Share via

在 Configuration Manager 中建立和部署 Windows 資訊保護 原則

  • 發行項

注意

從 2022 年 7 月開始,Microsoft 即將淘汰 Windows 資訊保護 (WIP) 。 Microsoft 將繼續在支援的 Windows 版本上支援 WIP。 新版本的 Windows 不會包含 WIP 的新功能,未來版本的 Windows 將不支援它。 如需詳細資訊,請參閱宣佈 Windows 資訊保護 日落

針對您的數據保護需求,Microsoft 建議您使用 Microsoft Purview 資訊保護Microsoft Purview 資料外洩防護。 Purview 可簡化組態設定,並提供一組進階功能。

適用於:

  • Windows 10
  • Windows 11

Microsoft Configuration Manager 可協助您建立及部署 Windows 資訊保護 (WIP) 原則。 您可以選擇受保護的應用程式、WIP 保護模式,以及如何在網路上尋找企業數據。

新增 WIP 原則

在您為組織安裝並設定 Configuration Manager 之後,您必須建立 WIP 的設定專案,而 WIP 會變成您的 WIP 原則。

提示

在建立新的設定專案之前,請檢閱使用 Windows 資訊保護 (WIP 時的限制) 一文,以避免發生常見問題。

若要建立 WIP 的設定項目

  1. 開啟 Configuration Manager 主控台,選取 [資產與兼容性] 節點,展開 [概觀] 節點,展開 [兼容性設定] 節點,然後展開 [設定專案] 節點。

    Configuration Manager 的 [設定專案] 畫面。

  2. 選取 [ 建立設定專案] 按鈕。

    此時會啟動 \[建立設定項目精靈\]

    建立設定專案精靈、定義設定專案,然後選擇組態類型。

  3. \[一般資訊\] 畫面上,於 \[名稱\]\[描述\] 方塊中,輸入原則的名稱 (必要) 和選擇性的描述。

  4. 在 [指定您要建立的設定項目類型] 區域中,挑選代表您是否使用 Configuration Manager 進行裝置管理的選項,然後選取 [下一步]

    • \[使用 Configuration Manager 用戶端管理之裝置的設定:\] Windows 10

      -或-

    • \[未使用 Configuration Manager 用戶端管理之裝置的設定:\] Windows 8.1 與 Windows 10

  5. 在 [支持的平臺] 畫面上,選取 [Windows 10] 方塊,然後選取 [下一步]

    建立設定專案精靈,選擇原則支持的平臺。

  6. 在 [裝置設定] 畫面上,選取 [Windows 資訊保護],然後選取 [下一步]

    建立設定專案精靈,選擇 Windows 資訊保護 設定。

此時會出現 \[設定 Windows 資訊保護設定\] 頁面,您將可在頁面上設定組織的原則。

將應用程式規則新增至您的原則

在 Configuration Manager 中的原則建立程式中,您可以選擇您想要透過 Windows 資訊保護 授與企業數據存取權的應用程式。 包含在此清單中的應用程式可代表企業保護資料,且系統會限制應用程式將企業資料複製或移動到未受保護的應用程式。

新增應用程式規則的步驟,取決於套用的規則範本類型。 您可新增 Store 應用程式 (亦稱「通用 Windows 平台」(UWP) 應用程式)、已簽署的 Windows 傳統型應用程式或 AppLocker 原則檔案。

重要

啟用的應用程式應該要避免讓資企業資料移至未受保護的網路位置,並且避免加密個人資料。 相反地,WIP 非感知應用程式可能不受公司網路界限所影響,且 WIP 非感知應用程式會將其建立修改的所有檔案加密。 這表示其可能會加密個人資料,導致在撤銷程序期間發生資料遺失。

在將應用程式新增至您的應用程式規則清單之前,請務必小心取得軟體提供者的支持聲明,指出其應用程式在 Windows 資訊保護 中是安全的。 如果您未取得此語句,您可能會遇到應用程式相容性問題,因為應用程式在撤銷後無法存取必要的檔案。

將 Store 應用程式規則新增至您的原則

在此範例中,我們要將 Microsoft OneNote 市集應用程式新增至 應用程式規則 清單。

新增市集應用程式

  1. 從 [ 應用程式規則] 區域中,選取 [ 新增]

    此時會顯示 \[新增應用程式規則\] 方塊。

    建立設定專案精靈,新增通用市集應用程式。

  2. 將您應用程式的易記名稱,新增至 \[標題\] 方塊。 在此範例中,它是 Microsoft OneNote

  3. [Windows 資訊保護 模式] 下拉式清單中選取 [允許]。

    [允許] 會開啟 WIP,協助透過強制執行 WIP 限制來保護該應用程式的公司數據。 若您想要豁免應用程式,可遵循<從 WIP 限制豁免應用程式>一節中所述的下列步驟。

  4. \[規則範本\] 下拉式清單中,選擇 \[Store 應用程式\]

    方塊會變更以顯示 Store 應用程式規則選項。

  5. 輸入應用程式的名稱及其發行者的名稱,然後選取 [ 確定]。 針對此 UWP 應用程式範例,\[發行者\]CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US,而 \[產品名稱\]Microsoft.Office.OneNote

如果您不知道發行者或產品名稱,您可以依照下列步驟找到這兩個傳統型裝置的名稱。

若要尋找市集應用程式的發行者和產品名稱值,而不安裝它們

  1. 移至 Microsoft Store 網站,並尋找您的應用程式。 例如,Microsoft OneNote。

    注意

    如果您的應用程式已安裝於電腦裝置上,則可使用 AppLocker 本機安全性原則 MMC 嵌入式管理單元,將應用程式新增至受保護的應用程式清單。 如需如何執行這項操作的相關信息,請參閱本文中的 新增AppLocker原則檔案 中的步驟。

  2. 從應用程式 URL 複製識別碼值。 例如,Microsoft OneNote 的識別碼 URL 是 https://www.microsoft.com/store/apps/onenote/9wzdncrfhvjl,而您會複製識別碼 。 9wzdncrfhvjl

  3. 在瀏覽器中,執行商務用 Store 入口網站 Web API,以傳回包含發行者和產品名稱值的 JavaScript 物件標記法 (JSON) 檔案。 例如,執行 https://bspmts.mp.microsoft.com/v1/public/catalog/Retail/Products/9wzdncrfhvjl/applockerdata,其中 9wzdncrfhvjl 會取代為您的標識碼值。

    API 會執行並開啟文字編輯器,其中包含應用程式的詳細資料。

    {
    "packageIdentityName": "Microsoft.Office.OneNote",
    "publisherCertificateName": "CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US"
}

  4. publisherCertificateName 值和 packageIdentityName 值分別複製並貼入 \[發行者名稱\] 方塊和 Intune 的 \[產品名稱\] 方塊中。

    重要

    JSON 檔案在 \[發行者名稱\] 與 \[產品名稱\] 方塊可能也會傳回 windowsPhoneLegacyId 值。 這表示您有一個使用 XAP 套件的應用程式,而且您必須將 產品名稱 設定為 windowsPhoneLegacyId,並將 發行者名稱 設定為 “CN=”,後面接著 windowsPhoneLegacyId

    例如:

    {
    "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
}

將傳統型應用程式規則新增至您的原則

在此範例中,我們要將傳統型應用程式 Internet Explorer 新增至 應用程式規則 清單。

將傳統型應用程式新增至原則

  1. 從 [ 應用程式規則] 區域中,選取 [ 新增]

    此時會顯示 \[新增應用程式規則\] 方塊。

    建立設定專案精靈,新增傳統桌面應用程式。

  2. 將您應用程式的易記名稱,新增至 \[標題\] 方塊。 在此範例中,它是 Internet Explorer

  3. [Windows 資訊保護 模式] 下拉式清單中選取 [允許]。

    [允許] 會開啟 WIP,協助透過強制執行 WIP 限制來保護該應用程式的公司數據。 若您想要豁免應用程式,可遵循<從 WIP 限制豁免應用程式>一節中所述的下列步驟。

  4. \[規則範本\] 下拉式清單中,選擇 \[傳統型應用程式\]

    方塊會變更以顯示傳統型應用程式規則選項。

  5. 挑選您想要包含的應用程式規則選項 (請參閱數據表) ,然後選取 [ 確定]

    選項 管理
    保留為 「*」 的所有欄位 由發行者簽署的所有檔案。 (不建議使用。)
    已選取發行者 由具名發行者簽署的所有檔案。 若您的公司是內部企業營運應用程式的發行者與簽署人,則此做法非常實用。
    已選取發行者產品名稱 由具名的發行者簽署,針對指定產品的所有檔案。
    已選取發行者產品名稱二進位名稱 由具名的發行者簽署,任意版本的具名檔案或指定產品的套件。
    已選取 [發行者]、[產品名稱]、[二進位名稱] 和 [檔案版本],以及上述版本 由具名的發行者簽署,指定版本或更新版本的具名檔案,或指定產品的套件。 建議針對先前未覺察的覺察型應用程式,使用此選項。
    [發行者]、[產品名稱]、[二進位名稱] 和 [檔案版本],下方已選取 由具名的發行者簽署,指定版本或較舊版本的具名檔案,或指定產品的套件。
    [發行者]、[產品名稱]、[二進位名稱] 和 [檔案版本]、[完全選取] 由具名的發行者簽署,指定版本的具名檔案或指定產品的套件。

如果您不確定要為發行者包含哪些專案,您可以執行此 PowerShell 命令:

Get-AppLockerFileInformation -Path "<path of the exe>"

其中 "<path of the exe>" 指向應用程式在裝置上的位置。 例如, Get-AppLockerFileInformation -Path "C:\Program Files\Internet Explorer\iexplore.exe"

在這個範例中,您會取得以下資訊:

Path                   Publisher
----                   ---------
%PROGRAMFILES%\INTERNET EXPLORER\IEXPLORE.EXE O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\INTERNET EXPLOR...

其中的文字 O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US 是要在 \[發行者名稱\] 方塊中輸入的發行者名稱。

新增 AppLocker 原則檔案

在此範例中,我們要將AppLocker XML檔案新增至 應用程式規則 清單。 如果您想要同時新增多個應用程式,請使用此選項。 如需有關 AppLocker 的詳細資訊,請參閱 AppLocker 內容。

若要使用 AppLocker 工具建立應用程式規則和 xml 檔案

  1. 開啟本機安全性原則嵌入式管理單元 (SecPol.msc)。

  2. 在左窗格中,依序展開 [ 應用程控原則] 和 [AppLocker],然後選取 [ 已封裝的應用程式規則]

    本機安全性嵌入式管理單元,顯示已封裝的應用程式規則。

  3. 以滑鼠右鍵按下右窗格,然後選取 [ 建立新規則]

    此時會顯示 \[建立已封裝的應用程式規則\] 精靈。

  4. 在 [ 開始之前 ] 頁面上,選取 [ 下一步]

    建立已封裝的應用程式規則精靈,並顯示 [開始之前] 頁面。

  5. 在 [ 許可權] 頁面上,確定 [ 動作 ] 設定為 [ 允許 ],並將 [ 使用者或群組 ] 設定為 [ 所有人],然後選取 [ 下一步]

    建立已封裝的應用程式規則精靈,將動作設定為 [允許]。

  6. 在 [發行者] 頁面上,從 [使用已安裝的已封裝應用程式作為參考] 區域中選取 [取]。

    建立已封裝應用程式規則精靈,選取 [使用已安裝的已封裝應用程式]。

  7. 在 [ 選取應用程式] 方塊中,挑選您要作為規則參考的應用程式,然後選取 [ 確定]。 在此範例中,我們會使用 Microsoft 相片。

    建立已封裝的應用程式規則精靈,選取 [應用程式],然後按兩下 [確定]。

  8. 在更新的發行 頁面上,選取 [ 建立]

    [建立已封裝的應用程式規則精靈],在 [發行者] 頁面上顯示 Microsoft 相片。

  9. 檢閱本機安全性原則嵌入式管理單元,以確認規則是否正確無誤。

    顯示新規則的本機安全性嵌入式管理單元。

  10. 在左窗格中,以滑鼠右鍵按兩下 AppLocker,然後選取 [ 匯出原則]

    此時會開啟 \[匯出原則\],可讓您將新原則匯出並另存為 XML。

    本機安全性嵌入式管理單元,顯示 [匯出原則] 選項。

  11. 在 [ 匯出原則 ] 方塊中,流覽至應儲存原則的位置、為原則命名,然後選取 [ 儲存]

    系統會儲存原則,您會看到一則訊息,指出已從原則匯出一個規則。

    範例 XML 檔案
    此為 AppLocker 為 Microsoft 相片建立的 XML 檔案。

     <AppLockerPolicy Version="1">
    <RuleCollection Type="Exe" EnforcementMode="NotConfigured" />
    <RuleCollection Type ="Msi" EnforcementMode="NotConfigured" />
    <RuleCollection Type ="Script" EnforcementMode="NotConfigured" />
    <RuleCollection Type ="Dll" EnforcementMode="NotConfigured" />
    <RuleCollection Type ="Appx" EnforcementMode="NotConfigured">
        <FilePublisherRule Id="5e0c752b-5921-4f72-8146-80ad5f582110" Name="Microsoft.Windows.Photos, version 16.526.0.0 and above, from Microsoft Corporation" Description="" UserOrGroupSid="S-1-1-0" Action="Allow">
            <Conditions>
                <FilePublisherCondition PublisherName="CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="Microsoft.Windows.Photos" BinaryName="*">
                    <BinaryVersionRange LowSection="16.526.0.0" HighSection="*" />
                </FilePublisherCondition>
            </Conditions>
        </FilePublisherRule>
    </RuleCollection>
</AppLockerPolicy>

  12. 建立 XML 檔案之後,您必須使用 Configuration Manager 來匯入它。

若要使用 Configuration Manager 匯入 Applocker 原則檔案應用程式規則

  1. 從 [ 應用程式規則] 區域中,選取 [ 新增]

    此時會顯示 \[新增應用程式規則\] 方塊。

    建立設定專案精靈,新增AppLocker原則。

  2. 將您應用程式的易記名稱,新增至 \[標題\] 方塊。 在此範例中,其為 [允許的應用程式清單]

  3. [Windows 資訊保護 模式] 下拉式清單中選取 [允許]。

    [允許] 會開啟 WIP,協助透過強制執行 WIP 限制來保護該應用程式的公司數據。 若您想要豁免應用程式,可遵循<從 WIP 限制豁免應用程式>一節中所述的下列步驟。

  4. \[規則範本\] 下拉式清單中,選取 \[AppLocker 原則檔案\]

    此時方塊會變更,以讓您匯入 AppLocker XML 原則檔案。

  5. 選取省略號 (...) 流覽 AppLocker XML 檔案,選取 [ 啟],然後選取 [ 確定 ] 關閉 [ 新增應用程式規則 ] 方塊。

    此時會匯入檔案,並將應用程式新增至您的 \[應用程式規則\] 清單。

自 WIP 限制豁免應用程式

如果您遇到應用程式與 Windows 資訊保護 (WIP) 不相容,但仍需要搭配企業數據使用的相容性問題,您可以免除應用程式的 WIP 限制。 這表示您的應用程式不會包含自動加密或標記,且不受網路限制所約束。 這也表示豁免的應用程式可能有洩漏風險。

若要豁免 Store 應用程式、傳統型應用程式或 AppLocker 原則檔案應用程式規則

  1. 從 [ 應用程式規則] 區域中,選取 [ 新增]

    此時會顯示 \[新增應用程式規則\] 方塊。

  2. 將您應用程式的易記名稱,新增至 \[標題\] 方塊。 在此範例中,其為 豁免應用程式清單

  3. [Windows 資訊保護 模式] 下拉式清單中選取 [豁免]。

    當您豁免應用程式時,允許它們略過WIP限制並存取您的公司數據。 若要允許應用程式,請參閱本文中的 將應用程式規則新增至您 的原則。

  4. 根據您要新增的規則類型,填寫其餘的應用程式規則資訊:

  5. 選取 [確定]

管理企業資料的 WIP 保護層級

新增您想使用 WIP 保護的應用程式之後,您必須套用管理和加密模式。

我們建議您使用 \[無訊息\]\[覆寫\] 開始執行,並驗證小型群組確認在其受保護應用程式清單中具有正確的應用程式。 完成後,您可將最終強制執行原則變更為 \[覆寫\]\[封鎖\]

注意

如需如何收集稽核記錄檔的相關資訊,請參閱如何收集 Windows 資訊保護 (WIP) 稽核事件記錄檔

模式 描述
封鎖 WIP 會尋找不適當的資料共用做法,並阻止員工完成該動作。 這可包含在非企業保護的應用程式上共用資訊,以及在企業外部的其他人員和裝置之間共用企業資料。
覆寫 WIP 會尋找不適當的資料共用,並在員工做出可能不安全的事情時,對該員工發出警告。 不過,此管理模式允許員工覆寫原則並共用資料,同時將該動作記錄到您的稽核記錄中。
無訊息 WIP 會以無訊息方式執行、記錄不適當的數據共用,而不會封鎖在覆寫模式中提示員工互動的任何專案。 不允許的動作 (例如,不適當地嘗試存取網路資源或 WIP 所保護資料的應用程式) 仍會遭到封鎖。
關閉 WIP 會關閉,且不會協助保護或稽核您的資料。

關閉 WIP 之後,會嘗試在本機連接的磁碟機上將任何有 WIP 標記的檔案解密。 如果您重新開啟 WIP 保護,之前的解密和原則資訊並不會自動重新套用。 如需詳細資訊,請參閱如何停用 Windows 資訊保護

建立設定項目精靈,選擇您的 WIP 保護層級

定義您的企業管理身分識別網域

公司身分識別通常以您的主要因特網網域 (表示,例如,contoso.com) ,可協助識別並標記您已標示為受WIP保護之應用程式中的公司數據。 例如,使用 contoso.com 的電子郵件會識別為企業電子郵件,並受 Windows 資訊保護原則所限制。

您可以使用 字元分隔 | 多個網域,以指定企業所擁有的多個網域。 例如,contoso.com|newcontoso.com。 若有多個網域,則會將第一個網域指定為您的公司身分識別,並將其他所有網域指定為由第一個網域所擁有。 我們強烈建議您在此清單中包含所有電子郵件地址網域。

若要新增公司的身分識別

  • \[公司的身分識別\] 欄位中,輸入您公司的身分識別名稱。 例如,contoso.comcontoso.com|newcontoso.com

    建立設定專案精靈,為您的企業身分識別新增主要因特網網域。

選擇可存取企業資料的應用程式

新增保護模式至應用程式之後,必須決定那些應用程式可在您網路上存取企業資料的位置。

未提供與 WIP 一同隨附的預設位置,您必須新增每個網路位置。 此區域適用於任何網路端點裝置,該裝置會取得您企業範圍內的IP位址,而且也會系結至其中一個企業網域,包括SMB共用。 本機檔案系統位置應該僅會維持加密 (例如本機上的 NTFS、FAT、ExFAT)。

重要

每個 WIP 的原則應包含定義您企業網路位置的原則。
WIP 設定不支援無類別 Inter-Domain 路由 (CIDR) 表示法。

定義受保護應用程式可在網路上尋找及傳送企業數據的位置

  1. 按一下 \[新增\],即可新增您應用程式可存取的其他網路位置。

    此時會顯示 \[新增或編輯企業網路定義\] 方塊。

  2. \[名稱\] 方塊中輸入您企業網路元素的名稱,然後從 \[網路元素\] 下拉式方塊中,挑選網路元素的類型。 這可包含下表所述的任何選項。

    新增或編輯公司網路定義方塊,新增您的企業網路位置。

    • 企業雲端資源:指定要視為公司且受WIP保護的雲端資源。

      針對每個雲端資源,您也可以選擇性地從內部 Proxy 伺服器清單指定 Proxy 伺服器,以路由傳送此雲端資源的流量。 透過內部 Proxy 伺服器路由傳送的所有流量都視為企業。

      如果您有多個資源,則必須使用 | 分隔符加以分隔。 如果您不使用 Proxy 伺服器,您也必須在 前面|包含,分隔符。 例如:URL <,proxy>|URL <,proxy>

      格式範例

      • 使用 Proxycontoso.sharepoint.com,contoso.internalproxy1.com|contoso.visualstudio.com,contoso.internalproxy2.com

      • 沒有 Proxycontoso.sharepoint.com|contoso.visualstudio.com

      重要

      在某些情況下,例如當應用程式透過IP位址直接連線到雲端資源時,Windows 無法判斷其是嘗試連線到企業雲端資源還是個人網站。 在此狀況下,Windows 預設會封鎖該連線。 若要防止 Windows 自動封鎖這些連線,您可以將 /AppCompat/ 字串新增至設定。 例如:URL <、proxy>|URL,proxy<>|/AppCompat/。

    • 企業網路功能變數名稱 (必要) :指定環境中使用的 DNS 後綴。 所有流向此清單中完整網域的流量都會受到保護。

      此設定可搭配 IP 範圍運作,以偵測私人網路上的網路端點為企業或個人。

      如果您有多個資源,您必須使用「,」分隔符號。

      格式範例corp.contoso.com,region.contoso.com

    • Proxy 伺服器:指定您的裝置將經歷的 Proxy 伺服器以連線到您的雲端資源。 使用此伺服器類型表示您要連線的雲端資源是企業資源。

      此清單不應包含內部 Proxy 伺服器清單中列出的任何伺服器。 內部 Proxy 伺服器必須僅用於 WIP 保護的 (企業) 流量。

      如果您有多個資源,您必須使用「;」分隔符號。

      格式範例proxy.contoso.com:80;proxy2.contoso.com:443

    • 內部 Proxy 伺服器:指定您的裝置將經過的內部 Proxy 伺服器,以連線到您的雲端資源。 使用此伺服器類型表示您要連線的雲端資源是企業資源。

      此清單不應包含 Proxy 伺服器清單中列出的任何伺服器。 Proxy 伺服器必須僅用於非 WIP 保護的 (非企業) 流量。

      如果您有多個資源,您必須使用「;」分隔符號。

      格式範例contoso.internalproxy1.com;contoso.internalproxy2.com

    • 企業 IPv4 範圍 (必要) :指定內部網路內有效 IPv4 值範圍的位址。 這些位址 (用於您的企業網路網域名稱) 會定義公司網路界限。

      如果您有多個範圍資源,您必須使用「,」分隔符號。

      格式範例

      • 啟動 IPv4 位址:3.4.0.1
      • 結束 IPv4 位址:3.4.255.254
      • 自訂 URI:3.4.0.1-3.4.255.254, 10.0.0.1-10.255.255.254

    • 企業 IPv6 範圍:指定內部網路內有效 IPv6 值範圍的位址。 這些位址 (用於您的企業網路網域名稱) 會定義公司網路界限。

      如果您有多個範圍資源,您必須使用「,」分隔符號。

      格式範例

      • 起始 IPv6 位址:2a01:110::
      • 結束 IPv6 位址:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff
      • 自訂 URI:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff,fd00::-fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

    • 中性資源:指定貴公司的驗證重新導向端點。 這些位置會根據重新導向前的連線內容,視為企業或個人。

      如果您有多個資源,您必須使用「,」分隔符號。

      格式範例sts.contoso.com,sts.contoso2.com

  3. 視需要新增多個位置,然後選取 [ 確定]

    此時會關閉 \[新增或編輯企業網路定義\] 方塊。

  4. 決定是否要讓 Windows 尋找其他網路設定,以及當位於「檔案總管」中時,是否要在公司檔案上顯示 WIP 圖示。

    建立設定項目精靈,新增是否要搜尋其他網路設定

    • 企業 Proxy 伺服器清單具有授權 (不會自動偵測)。 如果您想要讓 Windows 將您在網路界限定義中指定的 Proxy 伺服器視為網路上可用的 Proxy 伺服器完整清單,請選取此方塊。 若您取消勾選此方塊,則 Windows 會在您的直接網路中搜尋其他 Proxy 伺服器。 預設選項是 \[未設定\]。

    • 企業 IP 範圍清單具有權威性 (不自動偵測)。 如果您想要讓 Windows 將您在網路界限定義中指定的 IP 範圍視為網路上可用 IP 範圍的完整清單,請選取此方塊。 若您取消勾選此方塊,則 Windows 會在連線至您網路的所有加入網域裝置上,搜尋其他 IP 範圍。 預設選項是 \[未設定\]。

    • 在檔案總管中的公司檔案上,於您允許的非 WIP 感知應用程式上顯示 Windows 資訊保護圖示覆疊。 如果您想要讓 Windows 資訊保護 圖示重疊出現在 [另存新檔] 和 [檔案總管] 檢視中的公司檔案上,請選取此方塊。 此外,針對非覺察型但允許的應用程式,圖示覆疊也會顯示在應用程式磚上,並且在 \[開始\] 功能表中的應用程式名稱上會帶有「受管理」文字。 預設選項是 \[未設定\]。

  5. 在 [將 數據復原代理程序上傳 (DRA) 憑證以允許復原加密數據 ] 方塊中,選取 [ 流覽 ] 以新增原則的數據復原憑證。

    建立設定專案精靈,新增數據復原代理程式 (DRA) 憑證。

    在您建立 WIP 原則並將其部署至員工之後,Windows 會開始加密員工本機裝置磁碟驅動器上的公司數據。 如果員工的本機加密密鑰遺失或撤銷,加密的數據可能會變成無法復原。 為了避免發生此情況。DRA 憑證可讓 Windows 使用內含的公開金鑰來加密本機資料,而您仍可保有私人金鑰來解密資料。

    如需如何尋找和匯出數據復原憑證的詳細資訊,請參閱 數據復原和加密文件系統 (EFS) 。 如需建立和驗證 EFS DRA 憑證的詳細資訊,請參閱 建立和驗證加密文件系統 (EFS) Data Recovery Agent (DRA) 憑證

在您決定受保護的應用程式可以存取網路上企業數據的位置之後,系統會要求您決定是否要新增任何選擇性的 WIP 設定。

建立設定專案精靈,選擇任何其他選擇性設定。

若要設定您的選用設定

  1. 選擇設定任一或所有的選用設定︰

    • 允許 Windows Search 搜尋已加密的公司資料和 Store 應用程式。 決定 Windows 搜尋是否能夠搜尋加密的公司資料和 Store 應用程式,並為其建立索引。 選項包括:

      • \[是\]。 允許 Windows Search 搜尋已加密的公司資料和 Store 應用程式,並為其建立索引。

      • \[否\] 或 \[未設定\] (建議選項)。 停止讓 Windows Search 搜尋已加密的公司資料和 Store 應用程式,並為其建立索引。

    • 在取消註冊程式期間撤銷本機加密金鑰。 決定是否要在從 Windows 資訊保護 取消註冊時,從裝置撤銷使用者的本機加密密鑰。 若撤銷加密金鑰,則使用者將無法再存取已加密的公司資料。 選項包括:

      • \[是\] 或 \[未設定\] (建議選項)。 執行解除註冊時撤銷本機加密金鑰。

      • 否。 執行解除註冊時停止從裝置撤銷本機加密金鑰。 例如,如果您要在行動裝置 裝置管理 (MDM) 解決方案之間進行移轉。

    • 允許 Azure RMS。 使用USB磁碟驅動器之類的抽取式媒體,啟用檔案的安全共用。 如需 RMS 如何與 WIP 搭配運作的詳細資訊,請參閱使用 Intune 建立 WIP 原則。 若要確認您的租使用者有哪些範本,請從 AADRM PowerShell 模組執行 Get-AadrmTemplate 如果您未指定範本,WIP 會使用來自租使用者中每個人都可存取之預設 RMS 範本的金鑰。

  2. 挑選您想要包含的所有設定之後,請選取 [ 摘要]

在 \[摘要\] 畫面檢閱您的設定選擇

完成原則設定後,您可在 \[摘要\] 畫面檢閱所有的資訊。

若要檢視 \[摘要\] 畫面

  • 選取 [ 摘要 ] 按鈕以檢閱您的原則選擇,然後選取 [ 下一步 ] 以完成並儲存原則。

    建立設定專案精靈,所有原則選擇的 [摘要] 畫面。

    此時會出現進度列,顯示原則的進度。 完成之後,選取 [關閉 ] 傳回 [ 設定專案] 頁面。

部署 WIP 原則

建立 WIP 原則之後,您必須將它部署到組織的裝置。 如需部署選項的詳細資訊,請參閱下列文章: