Microsoft Edge 對 Windows 資訊保護 (WIP) 的支援
本文說明 Microsoft Edge 如何支援 Windows 資訊保護 (WIP)。
注意
本文適用於 Microsoft Edge 版本 81 或更新版本。 Windows 資訊保護會隨著時間而停止。 如需詳細資訊,請參閱 宣佈 Windows 資訊保護 (WIP) 終止 。
概觀
Windows 資訊保護 (WIP) 是 Windows 10 的功能,可協助保護企業資料免於受到未經授權或意外的洩露。 隨著遠端工作的增加,在工作場所以外共用公司資料的風險也增加了。 當公司裝置上存在個人活動和工作活動時,這種風險就會增加。
Microsoft Edge 支援使用 WIP 來協助保護 Web 環境中的內容,因為使用者通常是在 Web 環境中共用和散布內容。
系統需求
下列需求適用於企業中使用 WIP 的裝置:
- Windows 10 (版本 1607) 或更新版本
- 僅限 Windows 用戶端 SKU
- WIP 必要條件所述的其中一個管理解決方案
Windows 資訊保護的優點
WIP 有下列優點:
- 清楚區分個人和公司資料,而不需要員工切換環境或應用程式。
- 為現有的商務應用程式組合提供額外的資料保護,而不需要更新應用程式。
- 可從遠端抹除 Intune 行動裝置管理 (MDM) 註冊裝置上的公司資料,且不會影響個人資料。
- 針對追蹤問題和補救動作 (例如使用者的合規性訓練) 的稽核報告。
- 與您現有的管理系統整合,以設定、部署、管理 WIP。 例如 Microsoft Intune、Microsoft Endpoint 設定管理員、或是您目前的行動裝置管理 (MDM) 系統。
WIP 原則和保護模式
使用原則,您可以設定下表所述的四種保護模式。 如需詳細資訊,請參閱 WIP 保護模式。
| 模式 | 描述 |
|---|---|
| 封鎖 | WIP 會尋找不適當的資料共用做法,並阻止員工完成該動作。 此搜尋可包含將企業資訊共用至非企業保護的應用程式,以及在應用程式之間共用企業資料,或嘗試在組織網路以外的地方進行共用。 |
| 允許覆寫 | WIP 會尋找不適當的資料共用,並在員工做出可能不安全的事情時,對該員工發出警告。 不過,此管理模式允許員工覆寫原則並共用資料,同時將該動作記錄到您的稽核記錄中。 |
| 無訊息 | WIP 會以無訊息方式執行、記錄不適當的資料共用,但在處於允許覆寫模式時,不會阻止任何提示員工進行互動的動作。 不允許的動作 (例如,不適當地嘗試存取網路資源或 WIP 所保護資料的應用程式) 仍會遭到阻止。 |
| 關閉 | WIP 會關閉,且不會協助保護或稽核您的資料。 關閉 WIP 之後,會嘗試在本機連接的磁碟機上將任何有 WIP 標記的檔案解密。 如果您重新開啟 WIP 保護,之前的解密和原則資訊並不會自動重新套用。 |
Microsoft Edge 支援的 WIP 功能
從 Microsoft Edge 版本 81 開始,支援下列功能:
- 用網址列上的公事包圖示來表示工作網站。
- 從工作位置下載的檔案會自動加密。
- 將工作檔案上傳到非工作位置時,強制執行無訊息/封鎖/覆寫。
- 拖放檔案時強制執行無訊息/封鎖/覆寫。
- 執行剪貼簿動作時,強制執行無訊息/封鎖/覆寫。
- 從非工作配置文件瀏覽至工作位置會自動重新導向至與 Microsoft Entra identity 相關聯的工作配置檔 (。)
- IE 模式支援完整的 WIP 功能。
在 Microsoft Edge 中使用 WIP
啟用 Microsoft Edge 的 WIP 支援之後,使用者將會看到正在存取工作相關資訊。 下個螢幕擷取畫面的網址列中顯示公事包圖示,指出正透過瀏覽器存取工作相關資訊。
Microsoft Edge 可讓使用者在未核准的網站中共用受保護的內容。 下個螢幕擷取畫面中顯示的 Microsoft Edge 提示,提醒使用者將允許在未獲核准的網站中使用受保護內容。
設定原則以支援 WIP
在 Microsoft Edge 中使用 WIP 需要具備工作設定檔。
確定有工作設定檔
在混合式加入的計算機上,Microsoft Edge 會自動使用 Microsoft Entra 帳戶登入。 為了確保使用者沒有移除 WIP 需要的這個設定檔,請設定下列原則:
注意
如果您的環境未混合式加入,您可以使用下列指示進行混合式聯結: 規劃您的Microsoft混合式聯結實作。
如果混合式加入不是選項,您可以使用內部部署Microsoft Entra 帳戶,讓 Microsoft Edge 自動建立具有使用者網域帳戶的特殊工作配置檔。 請注意,內部部署帳戶可能不會收到所有Microsoft Entra 功能,例如雲端同步處理、Office NTP 等等。
Microsoft Entra 帳戶
針對 Microsoft Entra 帳戶,您必須設定下列原則,讓 Microsoft Edge 自動建立特殊的工作配置檔。
適用於 WIP 的 Windows 原則
您可以使用 Windows 原則來設定 WIP。 如需詳細資訊,請參閱使用 Microsoft Intune 建立和部署 WIP 原則。
常見問題集
如何解決錯誤碼 -2147024540?
此錯誤碼對應於以下 Windows 資訊保護錯誤:ERROR_EDP_POLICY_DENIES_OPERATION:Windows 資訊保護原則封鎖了請求的操作。如需詳細資訊,請連絡您的系統管理員。
當組織啟用 Windows 資訊保護 (WIP) 以僅允許使用已核准應用程式的使用者存取公司資源時,Microsoft Edge 會顯示此錯誤。 在這種情況下,由於 Microsoft Edge 不在已核准的應用程式清單中,管理員必須更新 WIP 原則以授予對 Microsoft Edge 的存取權限。
下列螢幕擷取畫面顯示如何使用 Microsoft Intune 將 Microsoft Edge 新增為可供 WIP 使用的應用程式。
如果您並非使用 Microsoft Intune,請下載 WIP 企業 AppLocker 原則檔案並套用檔案中的原則更新。