在 Microsoft Intune 中创建 Windows 信息保护 策略
注意
从 2022 年 7 月开始,Microsoft 将弃用 Windows 信息保护 (WIP) 。 Microsoft 将继续在受支持的 Windows 版本上支持 WIP。 新版本的 Windows 不包括 WIP 的新功能,并且将来的 Windows 版本中不支持它。 有关详细信息,请参阅宣布 Windows 信息保护的日落。
为了满足数据保护需求,Microsoft 建议使用 Microsoft Purview 信息保护 和 Microsoft Purview 数据丢失防护。 Purview 简化了配置设置,并提供一组高级功能。
适用于:
- Windows 10
- Windows 11
Microsoft Intune有一种简单的方法来创建和部署 Windows 信息保护 (WIP) 策略。 你可以选择要保护的应用、保护级别以及如何在网络上查找企业数据。 设备可以完全由移动设备管理 (MDM) 管理,也可以由移动应用程序管理 (MAM) 进行管理,其中Intune仅管理用户个人设备上的应用。
WIP 的 MDM 和 MAM 之间的差异
可以在 Intune中创建应用保护策略,无论是使用 MDM 的设备注册,还是无需为 MAM 注册设备。 创建任一策略的过程相似,但存在重要差异:
- MAM 具有更多用于Windows Hello 企业版的访问设置。
- MAM 可以 选择性地擦除 用户个人设备中的公司数据。
- MAM 需要Microsoft Entra ID P1 或 P2 许可证。
- WIP 自动恢复还需要Microsoft Entra ID P1 或 P2 许可证,其中设备可以重新注册并重新获取对受保护数据的访问权限。 WIP 自动恢复依赖于Microsoft Entra注册来备份加密密钥,这需要使用 MDM 进行设备自动注册。
- MAM 仅支持每台设备一个用户。
- MAM 只能管理 启发式应用。
- 只有 MDM 可以使用 BitLocker CSP 策略。
- 如果同一用户和设备同时面向 MDM 和 MAM,则 MDM 策略将应用于已加入Microsoft Entra ID的设备。 对于已加入工作区 (的个人设备,即使用设置>添加Email &帐户>添加工作或学校帐户) ,将首选仅 MAM 策略,但可以在“设置”中将设备管理升级到 MDM。 Windows 家庭版仅支持仅限 MAM 的 WIP;升级到家庭版上的 MDM 策略将撤销受 WIP 保护的数据访问。
必备条件
在使用 Intune 创建 WIP 策略之前,需要在 Microsoft Entra ID 中配置 MDM 或 MAM 提供程序。 MAM 需要Microsoft Entra ID P1 或 P2 许可证。 WIP 自动恢复还需要Microsoft Entra ID P1 或 P2 许可证,其中设备可以重新注册并重新获取对受保护数据的访问权限。 WIP 自动恢复依赖于Microsoft Entra注册来备份加密密钥,这需要使用 MDM 进行设备自动注册。
配置 MDM 或 MAM 提供程序
登录到Azure 门户。
选择“Microsoft Entra ID>移动 (MDM 和 MAM) >Microsoft Intune”。
选择“ 还原默认 URL” 或输入 MDM 或 MAM 用户范围的设置,然后选择“ 保存”:
创建 WIP 策略
打开Microsoft Intune并选择“应用>应用保护策略>创建策略”。
在 “应用策略 ”屏幕中,选择“ 添加策略”,然后填写字段:
名称。 为新策略键入名称(必填)。
描述。 键入可选描述。
平台。 选择“Windows 10”。
注册状态。 对于 MAM,请选择 “不注册 ”或“ 使用 MDM 注册 ”。
选择 “受保护的应用 ”,然后选择“ 添加应用”。
可以添加以下类型的应用:
注意
应用程序在从受保护应用列表中删除后,可能会返回拒绝访问错误。 卸载并重新安装应用程序或将其从 WIP 策略中免除,而不是将其从列表中删除。
添加推荐的应用
选择“ 推荐的应用 ”,选择要访问企业数据的每个应用或全部选择,然后选择“ 确定”。
添加应用商店应用
选择“ 应用商店应用”,键入应用产品名称和发布者,然后选择“ 确定”。 例如,若要从应用商店中添加 Power BI 移动版 应用,请键入以下内容:
- 名称:Microsoft Power BI
- 发布者:
CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US - 产品名称:
Microsoft.MicrosoftPowerBIForWindows
若要添加多个应用商店应用,请选择省略号 …。
如果不知道应用商店应用发布者或产品名称,可以按照以下步骤找到它们。
转到适用于企业的 Microsoft Store 网站,然后查找你的应用。 例如,Power BI 移动版应用。
从应用 URL 中复制 ID 值。 例如,Power BI 移动版应用 ID URL 为
https://www.microsoft.com/store/p/microsoft-power-bi/9nblgggzlxn1,你将复制 ID 值9nblgggzlxn1。在浏览器中,运行适用于企业的 Microsoft Store 门户 Web API,以返回包含发布者和产品名称值的 JavaScript 对象表示法 (JSON) 文件。 例如,运行
https://bspmts.mp.microsoft.com/v1/public/catalog/Retail/Products/9nblgggzlxn1/applockerdata,其中9nblgggzlxn1将 替换为 ID 值。API 运行并使用应用详细信息打开文本编辑器。
{ "packageIdentityName": "Microsoft.MicrosoftPowerBIForWindows", "publisherCertificateName": "CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US" }将
publisherCertificateName值复制到发布者框中,并将packageIdentityName值复制到 Intune 的名称框中。重要提示
JSON 文件也可能会返回一个同时适用于发布者名称和产品名称框的
windowsPhoneLegacyId值。 这意味着你有一个使用 XAP 包的应用,并且必须将 “产品名称” 设置为windowsPhoneLegacyId,并将 发布者名称 设置为CN=后跟windowsPhoneLegacyId。例如:
{ "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d", }
添加桌面应用
若要添加 桌面应用,请根据要返回的结果填写以下字段。
| 字段 | 管理 |
|---|---|
标记为的所有字段 * |
由任一发布者签名的所有文件。 (不建议,并且可能无法) |
| 仅限发布者 | 如果只填写此字段,你将获得由命名发布者签名的所有文件。 如果你的公司是内部业务线应用的发布者和签名者,这可能非常有用。 |
| 仅发布者和名称 | 如果仅填写这些字段,你将获得由命名发布者签名的指定产品的所有文件。 |
| 仅发布者、名称和文件 | 如果只填写这些字段,你将获得由命名发布者签名的指定产品的任何命名文件或包版本。 |
| 仅发布者、名称、文件和最低版本 | 如果只填写这些字段,你将获得指定产品的指定版本或包的指定版本或更新版本,由命名发布者签名。 建议对之前未启发的启发式应用使用此选项。 |
| 仅发布者、名称、文件和最高版本 | 如果仅填写这些字段,你将获得指定产品(由命名发布者签名)的指定文件或包的指定版本或较旧版本。 |
| 填写所有字段 | 如果填写所有字段,你将获得指定产品的命名文件或包的指定版本,由命名发布者签名。 |
若要添加另一个桌面应用,请选择省略号 …。 在字段中输入信息后,选择“ 确定”。
如果不确定发布者要包含哪些内容,可以运行以下 PowerShell 命令:
Get-AppLockerFileInformation -Path "<path_of_the_exe>"
其中 "<path_of_the_exe>" 转到设备上的应用位置。 例如:
Get-AppLockerFileInformation -Path "C:\Program Files\Windows NT\Accessories\wordpad.exe"
在此示例中,你将获得以下信息:
Path Publisher
---- ---------
%PROGRAMFILES%\WINDOWS NT\ACCESSORIES\WORDPAD.EXE O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US
其中 O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US 是 发布服务器 名称, WORDPAD.EXE 是 文件名 。
有关如何获取要添加的应用的产品名称,请联系 Windows 支持团队以请求指南
导入应用列表
本部分介绍将 AppLocker XML 文件用于 “受保护的应用 ”列表的两个示例。 如果要同时添加多个应用,请使用此选项。
有关 AppLocker 的详细信息,请参阅 AppLocker 内容。
为应用商店应用创建打包的应用规则
打开本地安全策略管理单元 (SecPol.msc)。
依次展开 “应用程序控制策略”、“ AppLocker”、“ 打包应用规则”。
右键单击右侧,然后选择“ 创建新规则”。
此时将出现创建封装应用规则向导。
在 “开始之前” 页上,选择“ 下一步”。
在 “权限” 页上,确保 “操作 ”设置为 “允许 ”,并将 “用户或组 ”设置为 “所有人”,然后选择“ 下一步”。
在“发布服务器”页上,从“使用已安装的打包应用作为参考”区域选择。
在 “选择应用程序 ”框中,选择要用作规则引用的应用,然后选择“ 确定”。 对于此示例,我们使用 Microsoft Dynamics 365。
在更新的 发布服务器上 ,选择“ 创建”。
在出现的对话框中选择“ 否 ”,询问是否要创建默认规则。 不要为 WIP 策略创建默认规则。
查看本地安全策略管理单元,确保你的规则准确无误。
在左侧,右键单击“ AppLocker”,然后选择“ 导出策略”。
此时导出策略框将打开,你可以导出新策略并保存为 XML。
在 “导出策略 ”框中,浏览到策略的存储位置,为策略命名,然后选择“ 保存”。
策略已保存,你将看到一条消息,指出已从策略导出了一个规则。
示例 XML 文件
这是 AppLocker 为 Microsoft Dynamics 365 创建的 XML 文件。<?xml version="1.0"?> <AppLockerPolicy Version="1"> <RuleCollection EnforcementMode="NotConfigured" Type="Appx"> <FilePublisherRule Action="Allow" UserOrGroupSid="S-1-1-0" Description="" Name="Microsoft.MicrosoftDynamicsCRMforWindows10, version 3.2.0.0 and above, from Microsoft Corporation" Id="3da34ed9-aec6-4239-88ba-0afdce252ab4"> <Conditions> <FilePublisherCondition BinaryName="*" ProductName="Microsoft.MicrosoftDynamicsCRMforWindows10" PublisherName="CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US"> <BinaryVersionRange HighSection="*" LowSection="3.2.0.0"/> </FilePublisherCondition> </Conditions> </FilePublisherRule> </RuleCollection> <RuleCollection EnforcementMode="NotConfigured" Type="Dll"/> <RuleCollection EnforcementMode="NotConfigured" Type="Exe"/> <RuleCollection EnforcementMode="NotConfigured" Type="Msi"/> <RuleCollection EnforcementMode="NotConfigured" Type="Script"/> </AppLockerPolicy>创建 XML 文件后,需要使用 Microsoft Intune 导入该文件。
为未签名的应用创建可执行规则
可执行规则有助于创建 AppLocker 规则来对任何未签名的应用进行签名。 它允许添加文件路径或应用发布者,其中包含文件数字签名,以应用 WIP 策略。
打开本地安全策略管理单元 (SecPol.msc)。
在左窗格中,选择“ 应用程序控制策略>”“AppLocker>可执行规则”。
右键单击“ 可执行规则>创建新规则”。
在 “开始之前” 页上,选择“ 下一步”。
在 “权限” 页上,确保 “操作 ”设置为 “允许 ”,并将 “用户或组 ”设置为 “所有人”,然后选择“ 下一步”。
在 “条件 ”页上,选择“ 路径 ”,然后选择“ 下一步”。
选择“ 浏览文件夹...” ,然后选择未签名应用的路径。 对于此示例,我们使用“C:\Program Files”。
在 “异常 ”页上,添加任何异常,然后选择“ 下一步”。
在“ 名称 ”页上,键入规则的名称和说明,然后选择“ 创建”。
在左窗格中,右键单击“ AppLocker>导出策略”。
在 “导出策略 ”框中,浏览到策略的存储位置,为策略命名,然后选择“ 保存”。
策略已保存,你将看到一条消息,指出已从策略导出了一个规则。
创建 XML 文件后,需要使用 Microsoft Intune 导入该文件。
使用 Microsoft Intune导入受保护的应用列表
在 “受保护的应用”中,选择“ 导入应用”。
然后导入文件。
浏览到导出的 AppLocker 策略文件,然后选择“ 打开”。
文件导入,应用将添加到 “受保护的应用 ”列表。
从 WIP 策略中免除应用
如果应用与 WIP 不兼容,但仍需要与企业数据一起使用,则可以将应用从 WIP 限制中免除。 这意味着你的应用将失去自动加密或标记功能,并且不会沿用网络限制。 这还意味着免受限制的应用可能会泄漏。
在“客户端应用 - 应用保护策略”中,选择“免除应用”。
在 “豁免应用”中,选择“ 添加应用”。
当你免除应用时,它们可以绕过 WIP 限制并访问你的公司数据。
根据要添加的应用类型填写其余应用信息:
选择“确定”。
管理企业数据的 WIP 保护模式
在添加要使用 WIP 保护的应用后,你将需要应用管理和保护模式。
我们建议你从静默或允许覆盖开始,同时通过一个小组验证你在受保护的应用列表中是否有合适的应用。 完成后,可以更改为最终强制策略 “阻止”。
在应用保护策略中,选择策略的名称,然后选择“必需设置”。
模式 描述 阻止 WIP 将查找不恰当的数据共享行为并阻止员工完成该操作。 除了企业外部其他人员和设备之间的企业数据共享外,还包括非企业保护的应用之间的信息共享。 允许覆盖 WIP 将查找不恰当的数据共享,当员工执行某些视为可能不安全的操作时会向他们发出警告。 但是,此管理模式允许员工覆盖策略并共享数据,同时将该操作记录到审核日志中。 有关如何收集审核日志文件的信息,请参阅如何收集 Windows 信息保护 (WIP) 审核事件日志。 静默 WIP 以无提示方式运行,记录不适当的数据共享,而不会阻止在“允许替代”模式下提示员工交互的任何内容。 像应用不恰当地尝试访问网络资源或 WIP 保护的数据等不被允许的操作仍将受到阻止。 关闭 WIP 将处于关闭状态,并且不会帮助保护或审核你的数据。
关闭 WIP 后,系统将尝试解密本地连接的驱动器上的任何 WIP 标记文件。 如果重新打开 WIP 保护,以前的解密和策略信息不会自动重新应用。 有关详细信息,请参阅如何禁用 Windows 信息保护。选择保存。
定义企业托管的企业标识
企业标识(通常表示为主要 Internet 域 (例如 contoso.com) )有助于识别和标记已标记为受 WIP 保护的应用的企业数据。 例如,使用 contoso.com 的电子邮件标识为企业,并受到 Windows 信息保护策略的限制。
从 Windows 10 版本 1703 开始,Intune 自动确定你的企业标识并将其添加到企业标识字段。
如何更改企业标识
在 “应用策略”中,选择策略的名称,然后选择“ 必需设置”。
如果自动定义的标识不正确,则可以更改 “公司标识 ”字段中的信息。
若要添加域(例如电子邮件域名),请选择“ 配置高级设置>”“添加网络边界 ”,然后选择“ 受保护的域”。
选择应用可以访问企业数据的位置
将保护模式添加到应用之后,你将需要确定这些应用可以在你的网络上访问企业数据的位置。 每个 WIP 策略都应包含企业网络位置。
WIP 未附带任何默认位置,因此必须添加每一个网络位置。 此区域适用于在企业范围内获取 IP 地址并绑定到其中一个企业域(包括 SMB 共享)的任何网络终结点设备。 本地文件系统位置应保持加密(例如,在本地 NTFS、FAT、ExFAT 上)。
若要定义网络边界,请选择“应用策略>”“策略>名称”“高级设置>”“添加网络边界”。
从边界类型框选择要添加的网络边界的类型。 在“ 名称 ”框中键入边界的名称,根据以下小节中涵盖的选项将值添加到“ 值 ”框中,然后选择“ 确定”。
云资源
指定要视为企业并受 WIP 保护的云资源。 对于每个云资源,你还可以有选择地从内部代理服务器列表中指定一个代理服务器,以为此云资源路由流量。 通过内部代理服务器路由的所有流量都被视为企业流量。
使用“|”分隔符分隔多个资源。 例如:
URL <,proxy>|URL <,proxy>
个人应用程序可以访问具有空格或无效字符的云资源,例如 URL 中的尾随点。
若要为云资源添加子域,请使用句点 (.) 而不是星号 (*) 。 例如,若要添加 Office.com 中的所有子域,请使用不带引号) (“.office.com”。
在某些情况下,例如当应用通过 IP 地址直接连接到云资源时,Windows 无法判断它是尝试连接到企业云资源还是个人站点。
在此情况下,Windows 会默认阻止该连接。
若要防止 Windows 自动阻止这些连接,你可以将 /*AppCompat*/ 字符串添加到设置中。
例如:
URL <,proxy>|URL <,proxy>|/*AppCompat*/
使用此字符串时,建议使用“已加入域或标记为合规”选项启用Microsoft Entra条件访问,这会阻止应用访问受条件访问保护的任何企业云资源。
使用代理的值格式:
contoso.sharepoint.com,contoso.internalproxy1.com|contoso.visualstudio.com,contoso.internalproxy2.com
没有代理的值格式:
contoso.sharepoint.com|contoso.visualstudio.com|contoso.onedrive.com,
受保护的域
指定用于环境中标识的域。 此列表中出现的完全限定域的所有流量都将受到保护。 使用“|”分隔符分隔多个域。
exchange.contoso.com|contoso.com|region.contoso.com
网络域
指定用于你的环境中的 DNS 后缀。 此列表中出现的完全限定域的所有流量都将受到保护。 使用 “、” 分隔符分隔多个资源。
corp.contoso.com,region.contoso.com
代理服务器
指定你的设备将经过其访问云资源的代理服务器。 使用此服务器类型表示要连接到的云资源是企业资源。
此列表不应包含内部代理服务器列表中列出的任何服务器。 代理服务器必须仅用于非 WIP 保护的(非企业)流量。 使用“;”分隔符分隔多个资源。
proxy.contoso.com:80;proxy2.contoso.com:443
内部代理服务器
指定你的设备将经过其访问云资源的内部代理服务器。 使用此服务器类型表示要连接到的云资源是企业资源。
此列表不应包括代理服务器列表中列出的任何服务器。 内部代理服务器必须仅用于 WIP 保护的(企业)流量。 使用“;”分隔符分隔多个资源。
contoso.internalproxy1.com;contoso.internalproxy2.com
IPv4 范围
为 Intranet 内的有效 IPv4 值范围指定地址。 这些与你的网络域名结合使用的地址,定义了你的企业网络边界。 不支持无类 Inter-Domain 路由 (CIDR) 表示法。
使用 “、” 分隔符分隔多个区域。
起始 IPv4 地址:3.4.0.1
结束 IPv4 地址:3.4.255.254
自定义 URI:3.4.0.1-3.4.255.254,
10.0.0.1-10.255.255.254
IPv6 范围
自 Windows 10 版本 1703 开始,此字段为可选项。
为 Intranet 内的有效 IPv6 值范围指定地址。 这些地址与网络域名一起使用,定义公司网络边界。 不支持无类 Inter-Domain 路由 (CIDR) 表示法。
使用 “、” 分隔符分隔多个区域。
起始 IPv6 地址:2a01:110::
结束 IPv6 地址:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff
自定义 URI:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff,'<br>'fd00::-fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
中性资源
为公司指定你的身份验证重定向终结点。 这些位置或被视为企业,或被视为个人,具体取决于重定向前的连接上下文。 使用 “、” 分隔符分隔多个资源。
sts.contoso.com,sts.contoso2.com
确定是否希望 Windows 查找更多网络设置:
企业代理服务器列表具有权威性(请不要自动检测)。 如果希望 Windows 将网络边界定义中指定的代理服务器视为网络上可用的代理服务器的完整列表,请启用。 如果关闭此功能,Windows 将在即时网络中搜索更多代理服务器。
企业 IP 范围列表具有权威性(请不要自动检测)。 如果希望 Windows 将网络边界定义中指定的 IP 范围视为网络上可用的 IP 范围的完整列表,请启用。 如果关闭此功能,Windows 将在连接到网络的任何已加入域的设备上搜索更多 IP 范围。
上传数据恢复代理 (DRA) 证书
创建 WIP 策略并将其部署到员工后,Windows 将开始加密员工本地设备驱动器上的公司数据。 如果以某种方式丢失或吊销了员工的本地加密密钥,则加密数据可能不可恢复。 为了帮助避免这种可能性,数据恢复代理 (DRA) 证书允许 Windows 使用附带的公钥来加密本地数据,而你保留的私钥可以解密该数据。
重要提示
使用 DRA 证书不是必需的。 但是,我们强烈建议使用。 有关如何查找和导出数据恢复证书的详细信息,请参阅 数据恢复和加密文件系统 (EFS) 。 有关创建和验证 EFS DRA 证书的详细信息,请参阅 创建和验证加密文件系统 (EFS) Data Recovery Agent (DRA) 证书。
如何上传 DRA 证书
在 “应用策略”中,选择策略的名称,然后从显示的菜单中选择“ 高级设置 ”。
显示高级设置。
在 “上传数据恢复代理 (DRA) 证书以允许恢复加密数据 ”框中,选择“ 浏览 ”,为策略添加数据恢复证书。
选择与 WIP 相关的可选设置
确定受保护的应用可以访问网络上的企业数据的位置后,可以选择可选设置。
注销时吊销加密密钥。 确定从 Windows 信息保护取消注册时,是否从设备撤销用户的本地加密密钥。 如果吊销加密密钥,用户将再也无法访问加密的企业数据。 这些选项有:
启用,或未配置(推荐)。 在注销过程中从设备吊销本地加密密钥。
关闭。 阻止在注销过程中从设备吊销本地加密密钥。 例如,如果要在移动设备管理 (MDM) 解决方案之间迁移。
显示企业数据保护图标。 确定 Windows 信息保护图标覆盖是否显示在“另存为”和“文件资源管理器”视图中的公司文件上。 这些选项有:
启用。 允许 Windows 信息保护图标覆盖显示在“另存为”和“文件资源管理器”视图中的公司文件上。 此外,对于未启发但受保护的应用,图标覆盖也会显示在应用磁贴上,并在 “开始 ”菜单中的应用名称上显示托管文本。
关闭,或未配置(推荐)。 阻止 Windows 信息保护图标覆盖显示在公司文件或未启用但受保护的应用上。 未配置是默认选项。
为 WIP 使用 Azure RMS。 确定 WIP 是否使用 Microsoft Azure Rights Management 对从Windows 10复制到 USB 或其他可移动驱动器的文件应用 EFS 加密,以便可以安全地与员工共享这些文件。 换句话说,WIP 在文件复制到可移动驱动器时,会使用 Azure Rights Management 的“机械”对文件应用 EFS 加密。 必须已设置 Azure Rights Management。 EFS 文件加密密钥受 RMS 模板许可证的保护。 只有具有该模板权限的用户才能从可移动驱动器读取它。 WIP 还可以使用 EnterpriseDataProtection CSP 中的 AllowAzureRMSForEDP 和 RMSTemplateIDForEDP MDM 设置与 Azure RMS 集成。
启用。 保护复制到可移动驱动器的文件。 可以输入 TemplateID GUID 以指定谁可以访问 Azure Rights Management 保护的文件以及访问时长。 RMS 模板仅应用于可移动媒体上的文件,并且仅用于访问控制,它实际上不会将 Azure 信息保护应用于文件。
如果未指定 RMS 模板,则它是使用所有用户都可以访问的默认 RMS 模板的常规 EFS 文件。
关闭,或未配置。 阻止 WIP 加密复制到可移动驱动器的 Azure Rights Management 文件。
注意
无论此设置如何,OneDrive for Business中的所有文件都将加密,包括移动的已知文件夹。
允许 Windows 搜索索引器搜索加密的文件。 确定是否允许 Windows 搜索索引器为加密的项目(例如 WIP 保护的文件)编制索引。
启用。 启动 Windows 搜索索引器,为加密文件编制索引。
关闭,或未配置。 阻止 Windows 搜索索引器为加密文件编制索引。
加密的文件扩展名
从企业网络位置中的 SMB 共享下载时,可以限制 WIP 保护的文件。 如果配置了此设置,则只会加密列表中扩展名为的文件。 如果未指定此设置,则会应用现有的自动加密行为。
相关文章
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈