企業資料保護 (EDP) 概觀
[正式發行前可能會進行大幅度修改之預先發行的產品的一些相關資訊。Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。]
隨著企業中員工擁有的裝置增加,透過公司控管之外的 App 和服務 (例如電子郵件、社交媒體和公用雲端) 意外公開資料的風險也增加。
許多現有的解決方案嘗試透過要求員工在個人和工作用容器與應用程式之間切換,以解決這項問題,但此方法可能導致使用者無法獲得最佳體驗。名稱代碼為「企業資料保護」(EDP) 的功能可在不需要變更環境或應用程式的情況下,提供更好的使用者體驗,同時可協助更妥善地區分及保護企業應用程式與資料,以降低透過公司和個人裝置洩漏資料的風險。此外,當 EDP 與 Rights Management Services (RMS) 一起使用時,可協助在本機保護您的公司資料,即使在漫遊或共用您的資料時,也可以持續保護資料。
EDP 的優點
EDP 提供以下優點:
提供額外保護能力,以避免企業資料外洩並將對員工正常作業的影響降到最低。
清楚區分個人和公司資料,而不需要員工切換環境或應用程式。
為現有的商務應用程式組合提供額外的資料保護,而不需要更新應用程式。
在不影響個人資料的情況下從裝置移除公司資料的能力。
使用稽核報告來追蹤問題及採取補救動作。
與您現有的管理系統 (Microsoft Intune、System Center Configuration Manager (版本 1511 或更新),或您目前的行動裝置管理 (MDM) 系統) 整合,以進行公司的 EDP 設定、部署和管理。
在漫遊和共用資料 (例如透過 Outlook 共用加密的內容,或將加密的檔案移動到 USB 磁碟機) 時,為您的資料提供額外的保護 (透過 RMS 整合)。
能夠使用 MDM 解決方案管理 Windows 10 裝置上的 Office 通用應用程式,以協助保護公司資料。若要管理適用於 Android 和 iOS 裝置的 Office Mobile 應用程式,請參考此處的技術資源。
先決條件
您需要此軟體以在您的企業中執行 EDP:
| 作業系統 | 管理解決方案 |
|---|---|
| Windows 10 |
|
企業案例
EDP 目前可以解決這些企業案例:
您可以在員工擁有的裝置和公司擁有的裝置上加密企業資料。
您可以在不影響個人資料的情況下,從遠端清除受管理電腦 (包括員工擁有的電腦) 上的企業資料。
您可以選擇能存取企業資料的特定應用程式 (稱為「具有特殊權限的應用程式」),而員工可以清楚辨識這些應用程式。您也可以封鎖未具有特殊權限的應用程式存取企業資料。
建立並執行企業原則之後,您員工的工作就不會因為在個人和企業應用程式之間切換而中斷。不需要切換環境或多次登入。
EDP 的運作方式
EDP 可協助您解決每天在企業中遇到的挑戰。包括可協助您:
處理因嚴格的資料保護原則所造成的不良員工體驗。
維護您企業資料的隱私。
管理非原則感知的應用程式 (特別是行動裝置上的)。
處理無法鎖定員工自有裝置的情況,缺乏此裝置鎖定能力可能會讓企業資料被意外公開。
保護模式
您可以將 EDP 設定為 4 種保護模式中的其中一種:
**封鎖。**EDP 會尋找不適當的資料共用,並阻止員工完成該動作。
**覆寫。**EDP 會尋找不適當的資料共用,並讓員工知道他們是否進行不適當的操作。不過,此保護模式允許員工覆寫原則並繼續共用資料,但是會將該動作記錄到您的稽核記錄檔。
**稽核。**EDP 會以無訊息的方式執行,在不封鎖任何動作的情況下記錄不適當的資料共用。
**關閉。**不會啟用 EDP,且不會保護您的資料。
絕佳的員工體驗
因為不需要員工切換應用程式來保護公司資料,所以 EDP 能提供絕佳的使用者體驗。例如,員工在使用 Microsoft Outlook 查看工作電子郵件時收到一封個人訊息。工作和個人訊息會同時在畫面上以並列方式顯示,而不需要離開 Outlook。
變更 EDP 保護
若文件錯誤標示為企業資料,員工可將受企業資料保護的文件變更回個人資料。不過,這需要員工採取動作,並經稽核和記錄以供您檢閱。
企業資料安全性
身為企業的系統管理員,您需要維護您公司資料的安全性和機密性。使用 EDP 可以協助確保您的公司資料在員工擁有的電腦上受到保護,即使員工未主動使用資料。在此情況下,當員工在受管理的裝置上第一次建立內容時,系統會詢問他是否為工作文件。如果是工作文件,它會在本機被視為企業資料而受到保護。
遠端清除裝置上的企業資料
EDP 也能讓您在不影響個人資料的情況下,從遠端清除所有由您管理,並由員工使用之裝置上的公司資料。當員工離開公司或是電腦遭竊時,這會是一項優點。
在此情況下,文件是儲存在本機,並使用企業身分識別加密。當您確認必須清除裝置時,您可以透過行動裝置管理系統傳送遠端清除命令,當裝置連線到網路時,就會撤銷加密金鑰並移除企業資料。此動作只會影響命令所針對的目標裝置。所有其他裝置都會繼續正常運作。
複製或下載企業資料
從像是 SharePoint 或網路檔案共用這樣的位置,或從企業 Web 位置 (如 Office365.com) 下載內容並儲存在本機時,會自動判斷該內容是否為企業資料,並在判斷為企業資料時將其加密。之後將該企業資料複製到 USB 磁碟機等裝置時也會執行相同動作。因為該內容已經在本機標示為企業資料,所以在新裝置上也會持續加密。
具有特殊權限的應用程式和限制
您可以使用 EDP 控制一組設為「具有特殊權限的應用程式」的應用程式,也就是可以存取和使用企業資料的應用程式。當您將 App 加入具有特殊權限的 App 清單之後,它就會受到信任,而可以使用企業資料。所有不在此清單上的 App 都會視為個人 App,並可能遭到封鎖而無法存取您的企業資料 (需視您的 EDP 保護模式而定)。
此外,不需要變更您的現有企業營運 App,即可將它們包含到具有特殊權限的 App 清單中。您只需要將它們包含在您的清單中。
使用具有特殊權限的應用程式
具有特殊權限的 App 可存取您的企業資料,而且針對其他非具有特殊權限的 App 或個人 App 會有不同的反應。例如,若您的 EDP 保護模式設定為封鎖,具有特殊權限的 App 會允許使用者在其他具有特殊權限的 App 之間複製及貼上資訊,但不允許在個人 App 上執行相同的動作。假設 HR 人員要將工作描述從具有特殊權限的 App 複製到求職網站 (受企業保護的位置),但因一時粗心而嘗試將它貼到個人 App。貼上的動作會失敗並顯示通知,指出因為原則限制所以無法貼上。之後這位 HR 人員正確地將內容貼到求職網站,且沒有遇到問題。
決定您的資料存取層級
EDP 可讓您決定要封鎖、允許覆寫或稽核員工的資料共用動作。封鎖該動作可立即阻止該動作,允許覆寫會讓員工知道發生問題,但允許員工繼續共用資訊,稽核則會記錄動作而不加以阻止,讓您可以查看不適當共用的模式,以便您採取教育動作。
持續性資料加密
EDP 可協助讓您的企業資料持續受到保護,即使資料進行漫遊。Office 和 OneNote 等應用程式可和 EDP 搭配運作,以在所有位置和服務持續加密您的資料。例如,員工從 Outlook 開啟 EDP 加密的內容之後,無法透過編輯內容然後嘗試使用不同名稱儲存編輯過的版本來移除加密。Outlook 會自動將 EDP 套用到新的文件,讓資料持續加密。
協助防止意外將資料公開到公用空間。
EDP 可協助保護您的企業資料,避免資料被意外共用到公用空間 (例如公用雲端)。例如,若員工將內容儲存在 文件 資料夾,而該資料夾會與 OneDrive (具有特殊權限清單中的 App) 自動同步,那麼該文件會在本機加密,且不會同步到使用者的個人雲端。同樣地,若其他具有同步功能的 App (例如 Dropbox™) 不在具有特殊權限的清單中,它們也無法將加密的檔案同步到使用者的個人雲端。
協助防止意外將資料公開到其他裝置
EDP 協助保護您的企業資料,避免在裝置之間傳輸或移動資料時將資料洩漏到其他裝置。例如,一位員工將公司資料放到包含個人資料的 USB 磁碟機上,即使個人資料維持公開,公司資料也會保持加密。此外,當員工將加密的內容複製回其他受公司管理的裝置時,仍會持續加密。
重要事項 EDP 也支援 SD 卡上個別檔案的加密,及裝置加密原則。若要存取您加密的檔案,您將需要在設定 EDP 原則的過程中設定 RMS。
關閉 EDP
您可以關閉所有企業資料保護和限制,還原成啟用 EDP 前的狀態,而不會遺失任何資料。不過,不建議您關閉 EDP。若您選擇將它關閉,您隨時可以再將它啟動,但 EDP 不會保留您的加密和原則資訊。