Windows Information Protection (WIP) Windows Information Protection (WIP)

Примечание. Политика Windows Information Protection (WIP) может применяться в Windows 10 версии 1607. Note Windows Information Protection (WIP) policy can be applied to Windows 10, version 1607.

WIP защищает данные, принадлежащие организации, путем применения политик, которые определены этой организацией. WIP protects data that belongs to an organization by enforcing policies that are defined by the organization. Если ваше приложение включено в эти политики, на все данные, созданные вашим приложением, распространяются ограничения политики. If your app is included in those polices, all data produced by your app is subject to policy restrictions. Этот раздел поможет вам создавать приложения, которые более аккуратно обеспечивают принудительное применение этих политик без воздействия на персональные данные пользователя. This topic helps you to build apps that more gracefully enforce these policies without having any impact on the user’s personal data.

Во-первых, что такое WIP? First, what is WIP?

WIP — это набор функций для настольных компьютеров, ноутбуков, планшетов и телефонов, поддерживающих систему управления мобильными устройствами (MDM) и систему управления мобильными приложениями (MAM) в организации. WIP is a set of features on desktops, laptops, tablets, and phones that support the organization’s Mobile Device Management (MDM) and Mobile Application Management (MAM) system.

WIP вместе с MDM предоставляет организации больше контроля над обработкой данных на устройствах, которыми организация управляет. WIP together with MDM gives the organization greater control over how its data is handled on devices that the organization manages. Иногда пользователи приносят устройства на работу и не регистрируют их в системе MDM организации. Sometimes users bring devices to work and do not enroll them in the organization’s MDM. В этих случаях организации могут использовать MAM, чтобы более полно контролировать работу с данными организации в определенных бизнес-приложениях, которые пользователи устанавливают на устройстве. In those cases, organizations can use MAM to achieve greater control over how their data is handled on specific line of business apps that users install on their device.

Используя MDM или MAM, администраторы могут определять, каким приложениям разрешено получать доступ к принадлежащим организации файлам и могут ли пользователи копировать данные из этих файлов и затем вставлять их в личные документы. using MDM or MAM, administrators can identify which apps are allowed to access files that belong to the organization and whether users can copy data from those files and then paste that data into personal documents.

Вот как это работает. Here’s how it works. Пользователи регистрируют свои устройства в системе управления мобильными устройствами (MDM) организации. Users enroll their devices into the organization’s mobile device management (MDM) system. Администратор в управляющей организации использует Microsoft Intune или System Center Configuration Manager (SCCM) для определения и последующего разворачивания политики на зарегистрированных устройствах. An administrator in the managing organization uses Microsoft Intune or System Center Configuration Manager (SCCM) to define and then deploy a policy to the enrolled devices.

Если пользователи не обязаны регистрировать свои устройства, администраторы воспользуются системой MAM, чтобы определить и развернуть политику, которая действует в отношении конкретных приложений. If users aren’t required to enroll their devices, administrators will use their MAM system to define and deploy a policy that applies to specific apps. При установке любого из этих приложений пользователями, последние получают соответствующую политику. When users install any of those apps, they’ll receive the associated policy.

Эта политика определяет, какие приложения могут получать доступ к корпоративным данным ( список разрешенных для политики). That policy identifies the apps that can access enterprise data (called the policy’s allowed list ). Эти приложения могут получать доступ к корпоративным защищенным файлам, виртуальным частным сетям (VPN) и корпоративным данным в буфере обмена или с помощью контракта на отправку данных. These apps can access enterprise protected files, Virtual Private Networks (VPN) and enterprise data on the clipboard or through a share contract. Эта политика также определяет правила, которые распространяются на данные. The policy also defines the rules that govern the data. Например, могут ли данные быть скопированы из принадлежащих организации файлов и с последующей вставкой в файлы, не принадлежащие ей. For example, whether data can be copied from enterprise-owned files and then pasted into non enterprise-owned files.

Если пользователи отменяют регистрацию своего устройства в системе MDM организации или удаляют приложения, идентифицированные системой MAM организации, администратор может удаленно очистить корпоративные данные на устройстве. If users unenroll their device from the organization’s MDM system, or uninstall apps identified by the organizations MAM system, administrators can remotely wipe enterprise data from the device.

Подробнее о WIP Read more about WIP

Если ваше приложение входит в список разрешенных, на все данные, созданные вашим приложением, распространяются ограничения политики. If your app is on the allowed list, all data produced by your app is subject to policy restrictions. Это означает, что если администраторы отзовут у пользователей права доступа к корпоративным данным, эти пользователи потеряют доступ ко всем данным, созданным в приложении. That means that if administrators revoke the user’s access to enterprise data, those users lose access to all of the data that your app produced.

Это нормально, если ваше приложение предназначено только для корпоративного использования. This is fine if your app is designed only for enterprise use. Однако если ваше приложение создает данные, которые пользователи считают персональными, вам необходимо будет обучить свое приложение тому, как правильно различать корпоративные и персональные данные. But if your app creates data that users consider personal to them, you’ll want to enlighten your app to intelligently discern between enterprise and personal data. Мы называем такие приложения корпоративно-грамотными , поскольку они могут аккуратно применять корпоративную политику, не нарушая целостность персональных данных пользователя. We call this type of an app enterprise-enlightened because it can gracefully enforce enterprise policy while preserving the integrity of the user’s personal data.

Создание корпоративно-грамотного приложения Create an enterprise-enlightened app

Используйте интерфейсы API WIP для обучения своего приложения и затем объявите, что ваше приложение является корпоративно-грамотным. Use WIP APIs to enlighten your app, and then declare your app as enterprise-enlightened.

Обучите свое приложение, если оно будет использоваться как для корпоративных, так и для личных целей. Enlighten your app if it’ll be used for both organizational and personal purposes.

Обучите свое приложение, если вы хотите аккуратно реализовывать принудительное применение элементов политики. Enlighten your app if you want to gracefully handle the enforcement of policy elements.

Например, если политика позволяет пользователям вставлять корпоративные данные в личные документы, можно предотвратить показ пользователям диалогового окна с запросом согласия перед вставкой данных. For example, if policy allows users to paste enterprise data into a personal document, you can prevent users from having to respond to a consent dialog before they paste the data. Аналогичным образом можно отображать собственные диалоговые окна в ответ на события такого рода. Similarly, you can present custom informational dialog boxes in response to these sorts of events.

Если вы готовы обучить свое приложение, ознакомьтесь с каким-либо из указанных ниже руководств. If you’re ready to enlighten your app, see one of these guides:

Для приложений универсальная платформа Windows (UWP), построенных с помощью C # For Universal Windows Platform (UWP) apps that you build by using C#

Для классических приложений, создаваемых на C++ For Desktop apps that you build by using C++

Создание корпоративного приложения, не поддерживающего корпоративную безопасность Create non-enlightened enterprise app

Если вы создаете бизнес-приложение, не предназначенное для личного пользователя, добавлять в него функции корпоративной безопасности, скорее всего, не потребуется. if you’re creating an Line of Business (LOB) app that is not intended for personal use, you might not have to enlighten it.

Классические приложения для Windows Windows desktop apps

Нет необходимости добавлять функции корпоративной безопасности в классическое приложение для Windows, однако необходимо протестировать его, чтобы убедиться в корректной работе приложения в рамках политики. You don’t need to enlighten a Windows desktop app but you should test your app to ensure that it functions properly under policy. Например, запустите свое приложение, выполните в нем какие-нибудь действия, а затем отмените регистрацию устройства в MDM. For example, start your app, use it, then unenroll the device from MDM. Убедитесь, что приложение может быть запущено после этого. Then, make sure the app can start again. Если файлы, необходимые для работы приложения, зашифрованы, приложение, возможно, не запустится. If files critical to the operation of the app are encrypted, the app might not start. Изучите файлы, с которым взаимодействует ваше приложение, чтобы убедиться, что приложение случайно не зашифрует личные файлы пользователя. Also, review the files that your app interacts with to ensure that your app won’t inadvertently encrypt files that are personal to the user. Сюда могут относиться файлы метаданных, изображения и другие объекты. This might include metadata files, images and other things.

Протестировав приложение, добавьте этот флаг в файл ресурсов или свой проект, а затем повторите компиляцию приложения. After you’ve tested your app, add this flag to the resource file or your project, and then recompile the app.

Политики MDM, в отличие от политик MAM, не требуют этого флага. While MDM policies don’t require the flag, MAM policies do.

Приложения UWP UWP apps

Если вы планируете включить ваше приложение в политику MAM, необходимо добавить в него корпоративные функции безопасности. If you expect your app to be included in a MAM policy, you should enlighten it. Политики, развернутые на устройствах в рамках политики MDM, не требуют этого, однако если приложение предоставляется корпоративным клиентам, определить, какой тип системы управления политиками будет использован, сложно, если не невозможно. Policies deployed to devices under MDM won’t require it, but if you distribute your app to organizational consumers, it’s difficult if not impossible to determine what type of policy management system they’ll use. Чтобы убедиться, что приложение будет работать в обеих системах управления политиками (MDM и MAM), необходимо добавить в него функции корпоративной безопасности. To ensure that your app will work in both types of policy management systems (MDM and MAM), you should enlighten your app.

Поддержка Windows Information Protection (WIP) в Microsoft Edge

В этой статье объясняется, как Microsoft Edge поддерживает Windows Information Protection (WIP).

Эта статья относится к Microsoft Edge версии 81 или более поздней.

Обзор

Windows Information Protection (WIP) — это функция Windows 10, которая помогает защитить корпоративные данные от несанкционированного или случайного раскрытия. С ростом популярности удаленной работы увеличивается риск общего доступа к корпоративным данным за пределами рабочей области. Этот риск возрастает, если личные действия и рабочие действия выполняются на корпоративных устройствах.

Microsoft Edge поддерживает WIP, чтобы защитить содержимое в веб-среде, где пользователи часто делятся содержимым и распространяют его.

Требования к системе

К мобильным устройствам, использующим WIP в корпоративной среде, применяются следующие требования:

• Windows10 версии1607 или более поздней
• Только номера SKU клиентов Windows
• Одно из решений для управления, описанных в статье Необходимые компоненты WIP

Преимущества Windows Information Protection

WIP обеспечивает следующие преимущества:

• Очевидное разделение между персональными и корпоративными данными без необходимости переключения сотрудниками сред или приложений.
• Дополнительная защита данных в существующих бизнес-приложениях без необходимости обновления приложений.
• Возможность удаленной очистки корпоративных данных, не затрагивающей персональные данные, на зарегистрированных в MDM устройствах Intune.
• Отчеты аудита для отслеживания проблем и действий по устранению неполадок, таких как обучение пользователей соответствию требованиям.
• Интеграция с существующей системой управления для настройки, развертывания и управления WIP. В качестве примера можно привести Microsoft Intune, Microsoft Endpoint Configuration Manager или текущую систему управления мобильными устройствами (MDM).

Политика WIP и режимы защиты

С помощью политик можно настроить четыре режима защиты, описанные в таблице ниже. Дополнительные сведения см. в статье Режимы защиты WIP.

Режим	Описание
Блокирование	WIP обнаруживает случаи недопустимого предоставления доступа к данным и запрещает сотруднику выполнить действие. К таким обнаруженным случаям может относиться предоставление общего доступа к корпоративным данным в приложениях, которые не защищены на корпоративном уровне (в дополнение к совместному использованию корпоративных данных в различных приложениях), а также попытки предоставить доступ к данным вне сети вашей организации.
Разрешить переопределения	WIP обнаруживает случаи недопустимого предоставления доступа к данным и предупреждает сотрудника о том, что он собирается выполнить потенциально небезопасное действие. Тем не менее в этом режиме управления сотрудник может переопределить политику и предоставить доступ к данным. При этом сведения о его действии будут внесены в журнал аудита.
Автоматически	WIP работает в автоматическом режиме, занося в журнал сведения о недопустимом предоставлении доступа к данным, но не останавливает действия, предупреждения о которых пользователь увидел бы в режиме «Разрешить переопределения». Неразрешенные действия, например несанкционированные попытки приложений получить доступ к сетевым ресурсам или данным, защищенным с помощью WIP, останавливаются.
Отключено	Средство WIP отключено. Оно не защищает данные и не производит их аудит. После отключения WIP будет выполнена попытка расшифровать все файлы с тегами WIP на локально подключенных дисках. Необходимо отметить, что введенные ранее сведения о расшифровке и политике не применяются повторно автоматически, если снова включить защиту WIP.

Возможности WIP, поддерживаемые в Microsoft Edge

С Microsoft Edge версии 81 поддерживаются следующие возможности:

• Рабочие сайты определяются значком портфеля в адресной строке.
• Файлы, загруженные из рабочего расположения, шифруются автоматически.
• Использование режимов «Автоматически», «Блокирование» и «Переопределение» для отправки рабочих файлов в нерабочие расположения.
• Использование режимов «Автоматически», «Блокирование» и «Переопределение» для операций перетаскивания файлов.
• Использование режимов «Автоматически», «Блокирование» и «Переопределение» для действий в буфере обмена.
• Автоматическое перенаправление на рабочий профиль (связанный с удостоверением Azure AD) при переходе к рабочим расположениям из нерабочих профилей.
• В режиме IE поддерживаются все возможности WIP.

Работа с WIP в Microsoft Edge

После включения поддержки WIP в Microsoft Edge пользователи будут видеть, когда осуществляется доступ к информации, связанной с работой. На следующем снимке экрана отображается значок портфеля в адресной строке, который указывает на то, что доступ к информации, связанной с работой, осуществляется через браузер.

Microsoft Edge предоставляет пользователям возможность делиться защищенным содержимым на неутвержденном веб-сайте. На следующем снимке экрана показан запрос в Microsoft Edge, позволяющий пользователю использовать защищенное содержимое на неутвержденном веб-сайте.

Настройка политик для поддержки WIP

Для использования WIP в Microsoft Edge требуется рабочий профиль.

Убедитесь в наличии рабочего профиля

На компьютерах с гибридным присоединением вход в Microsoft Edge автоматически выполняется с помощью учетной записи Azure Active Directory (Azure AD). Чтобы убедиться, что пользователи не смогут удалить профиль, необходимый для WIP, настройте следующую политику:

Если в вашей среде отсутствует гибридное присоединение, вы можете реализовать его с помощью инструкций, приведенных в статье Планирование реализации гибридного присоединения к Azure Active Directory.

Если гибридное присоединение невозможно, можно использовать локальные учетные записи Active Directory, чтобы разрешить Microsoft Edge автоматически создавать специальный рабочий профиль с помощью учетных записей доменов пользователей. Обратите внимание, что локальным учетным записям могут присваиваться не все функции Azure AD, такие как облачная синхронизация, Office NTP и т. д.

Учетные записи Active Directory (AD)

Чтобы в Microsoft Edge автоматически создавался специальный рабочий профиль, необходимо настроить следующую политику для учетных записей AD:

Политики Windows для WIP

WIP можно настроить с помощью политик Windows. Дополнительные сведения см. в статье Создание и развертывание политик WIP с помощью Microsoft Intune

Вопросы и ответы

Как устранить ошибку с кодом 2147024540?

Этот код ошибки соответствует следующей ошибке Windows Information Protection: ERROR_EDP_POLICY_DENIES_OPERATION: запрошенная операция была заблокирована политикой Windows Information Protection. Для получения дополнительных сведений обратитесь к системному администратору.

Эта ошибка возникает в Microsoft Edge в том случае, если в организации включена система Windows Information Protection (WIP) с целью разрешить доступ к корпоративным ресурсам только пользователям с утвержденными приложениями. В этом случае, поскольку Microsoft Edge нет в списке утвержденных приложений, администратору необходимо обновить политики WIP, чтобы предоставить доступ к Microsoft Edge.

На приведенном ниже снимке экрана отображено, как использовать Microsoft Intune, чтобы добавить Microsoft Edge в качестве разрешенного приложения для WIP.

Если вы не используете Microsoft Intune, скачайте и примените обновление политики в файле WIP Enterprise AppLocker Policy.