Table of contents
TOC
Свернуть оглавление
Развернуть оглавление

Создание политики Windows Information Protection (WIP) с помощью Microsoft Intune

LizRoss|Последнее обновление: 16.02.2017
|
1 Участник

Относится к:

  • Windows 10 (версия 1607)
  • Windows 10 Mobile

С помощью Microsoft Intune вы можете создать и развернуть политику Windows Information Protection (WIP), а также выбрать разрешенные приложения, уровень защиты с помощью WIP и способ поиска корпоративных данных в сети.

Важное примечание об июньском малом обновлении службы для версии Insider Preview

Мы получили от пользователей Windows 10 Insider Preview ценные отзывы и предложения касательно Windows Information Protection. Мы рады сообщить, что благодаря такой обратной связи мы можем представить вам улучшенную политику приложений в июньском малом обновлении службы. Это означает, что когда вы откроете существующую политику Windows Information Protection в своей тестовой среде после выпуска июньского малого обновления службы, имеющиеся у вас правила приложений Windows Information Protection в Windows 10 (ранее располагавшиеся в области Защищенные приложения) будут удалены.

Чтобы подготовиться к этому изменению, рекомендуется немедленно создать резервную копию текущих правил приложений по состоянию на текущий день, чтобы можно было использовать их для перенастройки правил приложений в улучшенной политике. Когда вы откроете существующую политику Windows Information Protection после выпуска июньского малого обновления службы, отобразится диалоговое окно с сообщением об этом изменении. Нажмите кнопку ОК, чтобы закрыть окно и начать перенастройку правил приложений.

Microsoft Intune; диалоговое окно "Перенастройка списка правил приложений"

Обратите внимание, что если вы покинете страницу Политика до того как сохраните новую политику, то на имеющиеся у вас развертывания не будет оказано никакого влияния. Тем не менее если вы сохраните политику без перенастройки приложений, для ваших сотрудников будет развернута обновленная политика с пустым списком правил приложений.

Добавление политики WIP

После настройки Intune для организации вам необходимо создать политику WIP.

Добавление политики WIP

  1. Откройте консоль администрирования Intune и перейдите к узлу Политики, а затем в области Задачи щелкните Добавить политику.

  2. Перейдите в раздел Windows, последовательно щелкните Политика Windows Information Protection (Windows 10 Desktop и Windows 10 Mobile, а также более поздние версии), Создание и развертывание настраиваемой политики и Создать политику.

    Microsoft Intune; создание политики на экране "Новая политика"

  3. Введите имя (обязательно) и необязательное описание политики в полях Имя и Описание.

    Microsoft Intune; заполнение обязательного поля "Имя" и необязательного поля "Описание"

Добавление правил приложений в политику

В процессе создания политики в Intune вы можете выбрать приложения, которым вы хотите предоставить доступ к корпоративным данным с помощью WIP. Приложения, включенные в этот список, могут защищать данные от имени организации, однако им запрещено копировать или перемещать корпоративные данные в незащищенные приложения.

Действия по добавлению правил приложений зависят от типа применяемого шаблона правила. Вы можете добавить приложение Магазина (также называемое приложением универсальной платформы Windows), подписанное классическое приложение Windows или файл политики AppLocker.

Важно

Предполагается, что приложения, учитывающие WIP, препятствуют передаче корпоративных данных в незащищенные расположения в сети и попыткам избежать шифрования личных сведений. С другой стороны, приложения, не учитывающие WIP, могут нарушать границы корпоративной сети и шифровать все файлы, которые они создают или изменяют. Это означает, что им не удастся шифровать личные сведения, и это приведет к утечке данных в процессе отзыва.

Прежде чем добавлять приложение в список Правила приложений, проявите осторожность и получите от поставщика программного обеспечения заявление о поддержке, свидетельствующее, что приложение можно безопасно использовать с WIP. Если вы не получите такое заявление, то у вас могут возникнуть проблемы совместимости приложения из-за того, что после отзыва оно потеряет доступ к необходимому файлу.

Примечание

Если вы хотите использовать правила Хэш файла или Путь вместо правил Издатель, выполните действия, описанные в статье Добавление приложений в политику Windows Information Protection (WIP) с помощью имеющихся в Microsoft Intune настраиваемых функций универсального кода ресурса (URI).

Добавление правила приложения Магазина в политику

В этом примере мы добавим приложение Магазина Microsoft OneNote в список Правила приложений.

Добавление приложения Магазина

  1. В области Правила приложений щелкните Добавить.

    Откроется окно Добавление правила приложения.

    Microsoft Intune; добавление приложения Магазина в политику

  2. В поле Название укажите понятное имя для приложения. В этом примере использовано имя Microsoft OneNote.

  3. В раскрывающемся списке Режим Windows Information Protection щелкните Разрешить.

    Выбрав пункт "Разрешить", вы включите WIP. Это позволит защищать корпоративные данные приложения, принудительно применяя ограничения WIP. Инструкции по снятию ограничений для приложений см. в разделе Снятие ограничений WIP для приложений этой статьи.

  4. В раскрывающемся списке Шаблон правила выберите Приложение Магазина.

    Окно изменится, и в нем отобразятся параметры правила приложения Магазина.

  5. Введите имя приложения и название его издателя, а затем нажмите кнопку OK. В этом примере приложения UWP в поле Издатель указано значение CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US, а в поле Название продуктаMicrosoft.Office.OneNote.

Если вы не знаете название издателя или продукта, вы можете найти их как для настольных устройств, так и для телефонов с Windows 10 Mobile, выполнив указанные ниже действия.

Поиск названий издателя и продукта приложений Магазина без их установки

  1. Перейдите на веб-сайт Магазина Windows для бизнеса и найдите необходимое приложение. Например, найдите приложение Microsoft OneNote.

    Примечание

    Если приложение уже установлено на настольных устройствах, вы можете использовать оснастку MMC локальной политики безопасности AppLocker, чтобы добавить его в список защищенных приложений. Сведения о том, как сделать это, см. в статье Добавление приложений в политику Windows Information Protection (WIP) с помощью имеющихся в Microsoft Intune настраиваемых функций URI.

  2. Скопируйте значение идентификатора из URL-адреса приложения. Например, если URL-адрес идентификатора приложения Microsoft OneNote имеет вид https://www.microsoft.com/store/apps/onenote/9wzdncrfhvjl, то вам необходимо скопировать значение идентификатора 9wzdncrfhvjl.

  3. В браузере запустите веб-API портала Магазина для бизнеса, чтобы отправить файл нотации объектов JavaScript (JSON-файл), в котором содержится информация о названиях издателя и продукта. Например, перейдите по адресу https://bspmts.mp.microsoft.com/v1/public/catalog/Retail/Products/9wzdncrfhvjl/applockerdata, заменив значение 9wzdncrfhvjl вашим идентификатором.

    После этого запустится API и откроется окно текстового редактора со сведениями о приложении.

    {
        "packageIdentityName": "Microsoft.Office.OneNote",
        "publisherCertificateName": "CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US"
    }
    
  4. Скопируйте значение publisherCertificateName в поле Название издателя и значение packageIdentityName — в поле Название продукта в Intune.

    Важно

    JSON-файл также может возвращать значение windowsPhoneLegacyId для полей Название издателя и Название продукта. Это означает, что у вас есть приложение, которое использует пакет XAP, и вам необходимо задать для параметра Название продукта значение windowsPhoneLegacyId, а для параметра Название издателя — значение CN=, за которым следует windowsPhoneLegacyId.

    Пример:

         {
             "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
         }
    

Поиск названий издателя и продукта для приложений, установленных на телефоны с Windows 10 Mobile

  1. Если вам необходимо добавить мобильные приложения, которые распространяются не через Магазин для бизнеса, используйте функцию Портал устройств с Windows.

    Примечание

    Компьютер и телефон должны находиться в одной беспроводной сети.

  2. На телефоне Windows Phone перейдите в меню Параметры, выберите элемент Обновление и безопасность, а затем выберите элемент Для разработчиков.

  3. На экране Для разработчиков включите Режим разработчика, Обнаружение устройств и Портал устройства.

  4. Скопируйте URL-адрес в области Портал устройства в браузер телефона, а затем примите SSL-сертификат.

  5. В области Обнаружение устройств нажмите Связать, а затем введите ПИН-код на веб-сайте из предыдущего шага.

  6. На вкладке Приложения веб-сайта можно просмотреть сведения о запущенных приложениях, включая имена поставщика и продукта.

  7. Запустите приложение, для которого выполняется поиск имен издателя и продукта.

  8. Скопируйте значение publisherCertificateName и вставьте его в поле Название издателя, а значение packageIdentityName — в поле Название продукта в Intune.

    Важно

    JSON-файл также может возвращать значение windowsPhoneLegacyId для полей Название издателя и Название продукта. Это означает, что у вас есть приложение, которое использует пакет XAP, и вам необходимо задать для параметра Название продукта значение windowsPhoneLegacyId, а для параметра Название издателя — значение CN=, за которым следует windowsPhoneLegacyId.

    Пример:

        {
           "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
        }
    

Добавление правила классического приложения в политику

В этом примере мы добавим классическое приложение Internet Explorer в список Правила приложений.

Добавление классического приложения

  1. В области Правила приложений щелкните Добавить.

    Откроется окно Добавление правила приложения.

    Microsoft Intune; добавление классического приложения в политику

  2. В поле Название укажите понятное имя для приложения. В этом примере используется имя Internet Explorer.

  3. В раскрывающемся списке Режим Windows Information Protection щелкните Разрешить.

    Выбрав пункт "Разрешить", вы включите WIP. Это позволит защищать корпоративные данные приложения, принудительно применяя ограничения WIP. Инструкции по снятию ограничений для приложений см. в разделе Снятие ограничений WIP для приложений этой статьи.

  4. В раскрывающемся списке Шаблон правила выберите Классическое приложение.

    Окно изменится, и в нем отобразятся параметры правила приложения Магазина.

  5. Выберите варианты, которые вы хотите использовать для правила приложения (см. таблицу), а затем щелкните OK.

    ПараметрОбъекты, которыми управляет правило
    Во всех полях указано "*".Все файлы, подписанные любым издателем. (Не рекомендуется)
    Издатель выбранВсе файлы, подписанные указанным издателем.

    Это может быть удобно, если ваша компания является издателем и подписывает внутренние бизнес-приложения.

    Выбраны параметры "Издатель" и Название продукта.Все файлы для заданного продукта, подписанные указанным издателем.
    Выбраны параметры "Издатель", Название продукта и Имя двоичного файлаЛюбая версия указанного файла или пакета для заданного продукта, подписанная указанным издателем.
    Выбраны параметры "Издатель", Название продукта, Имя двоичного файла и Версия файла и более поздние версииУказанная версия или более новые выпуски указанного файла или пакета для заданного продукта, подписанного указанным издателем.

    Этот вариант рекомендуется для допустимых приложений, предыдущие версии которых не были допустимыми.

    Выбраны параметры "Издатель", Название продукта, Имя двоичного файла и Версия файла и более ранние версииЗаданная версия или предыдущие выпуски указанного файла или пакета для заданного продукта, подписанного указанным издателем.
    Выбраны параметры "Издатель", Название продукта, Имя двоичного файла и Версия файла, конкретнаяЗаданная версия указанного файла или пакета для заданного продукта, подписанного указанным издателем.

Если вы не знаете, какое значение указать в качестве издателя, вы можете выполнить указанную ниже команду Windows PowerShell.

    Get-AppLockerFileInformation -Path "<path of the exe>"

Здесь "<path of the exe>" — расположение приложения на устройстве. Пример: Get-AppLockerFileInformation -Path "C:\Program Files\Internet Explorer\iexplore.exe".

В этом примере после выполнения команды вы получите следующие сведения:

    Path                   Publisher
    ----                   ---------
    %PROGRAMFILES%\INTERNET EXPLORER\IEXPLORE.EXE O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\INTERNET EXPLOR...

Здесь текст O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US — название издателя, которое необходимо указать в поле Название издателя.

Добавление файла политики AppLocker

В этом примере мы добавим XML-файл AppLocker в список Правила приложений. Используйте этот вариант, если вам необходимо добавить несколько приложений одновременно. Дополнительные сведения об AppLocker см. в статье AppLocker.

Создание правила приложения и XML-файла с помощью средства AppLocker

  1. Откройте оснастку "Локальная политика безопасности" (SecPol.msc).

  2. В расположенной слева области последовательно разверните пункты Политики управления приложениями и AppLocker, а затем щелкните Правила упакованных приложений.

    Оснастка "Локальная политика безопасности", в которой показан пункт "Правила упакованных приложений"

  3. Щелкните правой кнопкой мыши расположенную справа область, а затем выберите Создать новое правило.

    Откроется мастер создания правил упакованных приложений.

  4. На странице Перед началом работы нажмите кнопку Далее.

    Мастер создания правил упакованных приложений, в котором отображена страница "Перед началом работы"

  5. На странице Разрешения выберите для параметра Действие значение Разрешить, для параметра Пользователь или группа — значение Все, а затем нажмите кнопку Далее.

    Мастер создания правил упакованных приложений, в котором отображена страница "Перед началом работы"

  6. На странице Издатель в области Использовать для примера установленное упакованное приложение щелкните Выбрать.

    Мастер создания правил упакованных приложений, в котором отображена страница "Издатель"

  7. В окне Выберите приложения выберите приложение, которое вы хотите использовать в качестве примера для правила, а затем щелкните OK. В этом примере мы используем приложение Фотографии (Майкрософт).

    Мастер создания правил упакованных приложений, в котором отображена страница "Выберите приложения"

  8. На обновленной странице Издатель щелкните Создать.

    Мастер создания правил упакованных приложений, в котором отображена страница "Издатель" с выбранным приложением Фотографии (Майкрософт)

  9. Проверьте оснастку "Локальная политика безопасности" и убедитесь, что правило создано правильно.

    Оснастка "Локальная политика безопасности", в которой отображается новое правило

  10. В расположенной слева области щелкните правой кнопкой мыши AppLocker, а затем выберите Экспортировать политику.

    Откроется окно Экспорт политики, в котором вы можете экспортировать новую политику и сохранить ее в формате XML.

    Оснастка "Локальная политика безопасности", в которой отображен вариант "Экспортировать политику"

  11. В окне Экспорт политики выберите расположение, в котором необходимо сохранить политику, задайте имя для политики, а затем нажмите кнопку Сохранить.

    Политика будет сохранена, при этом отобразится сообщение о том, что из политики экспортировано 1 правило.

    Пример XML-файла
    Это XML-файл, созданный AppLocker для приложения Фотографии (Майкрософт).

     <AppLockerPolicy Version="1">
        <RuleCollection Type="Exe" EnforcementMode="NotConfigured" />
        <RuleCollection Type ="Msi" EnforcementMode="NotConfigured" />
        <RuleCollection Type ="Script" EnforcementMode="NotConfigured" />
        <RuleCollection Type ="Dll" EnforcementMode="NotConfigured" />
        <RuleCollection Type ="Appx" EnforcementMode="NotConfigured">
            <FilePublisherRule Id="5e0c752b-5921-4f72-8146-80ad5f582110" Name="Microsoft.Windows.Photos, version 16.526.0.0 and above, from Microsoft Corporation" Description="" UserOrGroupSid="S-1-1-0" Action="Allow">
                <Conditions>
                    <FilePublisherCondition PublisherName="CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="Microsoft.Windows.Photos" BinaryName="*">
                        <BinaryVersionRange LowSection="16.526.0.0" HighSection="*" />
                    </FilePublisherCondition>
                </Conditions>
            </FilePublisherRule>
        </RuleCollection>
    </AppLockerPolicy>
    
  12. После того как вы создадите XML-файл, вам потребуется импортировать его с помощью Microsoft Intune.

Импорт правила приложения файла политики Applocker с помощью Microsoft Intune

  1. В области Правила приложений щелкните Добавить.

    Откроется окно Добавление правила приложения.

    Microsoft Intune, импорт файла политики AppLocker с помощью Intune

  2. В поле Название укажите понятное имя для приложения. В этом примере используется имя Список разрешенных приложений.

  3. В раскрывающемся списке Режим Windows Information Protection щелкните Разрешить.

    Выбрав пункт "Разрешить", вы включите WIP. Это позволит защищать корпоративные данные приложения, принудительно применяя ограничения WIP. Инструкции по снятию ограничений для приложений см. в разделе Снятие ограничений WIP для приложений этой статьи.

  4. В раскрывающемся списке Шаблон правила выберите Файл политики AppLocker.

    Окно изменится, чтобы вы могли импортировать XML-файл политики AppLocker.

  5. Щелкните Импорт, найдите XML-файл AppLocker, нажмите кнопку Открыть, а затем — кнопку OK. Окно Добавление правила приложения закроется.

    Файл будет импортирован, а приложения будут добавлены в список Правила приложений.

Снятие ограничений WIP для приложений

Если у вас возникли проблемы совместимости, и ваше приложение несовместимо с WIP, но вам необходимо использовать его для работы с корпоративными данными, вы можете снять ограничения для этого приложения. Это означает, что ваши приложения не будут выполнять автоматическое шифрование или добавление тегов и не будут соблюдать ограничения в сети. Это также означает, что эти приложения могут стать причиной утечки данных.

Снятие ограничения с приложения Магазина, классического приложения или правила приложения файла политики AppLocker

  1. В области Правила приложений щелкните Добавить.

    Откроется окно Добавление правила приложения.

  2. В поле Название укажите понятное имя для приложения. В этом примере используется имя Список приложений без ограничений.

  3. В раскрывающемся списке Режим Windows Information Protection щелкните Снять ограничения.

    Обратите внимание, что если вы снимете ограничения с приложений, им будет разрешено обходить ограничения WIP и получать доступ к корпоративным данным. Сведения о том, как разрешить приложения, см. в разделе Добавление правил приложений в политику этой статьи.

  4. Укажите остальные сведения о правиле приложения, зависящие от типа добавляемого правила.

  5. Нажмите кнопку ОК.

Управление режимом защиты WIP для корпоративных данных

После добавления приложений, которые необходимо защитить с помощью WIP, вам потребуется применить режим управления и защиты.

При проверке небольшой группы, для которой в списке защищенных приложений указаны правильные приложения, рекомендуется начать с уровня Автоматически или Переопределение. По завершении проверки вы можете переключиться на окончательную политику принудительного применения, выбрав вариант Переопределение или Блокирование.

РежимОписание
БлокированиеWIP обнаруживает случаи недопустимого предоставления доступа к данным и запрещает сотруднику выполнить действие. Помимо прочего, под этим подразумевается обмен информацией через не защищенные на корпоративном уровне приложения, а также обмен корпоративными данными с другими пользователями и устройствами, находящимися за пределами компании.
ПереопределениеWIP обнаруживает случаи недопустимого предоставления доступа к данным и предупреждает сотрудника о том, что он собирается выполнить потенциально небезопасное действие. Тем не менее в этом режиме управления сотрудник может переопределить политику и предоставить доступ к данным. При этом сведения о его действии будут внесены в журнал аудита, доступ к которому можно получить с помощью CSP отчетов.
АвтоматическиWIP работает в автоматическом режиме, внося в журнал сведения о недопустимом предоставлении доступа к данным и не блокируя никакие действия, предупреждения о которых отобразились бы для пользователя в режиме "Переопределение". Неразрешенные действия, например недопустимые попытки получить доступ к сетевым ресурсам или данным, защищенным с помощью WIP, блокируются.
Выключено (не рекомендуется)Средство WIP отключено. Оно не защищает данные и не производит их аудит.

После отключения WIP будет выполнена попытка расшифровать все файлы с тегами WIP на локально подключенных дисках. Имейте в виду, что введенные ранее сведения о расшифровке и политике не применяются повторно автоматически, если вы снова включите защиту WIP.

Microsoft Intune; настройка режима защиты данных

Определение корпоративного удостоверения, управляемого организацией

Корпоративное удостоверение, обычно имеющее вид основного домена Интернета (например, contoso.com), позволяет определять и помечать корпоративные данные приложений, которые вы отметили как защищенные с помощью WIP. Например, электронные письма, использующие домен contoso.com, считаются корпоративными, и для них действуют ограничения, накладываемые политиками Windows Information Protection.

Вы можете указать несколько доменов, принадлежащих вашей организации, разделив их вертикальной чертой (символом |). Пример: (contoso.com|newcontoso.com). Если вы используете несколько доменов, первый из них будет считаться вашим корпоративными удостоверением, а остальные дополнительные домены будут считаться принадлежащими первому домену. Настоятельно рекомендуется включить все домены ваших электронных адресов в этот список.

Добавление корпоративного удостоверения

  • Введите имя своего корпоративного удостоверения в поле Корпоративное удостоверение. Пример: contoso.com или contoso.com|newcontoso.com.

    Microsoft Intune; настройка основных доменов Интернета

Выбор расположения для доступа к корпоративным данным из приложений

После того как вы включите режим защиты для приложений, вам потребуется решить, в каком расположении эти приложения будут получать доступ к корпоративным данным в вашей сети.

WIP не использует какие-либо расположения по умолчанию, поэтому вам необходимо добавить каждое расположение в сети. Эта область применяется к любому устройству конечной точки в сети, которое получает IP-адрес из диапазона адресов организации и, кроме того, привязано к одному из корпоративных доменов, включая общие ресурсы SMB. Расположения в локальной файловой системе должны поддерживать шифрование (например, в локальных файловых системах NTFS, FAT или ExFAT).

Важно

Каждая политика WIP должна включать политику, определяющую расположения в сети вашей организации.
Нотация CIDR не поддерживается для конфигураций WIP.

Указание расположений в сети, в которых защищенным приложениям разрешено находить и отправлять корпоративные данные

  1. Добавьте дополнительные расположения в сети, к которым будут получать доступ ваши приложения, щелкнув Добавить.

    Откроется окно Добавление или изменение определения корпоративной сети.

  2. В поле Имя введите имя элемента в корпоративной сети, а затем в раскрывающемся списке Элемент сети выберите тип этого элемента. В таблице ниже приведен список таких типов.

    Microsoft Intune; добавление определений корпоративной сети




    Тип расположения в сетиФорматОписание
    Облачные ресурсы организацииС прокси-сервером: contoso.sharepoint.com,contoso.internalproxy1.com|
    contoso.visualstudio.com,contoso.internalproxy2.com

    Без прокси-сервера: contoso.sharepoint.com|contoso.visualstudio.com

    Укажите облачные ресурсы, которые следует рассматривать как корпоративные и защищенные с помощью WIP.

    Для каждого облачного ресурса вы можете дополнительно указать прокси-сервер из списка внутренних прокси-серверов компании для маршрутизации трафика этого облачного ресурса. Обратите внимание, что весь трафик, проходящий через внутренние прокси-серверы организации, считается корпоративным.

    Если у вас несколько ресурсов, разделите их вертикальной чертой (символ |). Если вы не используете прокси-серверы, то непосредственно перед прямой чертой (символ |) добавьте запятую. Пример: URL <,proxy>|URL <,proxy>.

    Если ОС Windows не удается определить, следует ли разрешить приложению подключиться к сетевому ресурсу, то она автоматически заблокирует подключение. Если вместо этого вы хотите, чтобы ОС Windows разрешала подключения, добавьте строку /AppCompat/ в этот параметр. Пример: URL <,proxy>|URL <,proxy>|/AppCompat/

    Доменные имена корпоративной сети (обязательный параметр)corp.contoso.com,region.contoso.comУкажите суффиксы DNS, используемые в вашей среде. Весь трафик, направляемый в домены с полными именами, входящими в этот список, будет защищен.

    Этот параметр используется совместно с параметрами диапазонов IP-адресов, чтобы можно было определить, является ли конечная точка сети корпоративной или личной, в частных сетях.

    Если у вас несколько ресурсов, разделите их запятыми.

    Прокси-серверы организацииproxy.contoso.com:80;proxy2.contoso.com:443Укажите адреса интерфейсных прокси-серверов, а также порт, через который трафик получает доступ к Интернету.

    Этот список не должен содержать серверы, включенные в список внутренних прокси-серверов организации, поскольку они используются для трафика, защищенного с помощью WIP.

    Этот параметр также необходим, если существует вероятность того, что вы окажетесь за прокси-сервером в другой сети. В этой ситуации, если у вас нет заранее определенного прокси-сервера, то может оказаться, что корпоративные ресурсы недоступны вашему клиентскому устройству, например, если вы приехали в другую компанию и не находитесь в гостевой сети этой компании. Чтобы убедиться, что это не происходит, клиентское устройство также должно иметь возможность достичь определенный прокси-сервер через сеть VPN.

    Если у вас несколько ресурсов, разделите их точками с запятыми.

    Внутренние прокси-серверы организацииcontoso.internalproxy1.com;contoso.internalproxy2.comУкажите прокси-серверы, через которые будет проходить трафик ваших устройств на пути к облачным ресурсам.

    Использование серверов этого типа свидетельствует о том, что облачные ресурсы, к которым вы подключаетесь, являются корпоративными ресурсами.

    Этот список не должен содержать серверы, включенные в список прокси-серверов организации, которые используются для трафика, не защищенного с помощью WIP.

    Если у вас несколько ресурсов, разделите их точками с запятыми.

    Диапазон IPv4-адресов организации (обязательный параметр, если не используется протокол IPv6)Начальный IPv4-адрес: 3.4.0.1
    Конечный IPv4-адрес: 3.4.255.254
    Настраиваемый URI: 3.4.0.1–3.4.255.254,
    10.0.0.1–10.255.255.254
    Укажите адреса для допустимого диапазона значений IPv4-адресов в своей интрасети. Эти адреса, используемые вместе с доменными именами сети организации, определяют границы вашей корпоративной сети.

    Если у вас несколько диапазонов, разделите их запятыми.

    Диапазон IPv6-адресов организации (обязательный параметр, если не используется протокол IPv4)Начальный IPv6-адрес: 2a01:110::
    Конечный IPv6-адрес: 2a01:110:7fff:ffff:ffff:ffff:ffff:ffff
    Настраиваемый URI: 2a01:110:7fff:ffff:ffff:ffff:ffff:ffff,
    fd00::–fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
    Укажите адреса для допустимого диапазона значений IPv6-адресов в своей интрасети. Эти адреса, используемые вместе с доменными именами сети организации, определяют границы вашей корпоративной сети.

    Если у вас несколько диапазонов, разделите их запятыми.

    Нейтральные ресурсыsts.contoso.com,sts.contoso2.comУкажите конечные точки перенаправления для проверки подлинности в вашей компании.

    Эти расположения считаются корпоративными или личными в зависимости контекста подключения, используемого до перенаправления.

    Если у вас несколько ресурсов, разделите их запятыми.

  3. Добавьте столько расположений, сколько нужно, а затем нажмите кнопку ОК.

    Окно Добавление определения корпоративной сети будет закрыто.

  4. Укажите, необходимо ли ОС Windows искать дополнительные параметры сети:

    Microsoft Intune; указание того, следует ли Windows искать дополнительные прокси-серверы или диапазоны IP-адресов в организации

    • Список прокси-серверов предприятия заслуживает доверия (без автообнаружения). Установите этот флажок, если вы хотите, чтобы ОС Windows считала прокси-серверы, указанные вами в определении границы сети, исчерпывающим списком прокси-серверов, доступных в вашей сети. Если вы снимете этот флажок, ОС Windows будет искать дополнительные прокси-серверы в сети.

    • Список диапазонов IP-адресов предприятия заслуживает доверия (без автообнаружения). Установите этот флажок, если вы хотите, чтобы ОС Windows считала диапазоны IP-адресов, указанные вами в определении границы сети, исчерпывающим списком диапазонов IP-адресов, доступных в вашей сети. Если вы снимете этот флажок, ОС Windows будет искать дополнительные диапазоны IP-адресов на всех устройствах, присоединенных к домену и подключенных к сети.

  5. Чтобы добавить сертификат восстановления данных для политики, в обязательном окне Отправьте сертификат агента восстановления данных (DRA), чтобы обеспечить расшифровку зашифрованных данных щелкните Обзор.

    Microsoft Intune; добавление сертификата агента восстановления данных (DRA)

    После того как вы создадите и развернете политику WIP для своих сотрудников, ОС Windows начнет шифровать корпоративные данные на дисках локальных устройств сотрудников. Если тем или иным образом локальные ключи шифрования сотрудников будут утеряны или отозваны, зашифрованные данные могут стать не подлежащими восстановлению. Чтобы избежать этого, сертификат DRA позволяет ОС Windows использовать включенный открытый ключ для шифрования локальных данных, в то время как у вас будет закрытый ключ, с помощью которого можно расшифровать данные.

    Дополнительные сведения о том, как найти и экспортировать сертификат восстановления данных, см. в статье Восстановление данных и шифрованная файловая система (EFS). Дополнительные сведения о том, как создать и проверить сертификат DRA для файловой системы EFS, см. в статье Создание и проверка сертификата агента восстановления данных (DRA) шифрованной файловой системы (EFS).

Выбор необязательных параметров, связанных с WIP

После того как вы решите, в каких расположениях защищенным приложениям будет разрешено получать доступ к корпоративным данным в сети, вам будет предложено указать, следует ли добавить какие-либо необязательные параметры WIP.

Microsoft Intune, выбор дополнительных необязательных параметров

Настройка необязательных параметров

  1. Укажите, следует ли настроить все дополнительные параметры или только некоторые из них.

    • Показывать вариант "Личный" в меню "Владение файлом" в проводнике и в диалоговом окне "Сохранить как". Определяет, будет ли отображаться для пользователей вариант "Личный" для файлов в проводнике и в диалоговом окне Сохранить как. Ниже перечислены возможные варианты.

      • Да или не настроено (рекомендуется). Сотрудники могут указывать статус файла (Рабочий или Личный) в проводнике и в диалоговом окне Сохранить как.

      • Нет. Параметр Личный не будет отображаться для сотрудников. Помните, что если вы выберете этот параметр, приложения, использующие диалоговое окно Сохранить как, смогут шифровать новые файлы как корпоративные данные, только если в процессе создания исходного файла не будет указан другой путь к файлу. Если это произойдет, будет труднее расшифровать рабочие файлы.

    • Препятствовать доступу приложений к данным предприятия, если устройство заблокировано. Применимо только к Windows 10 Mobile. Этот параметр указывает, следует ли шифровать корпоративные данные, используя ключ, защищенный с помощью ПИН-кода сотрудника на заблокированном устройстве. Приложения не смогут считывать корпоративные данные, если устройство заблокировано. Ниже перечислены возможные варианты.

      • Да (рекомендуется). Включение функции и обеспечение дополнительной защиты.

      • Нет или не настроено. Не включайте эту функцию.

    • Отзывать ключи шифрования при отмене регистрации. Указывает, следует ли отзывать локальные ключи шифрования пользователя с устройства при отмене регистрации устройства в Windows Information Protection. Если ключи шифрования отозваны, у пользователя не будет доступа к зашифрованным корпоративным данным. Ниже перечислены возможные варианты.

      • Да или не настроено (рекомендуется). Отзывать локальные ключи шифрования с устройства в процессе отмены регистрации.

      • Нет. Не отзывать локальные ключи шифрования с устройства в процессе отмены регистрации. Этот вариант можно использовать, например, если вы переходите с одного решения по управлению мобильными устройствами (MDM) на другое.

    • Разрешить службе Windows Search искать зашифрованные данные предприятия и приложения Магазина. Указывает, разрешено ли службе Windows Search искать и индексировать зашифрованные корпоративные данные и приложения Магазина. Ниже перечислены возможные варианты.

      • Да. Разрешить службе Windows Search искать и индексировать зашифрованные корпоративные данные и приложения Магазина.

      • Нет или не настроено (рекомендуется). Запретить службе Windows Search искать и индексировать зашифрованные корпоративные данные и приложения Магазина.

    • Показывать дополнительный значок Windows Information Protection. Определяет, отображается ли значок Windows Information Protection на корпоративных файлах в окне "Сохранить как" и представлениях проводника. Ниже перечислены возможные варианты.

      • Да. Значок Windows Information Protection отображается на корпоративных файлах в окне "Сохранить как" и представлениях проводника. Кроме того, для неподдерживаемых, но разрешенных приложений, значок также появляется на плитке приложения с текстом Управляемыйна имени приложения в меню Пуск.

      • Нет или не настроено (рекомендуется). Значок Windows Information Protection не отображается на корпоративных файлах или неподдерживаемых, но разрешенных приложениях. По умолчанию используется параметр "Не настроено".

  2. Нажмите Сохранить политику.

Примечание

Отправляйте нам правки, добавления и отзывы, чтобы помочь улучшить этот раздел. Узнать о том, как принять участие в развитии этого раздела, можно в статье Дополнение материалов на сайте TechNet.

Статьи по теме

© 2017 Microsoft