Erstellen und Bereitstellen einer Windows Information Protection-Richtlinie (WIP) mit Intune

Hinweis

Microsoft Intune hat zukünftige Investitionen in die Verwaltung und Bereitstellung von Windows Information Protection eingestellt.

Die Unterstützung für das Windows Information Protection-Szenario ohne Registrierung in Microsoft Intune wurde entfernt.

Weitere Informationen finden Sie unter Supportende für Windows Information Protection.

Informationen zu Intune MAM unter Windows finden Sie unter MAM für Windows und App-Schutzrichtlinieneinstellungen für Windows.

Sie können Windows Information Protection-Richtlinien (WIP) mit Windows 10-Apps verwenden, um Apps ohne Geräteregistrierung zu schützen.

Bevor Sie beginnen

Sie müssen einige Konzepte verstehen, wenn Sie eine WIP-Richtlinie hinzufügen:

Liste der zulässigen und ausgenommenen Apps

  • Geschützte Apps: Diese Apps sind die Apps, die diese Richtlinie einhalten müssen.

  • Ausgenommene Apps: Diese Apps sind von dieser Richtlinie ausgenommen und können ohne Einschränkungen auf Unternehmensdaten zugreifen.

Typen von Apps

  • Empfohlene Apps: Eine vorab aufgefüllte Liste von Apps (hauptsächlich Microsoft 365 (Office)), mit denen Sie problemlos in die Richtlinie importieren können.
  • Store-Apps: Sie können der Richtlinie eine beliebige App aus dem Windows Store hinzufügen.
  • Windows-Desktop-Apps: Sie können der Richtlinie beliebige herkömmliche Windows-Desktop-Apps hinzufügen (z. B. .exe, .dll).

Voraussetzungen

Sie müssen den MAM-Anbieter konfigurieren, bevor Sie eine WIP-Richtlinie erstellen können. Erfahren Sie mehr über das Konfigurieren Ihres MAM-Anbieters mit Intune.

Wichtig

WIP unterstützt keine mehrfache Identität, es kann immer nur eine verwaltete Identität vorhanden sein. Weitere Informationen zu den Funktionen und Einschränkungen von WIP finden Sie unter Schützen Ihrer Unternehmensdaten mithilfe von Windows Information Protection (WIP).

Darüber hinaus benötigen Sie die folgende Lizenz und ein Update:

So fügen Sie eine WIP-Richtlinie hinzu

Nachdem Sie Intune in Ihrer Organisation eingerichtet haben, können Sie eine WIP-spezifische Richtlinie erstellen.

Wichtig

Windows Information Protection-Richtlinien (WIP) ohne Registrierung sind veraltet. Sie können keine WIP-Richtlinien für nicht registrierte Geräte mehr erstellen.

Tipp

Weitere Informationen zum Erstellen von WIP-Richtlinien für Intune, einschließlich der verfügbaren Einstellungen und deren Konfiguration, finden Sie unter Erstellen einer Windows Information Protection-Richtlinie (WIP) mit MAM über das Portal für Microsoft Intune in der Windows-Sicherheitsdokumentationsbibliothek.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.
  2. Wählen Sie Apps>App-Schutzrichtlinien>Richtlinie erstellen aus.
  3. Fügen Sie die folgenden Werte hinzu:
    • Name: Geben Sie einen Namen (erforderlich) für Ihre neue Richtlinie ein.
    • Beschreibung: (Optional) Geben Sie eine Beschreibung ein.
    • Bahnsteig: Wählen Sie Windows 10 als unterstützte Plattform für Ihre WIP-Richtlinie aus.
    • Registrierungsstatus: Wählen Sie Ohne Registrierung als Registrierungsstatus für Ihre Richtlinie aus.
  4. Wählen Sie Erstellen. Die Richtlinie wird erstellt und in der Tabelle im Bereich App-Schutzrichtlinien angezeigt.
  1. Melden Sie sich beim Microsoft Intune Admin Center an.
  2. Wählen Sie Apps>App-Schutzrichtlinien aus.
  3. Wählen Sie im Bereich App-Schutzrichtlinien die Richtlinie aus, die Sie ändern möchten. Der Bereich Intune-App-Schutz wird angezeigt.
  4. Wählen Sie im Bereich Intune-App-Schutzdie Option Geschützte Apps aus. Der Bereich Geschützte Apps wird geöffnet, in dem alle Apps angezeigt werden, die bereits in der Liste für diese App-Schutzrichtlinie enthalten sind.
  5. Wählen Sie Apps hinzufügen aus. Unter Informationen zum Hinzufügen von Apps wird eine gefilterte Liste von Apps angezeigt. Mit der Liste oben im Bereich können Sie den Listenfilter ändern.
  6. Wählen Sie jede App aus, für die Sie den Zugriff auf Ihre Unternehmensdaten zulassen möchten.
  7. Klicken Sie auf OK. Der Bereich Geschützte Apps wird aktualisiert und zeigt alle ausgewählten Apps an.
  8. Klicken Sie auf Speichern.

Hinzufügen einer Store-App zu Ihrer Liste geschützter Apps

So fügen Sie eine Store-App hinzu

  1. Melden Sie sich beim Microsoft Intune Admin Center an.
  2. Wählen Sie Apps>App-Schutzrichtlinien aus.
  3. Wählen Sie im Bereich App-Schutzrichtlinien die Richtlinie aus, die Sie ändern möchten. Der Bereich Intune-App-Schutz wird angezeigt.
  4. Wählen Sie im Bereich Intune-App-Schutzdie Option Geschützte Apps aus. Der Bereich Geschützte Apps wird geöffnet, in dem alle Apps angezeigt werden, die bereits in der Liste für diese App-Schutzrichtlinie enthalten sind.
  5. Wählen Sie Apps hinzufügen aus. Unter Informationen zum Hinzufügen von Apps wird eine gefilterte Liste von Apps angezeigt. Mit der Liste oben im Bereich können Sie den Listenfilter ändern.
  6. Wählen Sie in der Liste Store-Apps aus.
  7. Geben Sie Werte für Name, Herausgeber, Produktname und Aktion ein. Stellen Sie sicher, dass Sie den Wert Aktion auf Zulassen festlegen, damit die App Zugriff auf Ihre Unternehmensdaten hat.
  8. Klicken Sie auf OK. Der Bereich Geschützte Apps wird aktualisiert und zeigt alle ausgewählten Apps an.
  9. Klicken Sie auf Speichern.

Hinzufügen einer Desktop-App zu Ihrer Liste geschützter Apps

So fügen Sie eine Desktop-App hinzu

  1. Melden Sie sich beim Microsoft Intune Admin Center an.
  2. Wählen Sie Apps>App-Schutzrichtlinien aus.
  3. Wählen Sie im Bereich App-Schutzrichtlinien die Richtlinie aus, die Sie ändern möchten. Der Bereich Intune-App-Schutz wird angezeigt.
  4. Wählen Sie im Bereich Intune-App-Schutzdie Option Geschützte Apps aus. Der Bereich Geschützte Apps wird geöffnet, in dem alle Apps angezeigt werden, die bereits in der Liste für diese App-Schutzrichtlinie enthalten sind.
  5. Wählen Sie Apps hinzufügen aus. Unter Informationen zum Hinzufügen von Apps wird eine gefilterte Liste von Apps angezeigt. Mit der Liste oben im Bereich können Sie den Listenfilter ändern.
  6. Wählen Sie in der Liste Desktop-Apps aus.
  7. Geben Sie Werte für Name, Herausgeber, Produktname, Datei, Mindestversion, Maximale Version und Aktion ein. Stellen Sie sicher, dass Sie den Wert Aktion auf Zulassen festlegen, damit die App Zugriff auf Ihre Unternehmensdaten hat.
  8. Klicken Sie auf OK. Der Bereich Geschützte Apps wird aktualisiert und zeigt alle ausgewählten Apps an.
  9. Klicken Sie auf Speichern.

WIP-Lernen

Nachdem Sie die Apps hinzugefügt haben, die Sie mit WIP schützen möchten, müssen Sie mithilfe von WIP Learning einen Schutzmodus anwenden.

Bevor Sie beginnen

WIP Learning ist ein Bericht, mit dem Sie Ihre WIP-fähigen Apps und WIP-unbekannten Apps überwachen können. Die unbekannten Apps werden nicht von der IT-Abteilung Ihrer Organisation bereitgestellt. Sie können diese Apps aus dem Bericht exportieren und ihren WIP-Richtlinien hinzufügen, um Produktivitätsunterbrechungen zu vermeiden, bevor sie WIP im "Blockieren"-Modus erzwingen.

Zusätzlich zur Anzeige von Informationen zu WIP-fähigen Apps können Sie auch eine Zusammenfassung der Geräte anzeigen, auf denen Arbeitsdaten für Websites freigegeben wurden. Mit diesen Informationen können Sie bestimmen, welche Websites zu Gruppen- und Benutzer-WIP-Richtlinien hinzugefügt werden sollen. Die Zusammenfassung zeigt, auf welche Website-URLs von WIP-fähigen Apps zugegriffen wird.

Bei der Arbeit mit WIP-fähigen Apps und WIP-unbekannten Apps empfiehlt es sich, mit "Unbeaufsichtigt" oder " Außerkraftsetzungen zulassen" zu beginnen und gleichzeitig mit einer kleinen Gruppe zu überprüfen, ob die richtigen Apps in der Liste der geschützten Apps enthalten sind. Nachdem Sie fertig sind, können Sie zu Ihrer endgültigen Erzwingungsrichtlinie , Blockieren, wechseln.

Welche Schutzmodi gibt es?

Blockieren

WIP sucht nach unangemessenen Methoden zur Datenfreigabe und hindert den Benutzer daran, die Aktion abzuschließen. Blockierte Aktionen können das Freigeben von Informationen für nicht unternehmensgeschützte Apps und die Freigabe von Unternehmensdaten für andere Personen und Geräte außerhalb Ihrer Organisation umfassen.

Außerkraftsetzungen zulassen

WIP sucht nach unangemessener Datenfreigabe und warnt Benutzer, wenn sie etwas tun, das als potenziell unsicher eingestuft wird. In diesem Modus kann der Benutzer jedoch die Richtlinie außer Kraft setzen und die Daten freigeben, wobei die Aktion in Ihrem Überwachungsprotokoll protokolliert wird.

Automatisch

WIP wird im Hintergrund ausgeführt und protokolliert unangemessene Datenfreigaben, ohne alles zu blockieren, was im Modus Außerkraftsetzung zulassen zur Interaktion der Mitarbeiter aufgefordert worden wäre. Nicht zulässige Aktionen, z. B. Apps, die unangemessen versuchen, auf eine Netzwerkressource oder WIP-geschützte Daten zuzugreifen, werden weiterhin beendet.

WIP ist deaktiviert und hilft nicht, Ihre Daten zu schützen oder zu überwachen.

Nachdem Sie WIP deaktiviert haben, wird versucht, alle MIT WIP markierten Dateien auf den lokal angefügten Laufwerken zu entschlüsseln. Beachten Sie, dass vorherige Entschlüsselungs- und Richtlinieninformationen nicht automatisch erneut angewendet werden, wenn Sie den WIP-Schutz wieder aktivieren.

Hinzufügen eines Schutzmodus

  1. Wählen Sie im Bereich App-Richtlinie den Namen Ihrer Richtlinie und dann Erforderliche Einstellungen aus.

    Screenshot des Bereichs

  2. Wählen Sie eine Einstellung und dann Speichern aus.

Windows Search Indexer das Durchsuchen verschlüsselter Elemente erlauben

Erlaubt oder lässt die Indizierung von Elementen nicht zu. Dieser Schalter gilt für den Windows Search-Indexer, der steuert, ob verschlüsselte Elemente wie die durch Windows Information Protection (WIP) geschützten Dateien indiziert werden.

Diese App-Schutzrichtlinienoption befindet sich in den erweiterten Einstellungen der Windows Information Protection-Richtlinie. Die App-Schutzrichtlinie muss auf die Windows 10-Plattform festgelegt werden, und der Registrierungsstatus der App-Richtlinie muss auf With enrollment (Mit Registrierung) festgelegt werden.

Wenn die Richtlinie aktiviert ist, werden WIP-geschützte Elemente indiziert, und die Metadaten zu ihnen werden an einem unverschlüsselten Speicherort gespeichert. Die Metadaten enthalten Elemente wie Dateipfad und Änderungsdatum.

Wenn die Richtlinie deaktiviert ist, werden die WIP-geschützten Elemente nicht indiziert und werden nicht in den Ergebnissen in Cortana oder im Datei-Explorer angezeigt. Es kann sich auch auf die Leistung von Fotos und Groove-Apps auswirken, wenn viele WIP-geschützte Mediendateien auf dem Gerät vorhanden sind.

Hinweis

Microsoft hat die eigenständige Windows Cortana-App als veraltet gekennzeichnet. Der Cortana-Produktivitäts-Assistent ist weiterhin verfügbar. Weitere Informationen zu veralteten Features auf dem Windows-Client finden Sie unter Veraltete Features für den Windows-Client.

Hinzufügen verschlüsselter Dateierweiterungen

Zusätzlich zum Festlegen der Option Windows Search Indexer das Durchsuchen verschlüsselter Elemente erlauben , können Sie eine Liste von Dateierweiterungen angeben. Dateien mit diesen Erweiterungen werden beim Kopieren aus einer SMB-Freigabe (Server Message Block) innerhalb der Unternehmensgrenze verschlüsselt, wie in der Netzwerkspeicherortliste definiert. Wenn diese Richtlinie nicht angegeben ist, wird das vorhandene Verhalten für die automatische Verschlüsselung angewendet. Wenn diese Richtlinie konfiguriert ist, werden nur Dateien mit den Erweiterungen in der Liste verschlüsselt.

Bereitstellen ihrer WIP-App-Schutzrichtlinie

Wichtig

Diese Informationen gelten für WIP ohne Geräteregistrierung.

Nachdem Sie Ihre WIP-App-Schutzrichtlinie erstellt haben, müssen Sie sie mithilfe von MAM in Ihrer Organisation bereitstellen.

  1. Wählen Sie im Bereich App-Richtlinie ihre neu erstellte App-Schutzrichtlinie aus, und wählen Sie Benutzergruppen>Benutzergruppe hinzufügen aus.

    Eine Liste von Benutzergruppen, die aus allen Sicherheitsgruppen in Ihrer Microsoft Entra-ID besteht, wird im Bereich Benutzergruppe hinzufügen geöffnet.

  2. Wählen Sie die Gruppe aus, auf die Ihre Richtlinie angewendet werden soll, und wählen Sie dann Auswählen aus, um die Richtlinie bereitzustellen.

Nächste Schritte

Weitere Informationen zu Windows Information Protection finden Sie unter Schützen Ihrer Unternehmensdaten mithilfe von Windows Information Protection (WIP).