EnterpriseDataProtection CSP
注
2022 年 7 月以降、Microsoft は Windows Information Protection (WIP) を非推奨としています。 Microsoft は引き続き、サポートされているバージョンの Windows で WIP をサポートします。 Windows の新しいバージョンには WIP の新機能は含まれません。また、今後のバージョンの Windows ではサポートされません。 詳細については、「 Windows Information Protection の夕暮れの発表」を参照してください。
データ保護のニーズに合わせて、 Microsoft Purview Information Protection と Microsoft Purview データ損失防止を使用することをお勧めします。 Purview を使用すると、構成のセットアップが簡略化され、高度な機能セットが提供されます。
次の表は、Windows の適用性を示しています。
| エディション | Windows 10 | Windows 11 |
|---|---|---|
| ホーム | はい | はい |
| Pro | はい | はい |
| Windows SE | いいえ | はい |
| Business | はい | はい |
| Enterprise | はい | はい |
| Education | はい | はい |
EnterpriseDataProtection 構成サービス プロバイダー (CSP) は、以前は Enterprise Data Protection と呼ばれる Windows Information Protection (WIP) の設定を構成するために使用されます。 WIP の詳細については、「 Windows Information Protection (WIP) を使用してエンタープライズ データを保護する」を参照してください。
注
Windows Information Protection を機能させるには、AppLocker CSP とネットワーク分離固有の設定も構成する必要があります。 詳細については、ポリシー CSP の AppLocker CSP と NetworkIsolation ポリシーに関する ページを参照してください。
Windows Information Protection には VPN に対するハードな依存関係はありませんが、最適な結果を得るには、WIP ポリシーを構成する前に、まず VPN プロファイルを構成する必要があります。 VPN のベスト プラクティスに関する推奨事項については、「 VPNv2 CSP」を参照してください。
Windows Information Protection の詳細については、次の記事を参照してください。
次の例は、EnterpriseDataProtection CSP をツリー形式で示しています。
./Device/Vendor/MSFT
EnterpriseDataProtection
----Settings
--------EDPEnforcementLevel
--------EnterpriseProtectedDomainNames
--------AllowUserDecryption
--------DataRecoveryCertificate
--------RevokeOnUnenroll
--------RMSTemplateIDForEDP
--------AllowAzureRMSForEDP
--------EDPShowIcons
----Status
./Device/Vendor/MSFT/EnterpriseDataProtection
CSP のルート ノード。
設定
Windows Information Protection (WIP) 構成設定のルート ノード。
Settings/EDPEnforcementLevel
WIP 適用レベルを設定します。
注
デバイスで Windows Information Protection を有効にするには、この値を設定するだけでは不十分です。 WIP クリーンアップの実行中に、この値を変更しようとすると失敗します。
サポートされている値は次のとおりです。
- 0 (既定値) - オフ/保護なし (以前に保護されたデータの暗号化を解除します)。
- 1 - サイレント モード (暗号化と監査のみ)。
- 2 - オーバーライド モードを許可します (暗号化、プロンプト、およびオーバーライドの許可、監査)。
- 3 - オーバーライドを非表示にします (暗号化、プロンプト、オーバーライドの非表示、監査)。
サポートされている操作は、追加、取得、置換、および削除です。 値の種類は整数です。
Settings/EnterpriseProtectedDomainNames
パイプ (|) で区切られたユーザー ID に対してエンタープライズで使用されるドメインの一覧。 一覧の最初のドメインは、プライマリエンタープライズ ID である必要があります。つまり、Windows Information Protection の管理機関を表すドメインです。 これらのドメインの一つにあるユーザー ID は、企業で管理されるアカウントと見なされ、そのアカウントに関連付けられているデータは保護する必要があります。 たとえば、エンタープライズが所有するすべてのメール アカウントのドメインがこの一覧に表示されることが想定されます。 WIP クリーンアップの実行中に、この値を変更しようとすると失敗します。
プライマリ エンタープライズ ID の変更はサポートされていないため、クライアントで予期しない動作が発生する可能性があります。
注
クライアントではドメイン名が正規である必要があります。それ以外の場合、設定はクライアントによって拒否されます。
正規ドメイン名を作成する手順を次に示します。
- ASCII 文字 (A から Z のみ) を小文字に変換します。 たとえば、-> microsoft.com Microsoft.COM。
- フラグとして IDN_USE_STD3_ASCII_RULES を使用して IdnToAscii を呼び出します。
- フラグが設定されていない IdnToUnicode を呼び出します (dwFlags = 0)。
サポートされている操作は、追加、取得、置換、および削除です。 値の種類は文字列です。
Settings/AllowUserDecryption
ユーザーがファイルの暗号化を解除できるようにします。 これが 0 (許可されていません) に設定されている場合、ユーザーはオペレーティング システムまたはアプリケーション のユーザー エクスペリエンスを介してエンタープライズ コンテンツからの保護を削除できません。
重要
Windows 10 バージョン 1703 以降では、AllowUserDecryption はサポートされなくなりました。
サポートされている値は次のとおりです。
- 0 - 許可しない。
- 1 (既定値) - 許可する。
最も制限された値は 0 です。
サポートされている操作は、追加、取得、置換、および削除です。 値の種類は整数です。
Settings/DataRecoveryCertificate
暗号化されたファイルのデータ復旧に使用できる回復証明書を指定します。 この証明書は、ファイル システム (EFS) を暗号化するためのデータ回復エージェント (DRA) 証明書と同じであり、グループ ポリシーではなくモバイル デバイス管理 (MDM) 経由でのみ配信されます。
注
このポリシーと対応するグループ ポリシー設定の両方が構成されている場合は、グループ ポリシー設定が適用されます。
MDM ポリシーからの DRA 情報は、GP で想定されているものと同じシリアル化されたバイナリ BLOB である必要があります。 バイナリ BLOB は、次の構造のシリアル化されたバージョンです。
//
// Recovery Policy Data Structures
//
typedef struct _RECOVERY_POLICY_HEADER {
USHORT MajorRevision;
USHORT MinorRevision;
ULONG RecoveryKeyCount;
} RECOVERY_POLICY_HEADER, *PRECOVERY_POLICY_HEADER;
typedef struct _RECOVERY_POLICY_1_1 {
RECOVERY_POLICY_HEADER RecoveryPolicyHeader;
RECOVERY_KEY_1_1 RecoveryKeyList[1];
} RECOVERY_POLICY_1_1, *PRECOVERY_POLICY_1_1;
#define EFS_RECOVERY_POLICY_MAJOR_REVISION_1 (1)
#define EFS_RECOVERY_POLICY_MINOR_REVISION_0 (0)
#define EFS_RECOVERY_POLICY_MINOR_REVISION_1 (1)
///////////////////////////////////////////////////////////////////////////////
// /
// RECOVERY_KEY Data Structure /
// /
///////////////////////////////////////////////////////////////////////////////
//
// Current format of recovery data.
//
typedef struct _RECOVERY_KEY_1_1 {
ULONG TotalLength;
EFS_PUBLIC_KEY_INFO PublicKeyInfo;
} RECOVERY_KEY_1_1, *PRECOVERY_KEY_1_1;
typedef struct _EFS_PUBLIC_KEY_INFO {
//
// The length of this entire structure, including string data
// appended to the end. The length should be a multiple of 8 for
// 64 bit alignment
//
ULONG Length;
//
// Sid of owner of the public key (regardless of format).
// This field is to be treated as a hint only.
//
ULONG PossibleKeyOwner;
//
// Contains information describing how to interpret
// the public key information
//
ULONG KeySourceTag;
union {
struct {
//
// The following fields contain offsets based at the
// beginning of the structure. Each offset is to
// a NULL terminated WCHAR string.
//
ULONG ContainerName;
ULONG ProviderName;
//
// The exported public key used to encrypt the FEK.
// This field contains an offset from the beginning of the
// structure.
//
ULONG PublicKeyBlob;
//
// Length of the PublicKeyBlob in bytes
//
ULONG PublicKeyBlobLength;
} ContainerInfo;
struct {
ULONG CertificateLength; // in bytes
ULONG Certificate; // offset from start of structure
} CertificateInfo;
struct {
ULONG ThumbprintLength; // in bytes
ULONG CertHashData; // offset from start of structure
} CertificateThumbprint;
};
} EFS_PUBLIC_KEY_INFO, *PEFS_PUBLIC_KEY_INFO;
//
// Possible KeyTag values
//
typedef enum _PUBLIC_KEY_SOURCE_TAG {
EfsCryptoAPIContainer = 1,
EfsCertificate,
EfsCertificateThumbprint
} PUBLIC_KEY_SOURCE_TAG, *PPUBLIC_KEY_SOURCE_TAG;
EFSCertificate KeyTag の場合、DER ENCODED バイナリ証明書であることが予期されます。
サポートされている操作は、追加、取得、置換、および削除です。 値の種類は base-64 でエンコードされた証明書です。
Settings/RevokeOnUnenroll
このポリシーは、デバイスが管理サービスから登録を解除するときに Windows Information Protection キーを取り消すかどうかを制御します。 0 (キーを取り消さない) に設定した場合、キーは取り消されないため、登録解除後もユーザーは保護されたファイルに引き続きアクセスできます。 キーが取り消されない場合、取り消されたファイルクリーンアップは後で行われません。 登録解除コマンドを送信する前に、登録解除時にデバイスで選択的ワイプを実行する場合は、このポリシーを明示的に 1 に設定する必要があります。
サポートされている値は次のとおりです。
- 0 - キーを取り消さないでください。
- 1 (既定値) - キーを取り消します。
サポートされている操作は、追加、取得、置換、および削除です。 値の種類は整数です。
Settings/RevokeOnMDMHandoff
Windows 10 バージョン 1703 で追加。 このポリシーは、デバイスがモバイル アプリケーション管理 (MAM) から MDM にアップグレードされたときに Windows Information Protection キーを取り消すかどうかを制御します。 0 (キーを取り消さない) に設定した場合、キーは取り消されないため、ユーザーはアップグレード後も保護されたファイルに引き続きアクセスできます。 MDM サービスが MAM サービスと同じ WIP EnterpriseID で構成されている場合は、この設定をお勧めします。
- 0 - キーを取り消さないでください。
- 1 (既定値) - キーを取り消します。
サポートされている操作は、追加、取得、置換、および削除です。 値の種類は整数です。
Settings/RMSTemplateIDForEDP
Rights Management Service (RMS) 暗号化に使用する TemplateID GUID。 RMS テンプレートを使用すると、IT 管理者は、RMS で保護されたファイルにアクセスできるユーザーと、アクセス権を持つ期間に関する詳細を構成できます。
サポートされている操作は、追加、取得、置換、および削除です。 値の型は string (GUID) です。
設定/AllowAzureRMSForEDP
Windows Information Protection に対して Azure RMS 暗号化を許可するかどうかを指定します。
- 0 (既定値) - RMS を使用しないでください。
- 1 - RMS を使用します。
サポートされている操作は、追加、取得、置換、および削除です。 値の種類は整数です。
Settings/SMBAutoEncryptedFileExtensions
Windows 10 バージョン 1703 で追加。 NetworkIsolation/EnterpriseIPRange および NetworkIsolation/EnterpriseNetworkDomainNames のポリシー CSP ノードで定義されている、企業の境界内のサーバー メッセージ ブロック (SMB) 共有からコピーするときに、これらの拡張子を持つファイルが暗号化されるように、ファイル拡張子の一覧を指定します。 一覧でセミコロン (;)区切り記号) を使用します。 このポリシーが指定されていない場合、既存の自動暗号化動作が適用されます。 このポリシーを構成すると、リスト内の拡張子を持つファイルのみが暗号化されます。 サポートされている操作は、追加、取得、置換、削除です。 値の種類は文字列です。
Settings/EDPShowIcons
エクスプローラーで WIP で保護されたファイルのアイコンと 、[スタート ] メニューのエンタープライズ専用アプリ タイルにオーバーレイを追加するかどうかを指定します。 Windows 10 バージョン 1703 以降では、この設定により、WIP で保護されたアプリのタイトル バーにある Windows Information Protection アイコンの可視性も構成されます。 サポートされている値は次のとおりです。
- 0 (既定値) - アイコンまたはタイルに WIP オーバーレイはありません。
- 1 - エンタープライズ コンテンツのみを作成できる保護されたファイルとアプリに WIP オーバーレイを表示します。
サポートされている操作は、追加、取得、置換、および削除です。 値の種類は整数です。
地位
デバイス上の Windows Information Protection の現在の状態を示す読み取り専用ビット マスク。 MDM サービスでは、この値を使用して、WIP の現在の全体的な状態を判断できます。 WIP 必須ポリシーと WIP AppLocker 設定が構成されている場合、WIP はオン (ビット 0 = 1) のみです。
推奨される値:
| 将来の使用のために予約済み | WIP 必須設定 Set = 1 [未設定] = 0 |
将来の使用のために予約済み | AppLocker の構成 はい = 1 いいえ = 0 |
WIP オン = 1 WIP オフ = 0 |
|---|---|---|---|---|
| 4 | 3 | 2 | 1 | 0 |
ビット 0 は、WIP がオンかオフかを示します。
ビット 1 は、AppLocker WIP ポリシーが設定されているかどうかを示します。
ビット 3 は、必須の Windows Information Protection ポリシーが構成されているかどうかを示します。 必須の WIP ポリシーの 1 つ以上が構成されていない場合、ビット 3 は 0 (ゼロ) に設定されます。
必須の WIP ポリシーの一覧を次に示します。
- EnterpriseDataProtection CSP の EDPEnforcementLevel
- EnterpriseDataProtection CSP の DataRecoveryCertificate
- EnterpriseDataProtection CSP の EnterpriseProtectedDomainNames
- ポリシー CSP での NetworkIsolation/EnterpriseIPRange
- ポリシー CSP の NetworkIsolation/EnterpriseNetworkDomainNames
ビット 2 と 4 は、将来使用するために予約されています。
サポートされている操作は Get です。 値の種類は整数です。