在 Microsoft Intune 中建立 Windows 資訊保護 原則

  • 發行項

注意

從 2022 年 7 月開始,Microsoft 即將淘汰 Windows 資訊保護 (WIP) 。 Microsoft 將繼續在支援的 Windows 版本上支援 WIP。 新版本的 Windows 不會包含 WIP 的新功能,未來版本的 Windows 將不支援它。 如需詳細資訊,請參閱宣佈 Windows 資訊保護 日落

針對您的數據保護需求,Microsoft 建議您使用 Microsoft Purview 資訊保護Microsoft Purview 資料外洩防護。 Purview 可簡化組態設定,並提供一組進階功能。

適用於:

  • Windows 10
  • Windows 11

Microsoft Intune 可以輕鬆地建立和部署 Windows 資訊保護 (WIP) 原則。 您可以選擇要保護的應用程式、保護層級,以及如何在網路上尋找企業數據。 裝置可以完全由行動裝置 裝置管理 (MDM) 管理,或由行動應用程式管理 (MAM) 管理,其中 Intune 只管理使用者個人裝置上的應用程式。

MDM 與適用於 WIP 的 MAM 之間的差異

您可以使用 MDM 的裝置註冊或不註冊 MAM 的裝置,在 Intune 中建立應用程式保護原則。 建立任一原則的程式很類似,但有一些重要的差異:

  • MAM 有更多適用於 Windows Hello 企業版 的存取設定。
  • MAM 可以選擇性地從用戶的個人裝置 抹除公司數據
  • MAM 需要 Microsoft Entra ID P1 或 P2 授權
  • WIP 自動復原也需要 Microsoft Entra ID P1 或 P2 授權,其中裝置可以重新註冊並重新取得受保護數據的存取權。 WIP 自動復原取決於 Microsoft Entra 註冊來備份加密密鑰,這需要使用 MDM 自動註冊裝置。
  • MAM 僅支援每部裝置一位使用者。
  • MAM 只能管理 覺察型應用程式
  • 只有 MDM 可以使用 BitLocker CSP 原則。
  • 如果 MDM 和 MAM 都以相同的使用者和裝置為目標,則 MDM 原則會套用至已加入 Microsoft Entra ID 的裝置。 針對已加入工作場所 (的個人裝置,使用 [設定>] 新增 Email & 帳戶>新增公司或學校帳戶) ,則會偏好使用僅限 MAM 的原則,但可以在 [設定] 中將裝置管理升級至 MDM。 Windows 家用版僅支援僅適用於 MAM 的 WIP;升級至 Home Edition 上的 MDM 原則將會撤銷受 WIP 保護的數據存取。

必要條件

您必須先在 Microsoft Entra ID 中設定 MDM 或 MAM 提供者,才能使用 Intune 建立 WIP 原則。 MAM 需要 Microsoft Entra ID P1 或 P2 授權。 WIP 自動復原也需要 Microsoft Entra ID P1 或 P2 授權,其中裝置可以重新註冊並重新取得受保護數據的存取權。 WIP 自動復原依賴 Microsoft Entra 註冊來備份加密密鑰,這需要使用 MDM 自動註冊裝置。

設定 MDM 或 MAM 提供者

  1. 登入 Azure 入口網站。

  2. 取 [Microsoft Entra ID>][行動 (MDM 和 MAM) Microsoft Intune>]。

  3. 取 [還原預設 URL] ,或輸入 MDM 或 MAM 用戶範圍的設定,然後選取 [ 儲存]

    設定 MDM 或 MAM 提供者。

建立 WIP 原則

  1. 登入 Microsoft Intune 系統管理中心

  2. 開啟 [Microsoft Intune],然後選取 [應用程式>應用程式防護> 原則建立原則]

    開啟用戶端應用程式。

  3. 在 [ 應用程式原則] 畫面中,選取 [ 新增原則],然後填寫字段:

    • 名稱。 輸入您的新原則的名稱 (必填)。

    • 說明。 輸入選擇性說明。

    • 平台。 選擇 [Windows 10]。

    • 註冊狀態。 選擇 [ 不註冊 MAM] 或 [ 使用 MDM 註冊]。

    新增行動應用程式原則。

  4. 取 [受保護的應用程式 ],然後選取 [ 新增應用程式]

    新增受保護的應用程式。

    您可以新增下列型態的應用程式:

注意

從受保護應用程式清單中移除存取遭拒錯誤之後,應用程式可能會傳回拒絕存取錯誤。 請卸載並重新安裝應用程式,或將其從WIP原則中豁免,而不是從清單中移除它。

取 [建議的應用程式 ],然後選取您想要存取企業數據的每個應用程式,或全部選取,然後選取 [ 確定]

Microsoft Intune 管理主控台:建議的應用程式。

新增市集應用程式

取 [市集應用程式],輸入應用程式產品名稱和發行者,然後選取 [ 確定]。 例如,若要從市集新增 Power BI 行動版 應用程式,請輸入下列內容:

  • 名稱:Microsoft Power BI
  • 發行者CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
  • 產品名稱Microsoft.MicrosoftPowerBIForWindows

新增市集應用程式。

若要新增多個市集應用程式,請選取省略號

如果您不知道市集應用程式發行者或產品名稱,您可以依照下列步驟找到它們。

  1. 移至商務用 Microsoft Store 網站,然後尋找您的應用程式。 例如,Power BI 行動版 應用程式。

  2. 從應用程式 URL 複製識別碼值。 例如,Power BI 行動版 應用程式識別碼 URL 是 https://www.microsoft.com/store/p/microsoft-power-bi/9nblgggzlxn1,而您會複製識別碼值 9nblgggzlxn1

  3. 在瀏覽器中,執行商務用 Store 入口網站 Web API,以傳回包含發行者和產品名稱值的 JavaScript 物件標記法 (JSON) 檔案。 例如,執行 https://bspmts.mp.microsoft.com/v1/public/catalog/Retail/Products/9nblgggzlxn1/applockerdata,其中 9nblgggzlxn1 會取代為您的標識碼值。

    API 會執行並開啟文字編輯器,其中包含應用程式的詳細資料。

     {
 	"packageIdentityName": "Microsoft.MicrosoftPowerBIForWindows",
 	"publisherCertificateName": "CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US"
 }

  4. publisherCertificateName 值和 packageIdentityName 值分別複製貼入 \[發行者\] 方塊和 Intune 的 \[名稱\] 方塊中。

    重要

    JSON 檔案在 \[發行者名稱\] 與 \[產品名稱\] 方塊可能也會傳回 windowsPhoneLegacyId 值。 這表示您有一個使用 XAP 套件的應用程式,而且您必須將 產品名稱 設定為 windowsPhoneLegacyId,並將 發行者名稱 設定為 CN= ,後面接著 windowsPhoneLegacyId

    例如:

    {
    "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
}

新增傳統型應用程式

若要新增 傳統型應用程式,請根據您想要傳回的結果,完成下列欄位。

欄位 管理
標示為的所有欄位 * 發行者簽署的所有檔案。 (不建議使用且可能無法運作)
僅發行者 如果您只填寫此欄位,您會取得由具名發行者簽署的所有檔案。 若您的公司是內部企業營運應用程式的發行者與簽署人,則此做法非常實用。
僅發行者與名稱 如果您只填寫這些欄位,您會取得指定產品的所有檔案,由具名發行者簽署。
僅發行者、名稱及檔案 如果您只填寫這些欄位,您會取得指定產品的任何具名檔案或套件版本,由具名發行者簽署。
僅發行者、名稱、檔案及最小版本 如果您只填寫這些欄位,您會取得指定產品之具名檔案或套件的指定版本或較新版本,並由具名發行者簽署。 建議針對先前未覺察的覺察型應用程式,使用此選項。
僅發行者、名稱、檔案及最大版本 如果您只填寫這些欄位,您會取得指定產品之具名檔案或套件的指定版本或較舊版本,並由具名發行者簽署。
完成所有欄位。 如果您填寫所有欄位,您會取得指定產品之具名檔案或套件的指定版本,並由具名發行者簽署。

若要新增另一個傳統型應用程式,請選擇取省略號 。 在欄位中輸入信息之後,請選取 [ 確定]

Microsoft Intune 管理主控台:新增傳統型應用程式資訊。

如果您不確定要為發行者包含哪些專案,您可以執行此 PowerShell 命令:

Get-AppLockerFileInformation -Path "<path_of_the_exe>"

其中 "<path_of_the_exe>" 指向應用程式在裝置上的位置。 例如:

Get-AppLockerFileInformation -Path "C:\Program Files\Windows NT\Accessories\wordpad.exe"

在這個範例中,您會取得以下資訊:

Path                   Publisher
----                   ---------
%PROGRAMFILES%\WINDOWS NT\ACCESSORIES\WORDPAD.EXE O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US

其中 O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US發行者 名稱,而 WORDPAD.EXE 名。

關於如何取得您想要新增之應用程式的產品名稱,請連絡 Windows 支援小組以要求指導方針

匯入應用程式清單

本節涵蓋使用AppLocker XML檔案至 受保護應用程式 清單的兩個範例。 如果您想要同時新增多個應用程式,請使用此選項。

如需有關 AppLocker 的詳細資訊,請參閱 AppLocker 內容。

建立市集應用程式的已封裝應用程式規則

  1. 開啟本機安全性原則嵌入式管理單元 (SecPol.msc)。

  2. 依序展開 [應用程控原則] 和 [AppLocker],然後選取 [ 已封裝的應用程式規則]

    本機安全性嵌入式管理單元,顯示已封裝的應用程式規則。

  3. 以滑鼠右鍵按下右側,然後選取 [ 建立新規則]

    此時會顯示 \[建立已封裝的應用程式規則\] 精靈。

  4. 在 [ 開始之前 ] 頁面上,選取 [ 下一步]

    [開始之前] 索引標籤的螢幕快照。

  5. 在 [ 許可權] 頁面上,確定 [ 動作 ] 設定為 [ 允許 ],並將 [ 使用者或群組 ] 設定為 [ 所有人],然後選取 [ 下一步]

    [許可權] 索引標籤的螢幕快照,其中已選取 [允許] 和 [所有人]

  6. 在 [發行者] 頁面上,從 [使用已安裝的已封裝應用程式作為參考] 區域中選擇 [取]。

    已選取 [使用已安裝的套件應用程式作為參考] 單選按鈕的螢幕快照,並醒目提示 [選取] 按鈕

  7. 在 [ 選取應用程式] 方塊中,挑選您要作為規則參考的應用程式,然後選取 [ 確定]。 在此範例中,我們使用 Microsoft Dynamics 365。

    [選取應用程式] 列表的螢幕快照。

  8. 在更新的發行 頁面上,選取 [ 建立]

    [發行者] 索引標籤的螢幕快照。

  9. 在出現的對話框中選取 [ ],詢問您是否要建立默認規則。 請勿為 WIP 原則建立默認規則。

    AppLocker 警告的螢幕快照。

  10. 檢閱本機安全性原則嵌入式管理單元,以確認規則是否正確無誤。

    顯示新規則的本機安全性嵌入式管理單元。

  11. 在左側,以滑鼠右鍵按兩下 [AppLocker],然後選取 [ 匯出原則]

    此時會開啟 \[匯出原則\],可讓您將新原則匯出並另存為 XML。

    本機安全性嵌入式管理單元,顯示 [匯出原則] 選項。

  12. 在 [ 匯出原則 ] 方塊中,流覽至應儲存原則的位置、為原則命名,然後選取 [ 儲存]

    系統會儲存原則,您會看到一則訊息,指出已從原則匯出一個規則。

    範例 XML 檔案
    此為 AppLocker 為 Microsoft Dynamics 365 建立的 XML 檔案。

    <?xml version="1.0"?>
<AppLockerPolicy Version="1">
    <RuleCollection EnforcementMode="NotConfigured" Type="Appx">
        <FilePublisherRule Action="Allow" UserOrGroupSid="S-1-1-0" Description="" Name="Microsoft.MicrosoftDynamicsCRMforWindows10, version 3.2.0.0 and above, from Microsoft Corporation" Id="3da34ed9-aec6-4239-88ba-0afdce252ab4">
            <Conditions>
                <FilePublisherCondition BinaryName="*" ProductName="Microsoft.MicrosoftDynamicsCRMforWindows10" PublisherName="CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US">
                    <BinaryVersionRange HighSection="*" LowSection="3.2.0.0"/>
                </FilePublisherCondition>
            </Conditions>
        </FilePublisherRule>
    </RuleCollection>
    <RuleCollection EnforcementMode="NotConfigured" Type="Dll"/>
    <RuleCollection EnforcementMode="NotConfigured" Type="Exe"/>
    <RuleCollection EnforcementMode="NotConfigured" Type="Msi"/>
    <RuleCollection EnforcementMode="NotConfigured" Type="Script"/>
</AppLockerPolicy>

  13. 建立 XML 檔案之後,您必須使用 Microsoft Intune 來匯入它。

為未簽署的應用程式建立可執行文件規則

可執行檔案規則有助於建立 AppLocker 規則來簽署任何未簽署的應用程式。 它可讓您新增要套用WIP原則所需的檔案路徑或包含在檔案數位簽名中的應用程式發行者。

  1. 開啟本機安全性原則嵌入式管理單元 (SecPol.msc)。

  2. 在左窗格中,選取 [ 應用程控原則>][AppLocker>可執行文件規則]

  3. 以滑鼠右鍵按兩下 [可執行文件規則>建立新規則]

    本機安全性嵌入式管理單元,其中顯示可執行文件規則。

  4. 在 [ 開始之前 ] 頁面上,選取 [ 下一步]

  5. 在 [ 許可權] 頁面上,確定 [ 動作 ] 設定為 [ 允許 ],並將 [ 使用者或群組 ] 設定為 [ 所有人],然後選取 [ 下一步]

  6. 在 [ 條件] 頁面上,選取 [ 路徑 ],然後選取 [ 下一步]

    在 [建立可執行文件規則精靈] 中選取 [路徑條件] 的螢幕快照。

  7. 取 [瀏覽資料夾... ],然後選取未簽署的應用程式路徑。 在此範例中,我們使用 「C:\Program Files」。。

    [建立可執行文件規則精靈] 之 [路徑] 欄位的螢幕快照。

  8. 在 [ 例外狀況] 頁面上,新增任何例外狀況,然後選取 [ 下一步]

  9. 在 [ 名稱] 頁面上,輸入規則的名稱和描述,然後選取 [ 建立]

  10. 在左窗格中,以滑鼠右鍵按兩下 [AppLocker>導出原則]

  11. 在 [ 匯出原則 ] 方塊中,流覽至應儲存原則的位置、為原則命名,然後選取 [ 儲存]

    系統會儲存原則,您會看到一則訊息,指出已從原則匯出一個規則。

  12. 建立 XML 檔案之後,您必須使用 Microsoft Intune 來匯入它。

使用 Microsoft Intune 匯入受保護應用程式的清單

  1. [受保護的應用程式] 中,選取 [ 匯入應用程式]

    匯入受保護的應用程式。

    然後匯入您的檔案。

    Microsoft Intune,使用 Intune 匯入 AppLocker 原則檔案。

  2. 流覽至導出的 AppLocker 原則檔案,然後選取 [ 開啟]

    檔案匯入和應用程式會新增至受 保護的應用程式 清單。

從 WIP 原則豁免應用程式

如果您的應用程式與 WIP 不相容,但仍需要與企業數據搭配使用,則您可以免除應用程式的 WIP 限制。 這表示您的應用程式不會包含自動加密或標記,且不受網路限制所約束。 這也表示豁免的應用程式可能有洩漏風險。

  1. [用戶端應用程式 - 應用程式防護 原則] 中,選取 [豁免應用程式]

    豁免應用程式。

  2. [豁免應用程式] 中,選取 [新增應用程式]

    當您豁免應用程式時,允許它們略過WIP限制並存取您的公司數據。

  3. 根據您要新增的應用程式類型,填寫其餘的應用程式資訊:

  4. 選取 [確定]

管理企業資料的 WIP 保護模式

新增您想使用 WIP 保護的應用程式之後,您必須套用管理和加密模式。

我們建議您使用 \[無訊息\]\[允許覆寫\] 開始執行,並同時與小型群組驗證您的受保護應用程式清單中具有正確的應用程式。 完成之後,您可以變更為最終強制原則 [封鎖]

  1. 應用程式防護 原則中,選取您原則的名稱,然後選取 [必要設定]

    Microsoft Intune,[必要] 設定會顯示 Windows 資訊保護 模式。

    模式 描述
    封鎖 WIP 會尋找不適當的資料共用做法,並阻止員工完成該動作。 這可包含在非企業保護的應用程式上共用資訊,以及在企業外部的其他人員和裝置之間共用企業資料。
    允許覆寫 WIP 會尋找不適當的資料共用,並在員工做出可能不安全的事情時,對該員工發出警告。 不過,此管理模式允許員工覆寫原則並共用資料,同時將該動作記錄到您的稽核記錄中。 如需如何收集稽核記錄檔的相關資訊,請參閱如何收集 Windows 資訊保護 (WIP) 稽核事件記錄檔
    無訊息 WIP 會以無訊息方式執行、記錄不適當的數據共用,而不會封鎖在允許覆寫模式時,會提示員工互動的任何專案。 不允許的動作 (例如,不適當地嘗試存取網路資源或 WIP 所保護資料的應用程式) 仍會遭到阻止。
    關閉 WIP 會關閉,且不會協助保護或稽核您的資料。

    關閉 WIP 之後,會嘗試在本機連接的磁碟機上將任何有 WIP 標記的檔案解密。 如果您重新開啟 WIP 保護,之前的解密和原則資訊並不會自動重新套用。 如需詳細資訊,請參閱如何停用 Windows 資訊保護

  2. 選取 \[儲存\]

定義您的企業管理公司身分識別

公司身分識別通常以您的主要因特網網域 (表示,例如,contoso.com) ,有助於識別並標記您已標示為受WIP保護之應用程式中的公司數據。 例如,使用 contoso.com 的電子郵件會識別為企業電子郵件,並受 Windows 資訊保護原則所限制。

從 Windows 10 版本 1703 開始,Intune 會自動判斷您的公司身分識別,並將它加入 \[公司身分\] 欄位。

變更公司身分識別

  1. [應用程式原則] 中,選取您原則的名稱,然後選取 [ 必要設定]

  2. 如果自動定義的身分識別不正確,您可以在 [ 公司身 分識別] 字段中變更資訊。

    Microsoft Intune,為您的組織設定公司身分識別。

  3. 若要新增網域,例如您的電子郵件功能變數名稱,請選取 [設定 進階設定>][新增網络界限 ],然後選取 [ 受保護的網域]

    新增受保護的網域。

選擇可存取企業資料的應用程式

新增保護模式至應用程式之後,必須決定那些應用程式可在您網路上存取企業資料的位置。 每個 WIP 原則都應該包含您的企業網路位置。

未提供與 WIP 一同隨附的預設位置,您必須新增每個網路位置。 此區域適用於任何網路端點裝置,該裝置會取得您企業範圍內的IP位址,而且也會系結至其中一個企業網域,包括SMB共用。 本機檔案系統位置應該僅會維持加密 (例如本機上的 NTFS、FAT、ExFAT)。

若要定義網路界限,請選取 [應用程式>原則] 作為原則的名稱[進階>設定>][新增網路界限]

Microsoft Intune,設定您的應用程式可在網路上存取企業數據的位置。

\[邊界類型\] 方塊選取要新增的網路邊界類型。 在 [ 名稱] 方 塊中輸入界限的名稱,根據下列子區段所涵蓋的選項,將您的值新增至 [ ] 方塊,然後選取 [ 確定]

雲端資源

指定要由 WIP 視為公司和受保護的雲端資源。 針對每個雲端資源,您亦可選擇透過內部 Proxy 伺服器清單指定 Proxy 伺服器,以路由傳送此雲端資源的流量。 透過內部 Proxy 伺服器路由傳送的所有流量都會被視為企業。

使用 “|” 分隔符來分隔多個資源。 例如:

URL <,proxy>|URL <,proxy>

個人應用程式可以存取具有空白空間或無效字元的雲端資源,例如 URL 中的尾端點。

若要新增雲端資源的子域,請使用句號 (.) ,而不是星號 (*) 。 例如,若要在 Office.com 內新增所有子域,請使用 “.office.com” (,而不需要) 引號。

在某些情況下,例如當應用程式透過IP位址直接連線到雲端資源時,Windows 無法判斷其是嘗試連線到企業雲端資源還是個人網站。 在此狀況下,Windows 預設會封鎖該連線。 若要讓 Windows 停止自動封鎖這些連線,您可以將 /*AppCompat*/ 字串新增至設定。 例如:

URL <,proxy>|URL <,proxy>|/*AppCompat*/

當您使用此字串時,建議您也開啟 Microsoft Entra 條件式存取,使用已加入網域或標示為相容選項,這會封鎖應用程式存取受條件式存取保護的任何企業雲端資源。

使用 Proxy 的值格式:

contoso.sharepoint.com,contoso.internalproxy1.com|contoso.visualstudio.com,contoso.internalproxy2.com

不含 Proxy 的值格式:

contoso.sharepoint.com|contoso.visualstudio.com|contoso.onedrive.com,

受保護的網域

指定環境中用於身分識別的網域。 所有流向此清單中完整網域的流量都會受到保護。 使用 “|” 分隔符來分隔多個網域。

exchange.contoso.com|contoso.com|region.contoso.com

網路網域

指定環境中使用的 DNS 尾碼。 所有流向此清單中完整網域的流量都會受到保護。 使用 “,” 分隔符來分隔多個資源。

corp.contoso.com,region.contoso.com

Proxy 伺服器

指定您裝置會通過與雲端資源通訊的 Proxy 伺服器。 使用此伺服器類型表示您要連線的雲端資源是企業資源。

此清單不應包含內部 Proxy 伺服器清單中列出的任何伺服器。 Proxy 伺服器必須僅用於非 WIP 保護的 (非企業) 流量。 使用 “;” 分隔符分隔多個資源。

proxy.contoso.com:80;proxy2.contoso.com:443

內部 Proxy 伺服器

指定您裝置會通過與雲端資源通訊的內部 Proxy 伺服器。 使用此伺服器類型表示您要連線的雲端資源是企業資源。

此清單不應包含 Proxy 伺服器清單中列出的任何伺服器。 內部 Proxy 伺服器必須僅用於 WIP 保護的 (企業) 流量。 使用 “;” 分隔符分隔多個資源。

contoso.internalproxy1.com;contoso.internalproxy2.com

IPv4 範圍

指定內部網路中 IPv4 位址的有效值範圍。 這些位址 (用於您的網路網域名稱) 會定義公司網路界限。 不支援無類別 Inter-Domain 路由 (CIDR) 表示法。

使用 “,” 分隔符分隔多個範圍。

開始 IPv4 位址:3.4.0.1
結束 IPv4 位址:3.4.255.254
自訂 URI: 3.4.0.1-3.4.255.254、
10.0.0.1-10.255.255.254

IPv6 範圍

開始使用 Windows 10 版本 1703,此為選用欄位。

指定內部網路中 IPv6 位址的有效值範圍。 這些位址會與您的網路功能變數名稱搭配使用,以定義您的公司網路界限。 不支援無類別 Inter-Domain 路由 (CIDR) 表示法。

使用 “,” 分隔符分隔多個範圍。

起始 IPv6 位址:2a01:110::
結束 IPv6 位址:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff
自訂 URI:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff,'<br>'fd00::-fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

中性資源

指定您公司的驗證重新導向端點。 這些位置會根據重新導向前的連線內容,視為企業或個人。 使用 “,” 分隔符來分隔多個資源。

sts.contoso.com,sts.contoso2.com

決定是否要讓 Windows 尋找更多網路設定:

  • 企業 Proxy 伺服器清單具有授權 (不會自動偵測)。 如果您要讓 Windows 會您在網路界限定義中指定的 Proxy 伺服器視為網路上可用的 Proxy 伺服器完整清單,請開啟 。 如果您關閉此功能,Windows 將會在您的即時網路中搜尋更多 Proxy 伺服器。

  • 企業 IP 範圍清單具有權威性 (不自動偵測)。 如果您要讓 Windows 會您在網路界限定義中指定的 IP 範圍視為網路上可用 IP 範圍的完整清單,請開啟 。 如果您關閉此功能,Windows 將會在連線到您網路的任何已加入網域的裝置上搜尋更多IP範圍。

Microsoft Intune,選擇您是否要讓 Windows 在企業中搜尋更多 Proxy 伺服器或 IP 範圍。

上傳您的資料修復代理 (DRA) 憑證

在您建立 WIP 原則並將其部署至員工之後,Windows 會開始加密員工本機裝置磁碟驅動器上的公司數據。 如果員工的本機加密密鑰遺失或撤銷,加密的數據可能會變成無法復原。 為了避免發生此情況。資料修復代理 (DRA) 憑證可讓 Windows 使用內含的公開金鑰來加密本機資料,而您仍可保有私人金鑰來解密資料。

重要

不一定要使用 DRA 憑證。 但是我們強烈建議。 如需如何尋找和匯出數據復原憑證的詳細資訊,請參閱 數據復原和加密文件系統 (EFS) 。 如需建立和驗證 EFS DRA 憑證的詳細資訊,請參閱 建立和驗證加密文件系統 (EFS) Data Recovery Agent (DRA) 憑證

上傳您的 DRA 憑證

  1. [應用程式原則] 中,選取您原則的名稱,然後從出現的功能表中選取 [ 進階設定 ]。

    顯示進階設定

  2. 在 [ 上傳數據復原代理程式 (DRA) 憑證以允許復原加密的數據 ] 方塊中,選取 [ 流覽 ] 以新增原則的數據復原憑證。

    Microsoft Intune 上傳您的 Data Recovery Agent (DRA) 憑證。

在決定受保護的應用程式可以存取網路上企業數據的位置之後,您可以選擇選擇性設定。

進階選擇性設定。

解除註冊時會撤銷加密金鑰。 決定是否要在使用者從 Windows 資訊保護 取消註冊時,從裝置撤銷其本機加密密鑰。 若撤銷加密金鑰,則使用者將無法再存取已加密的公司資料。 選項包括:

  • 開啟或未設定 (建議選項)。 執行解除註冊時撤銷本機加密金鑰。

  • 關閉: 執行解除註冊時停止從裝置撤銷本機加密金鑰。 例如,如果您要在行動裝置 裝置管理 (MDM) 解決方案之間進行移轉。

顯示企業資料保護圖示。 決定是否要在 \[另存新檔\] 和「檔案總管」檢視中的公司檔案上顯示「Windows 資訊保護」圖示覆疊。 選項包括:

  • 開啟。 允許在 \[另存新檔\] 和「檔案總管」檢視中的公司檔案上顯示「Windows 資訊保護」圖示覆疊。 此外,對於未覺察但受保護的應用程式,圖示重疊也會出現在應用程式磚上,並在 [ 開始 ] 功能表的應用程式名稱上顯示受控文字。

  • 關閉或未設定 (建議選項)。 防止 Windows 資訊保護 圖示重疊出現在公司檔案或未啟用但受保護的應用程式上。 預設選項是 \[未設定\]。

將 Azure RMS 用於 WIP。 判斷 WIP 是否使用 Microsoft Azure Rights Management 將 EFS 加密套用至從 Windows 10 複製到 USB 或其他抽取式磁碟驅動器的檔案,以便安全地與員工共用。 換句話說,WIP 會在檔案複製到抽取式磁碟驅動器時,使用 Azure Rights Management 的「機制」將 EFS 加密套用至檔案。 您必須已設定 Azure Rights Management。 EFS 檔案加密金鑰受到 RMS 範本授權的保護。 只有具有該範本許可權的使用者可以從卸除式磁碟驅動器讀取它。 WIP 也可以使用 EnterpriseDataProtection CSP 中的 AllowAzureRMSForEDPRMSTemplateIDForEDP MDM 設定來與 Azure RMS 整合。

  • 開啟。 保護複製到卸載式磁碟驅動器的檔案。 您可以輸入 TemplateID GUID 來指定誰可以存取受 Azure Rights Management 保護的檔案,以及多久。 RMS 範本只會套用至抽取式媒體上的檔案,且僅用於訪問控制,不會實際將 Azure 資訊保護 套用至檔案。

    如果您未指定 RMS 範本,則這是使用所有使用者都可以存取之預設 RMS 範本的一般 EFS 檔案。

  • 關閉或未設定。 停止 WIP 加密複製到抽取式磁碟驅動器的 Azure Rights Management 檔案。

    注意

    不論此設定為何,商務用 OneDrive 中的所有檔案都會加密,包括移動的已知資料夾。

允許 Windows 搜尋索引器搜尋加密的檔案。 決定是否允許 Windows 搜尋索引器為加密的專案編製索引,例如 WIP 保護的檔案。

  • 開啟。 啟動 Windows 搜尋索引器以編製加密檔案的索引。

  • 關閉或未設定。 停止 Windows 搜尋索引器編製加密檔案的索引。

加密的擴展名

您可以限制從企業網路位置內的SMB共用下載受WIP保護的檔案。 如果已設定此設定,則只會加密清單中具有擴展名的檔案。 如果未指定此設定,則會套用現有的自動加密行為。

WIP 加密的擴展名。