Поделиться через

Ограничения при использовании Windows Information Protection (WIP)

  • Статья

Относится к:

  • Windows 10
  • Windows 11

В следующем списке приведены сведения о наиболее распространенных проблемах, которые могут возникнуть при запуске Windows Information Protection в организации.

  • Ограничение. Корпоративные данные на USB-накопителях могут быть привязаны к устройству, на которое оно было защищено, в зависимости от конфигурации Azure RMS.

    • Как она отображается:

      • Если вы используете Azure RMS: прошедшие проверку подлинности пользователи могут открывать корпоративные данные на USB-накопителях на компьютерах под управлением Windows 10 версии 1703.
      • Если вы не используете Azure RMS: данные в новом расположении остаются зашифрованными, но становятся недоступными на других устройствах и для других пользователей. Например, файл невозможно открыть, или он открывается, но не содержит пригодного для чтения текста.

    • Обходной путь: обмен файлами с коллегами через корпоративные файловые серверы или корпоративные облачные расположения. Если данные необходимо предоставить через USB, сотрудники могут расшифровать защищенные файлы, но эта процедура будет проходить аудит.

      Мы настоятельно рекомендуем рассказывать сотрудникам о том, как можно ограничить или исключить необходимость этой расшифровки.

  • Ограничение. Прямой доступ несовместим с Windows Information Protection.

    • Как это выглядит. Прямой доступ может столкнуться с проблемами с тем, как Windows Information Protection принудительно применяет поведение приложения и перемещение данных из-за того, как WIP определяет, что является корпоративным сетевым ресурсом, а что не является.

    • Решение. Мы рекомендуем использовать VPN для клиентского доступа к ресурсам интрасети.

      Примечание.

      VPN является необязательным и не требуется Information Protection Windows.

  • Ограничение. Параметр NetworkIsolation групповая политика имеет приоритет над параметрами политики MDM.

    • Как это выглядит. Параметр NetworkIsolation групповая политика позволяет настроить параметры сети, которые также можно настроить с помощью MDM. WIP исходит из того, что эти политики настроены правильно.
    • Решение. Если для настройки параметров NetworkIsolation используется как групповая политика, так и MDM, необходимо убедиться, что эти же параметры развернуты в вашей организации с помощью групповая политика и MDM.

  • Ограничение. Кортана потенциально может разрешить утечку данных, если они есть в списке разрешенных приложений.

    • Как это выглядит. Если Кортана находится в списке разрешенных, некоторые файлы могут неожиданно зашифроваться после того, как сотрудник выполнит поиск с помощью Кортаны. Ваши сотрудники по-прежнему смогут использовать Кортану для поиска и отображения результатов по корпоративным документам и расположениям, но эти результаты могут быть отправлены в корпорацию Microsoft.

    • Решение. Не рекомендуется добавлять Кортану в список разрешенных приложений. Тем не менее, если вы хотите использовать Кортану и не возражаете против возможной передачи данных в Microsoft, можно сделать Кортану приложением без ограничений.

  • Ограничение. Information Protection Windows предназначен для использования одним пользователем на устройство.

    • Как это выглядит. У дополнительного пользователя на устройстве могут возникнуть проблемы с совместимостью приложений, когда незасвеченные приложения начинают автоматически шифроваться для всех пользователей. Кроме того, во время отмены регистрации может быть отозвано только содержимое первоначального зарегистрированного пользователя.
    • Обходной путь: на управляемое устройство приходится только один пользователь.
    • Если этот сценарий возникает, его можно устранить. После отключения защиты второй пользователь может снять защиту, изменив владельца файла. Несмотря на то, что защита имеется, файл остается доступным для пользователя.

  • Ограничение. Установщики, скопированные из общей сетевой папки предприятия, могут работать неправильно.

    • Как это выглядит. Приложение может не выполнить правильную установку, так как оно не может прочитать необходимый файл конфигурации или данных, например .cab или .xml файл, необходимый для установки, который был защищен действием копирования.
    • Обходной путь. Чтобы устранить эту проблему, вы можете:

      • Запустите установщик непосредственно из общей папки.

        ИЛИ

      • Расшифруйте локально скопированные файлы, необходимые для установки.

        ИЛИ

      • Пометьте общую папку с установочным носителем как "персональный". Для этого необходимо задать диапазоны IP-адресов предприятия в качестве полномочных , а затем исключить IP-адрес файлового сервера или поместить файловый сервер в список Корпоративный прокси-сервер.

  • Ограничение. Изменение основного корпоративного удостоверения не поддерживается.

    • Как это выглядит. Вы можете столкнуться с различными нестабильными процессами, включая, помимо прочего, сбои доступа к сети и файлам и потенциальное предоставление неправильного доступа.
    • Решение. Отключите Windows Information Protection для всех устройств перед изменением основного корпоративного удостоверения (первая запись в списке), перезапуском и, наконец, повторное развертывание.

  • Ограничение. Перенаправленные папки с Client-Side кэшированием несовместимы с Windows Information Protection.

  • Ограничение. Неуправляемое устройство может использовать протокол удаленного рабочего стола (RDP) для подключения к устройству, управляемому WIP.

    • Как она отображается:

      • Данные, скопированные с устройства, управляемого WIP, помечаются как Рабочие.
      • Данные, скопированные на устройство, управляемое WIP, не помечаются как рабочие.
      • Локальные рабочие данные, скопированные на устройство, управляемое WIP, остаются рабочими данными .
      • Рабочие данные, копируемые между двумя приложениями в одном сеансе, остаются ** данными.

    • Решение. Отключите RDP, чтобы запретить доступ, так как невозможно ограничить доступ только к устройствам, управляемым Windows Information Protection. По умолчанию протокол RDP отключен.

  • Ограничение. Вы не можете отправить корпоративный файл в личное расположение с помощью Microsoft Edge или Интернет-Обозреватель.

    • Как оно отображается: появится сообщение о том, что содержимое помечено как Рабочее , и пользователю не предоставляется возможность переопределить на Личное.
    • Обходной путь. Перед отправкой откройте проводник и измените владение файлом на Личный.

  • Ограничение. Элементы ActiveX следует использовать с осторожностью.

    • Как это выглядит. Веб-страницы, использующие элементы ActiveX, могут взаимодействовать с другими внешними процессами, которые не защищены с помощью Windows Information Protection.

    • Обходной путь. Рекомендуется перейти на Использование Microsoft Edge — более безопасного и безопасного браузера, который предотвращает использование элементов ActiveX. Мы также рекомендуем использовать Internet Explorer 11 только для бизнес-приложений, которым необходимы устаревшие технологии.

      Дополнительные сведения см. в разделе Блокирование устаревших элементов управления ActiveX.

  • Ограничение. Отказоустойчивая файловая система (ReFS) в настоящее время не поддерживается в windows Information Protection.

    • Как это выглядит. Попытка сохранить или передать файлы Windows Information Protection в ReFS завершится ошибкой.
    • Обходной путь: форматирование диска для NTFS или использование другого диска.

  • Ограничение. Windows Information Protection не включена, если для параметра MakeFolderAvailableOfflineDisabled для любой из следующих папок задано значение False:

    • AppDataRoaming
    • Рабочий стол
    • StartMenu
    • Документы
    • Изображения
    • Музыка
    • Видео
    • Избранное
    • Контакты
    • Загрузки
    • Ссылки
    • Поиски
    • SavedGames

    • Как это выглядит. Windows Information Protection не включена для сотрудников в вашей организации. При развертывании windows Information Protection с помощью Microsoft Configuration Manager 0x807c0008 возникает ошибка.

    • Решение. Не устанавливайте для параметра MakeFolderAvailableOfflineDisabledзначение False для любой из указанных папок. Этот параметр можно настроить, как описано в разделе Отключение автономных файлов в отдельных перенаправленных папках.

      Если в настоящее время вы используете перенаправленные папки, рекомендуется перейти на решение для синхронизации файлов, поддерживающее Information Protection Windows, например рабочие папки или OneDrive для бизнеса. Кроме того, если вы применяете перенаправленные папки после Information Protection Windows, возможно, вам не удастся открыть файлы в автономном режиме.

      Дополнительные сведения об этих потенциальных ошибках доступа см. в разделе Не удается открыть файлы в автономном режиме при использовании автономных файлов и Windows Information Protection.

  • Ограничение. Без регистрации устройств можно управлять только приложениями с поддержкой поддержки.

    • Как это выглядит. Если пользователь регистрирует устройство для управления мобильными приложениями (MAM) без регистрации устройства, управление будут осуществляться только просвещенные приложения. Это позволяет предотвратить непреднамеренное шифрование личных файлов незасвеченными приложениями.

      Незасвеченные приложения, которым требуется доступ к работе с помощью MAM, необходимо повторно скомпилировать как бизнес-приложения или управлять с помощью MDM с регистрацией устройств.

    • Обходной путь. Если необходимо управлять всеми приложениями, зарегистрируйте устройство для MDM.

  • Ограничение. По умолчанию файлы в каталоге Windows (%windir% или C:/Windows) не могут быть зашифрованы, так как к них должен получить доступ любой пользователь. Если файл в каталоге Windows шифруется одним пользователем, другие пользователи не смогут получить к нему доступ.

    • Как это выглядит. При любой попытке зашифровать файл в каталоге Windows будет возвращена ошибка "Отказано в доступе к файлу". Но если скопировать или перетащить зашифрованный файл в каталог Windows, он сохранит шифрование в честь намерения владельца.
    • Решение. Если необходимо сохранить зашифрованный файл в каталоге Windows, создайте и зашифруйте файл в другом каталоге и скопируйте его.

  • Ограничение. Записные книжки OneNote на OneDrive для бизнеса должны быть правильно настроены для работы с Windows Information Protection.

    • Как это выглядит. OneNote может столкнуться с ошибками при синхронизации записной книжки OneDrive для бизнеса и предложить изменить владение файлом на Личный. При попытке просмотреть записную книжку в OneNote Online в браузере отобразится сообщение об ошибке, и ее не удается просмотреть.

    • Обходной путь. Записные книжки OneNote, которые были скопированы в папку OneDrive для бизнеса из проводник, должны быть исправлены автоматически. Для этого выполните следующие действия:

      1. Закройте записную книжку в OneNote.
      2. Переместите папку записной книжки через проводник из папки OneDrive для бизнеса в другое расположение, например рабочий стол.
      3. Скопируйте папку записной книжки и вставьте ее обратно в папку OneDrive для бизнеса.

      Подождите несколько минут, чтобы разрешить OneDrive завершить синхронизацию & обновлении записной книжки, и папка должна автоматически преобразоваться в ярлык интернета. При открытии ярлыка откроется записная книжка в браузере, которую затем можно открыть в клиенте OneNote с помощью кнопки "Открыть в приложении".

  • Ограничение. Автономные файлы данных Microsoft Office Outlook (PST- и OST-файлы) не помечаются как рабочие и, следовательно, не защищены.

    • Как это выглядит. Если Microsoft Office Outlook настроен на работу в кэшированном режиме (параметр по умолчанию) или если некоторые сообщения электронной почты хранятся в локальном PST-файле, данные не защищены.
    • Решение. Рекомендуется использовать Microsoft Office Outlook в режиме "в сети" или использовать шифрование для защиты ost- и PST-файлов вручную.

Примечание.

  • Когда корпоративные данные записываются на диск, Windows Information Protection использует предоставленную Windows шифрующую файловую систему (EFS) для их защиты и связывания с корпоративным удостоверением. Следует помнить, что область предварительного просмотра в проводник не будет работать для зашифрованных файлов.

  • Отправляйте нам правки, добавления и отзывы, чтобы помочь улучшить этот раздел. Узнать о том, как принять участие в развитии этого раздела, можно в статье Дополнение наших материалов.