Freigeben über

Unterstützung für Windows Information Protection (WIP) unter Windows

Windows Information Protection (WIP) ist eine einfache Lösung zum Verwalten des Zugriffs und der Sicherheit von Unternehmensdaten auf persönlichen Geräten. DIE WIP-Unterstützung ist in Windows integriert.

Hinweis

Ab Juli 2022 wird Windows Information Protection (WIP) von Microsoft eingestellt. Microsoft unterstützt WIP weiterhin auf unterstützten Versionen von Windows. Neue Versionen von Windows enthalten keine neuen Funktionen für WIP und werden in zukünftigen Versionen von Windows nicht unterstützt. Weitere Informationen finden Sie unter Ankündigung des Sonnenuntergangs von Windows Information Protection.

Für Ihre Datenschutzanforderungen empfiehlt Microsoft die Verwendung von Microsoft Purview Information Protection und Microsoft Purview Data Loss Prevention. Purview vereinfacht die Einrichtung der Konfiguration und bietet erweiterte Funktionen.

Integration mit Microsoft Entra ID

WIP ist in den Microsoft Entra-Identitätsdienst integriert. Der WIP-Dienst unterstützt die integrierte Microsoft Entra-Authentifizierung für den Benutzer und das Gerät während der Registrierung und beim Herunterladen von WIP-Richtlinien. Die WIP-Integration mit Microsoft Entra ID ähnelt der Integration mobiler Geräteverwaltung (Mobile Device Management, MDM). Weitere Informationen finden Sie unter Microsoft Entra-Integration mit MDM.

WIP verwendet Workplace Join (WPJ). WPJ ist mit dem Hinzufügen eines Geschäftskontoflows zu einem persönlichen Gerät integriert. Wenn ein Benutzer sein Geschäfts-, Schul- oder Uni-Microsoft Entra-Konto als sekundäres Konto auf dem Computer hinzufügt, wird sein Gerät bei WPJ registriert. Wenn ein Benutzer sein Gerät mit der Microsoft Entra-ID verknüpft, wird es bei MDM registriert. Im Allgemeinen gilt ein Gerät, das über ein persönliches Konto als primäres Konto verfügt, als persönliches Gerät und sollte bei WPJ registriert werden. Ein Microsoft Entra-Beitritt und die Registrierung bei MDM sollten zum Verwalten von Unternehmensgeräten verwendet werden.

Auf persönlichen Geräten können Benutzer ein Microsoft Entra-Konto als sekundäres Konto zum Gerät hinzufügen, während ihr persönliches Konto als primäres Konto beibehalten wird. Benutzer können dem Gerät ein Microsoft Entra-Konto aus einer unterstützten integrierten Microsoft Entra-Anwendung hinzufügen, z. B. das nächste Update von Microsoft 365-Apps. Alternativ können Benutzer ein Microsoft Entra-Konto über Einstellungen > Konten > Auf Geschäfts-, Schul- oder Unikonto zugreifen hinzufügen.

Reguläre Benutzer ohne Administratorrechte können sich bei MAM registrieren.

Grundlegendes zu Windows Information Protection

WIP nutzt integrierte Richtlinien , um Unternehmensdaten auf dem Gerät zu schützen. Um benutzereigene Anwendungen auf persönlichen Geräten zu schützen, beschränkt WPJ die Durchsetzung von WIP-Richtlinien auf optimierte Apps und WIP-fähige Apps. Optimierte Apps können zwischen Unternehmensdaten und persönlichen Daten unterscheiden und basierend auf WIP-Richtlinien richtig bestimmen, welche Geschützten geschützt werden sollen. WIP-fähige Apps zeigen Windows an, dass sie keine personenbezogenen Daten verarbeiten. Daher ist es für Windows sicher, Daten in ihrem Namen zu schützen.

Damit Anwendungen WIP-fähig sind, müssen App-Entwickler die folgenden Daten in die App-Ressourcendatei einschließen.

// Mark this binary as Allowed for WIP (EDP) purpose
MICROSOFTEDPAUTOPROTECTIONALLOWEDAPPINFO EDPAUTOPROTECTIONALLOWEDAPPINFOID
  BEGIN
      0x0001
  END

Konfigurieren eines Microsoft Entra-Mandanten für die MAM-Registrierung

Die MAM-Registrierung erfordert die Integration in Microsoft Entra ID. Der MAM-Dienstanbieter muss die MDM-Verwaltungs-App im Microsoft Entra-App-Katalog veröffentlichen. Dieselbe cloudbasierte MDM-Verwaltungs-App in Microsoft Entra ID unterstützt sowohl MDM- als auch MAM-Registrierungen. Wenn Sie Ihre MDM-App bereits veröffentlicht haben, muss sie so aktualisiert werden, dass sie MAM-Registrierungs- und Nutzungsbedingungen-URLs enthält. Dieser Screenshot veranschaulicht die Verwaltungs-App für eine IT-Administratorkonfiguration.

Mobile Anwendungsverwaltungs-App.

MAM- und MDM-Dienste in einer Organisation können von verschiedenen Anbietern bereitgestellt werden. Je nach Unternehmenskonfiguration müssen IT-Administratoren in der Regel eine oder zwei Microsoft Entra Management-Apps hinzufügen, um MAM- und MDM-Richtlinien zu konfigurieren. Wenn beispielsweise sowohl MAM als auch MDM vom gleichen Anbieter bereitgestellt werden, muss ein IT-Administrator eine Verwaltungs-App von diesem Anbieter hinzufügen, die sowohl MAM- als auch MDM-Richtlinien für die Organisation enthält. Wenn die MAM- und MDM-Dienste in einer Organisation von zwei verschiedenen Anbietern bereitgestellt werden, müssen alternativ zwei Verwaltungs-Apps der beiden Anbieter für das Unternehmen in Microsoft Entra ID konfiguriert werden: eine für MAM und eine für MDM.

Hinweis

Wenn der MDM-Dienst in einer Organisation nicht in microsoft Entra ID integriert ist und die automatische Ermittlung verwendet, muss nur eine Verwaltungs-App für MAM konfiguriert werden.

MAM-Registrierung

Die MAM-Registrierung basiert auf der MAM-Erweiterung des [MS-MDE2]-Protokolls. Die MAM-Registrierung unterstützt die Microsoft Entra ID-Verbundauthentifizierung als einzige Authentifizierungsmethode.

Dies sind die Protokolländerungen für die MAM-Registrierung:

  • Die MDM-Ermittlung wird nicht unterstützt.
  • Der APPAUTH-Knoten in DMAcc CSP ist optional.
  • Die MAM-Registrierungsvariation des [MS-MDE2]-Protokolls unterstützt das Clientauthentifizierungszertifikat nicht und daher nicht das [MS-XCEP]-Protokoll. Server müssen während der Richtliniensynchronisierung ein Microsoft Entra-Token für die Clientauthentifizierung verwenden. Richtliniensynchronisierungssitzungen müssen über unidirektionale TLS/SSL mithilfe der Serverzertifikatauthentifizierung ausgeführt werden.

Hier sehen Sie ein Beispiel für die Bereitstellung von XML für die MAM-Registrierung.

<wap-provisioningdoc version="1.1">
  <characteristic type="APPLICATION">
    <parm name="APPID" value="w7"/>
    <parm name="PROVIDER-ID" value="MAM SyncML Server"/>
    <parm name="NAME" value="mddprov account"/>
    <parm name="ADDR" value="http://localhost:88"/>
    <parm name="DEFAULTENCODING" value="application/vnd.syncml.dm+xml" />
  </characteristic>
</wap-provisioningdoc>

Da der Knoten Poll in diesem Beispiel nicht bereitgestellt wird, würde das Gerät standardmäßig einmal alle 24 Stunden verwendet.

Unterstützte CSPs

WIP unterstützt die folgenden Konfigurationsdienstanbieter (CSPs). Alle anderen CSPs werden blockiert. Beachten Sie, dass sich die Liste später basierend auf Kundenfeedback ändern kann:

Gerätesperrrichtlinien und EAS

MAM unterstützt Gerätesperrrichtlinien ähnlich wie MDM. Die Richtlinien werden vom DeviceLock-Bereich des Richtlinien-CSP und PassportForWork-CSP konfiguriert.

Es wird nicht empfohlen, sowohl Exchange ActiveSync (EAS) als auch MAM-Richtlinien für dasselbe Gerät zu konfigurieren. Wenn beide konfiguriert sind, verhält sich der Client jedoch wie folgt:

  • Wenn EAS-Richtlinien an ein Gerät gesendet werden, das bereits über MAM-Richtlinien verfügt, bewertet Windows, ob die vorhandenen MAM-Richtlinien mit den konfigurierten EAS-Richtlinien kompatibel sind, und meldet die Konformität mit EAS.
  • Wenn festgestellt wird, dass das Gerät kompatibel ist, meldet EAS Konformität mit dem Server, um die E-Mail-Synchronisierung zuzulassen. MAM unterstützt nur obligatorische EAS-Richtlinien. Für die Überprüfung der EAS-Konformität sind keine Geräteadministratorrechte erforderlich.
  • Wenn festgestellt wird, dass das Gerät nicht konform ist, erzwingt EAS eigene Richtlinien für das Gerät, und der resultierende Satz von Richtlinien ist eine Obermenge von beiden. Das Anwenden von EAS-Richtlinien auf das Gerät erfordert Administratorrechte.
  • Wenn ein Gerät, das bereits über EAS-Richtlinien verfügt, für MAM registriert ist, verfügt das Gerät über beide Richtliniensätze: MAM und EAS, und der resultierende Satz von Richtlinien ist eine Obermenge von beiden.

Richtliniensynchronisierung

MAM-Richtliniensynchronisierungen werden nach MDM modelliert. Der MAM-Client verwendet ein Microsoft Entra-Token für die Authentifizierung beim Dienst für Richtliniensynchronisierungen.

Ändern der MAM-Registrierung in MDM

Windows unterstützt nicht das Anwenden von MAM- und MDM-Richtlinien auf dieselben Geräte. Wenn sie vom Administrator konfiguriert wurde, können Benutzer ihre MAM-Registrierung in MDM ändern.

Hinweis

Wenn Benutzer ein Upgrade von MAM auf MDM unter Windows Home Edition durchführen, verlieren sie den Zugriff auf Windows Information Protection. Unter Der Windows Home-Edition wird davon abgeraten, MDM-Richtlinien per Push zu übertragen, um Benutzern das Upgrade zu ermöglichen.

Um das MAM-Gerät für die MDM-Registrierung zu konfigurieren, muss der Administrator die MDM-Ermittlungs-URL im DMClient-CSP konfigurieren. Diese URL wird für die MDM-Registrierung verwendet.

Beim Ändern der MAM-Registrierung in MDM werden MAM-Richtlinien vom Gerät entfernt, nachdem MDM-Richtlinien erfolgreich angewendet wurden. Wenn Windows Information Protection-Richtlinien vom Gerät entfernt werden, wird der Zugriff des Benutzers auf WIP-geschützte Dokumente widerrufen (selektives Zurücksetzen), es sei denn, EDP CSP RevokeOnUnenroll ist auf false festgelegt. Um die selektive Zurücksetzung bei der Änderung der Registrierung von MAM in MDM zu verhindern, muss der Administrator Folgendes sicherstellen:

  • Sowohl MAM- als auch MDM-Richtlinien für die Organisation unterstützen Windows Information Protection.
  • EDP CSP Enterprise ID ist für MAM und MDM identisch.
  • EDP CSP RevokeOnMDMHandoff ist auf false festgelegt.

Wenn das MAM-Gerät ordnungsgemäß für die MDM-Registrierung konfiguriert ist, wird der Link Nur für die Geräteverwaltung registrieren unter Einstellungen > Konten > Auf Geschäfts-, Schul- oder Unizugriff angezeigt. Der Benutzer kann diesen Link auswählen, seine Anmeldeinformationen angeben, und die Registrierung wird in MDM geändert. Das Microsoft Entra-Konto ist nicht betroffen.