Windows信息保护장치정책
이전의EDP(엔터프라이즈데이터보호)인WIP (Windows信息保护)는엔터프라이즈데이터의잠재적유출을차단하는Windows기술입니다。데이터유출은엔터프라이즈에서보호되지않는앱,앱간또는조직네트워크외부로엔터프라이즈데이터를공유하는과정에서발생할수있습니다。자세한내용은使用Windows Information Protection (WIP)保护您的企业数据(WIP(Windows Information Protection)를사용하여엔터프라이즈데이터보호)를참조하십시오。
XenMobile에서장치정책을생성하여설정한적용수준Windows信息保护의이필요한앱을지정할수있습니다。Windows信息保护정책은감독되는Windows 10또는Windows 11실행태블릿및데스크톱에적용됩니다。
XenMobile에는자주사용되는앱몇가지가포함되어있으며다른앱도추가할수있습니다。사용자환경에영향을미치는정책적용수준을지정할수있습니다。예를들어다음을수행할수있습니다。
부적절한데이터공유차단
부적절한데이터공유에대해경고하고사용자가정책을재정의할수있도록허용
부적절한데이터공유를로깅하고허용하는동안wip를자동으로실행
Windows信息保护에서앱을제외하려면Microsoft AppLocker XML파일에서앱을정의한다음이파일을XenMobile로가져옵니다。
이정책을추가하거나구성하려면구성>장치정책으로이동합니다。자세한내용은장치 정책을참조하십시오。
Windows 10및Windows 11설정
데스크톱앱(Windows 10또는Windows 11태블릿),스토어 앱(Windows 10및11태블릿):XenMobile에는위의샘플처럼몇가지자주사용되는앱이포함되어있습니다。필요에따라이러한앱을편집하거나제거할수있습니다。
다른앱을추가하려면:데스크톱앱또는스토어 앱테이블에서추가를클릭하고앱정보를제공합니다。
허용되는앱은엔터프라이즈데이터를읽고,만들고,업데이트할수있습니다。거부되는앱은엔터프라이즈데이터에액세스할수없습니다。예외앱은엔터프라이즈데이터를읽을수있지만데이터를만들거나수정할수는없습니다。
AppLocker XML:微软는WIP와호환성문제가있는것으로알려진微软앱의목록을제공합니다。이러한앱을wip에서제외하려면찾아보기를클릭하고목록을업로드합니다。XenMobile은업로드된AppLocker XML과구성된데스크톱및스토어앱을장치로전송된정책에서결합합니다。자세한내용은Windows信息保护에대한권장거부목록을참조하십시오。
적용수준:Windows信息保护이데이터공유를보호하고관리할방식을지정하는옵션을선택합니다。기본값은꺼짐입니다。
0-꺼짐:Wip가꺼지며데이터를보호또는감사하지않습니다。
1-무음:Wip가자동으로실행되면서부적절한데이터공유를기록하고아무것도차단하지않습니다。CSP보고를통해로그에액세스할수있습니다。
2-재정의:Wip가잠재적으로안전하지않은데이터공유에대해사용자에게경고합니다。사용자는경고를재정의하고데이터를공유할수있습니다。이모드는사용자재정의를포함한작업을감사로그에기록합니다。
3-차단:Wip는사용자가안전하지않을수있는데이터공유를수행하는것을차단합니다。
보호되는도메인이름:엔터프라이즈가사용자id에사용하는도메인입니다。관리되는ID도메인의이목록은기본도메인과함께관리엔터프라이즈의ID를구성합니다。목록에서첫번째도메인은Windows用户界面에사용되는기본회사ID입니다。“|”를사용하여목록항목을구분합니다。예:
domain1.com | domain2.com데이터복구인증서:찾아보기를클릭한다음암호화된파일의데이터복구에사용할복구인증서를선택합니다。이인증서는그룹정책이아니라MDM을통해배달된다는점이외에는EFS(암호화파일시스템)에대한半径标注(데이터복구에이전트)와동일합니다。복구인증서를사용할수없는경우새로만듭니다。자세한내용은이섹션의"데이터복구인증서만들기"를참조하십시오。
네트워크도메인이름:엔터프라이즈의경계를구성하는도메인의목록입니다。Wip는목록의정규화된도메인에대한모든트래픽을보호합니다。이 설정은IP범위설정과함께사용되어네트워크끝점이엔터프라이즈인지아니면사설망의개인인지를감지합니다。쉼표를사용하여목록항목을구분합니다。예:corp.example.com, region.example.com
IP범위:엔터프라이즈네트워크의컴퓨터를정의하는엔터프라이즈IPv4및IPv6범위의목록입니다。Wip는이러한위치를엔터프라이즈데이터를공유해도안전한대상으로고려합니다。쉼표를사용하여목록항목을구분합니다。예:
10.0.0.0-10.255.255.255, 2001:4898:: 2001:4898:7fff:飞行符:飞行符:飞行符:飞行符:飞行符IP범위목록을신뢰할수있음:Windows에의한IP범위의자동감지를방지하려면이설정을켜짐으로변경합니다。기본값은꺼짐입니다。
프록시서버:엔터프라이즈가회사리소스에사용할수있는프록시서버의목록입니다。네트워크에서프록시를사용하는경우이설정이필요합니다。프록시서버가없으면프록시뒤에있는클라이언트가엔터프라이즈리소스를사용하지못할수있습니다。예를들어호텔및식당의특정WiFi핫스폿에서리소스를사용하지못할수있습니다。쉼표를사용하여목록항목을구분합니다。예:
proxy.example.com: 80; 157.54.11.118:443내부프록시서버:장치가클라우드리소스에연결하기위해통과하는프록시서버의목록입니다。이서버유형을사용하면,연결하는클라우드리소스가엔터프라이즈리소스임을나타냅니다。이목록에wip비보호트래픽에사용되는프록시서버설정의서버를포함하지마십시오。쉼표를사용하여목록항목을구분합니다。예:
example.internalproxy1.com; 10.147.80.50클라우드리소스:Wip로보호되는클라우드리소스의목록입니다。원하는경우각클라우드리소스에대해,이클라우드리소스에대한트래픽을라우팅할프록시서버목록의프록시서버를지정할수도있습니다。프록시서버를통해라우팅되는모든트래픽은엔터프라이즈트래픽으로취급됩니다。쉼표를사용하여목록항목을구분합니다。예:
domain1.com, InternalProxy.domain1.com, domain2.com, InternalProxy.domain2.com등록취소할때wip인증서해지:Windows信息保护에서등록취소될때사용자장치에서로컬암호화키를해지할지여부를지정합니다。암호화키가해지되면사용자는암호화된회사데이터에액세스할수없습니다。꺼짐인경우키가해지되지않으며사용자는등록취소후에도보호된파일에계속액세스할수있습니다。기본값은켜짐입니다。
오버레이아이콘표시:탐색기의회사파일및시작메뉴의엔터프라이즈전용앱타일에Windows信息保护아이콘오버레이를포함할지여부를지정합니다。기본값은꺼짐입니다。
데이터복구인증서만들기
Windows信息保护정책을사용하도록설정하려면데이터복구인증서가필요합니다。
XenMobile콘솔이실행되는컴퓨터에서명령프롬프트를열고인증서를만들려는폴더(Windows \ System32系统이외의폴더)로이동합니다。
다음명령을실행합니다。
密码/ r: ESFDRA메시지가나타나면개인키파일을보호하기위한암호를입력합니다。
암호화명령은.cer및.pfx파일을생성합니다。
XenMobile콘솔에서설정>인증서로이동하고Windows 10및11태블릿에적용되는. c파일을가져옵니다。
사용자환경
Windows信息保护이적용될때는앱과파일에다음아이콘이포함됩니다。
사용자가보호되는파일을보호되지않는위치로복사하거나저장할경우구성된적용수준에따라다음알림이나타납니다。
