Windows信息保护设备策略

Windows Information Protection (WIP)，以前被称为企业数据保护(EDP)，是一种Windows技术，防止企业数据的潜在泄漏。数据泄露可能发生在将企业数据共享给非企业保护的应用程序、应用程序之间或组织网络之外。有关更多信息，请参见使用Windows信息保护(WIP)保护您的企业数据．

您可以在端点管理中创建一个设备策略，以指定在您设置的强制级别上需要Windows信息保护的应用程序。Windows Information Protection策略适用于运行Windows 10(1607及以上版本)或Windows 11的话机、平板电脑和桌面。

端点管理包括一些常见的应用程序，你可以添加其他的。您可以为策略指定影响用户体验的强制级别。例如，你可以:

• 阻止任何不适当的数据共享。

• 警告不适当的数据共享，并允许用户覆盖策略。

• 在记录日志并允许不适当的数据共享时，以静默方式运行WIP。

为了将应用程序排除在Windows信息保护之外，在Microsoft AppLocker XML文件中定义应用程序，然后将这些文件导入端点管理。

要添加或配置此策略，请转到配置>设备策略．有关更多信息，请参见设备的政策．

Windows Phone和Windows Desktop/Tablet设置

• 桌面应用程序(Windows 10和Windows 11桌面)，存储应用程序(Windows 10手机，Windows 10和Windows 11平板电脑):端点管理包括一些常见的应用程序，如上例所示。你可以根据需要编辑或删除这些应用程序。

  添加其他应用程序:在桌面应用程序或存储应用程序表,点击添加并提供应用程序信息。

  允许应用程序可以读取、创建和更新企业数据。否认应用程序无法访问企业数据。免除应用程序可以读取企业数据，但不能创建或修改数据。

  注意:

  从Windows 11开始，微软提供记事本作为商店应用程序，而不是传统的桌面应用程序。为了使记事本在Windows 11设备上运行生效，需要将记事本从桌面应用程序表中删除，然后添加到商店应用程序表中。

  • AppLocker XML文件:微软提供了一个与WIP存在兼容性问题的微软应用程序列表。若要从WIP中排除这些应用程序，请单击浏览上传列表。端点管理将上传的AppLocker XML文件和配置的桌面和商店应用程序合并到发送到设备的策略中。有关更多信息，请参见Windows信息保护的推荐屏蔽列表．

  • 执法水平:选择一个选项以指定“Windows信息保护”保护和管理数据共享的方式。默认为从．

    • 0-Off:WIP处于关闭状态，不能保护或审核数据。

    • 1-Silent:WIP静默运行，记录不适当的数据共享，并且不会阻塞任何事情。您可以通过CSP的报告．

    • 2-Override:WIP警告用户可能不安全的数据共享。用户可以覆盖警告并共享数据。此模式将操作(包括用户重写)记录到审计日志中。

    • 3-Block:WIP阻止用户完成可能不安全的数据共享。

  • 保护域名:您的企业用于其用户身份的域。这个受管理标识域列表与主要域一起构成了管理企业的标识。列表中的第一个域是Windows UI中使用的主要企业标识。使用管道(|)分隔列表项。例如:domain1.com | domain2.com

  • 数据恢复证书:点击浏览然后选择一个恢复证书用于恢复加密文件的数据。该证书与EFS (encryption file system)的DRA (data recovery agent)证书相同，只是通过MDM下发，不通过Group Policy下发。如果恢复证书不可用，请创建它。详细信息请参见本节的“创建数据恢复证书”。

  • 网络域名:组成企业边界的域列表。WIP保护到此列表中完全限定域的所有通信流。这个设置，带有IP范围设置，检测网络端点是企业内网还是个人内网。使用逗号分隔列表项。例如:corp.example.com, region.example.com

  • IP范围:企业IPv4和IPv6范围列表，用于定义企业网络内的计算机。WIP认为这些位置是企业数据共享的安全目的地。使用逗号分隔列表项。例如:

    10.0.0.0-10.255.255.255, 2001:4898:: 2001:4898:7fff:飞行符:飞行符:飞行符:飞行符:飞行符

  • 自动检测IP范围:如果在，防止Windows自动检测IP范围。默认为从．

  • 代理服务器:企业可以用于企业资源的代理服务器列表。如果在网络中使用代理，则需要此设置。如果没有代理服务器，当客户端位于代理后面时，企业资源可能不可用。例如，酒店和餐厅的某些Wi-Fi热点可能无法使用资源。列表项之间用“;”隔开。例如:

    proxy.example.com: 80; 157.54.11.118:443

  • 内部代理服务器:您的设备通过代理服务器到达您的云资源的列表。使用这种服务器类型表明您连接到的云资源是企业资源。控件中的任何服务器都不要包含在此列表中代理服务器设置，用于非wip保护的流量。列表项之间用“;”隔开。例如:

    example.internalproxy1.com; 10.147.80.50

  • 云资源:受WIP保护的云资源列表。对于每个云资源，您还可以选择在代理服务器列表以路由此云资源的流量。所有流量都通过代理服务器被视为企业流量。使用管道(|)分隔列表项。例如:

    domain1.com: InternalProxy.domain1.com | domain2.com: InternalProxy.domain2.com

  • 锁下保护:仅限Windows 10手机。如果在，密码设备策略也是必需的。否则，部署Windows信息保护策略将失败。此外，如果这个政策是在,设置保护锁出现了。默认是从．

  • 保护锁:仅限Windows 10手机。指定是否使用受锁定设备上员工PIN保护的密钥加密企业数据。应用程序无法读取锁定设备上的企业数据。默认为在．

  • 注销时撤销WIP证书:指定当用户设备从Windows信息保护中注销时，是否撤销该设备上的本地加密密钥。加密密钥被撤销后，用户将无法访问加密的企业数据。如果从，密钥不会被撤销，用户退出注册后仍然可以访问受保护的文件。默认为在．

  • 显示重叠图标:指定是否在资源管理器中包括企业文件的Windows信息保护图标叠加，以及在开始菜单中是否包括企业应用程序磁贴片。默认为从．

制作数据恢复证书

需要使用数据恢复证书才能启用Windows信息保护政策。

1. 在运行端点管理控制台的机器上，打开命令提示符并导航到您希望在其中创建证书的文件夹(Windows\System32除外)。

2. 运行这个命令:

   密码/ r: ESFDRA

3. 当出现提示时，输入密码以保护私钥文件。

   cipher命令创建一个.cer和一个.pfx文件。

4. 在Endpoint Management控制台中，转到设置>证书并导入。cer文件，该文件适用于Windows 10和Windows 11平板电脑和Windows 10手机。

用户体验

当“Windows Information Protection”生效时，应用程序和文件中有一个图标:

如果用户将受保护的文件复制或保存到不受保护的位置，则会出现以下通知，具体取决于配置的实施级别。