení Intune ve vaší organizaci můžete vytvořit zásady specifické pro WIP.
Důležité
Zásady windows Information Protection (WIP) bez registrace jsou zastaralé. Pro nezaregistrovaná zařízení už nemůžete vytvářet zásady WIP.
Tip
Související informace o vytváření zásad WIP pro Intune, včetně dostupných nastavení a způsobu jejich konfigurace, najdete v tématu Vytvoření zásady windows Information Protection (WIP) pomocí mam pomocí portálu pro Microsoft Intune v knihovně dokumentace Zabezpečení Windows.
- Přihlaste se k Centru pro správu Microsoft 365.
- Vyberte Aplikace>Ochrana aplikací zásady>Vytvořit zásadu.
- Přidejte následující hodnoty:
- Jméno: Zadejte název (povinné) nové zásady.
- Popis: (Volitelné) Zadejte popis.
- Nástupiště: Jako podporovanou platformu pro zásady WIP zvolte Windows 10.
- Stav registrace: Jako stav registrace zásad zvolte Bez registrace .
- Zvolte Vytvořit. Zásada se vytvoří a zobrazí se v tabulce v podokně zásady Ochrana aplikací.
Přidání doporučených aplikací do seznamu chráněných aplikací
- Přihlaste se k Centru pro správu Microsoft 365.
- Vyberte Aplikace>Ochrana aplikací zásady.
- V podokně zásady Ochrana aplikací zvolte zásadu, kterou chcete upravit. Zobrazí se podokno ochrana aplikací Intune.
- V podokně ochrana aplikací Intune zvolte Chráněné aplikace. Otevře se podokno Chráněné aplikace , ve kterém se zobrazí všechny aplikace, které už jsou zahrnuté v seznamu pro tyto zásady ochrany aplikací.
- Vyberte Přidat aplikace. Informace o přidání aplikací zobrazí filtrovaný seznam aplikací. Seznam v horní části podokna umožňuje změnit filtr seznamu.
- Vyberte každou aplikaci, které chcete povolit přístup k podnikovým datům.
- Klikněte na OK. Podokno Chráněné aplikace se aktualizovalo a zobrazuje všechny vybrané aplikace.
- Klikněte na Uložit.
Přidání aplikace ze Storu do seznamu chráněných aplikací
Přidání aplikace pro Store
- Přihlaste se k Centru pro správu Microsoft 365.
- Vyberte Aplikace>Ochrana aplikací zásady.
- V podokně zásady Ochrana aplikací zvolte zásadu, kterou chcete upravit. Zobrazí se podokno ochrana aplikací Intune.
- V podokně ochrana aplikací Intune zvolte Chráněné aplikace. Otevře se podokno Chráněné aplikace , ve kterém se zobrazí všechny aplikace, které už jsou zahrnuté v seznamu pro tyto zásady ochrany aplikací.
- Vyberte Přidat aplikace. Informace o přidání aplikací zobrazí filtrovaný seznam aplikací. Seznam v horní části podokna umožňuje změnit filtr seznamu.
- V seznamu vyberte Aplikace pro Store.
- Zadejte hodnoty pro Název, Vydavatel, Název produktu a Akce. Nezapomeňte nastavit hodnotu Akce na Povolit, aby aplikace měla přístup k vašim podnikovým datům.
- Klikněte na OK. Podokno Chráněné aplikace se aktualizovalo a zobrazuje všechny vybrané aplikace.
- Klikněte na Uložit.
Přidání desktopové aplikace do seznamu chráněných aplikací
Přidání desktopové aplikace
- Přihlaste se k Centru pro správu Microsoft 365.
- Vyberte Aplikace>Ochrana aplikací zásady.
- V podokně zásady Ochrana aplikací zvolte zásadu, kterou chcete upravit. Zobrazí se podokno ochrana aplikací Intune.
- V podokně ochrana aplikací Intune zvolte Chráněné aplikace. Otevře se podokno Chráněné aplikace , ve kterém se zobrazí všechny aplikace, které už jsou zahrnuté v seznamu pro tyto zásady ochrany aplikací.
- Vyberte Přidat aplikace. Informace o přidání aplikací zobrazí filtrovaný seznam aplikací. Seznam v horní části podokna umožňuje změnit filtr seznamu.
- V seznamu vyberte Desktopové aplikace.
- Zadejte hodnoty pro Název, Vydavatel, Název produktu, Soubor, Minimální verze, Maximální verze a Akce. Nezapomeňte nastavit hodnotu Akce na Povolit, aby aplikace měla přístup k vašim podnikovým datům.
- Klikněte na OK. Podokno Chráněné aplikace se aktualizovalo a zobrazuje všechny vybrané aplikace.
- Klikněte na Uložit.
Výuka WIP
Po přidání aplikací, které chcete chránit pomocí WIP, musíte použít režim ochrany pomocí programu WIP Learning.
Než začnete
WIP Learning je sestava, která umožňuje monitorovat aplikace s podporou WIP a neznámé aplikace WIP. Neznámé aplikace nejsou nasazené IT oddělením vaší organizace. Tyto aplikace můžete exportovat ze sestavy a přidat je do zásad WIP, abyste se vyhnuli přerušení produktivity před tím, než vynutí WIP v režimu blokování.
Kromě zobrazení informací o aplikacích s podporou WIP můžete zobrazit souhrn zařízení, která sdílí pracovní data s weby. Pomocí těchto informací můžete určit, které weby se mají přidat do zásad WIP pro skupiny a uživatele. Souhrn ukazuje, ke kterým webovým adresám URL přistupují aplikace s podporou WIP.
Při práci s aplikacemi s podporou WIP a neznámými aplikacemi WIP doporučujeme začít s tichými nebo povolit přepsání a u malé skupiny ověřit, jestli máte správné aplikace v seznamu chráněných aplikací. Až to budete mít, můžete přejít na poslední zásadu vynucení – Blokovat.
Jaké jsou režimy ochrany?
Blokování
WiP hledá nevhodné postupy sdílení dat a brání uživateli v dokončení akce. Blokované akce můžou zahrnovat sdílení informací mezi aplikacemi, které nejsou chráněné společností, a sdílení firemních dat mezi dalšími lidmi a zařízeními mimo vaši organizaci.
Povolit přepsání
WIP hledá nevhodné sdílení dat a varuje uživatele, když udělají něco, co je považováno za potenciálně nebezpečné. Tento režim ale umožňuje uživateli zásadu přepsat a sdílet data a zapsat akci do protokolu auditování.
Tichý
WIP běží tiše a zaznamenává nevhodné sdílení dat, aniž by blokovalo cokoli, co by bylo v režimu Povolit přepsání vyzváno k interakci zaměstnanců. Nepovolené akce, jako jsou aplikace, které se nevhodně pokoušejí o přístup k síťovému prostředku nebo k datům chráněným wip, se pořád zastaví.
Vypnuto (nedoporučuje se)
WiP je vypnutý a nepomůže chránit ani auditovat vaše data.
Po vypnutí wip se provede pokus o dešifrování všech souborů se značkou WIP na místně připojených jednotkách. Mějte na paměti, že pokud ochranu WIP znovu zapnete, předchozí dešifrování a informace o zásadách se automaticky znovu nepouží.
Přidání režimu ochrany
V podokně Zásady aplikací zvolte název zásady a pak zvolte Požadovaná nastavení.
Vyberte nastavení a pak zvolte Uložit.
Povolit indexeru Windows Search prohledávat šifrované položky
Povolí nebo zakáže indexování položek. Tento přepínač je určený pro Indexer služby Windows Search, který určuje, jestli indexuje položky, které jsou zašifrované, například soubory chráněné systémem Windows Information Protection (WIP).
Tato možnost zásad ochrany aplikací je v rozšířeném nastavení zásad Information Protection Windows. Zásady ochrany aplikací musí být nastavené na platformu Windows 10 a stav registrace zásad aplikace musí být nastavený na S registrací.
Když je zásada povolená, položky chráněné wip se indexují a metadata o nich se ukládají do nešifrovaného umístění. Metadata zahrnují například cestu k souboru a datum změny.
Pokud je zásada zakázaná, chráněné položky WIP se neindexují a nezobrazují se ve výsledcích v Cortaně nebo Průzkumníku souborů. Pokud je na zařízení mnoho multimediálních souborů chráněných technologií WIP, může to mít také vliv na výkon fotek a aplikací Groove.
Poznámka
Microsoft přestal používat samostatnou aplikaci Windows Cortana. Asistent pro produktivitu Cortany je stále k dispozici. Další informace o zastaralých funkcích v klientovi Windows najdete v tématu Zastaralé funkce pro klienta Windows.
Přidání šifrovaných přípon souborů
Kromě nastavení možnosti Povolit indexeru služby Windows Search hledat šifrované položky můžete zadat i seznam přípon souborů. Soubory s těmito příponami se šifrují při kopírování ze sdílené složky SMB (Server Message Block) v rámci podnikové hranice, jak je definováno v seznamu umístění v síti. Pokud tato zásada není zadaná, použije se existující chování automatického šifrování. Po nakonfigurování této zásady budou šifrovány pouze soubory s příponami v seznamu.
Nasazení zásad ochrany aplikací WIP
Důležité
Tyto informace platí pro WIP bez registrace zařízení.
Jakmile vytvoříte zásadu ochrany aplikací WIP, musíte ji nasadit do vaší organizace pomocí MAM.
V podokně Zásady aplikací zvolte nově vytvořené zásady ochrany aplikací a zvolte Skupiny> uživatelůPřidat skupinu uživatelů.
V podokně Přidat skupinu uživatelů se otevře seznam skupin uživatelů, které se skládají ze všech skupin zabezpečení v Microsoft Entra ID.
Zvolte skupinu, na kterou se má zásada vztahovat, a pak zvolte Vybrat a zásadu nasaďte.
Další kroky
Další informace o Windows Information Protection najdete v tématu Ochrana podnikových dat pomocí windows Information Protection (WIP).