Компании поощряют единое устройство как для организационного, так и для личного использования. Это может быть Bring your Own Device (BYOD) или компании, предоставляющие устройства как для личного, так и для корпоративного использования. Между ними пользователи этих устройств будут хранить как данные предприятия, так и личные данные на одном устройстве. Помимо этого, существуют приложения для компаний, одобренные компанией приложения, а также личные приложения, которые пользователь может загрузить для своего использования и развлечений.

В таких обстоятельствах становится необходимо, чтобы предприятия безопасно управляли своими данными и приложениями без испортив пользовательский опыт для сотрудников. Слишком много ограничений безопасности, запрещающих пользователям загружать приложения для личного использования, может отключить сотрудника. Windows 10 предлагает способ, который поддерживает как администраторов, так и сотрудников. В этой статье проверяется защита корпоративных данных в Windows 10.

Защита корпоративных данных (EDP) в Windows 10

Это имя модуля, который защищает данные предприятия от непреднамеренного или злонамеренного использования. Прежде всего, это правильное шифрование, так что даже если данные просочились или были скомпрометированы, данные остаются в безопасности, поскольку другие не могут его декодировать. Модуль EDP ​​идентифицирует корпоративные и персональные приложения и позволяет сотрудникам одновременно использовать их одновременно без использования.

Модуль EDP ​​позволяет одновременно отображать как личные, так и корпоративные приложения на одном экране. Например. приложение Outlook для проверки личной почты, а также почты компании. Это всего лишь один пример. Защита корпоративных данных в Windows 10 может выполнять гораздо больше:

1. Идентификация и отдельная обработка корпоративных и личных данных
2. Защита данных для существующих корпоративных приложений без необходимости обновлять приложения время от времени;
3. Удаленная очистка корпоративные данные, не влияющие на персональные данные
4. Аудит отчетов об использовании и отслеживании приложений по целому ряду проблем, включая утечку данных
5. EDP интегрируется с вашей существующей системой, чтобы сэкономить время и усилия на предоставлении прав доступа пользователей и других функций.

Единственным предварительным условием использования EDP в Windows 10 является то, что у вас должен быть Windows Intune, System Center 2012 Configuration Manager или ваше собственное решение для управления мобильными устройствами (MDM).

Как помочь EDP в Windows 10

Возможно, у вас есть представление о защите корпоративных данных в Windows 10 .

Я перечисляю некоторые важные моменты модуля:

1. Шифровать данные, хранящиеся на предприятиях на устройствах используемых сотрудниками — будь то BYOD или предоставленные компанией устройства
2. Удаленное удаление корпоративных данных, не затрагивая личные данные сотрудников, чтобы сотрудники не стали жаловаться
3. Назначить приложения как привилегированные, чтобы только те приложения могли получать доступ к корпоративным данным, даже если устройство переносит многие другие приложения, принадлежащие сотрудникам; это также означает, что частным приложениям сотрудников будет отказано в доступе к корпоративным данным, чтобы было безопасно
4. Пользователям или сотрудникам не нужно переключаться между учетными данными организации и личными учетными данными для работы на устройствах; они могут одновременно использовать как корпоративные, так и личные приложения

Опыт сотрудников будет расширен, поскольку им не придется переключаться между корпоративными и персональными входами. Если персональный документ отмечен как корпоративный, из-за ошибки, сотрудник может инициировать процесс, требующий его возврата (с использованием метода аудита).

Корпоративные данные защищены даже на принадлежащих сотрудникам устройствах. Если сотрудник отмечает новый документ как относящийся к работе, он автоматически защищается как данные предприятия. Когда сотрудники покидают организацию или переходят в другой отдел, вы можете удаленно стереть все следы корпоративных данных на своем устройстве — не затрагивая их личные данные. Это гарантирует, что они не могут злоупотреблять корпоративными данными.

Более того, копирование данных предприятия на другие устройства делает шифрование, поэтому, даже если оно попадает в неправильные руки, данные остаются защищенными. Это может предотвратить случайную или преднамеренную утечку данных предприятия.

Вы можете отмечать приложения как связанные с предприятием. Таким образом, только отмеченные приложения получат доступ к корпоративным данным в соответствии с политиками пользователей. Личные приложения никогда не смогут просматривать данные предприятия, сохраняя при этом безопасность.

Наконец — всегда есть возможность отключить защиту корпоративных данных в Windows 10, хотя это не рекомендуется. Если вы это сделаете, тогда, когда вы вернете его снова, вам придется снова настроить политики и расшифровать. Однако данные не будут затронуты, поскольку он остается зашифрованным, даже если EDP выключен и, следовательно, будет в безопасности.

EDP предлагает четыре уровня защиты: блокировать, переопределять, проверять и выкл. Он также поддерживает шифрование каждого файла на SD-картах вместе с политикой шифрования устройства. Вы можете узнать больше об этой новой функции в TechNet.

Теперь возьмите добычу за то, как Device Management будет работать в Windows 10 .

Windows Information Protection (WIP) Windows Information Protection (WIP)

Примечание. Политика Windows Information Protection (WIP) может применяться в Windows 10 версии 1607. Note Windows Information Protection (WIP) policy can be applied to Windows 10, version 1607.

WIP защищает данные, принадлежащие организации, путем применения политик, которые определены этой организацией. WIP protects data that belongs to an organization by enforcing policies that are defined by the organization. Если ваше приложение включено в эти политики, на все данные, созданные вашим приложением, распространяются ограничения политики. If your app is included in those polices, all data produced by your app is subject to policy restrictions. Этот раздел поможет вам создавать приложения, которые более аккуратно обеспечивают принудительное применение этих политик без воздействия на персональные данные пользователя. This topic helps you to build apps that more gracefully enforce these policies without having any impact on the user’s personal data.

Во-первых, что такое WIP? First, what is WIP?

WIP — это набор функций для настольных компьютеров, ноутбуков, планшетов и телефонов, поддерживающих систему управления мобильными устройствами (MDM) и систему управления мобильными приложениями (MAM) в организации. WIP is a set of features on desktops, laptops, tablets, and phones that support the organization’s Mobile Device Management (MDM) and Mobile Application Management (MAM) system.

WIP вместе с MDM предоставляет организации больше контроля над обработкой данных на устройствах, которыми организация управляет. WIP together with MDM gives the organization greater control over how its data is handled on devices that the organization manages. Иногда пользователи приносят устройства на работу и не регистрируют их в системе MDM организации. Sometimes users bring devices to work and do not enroll them in the organization’s MDM. В этих случаях организации могут использовать MAM, чтобы более полно контролировать работу с данными организации в определенных бизнес-приложениях, которые пользователи устанавливают на устройстве. In those cases, organizations can use MAM to achieve greater control over how their data is handled on specific line of business apps that users install on their device.

Используя MDM или MAM, администраторы могут определять, каким приложениям разрешено получать доступ к принадлежащим организации файлам и могут ли пользователи копировать данные из этих файлов и затем вставлять их в личные документы. using MDM or MAM, administrators can identify which apps are allowed to access files that belong to the organization and whether users can copy data from those files and then paste that data into personal documents.

Вот как это работает. Here’s how it works. Пользователи регистрируют свои устройства в системе управления мобильными устройствами (MDM) организации. Users enroll their devices into the organization’s mobile device management (MDM) system. Администратор в управляющей организации использует Microsoft Intune или System Center Configuration Manager (SCCM) для определения и последующего разворачивания политики на зарегистрированных устройствах. An administrator in the managing organization uses Microsoft Intune or System Center Configuration Manager (SCCM) to define and then deploy a policy to the enrolled devices.

Если пользователи не обязаны регистрировать свои устройства, администраторы воспользуются системой MAM, чтобы определить и развернуть политику, которая действует в отношении конкретных приложений. If users aren’t required to enroll their devices, administrators will use their MAM system to define and deploy a policy that applies to specific apps. При установке любого из этих приложений пользователями, последние получают соответствующую политику. When users install any of those apps, they’ll receive the associated policy.

Эта политика определяет, какие приложения могут получать доступ к корпоративным данным ( список разрешенных для политики). That policy identifies the apps that can access enterprise data (called the policy’s allowed list ). Эти приложения могут получать доступ к корпоративным защищенным файлам, виртуальным частным сетям (VPN) и корпоративным данным в буфере обмена или с помощью контракта на отправку данных. These apps can access enterprise protected files, Virtual Private Networks (VPN) and enterprise data on the clipboard or through a share contract. Эта политика также определяет правила, которые распространяются на данные. The policy also defines the rules that govern the data. Например, могут ли данные быть скопированы из принадлежащих организации файлов и с последующей вставкой в файлы, не принадлежащие ей. For example, whether data can be copied from enterprise-owned files and then pasted into non enterprise-owned files.

Если пользователи отменяют регистрацию своего устройства в системе MDM организации или удаляют приложения, идентифицированные системой MAM организации, администратор может удаленно очистить корпоративные данные на устройстве. If users unenroll their device from the organization’s MDM system, or uninstall apps identified by the organizations MAM system, administrators can remotely wipe enterprise data from the device.

Подробнее о WIP Read more about WIP

Если ваше приложение входит в список разрешенных, на все данные, созданные вашим приложением, распространяются ограничения политики. If your app is on the allowed list, all data produced by your app is subject to policy restrictions. Это означает, что если администраторы отзовут у пользователей права доступа к корпоративным данным, эти пользователи потеряют доступ ко всем данным, созданным в приложении. That means that if administrators revoke the user’s access to enterprise data, those users lose access to all of the data that your app produced.

Это нормально, если ваше приложение предназначено только для корпоративного использования. This is fine if your app is designed only for enterprise use. Однако если ваше приложение создает данные, которые пользователи считают персональными, вам необходимо будет обучить свое приложение тому, как правильно различать корпоративные и персональные данные. But if your app creates data that users consider personal to them, you’ll want to enlighten your app to intelligently discern between enterprise and personal data. Мы называем такие приложения корпоративно-грамотными , поскольку они могут аккуратно применять корпоративную политику, не нарушая целостность персональных данных пользователя. We call this type of an app enterprise-enlightened because it can gracefully enforce enterprise policy while preserving the integrity of the user’s personal data.

Создание корпоративно-грамотного приложения Create an enterprise-enlightened app

Используйте интерфейсы API WIP для обучения своего приложения и затем объявите, что ваше приложение является корпоративно-грамотным. Use WIP APIs to enlighten your app, and then declare your app as enterprise-enlightened.

Обучите свое приложение, если оно будет использоваться как для корпоративных, так и для личных целей. Enlighten your app if it’ll be used for both organizational and personal purposes.

Обучите свое приложение, если вы хотите аккуратно реализовывать принудительное применение элементов политики. Enlighten your app if you want to gracefully handle the enforcement of policy elements.

Например, если политика позволяет пользователям вставлять корпоративные данные в личные документы, можно предотвратить показ пользователям диалогового окна с запросом согласия перед вставкой данных. For example, if policy allows users to paste enterprise data into a personal document, you can prevent users from having to respond to a consent dialog before they paste the data. Аналогичным образом можно отображать собственные диалоговые окна в ответ на события такого рода. Similarly, you can present custom informational dialog boxes in response to these sorts of events.

Если вы готовы обучить свое приложение, ознакомьтесь с каким-либо из указанных ниже руководств. If you’re ready to enlighten your app, see one of these guides:

Для приложений универсальная платформа Windows (UWP), построенных с помощью C # For Universal Windows Platform (UWP) apps that you build by using C#

Для классических приложений, создаваемых на C++ For Desktop apps that you build by using C++

Создание корпоративного приложения, не поддерживающего корпоративную безопасность Create non-enlightened enterprise app

Если вы создаете бизнес-приложение, не предназначенное для личного пользователя, добавлять в него функции корпоративной безопасности, скорее всего, не потребуется. if you’re creating an Line of Business (LOB) app that is not intended for personal use, you might not have to enlighten it.

Классические приложения для Windows Windows desktop apps

Нет необходимости добавлять функции корпоративной безопасности в классическое приложение для Windows, однако необходимо протестировать его, чтобы убедиться в корректной работе приложения в рамках политики. You don’t need to enlighten a Windows desktop app but you should test your app to ensure that it functions properly under policy. Например, запустите свое приложение, выполните в нем какие-нибудь действия, а затем отмените регистрацию устройства в MDM. For example, start your app, use it, then unenroll the device from MDM. Убедитесь, что приложение может быть запущено после этого. Then, make sure the app can start again. Если файлы, необходимые для работы приложения, зашифрованы, приложение, возможно, не запустится. If files critical to the operation of the app are encrypted, the app might not start. Изучите файлы, с которым взаимодействует ваше приложение, чтобы убедиться, что приложение случайно не зашифрует личные файлы пользователя. Also, review the files that your app interacts with to ensure that your app won’t inadvertently encrypt files that are personal to the user. Сюда могут относиться файлы метаданных, изображения и другие объекты. This might include metadata files, images and other things.

Протестировав приложение, добавьте этот флаг в файл ресурсов или свой проект, а затем повторите компиляцию приложения. After you’ve tested your app, add this flag to the resource file or your project, and then recompile the app.

Политики MDM, в отличие от политик MAM, не требуют этого флага. While MDM policies don’t require the flag, MAM policies do.

Приложения UWP UWP apps

Если вы планируете включить ваше приложение в политику MAM, необходимо добавить в него корпоративные функции безопасности. If you expect your app to be included in a MAM policy, you should enlighten it. Политики, развернутые на устройствах в рамках политики MDM, не требуют этого, однако если приложение предоставляется корпоративным клиентам, определить, какой тип системы управления политиками будет использован, сложно, если не невозможно. Policies deployed to devices under MDM won’t require it, but if you distribute your app to organizational consumers, it’s difficult if not impossible to determine what type of policy management system they’ll use. Чтобы убедиться, что приложение будет работать в обеих системах управления политиками (MDM и MAM), необходимо добавить в него функции корпоративной безопасности. To ensure that your app will work in both types of policy management systems (MDM and MAM), you should enlighten your app.