Freigeben über


EnterpriseDataProtection-Konfigurationsdienstanbieter

Hinweis

Ab Juli 2022 wird Windows Information Protection (WIP) von Microsoft eingestellt. Microsoft unterstützt WIP weiterhin auf unterstützten Versionen von Windows. Neue Versionen von Windows enthalten keine neuen Funktionen für WIP und werden in zukünftigen Versionen von Windows nicht unterstützt. Weitere Informationen finden Sie unter Ankündigung des Sonnenuntergangs von Windows Information Protection.

Für Ihre Datenschutzanforderungen empfiehlt Microsoft die Verwendung von Microsoft Purview Information Protection und Microsoft Purview Data Loss Prevention. Purview vereinfacht die Einrichtung der Konfiguration und bietet erweiterte Funktionen.

Die folgende Tabelle zeigt die Anwendbarkeit von Windows:

Edition Windows 10 Windows 11
POS1 Ja Ja
Vorteil Ja Ja
Windows SE Nein Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Der EnterpriseDataProtection-Konfigurationsdienstanbieter (CSP) wird verwendet, um Einstellungen für Windows Information Protection (WIP) zu konfigurieren, früher als Enterprise Data Protection bezeichnet. Weitere Informationen zu WIP finden Sie unter Schützen Ihrer Unternehmensdaten mithilfe von Windows Information Protection (WIP).For more information information, see Protect your enterprise data using Windows Information Protection (WIP).

Hinweis

Damit Windows Information Protection funktioniert, müssen auch der AppLocker-CSP und die spezifischen Einstellungen für die Netzwerkisolation konfiguriert werden. Weitere Informationen finden Sie unter AppLocker-CSP - und NetworkIsolation-Richtlinien in Richtlinien-CSP.

Obwohl Windows Information Protection keine feste Abhängigkeit vom VPN aufweist, sollten Sie vpn-Profile konfigurieren, um optimale Ergebnisse zu erzielen, bevor Sie die WIP-Richtlinien konfigurieren. Empfehlungen zu bewährten VPN-Methoden finden Sie unter VPNv2-CSP.

Weitere Informationen zu Windows Information Protection finden Sie in den folgenden Artikeln:

Das folgende Beispiel zeigt den EnterpriseDataProtection-CSP im Strukturformat.

./Device/Vendor/MSFT
EnterpriseDataProtection
----Settings
--------EDPEnforcementLevel
--------EnterpriseProtectedDomainNames
--------AllowUserDecryption
--------DataRecoveryCertificate
--------RevokeOnUnenroll
--------RMSTemplateIDForEDP
--------AllowAzureRMSForEDP
--------EDPShowIcons
----Status

./Device/Vendor/MSFT/EnterpriseDataProtection

Der Stammknoten für den CSP.

Einstellungen

Der Stammknoten für die Windows Information Protection-Konfigurationseinstellungen (WIP).

Settings/EDPEnforcementLevel

Legen Sie die WIP-Erzwingungsebene fest.

Hinweis

Das Festlegen dieses Werts reicht nicht aus, um Windows Information Protection auf dem Gerät zu aktivieren. Versuche, diesen Wert zu ändern, schlagen fehl, wenn die WIP-Bereinigung ausgeführt wird.

Die folgende Liste zeigt die unterstützten Werte:

  • 0 (Standard) – Aus / Kein Schutz (entschlüsselt zuvor geschützte Daten).
  • 1 – Modus im Hintergrund (nur Verschlüsseln und Überwachen).
  • 2 – Überschreibungsmodus zulassen (Verschlüsseln, Auffordern und Zulassen von Außerkraftsetzungen und Überwachung).
  • 3 – Blendet Außerkraftsetzungen aus (Verschlüsseln, Eingabeaufforderung, aber Ausblenden von Außerkraftsetzungen und Überwachung).

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen". Der Werttyp ist eine ganze Zahl.

Settings/EnterpriseProtectedDomainNames

Eine Liste der Domänen, die vom Unternehmen für seine Benutzeridentitäten verwendet werden, getrennt durch Pipes (|). Die erste Domäne in der Liste muss die primäre Unternehmens-ID sein, d. h. die Domäne, die die Verwaltungsautorität für Windows Information Protection darstellt. Benutzeridentitäten von einer dieser Domänen werden als vom Unternehmen verwaltete Konten betrachtet, und die damit verknüpften Daten werden geschützt. Beispielsweise wird erwartet, dass die Domänen für alle E-Mail-Konten, die sich im Besitz des Unternehmens befinden, in dieser Liste angezeigt werden. Versuche, diesen Wert zu ändern, schlagen fehl, wenn die WIP-Bereinigung ausgeführt wird.

Das Ändern der primären Unternehmens-ID wird nicht unterstützt und kann zu unerwartetem Verhalten auf dem Client führen.

Hinweis

Der Client erfordert, dass der Domänenname kanonisch ist, andernfalls wird die Einstellung vom Client abgelehnt.

Hier sind die Schritte zum Erstellen kanonischer Domänennamen:

  1. Transformieren Sie die ASCII-Zeichen (nur A-Z) in Kleinbuchstaben. Beispiel: Microsoft.COM –> microsoft.com.
  2. Rufen Sie IdnToAscii mit IDN_USE_STD3_ASCII_RULES als Flags auf.
  3. Rufen Sie IdnToUnicode ohne festgelegte Flags auf (dwFlags = 0).

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen". Werttyp ist Zeichenfolge.

Settings/AllowUserDecryption

Ermöglicht dem Benutzer das Entschlüsseln von Dateien. Wenn dies auf 0 (nicht zulässig) festgelegt ist, kann der Benutzer den Schutz von Unternehmensinhalten nicht über das Betriebssystem oder die Benutzererfahrung der Anwendung entfernen.

Wichtig

Ab Windows 10, Version 1703, wird AllowUserDecryption nicht mehr unterstützt.

Die folgende Liste zeigt die unterstützten Werte:

  • 0: nicht zugelassen.
  • 1 (Standard) – Zugelassen.

Der am stärksten eingeschränkte Wert ist 0.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen". Der Werttyp ist eine ganze Zahl.

Settings/DataRecoveryCertificate

Gibt ein Wiederherstellungszertifikat an, das für die Datenwiederherstellung verschlüsselter Dateien verwendet werden kann. Dieses Zertifikat ist dasselbe wie das DRA-Zertifikat (Data Recovery Agent) für das Verschlüsseln des Dateisystems (EFS), das nur über die Verwaltung mobiler Geräte (Mobile Device Management, MDM) anstelle von Gruppenrichtlinien bereitgestellt wird.

Hinweis

Wenn diese Richtlinie und die entsprechende Gruppenrichtlinieneinstellung konfiguriert sind, wird die Gruppenrichtlinieneinstellung erzwungen.

DRA-Informationen aus der MDM-Richtlinie müssen ein serialisiertes Binärblob sein, das mit dem identisch ist, was wir von GP erwarten. Das binäre Blob ist die serialisierte Version der folgenden Struktur:

//
//  Recovery Policy Data Structures
//

typedef struct _RECOVERY_POLICY_HEADER {
    USHORT      MajorRevision;
    USHORT      MinorRevision;
    ULONG       RecoveryKeyCount;
} RECOVERY_POLICY_HEADER, *PRECOVERY_POLICY_HEADER;

typedef struct _RECOVERY_POLICY_1_1    {
        RECOVERY_POLICY_HEADER  RecoveryPolicyHeader;
        RECOVERY_KEY_1_1        RecoveryKeyList[1];
}   RECOVERY_POLICY_1_1, *PRECOVERY_POLICY_1_1;

#define EFS_RECOVERY_POLICY_MAJOR_REVISION_1   (1)
#define EFS_RECOVERY_POLICY_MINOR_REVISION_0   (0)

#define EFS_RECOVERY_POLICY_MINOR_REVISION_1   (1)

///////////////////////////////////////////////////////////////////////////////
//                                                                            /
//  RECOVERY_KEY Data Structure                                               /
//                                                                            /
///////////////////////////////////////////////////////////////////////////////

//
// Current format of recovery data.
//

typedef struct _RECOVERY_KEY_1_1   {
        ULONG               TotalLength;
        EFS_PUBLIC_KEY_INFO PublicKeyInfo;
} RECOVERY_KEY_1_1, *PRECOVERY_KEY_1_1;


typedef struct _EFS_PUBLIC_KEY_INFO {

    //
    // The length of this entire structure, including string data
    // appended to the end. The length should be a multiple of 8 for
    // 64 bit alignment
    //

    ULONG Length;

    //
    // Sid of owner of the public key (regardless of format).
   // This field is to be treated as a hint only.
    //

    ULONG PossibleKeyOwner;

    //
    // Contains information describing how to interpret
    // the public key information
    //

    ULONG KeySourceTag;

    union {

        struct {

            //
            // The following fields contain offsets based at the
            // beginning of the structure.  Each offset is to
            // a NULL terminated WCHAR string.
            //

            ULONG ContainerName;
            ULONG ProviderName;

            //
            // The exported public key used to encrypt the FEK.
            // This field contains an offset from the beginning of the
            // structure.
            //

            ULONG PublicKeyBlob;

            //
            // Length of the PublicKeyBlob in bytes
            //

            ULONG PublicKeyBlobLength;

        } ContainerInfo;

        struct {

            ULONG CertificateLength;       // in bytes
            ULONG Certificate;             // offset from start of structure

        } CertificateInfo;


        struct {

            ULONG ThumbprintLength;        // in bytes
            ULONG CertHashData;            // offset from start of structure

        } CertificateThumbprint;
    };



} EFS_PUBLIC_KEY_INFO, *PEFS_PUBLIC_KEY_INFO;

//
// Possible KeyTag values
//

typedef enum _PUBLIC_KEY_SOURCE_TAG {
    EfsCryptoAPIContainer = 1,
    EfsCertificate,
    EfsCertificateThumbprint
} PUBLIC_KEY_SOURCE_TAG, *PPUBLIC_KEY_SOURCE_TAG;

Für EFSCertificate KeyTag wird erwartet, dass es sich um ein DER ENCODED-Binärzertifikat handelt.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen". Der Werttyp ist base64-codiertes Zertifikat.

Settings/RevokeOnUnenroll

Diese Richtlinie steuert, ob die Windows Information Protection-Schlüssel widerrufen werden, wenn die Registrierung eines Geräts beim Verwaltungsdienst aufgehoben wird. Bei Festlegung auf 0 (Schlüssel nicht widerrufen) werden die Schlüssel nicht widerrufen, und der Benutzer hat nach dem Aufheben der Registrierung weiterhin Zugriff auf geschützte Dateien. Wenn die Schlüssel nicht widerrufen werden, gibt es später keine widerrufene Dateibereinigung. Vor dem Senden des Befehls zum Aufheben der Registrierung sollten Sie diese Richtlinie explizit auf 1 festlegen, wenn ein Gerät eine selektive Zurücksetzung durchführen soll, wenn die Registrierung aufgehoben wird.

Die folgende Liste zeigt die unterstützten Werte:

  • 0 – Sperren Sie keine Schlüssel.
  • 1 (Standard) – Schlüssel widerrufen.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen". Der Werttyp ist eine ganze Zahl.

Settings/RevokeOnMDMHandoff

Hinzugefügt in Windows 10, Version 1703. Diese Richtlinie steuert, ob die Windows Information Protection-Schlüssel widerrufen werden, wenn ein Gerät von der Verwaltung mobiler Anwendungen (MAM) auf MDM aktualisiert wird. Bei Festlegung auf 0 (Schlüssel nicht widerrufen) werden die Schlüssel nicht widerrufen, und der Benutzer hat nach dem Upgrade weiterhin Zugriff auf geschützte Dateien. Diese Einstellung wird empfohlen, wenn der MDM-Dienst mit derselben WIP EnterpriseID wie der MAM-Dienst konfiguriert ist.

  • 0 – Sperren Sie keine Schlüssel.
  • 1 (Standard) – Schlüssel widerrufen.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen". Der Werttyp ist eine ganze Zahl.

Settings/RMSTemplateIDForEDP

TemplateID GUID, die für die RmS-Verschlüsselung (Rights Management Service) verwendet werden soll. Die RMS-Vorlage ermöglicht es dem IT-Administrator, die Details darüber zu konfigurieren, wer Zugriff auf RMS-geschützte Dateien hat und wie lange er Zugriff hat.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen". Der Werttyp ist Zeichenfolge (GUID).

Settings/AllowAzureRMSForEDP

Gibt an, ob Die Azure RMS-Verschlüsselung für Windows Information Protection zugelassen werden soll.

  • 0 (Standardeinstellung): Verwenden Sie RMS nicht.
  • 1 – Verwenden Sie RMS.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen". Der Werttyp ist eine ganze Zahl.

Settings/SMBAutoEncryptedFileExtensions

Hinzugefügt in Windows 10, Version 1703. Gibt eine Liste von Dateierweiterungen an, sodass Dateien mit diesen Erweiterungen beim Kopieren aus einer SMB-Freigabe (Server Message Block) innerhalb der Unternehmensgrenze verschlüsselt werden, wie in den Richtlinien-CSP-Knoten für NetworkIsolation/EnterpriseIPRange und NetworkIsolation/EnterpriseNetworkDomainNames definiert. Verwenden Sie semikolon (;) Trennzeichen in der Liste. Wenn diese Richtlinie nicht angegeben ist, wird das vorhandene Verhalten für die automatische Verschlüsselung angewendet. Wenn diese Richtlinie konfiguriert ist, werden nur Dateien mit den Erweiterungen in der Liste verschlüsselt. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen". Werttyp ist Zeichenfolge.

Einstellungen/EDPShowIcons

Bestimmt, ob Überlagerungen zu Symbolen für WIP-geschützte Dateien im Explorer und nur Unternehmens-App-Kacheln im Startmenü hinzugefügt werden. Ab Windows 10, Version 1703, konfiguriert diese Einstellung auch die Sichtbarkeit des Windows Information Protection-Symbols in der Titelleiste einer WIP-geschützten App. Die folgende Liste zeigt die unterstützten Werte:

  • 0 (Standard) – Keine WIP-Überlagerungen auf Symbolen oder Kacheln.
  • 1 – Anzeigen von WIP-Überlagerungen für geschützte Dateien und Apps, die nur Unternehmensinhalte erstellen können.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen". Der Werttyp ist eine ganze Zahl.

Status

Eine schreibgeschützte Bitmaske, die den aktuellen Status von Windows Information Protection auf dem Gerät angibt. Der MDM-Dienst kann diesen Wert verwenden, um den aktuellen Gesamtzustand von WIP zu bestimmen. WIP ist nur aktiviert (Bit 0 = 1), wenn WIP-obligatorische Richtlinien und WIP AppLocker-Einstellungen konfiguriert sind.

Vorgeschlagene Werte:

Reserviert für die zukünftige Verwendung OBLIGATORISCHE WIP-Einstellungen
Festlegen = 1
Nicht festgelegt = 0
Reserviert für die zukünftige Verwendung AppLocker konfiguriert
Ja = 1
Nein = 0
WIP on = 1
WIP off = 0
4 3 2 1 0

Bit 0 gibt an, ob WIP aktiviert oder deaktiviert ist.

Bit 1 gibt an, ob AppLocker-WIP-Richtlinien festgelegt sind.

Bit 3 gibt an, ob die obligatorischen Windows Information Protection-Richtlinien konfiguriert sind. Wenn mindestens eine der obligatorischen WIP-Richtlinien nicht konfiguriert ist, wird das Bit 3 auf 0 (null) festgelegt.

Hier ist die Liste der obligatorischen WIP-Richtlinien:

  • EDPEnforcementLevel in EnterpriseDataProtection CSP
  • DataRecoveryCertificate in EnterpriseDataProtection CSP
  • EnterpriseProtectedDomainNames in EnterpriseDataProtection CSP
  • NetworkIsolation/EnterpriseIPRange im Richtlinien-CSP
  • NetworkIsolation/EnterpriseNetworkDomainNames in Richtlinien-CSP

Die Bits 2 und 4 sind für die zukünftige Verwendung reserviert.

Unterstützter Vorgang ist Get. Der Werttyp ist eine ganze Zahl.

Referenz zum Konfigurationsdienstanbieter

Schützen von Unternehmensdaten mithilfe von Windows Information Protection (WIP)