使用 Intune 创建和部署 Windows 信息保护 (WIP) 策略
注意
Microsoft Intune不再对管理和部署 Windows 信息保护进行未来投资。
已删除对 Microsoft Intune 中没有注册方案的 Windows 信息保护的支持。
有关详细信息,请参阅 Windows 信息保护终止支持指南。
有关在 Windows 上Intune MAM 的信息,请参阅适用于 Windows 的 MAM 和 windows 应用保护策略设置。
可以将 Windows 信息保护 (WIP) 策略与Windows 10应用配合使用,以保护无需设备注册的应用。
开始之前
添加 WIP 策略时,必须了解几个概念:
允许和豁免应用列表
受保护的应用: 这些应用是需要遵守此策略的应用。
豁免应用: 这些应用不受此策略限制,可以不受限制地访问公司数据。
应用类型
- 建议的应用: 预填充 (列表,其中大部分是 Microsoft 365 (Office) ) 应用,让你可以轻松地导入到策略中。
- 应用商店应用: 可以将 Windows 应用商店中的任何应用添加到策略。
- Windows 桌面应用: 可以将任何传统的 Windows 桌面应用添加到策略 (例如,.exe、.dll)
先决条件
必须先配置 MAM 提供程序,然后才能创建 WIP 策略。 详细了解如何使用 Intune 配置 MAM 提供程序。
重要
WIP 不支持多标识,一次只能存在一个托管标识。 有关 WIP 的功能和限制的详细信息,请参阅使用 Windows 信息保护 (WIP) 保护企业数据。
此外,需要具有以下许可证和更新:
添加 WIP 策略
在组织中设置Intune后,可以创建特定于 WIP 的策略。
重要
不注册的 Windows 信息保护 (WIP) 策略已被弃用。 无法再为未注册的设备创建 WIP 策略。
提示
有关为Intune创建 WIP 策略(包括可用设置以及如何配置这些策略)的信息,请参阅 Windows 安全中心 文档库中的 Microsoft Intune 门户使用 MAM 创建 Windows 信息保护 (WIP) 策略。
- 登录到Microsoft Intune管理中心。
- 选择“应用>应用保护策略>”“创建策略”。
- 添加以下值:
- 名字: 键入新策略所需的名称 () 。
- 说明: (可选) 键入说明。
- 平台:选择“Windows 10”作为 WIP 策略支持的平台。
- 注册状态: 选择“ 无注册 ”作为策略的注册状态。
- 选择"创建"。 策略已创建并显示在“应用保护策略”窗格的表中。
将推荐的应用添加到受保护的应用列表
- 登录到Microsoft Intune管理中心。
- 选择应用>应用保护策略。
- 在“应用保护策略”窗格中,选择要修改的策略。 将显示“Intune应用保护”窗格。
- 从“Intune应用保护”窗格中选择“受保护的应用”。 此时会打开“ 受保护的应用 ”窗格,其中显示此应用保护策略列表中已包含的所有应用。
- 选择 “添加应用”。 “添加应用”信息显示经过筛选的应用列表。 窗格顶部的列表允许更改列表筛选器。
- 选择要允许访问公司数据的每个应用。
- 单击“确定”。 “ 受保护的应用 ”窗格已更新,其中显示了所有选定的应用。
- 单击保存。
将应用商店应用添加到受保护的应用列表
添加应用商店应用
- 登录到Microsoft Intune管理中心。
- 选择应用>应用保护策略。
- 在“应用保护策略”窗格中,选择要修改的策略。 将显示“Intune应用保护”窗格。
- 从“Intune应用保护”窗格中选择“受保护的应用”。 此时会打开“ 受保护的应用 ”窗格,其中显示此应用保护策略列表中已包含的所有应用。
- 选择 “添加应用”。 “添加应用”信息显示经过筛选的应用列表。 窗格顶部的列表允许更改列表筛选器。
- 从列表中选择“ 应用商店应用”。
- 输入“名称”、“发布者”、“产品名称”和“操作”的值。 请务必将 “操作” 值设置为 “允许”,以便应用有权访问你的公司数据。
- 单击“确定”。 “ 受保护的应用 ”窗格已更新,其中显示了所有选定的应用。
- 单击保存。
将桌面应用添加到受保护的应用列表
添加桌面应用
- 登录到Microsoft Intune管理中心。
- 选择应用>应用保护策略。
- 在“应用保护策略”窗格中,选择要修改的策略。 将显示“Intune应用保护”窗格。
- 从“Intune应用保护”窗格中选择“受保护的应用”。 此时会打开“ 受保护的应用 ”窗格,其中显示此应用保护策略列表中已包含的所有应用。
- 选择 “添加应用”。 “添加应用”信息显示经过筛选的应用列表。 窗格顶部的列表允许更改列表筛选器。
- 从列表中选择“ 桌面应用”。
- 输入“名称”、“发布者”、“产品名称”、“文件”、“最低版本”、“最大版本”和“操作”的值。 请务必将 “操作” 值设置为 “允许”,以便应用有权访问你的公司数据。
- 单击“确定”。 “ 受保护的应用 ”窗格已更新,其中显示了所有选定的应用。
- 单击保存。
WIP 学习
添加想要使用 WIP 保护的应用后,需要使用 WIP Learning 应用保护模式。
开始之前
WIP Learning 是一个报表,可用于监视已启用 WIP 的应用和 WIP 未知应用。 未知应用是组织的 IT 部门未部署的应用。 可以从报表中导出这些应用,并将其添加到 WIP 策略,以避免在“阻止”模式下强制 WIP 之前造成生产力中断。
除了查看有关已启用 WIP 的应用的信息外,还可以查看与网站共享工作数据的设备的摘要。 利用此信息,可以确定应将哪些网站添加到组和用户 WIP 策略。 摘要显示已启用 WIP 的应用可以访问哪些网站 URL。
使用已启用 WIP 的应用和 WIP 未知的应用时,建议从 静默 或 允许替代 开始,同时通过一小组验证是否在受保护的应用列表中拥有正确的应用。 完成后,可以更改为最终强制策略 “阻止”。
保护模式有哪些?
阻止
WIP 查找不适当的数据共享做法,并阻止用户完成操作。 阻止的操作可能包括跨非公司保护的应用共享信息,以及在组织外部的其他人和设备之间共享公司数据。
允许替代
WIP 查找不适当的数据共享,在用户执行被认为可能不安全的事情时警告用户。 但是,此模式允许用户重写策略并共享数据,并将操作记录到审核日志中。
无提示
WIP 以无提示方式运行,记录不适当的数据共享,而不会阻止在“允许替代”模式下提示员工交互的任何内容。 未执行的操作(例如应用不恰当地尝试访问网络资源或 WIP 保护的数据)仍会停止。
不建议关闭 ()
WIP 已关闭,无法保护或审核数据。
关闭 WIP 后,将尝试解密本地附加驱动器上任何 WIP 标记的文件。 请注意,如果重新打开 WIP 保护,则不会自动重新应用以前的解密和策略信息。
添加保护模式
从“ 应用策略 ”窗格中,选择策略的名称,然后选择“ 必需设置”。
选择一个设置,然后选择 “保存”。
允许 Windows 搜索 索引器搜索加密项目
允许或禁止对项编制索引。 此开关适用于 Windows 搜索 索引器,该索引器控制是否索引已加密的项,例如 Windows 信息保护 (WIP) 受保护的文件。
此应用保护策略选项位于 Windows 信息保护策略的“高级设置”中。 必须将应用保护策略设置为Windows 10平台,并且必须将应用策略注册状态设置为“使用注册”。
启用策略后,将编制 WIP 保护项的索引,并且有关它们的元数据存储在未加密的位置。 元数据包括文件路径和修改日期等内容。
禁用策略后,不会为 WIP 保护的项编制索引,并且不会显示在 Cortana 或文件资源管理器的结果中。 如果设备上存在许多受 WIP 保护的媒体文件,则可能还会对照片和 Groove 应用产生性能影响。
注意
Microsoft 弃用了 Windows Cortana 独立应用。 Cortana 生产力助手仍然可用。 有关 Windows 客户端上已弃用的功能的详细信息,请转到 Windows 客户端的已弃用功能。
添加加密文件扩展名
除了设置“允许 Windows 搜索索引器搜索加密项目”选项外,还可以指定文件扩展名列表。 从服务器消息块 (SMB) 共享(如网络位置列表中定义)复制时,将加密具有这些扩展名的文件。 如果未指定此策略,则会应用现有的自动加密行为。 配置此策略后,只会加密列表中扩展名为的文件。
部署 WIP 应用保护策略
重要
此信息适用于没有设备注册的 WIP。
创建 WIP 应用保护策略后,需要使用 MAM 将其部署到组织。
在“ 应用策略 ”窗格中,选择新创建的应用保护策略,选择 “用户组>添加用户组”。
用户组列表(由Microsoft Entra ID中的所有安全组组成)将在“添加用户组”窗格中打开。
选择要应用策略的组,然后选择 “选择” 以部署策略。
后续步骤
详细了解 Windows 信息保护,请参阅使用 Windows 信息保护 (WIP) 保护企业数据。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈