使用 Windows 資訊保護 (WIP) 時的限制

適用於：

• Windows 10
• Windows 11

下列清單提供您在組織中執行 Windows 資訊保護 時可能遇到的最常見問題相關信息。

• 限制：根據您的 Azure RMS 設定，USB 磁碟驅動器上的企業數據可能會繫結至其所保護的裝置。

  • 其顯示方式：

    • 如果您使用 Azure RMS：已驗證的使用者可以在執行 Windows 10 版本 1703 的電腦上，在 USB 磁碟驅動器上開啟企業數據。
    • 如果您未使用 Azure RMS：新位置中的數據會保持加密狀態，但在其他裝置和其他使用者上則無法存取。 例如，檔案無法開啟，或是檔案已開啟，但其中沒有可讀的文字。

  • 因應措施：透過企業文件伺服器或企業雲端位置與同事共用檔案。 若必須透過 USB 分享資料，則員工可解密受保護的檔案，但系統將會稽核該檔案。

    強烈建議您針對如何限制或摒除此解密需求方面，實行相關的員工教育訓練。

• 限制：直接存取與 Windows 資訊保護 不相容。

  • 顯示方式：直接存取可能會遇到 Windows 資訊保護 如何強制執行應用程式行為和數據移動的問題，因為 WIP 如何判斷什麼是公司網路資源，而非公司網路資源。

  • 因應措施：建議您使用 VPN 來存取內部網路資源的用戶端。

    注意

    VPN 是選擇性的，Windows 資訊保護 不需要。

• 限制：NetworkIsolation 群組原則 設定優先於 MDM 原則設定。

  • 顯示方式：NetworkIsolation 群組原則 設定可以設定也可以使用 MDM 設定的網路設定。 WIP 依賴這些原則的設定正確。
  • 因應措施：如果您同時使用 群組原則 和 MDM 來設定 NetworkIsolation 設定，您必須確定使用 群組原則 和 MDM 將這些相同的設定部署到您的組織。

• 限制：如果 Cortana 位於允許的應用程式清單上，則可能會允許數據外洩。

  • 顯示方式：如果 Cortana 位於允許的清單上，則在員工使用 Cortana 執行搜尋之後，某些檔案可能會意外加密。 員工仍可使用 Cortana 搜尋並提供企業文件和位置相關結果，但這些結果可能會傳送至 Microsoft。

  • 因應措施：我們不建議將 Cortana 新增至您允許的應用程式清單。 然而，若您想要使用 Cortana 且不介意結果是否可能會傳送至 Microsoft，則可將 Cortana 設為豁免應用程式。

• 限制：Windows 資訊保護 是針對每個裝置的單一用戶所設計。

  • 顯示方式：當未啟用的應用程式開始自動為所有使用者加密時，裝置上的次要使用者可能會遇到應用程式相容性問題。 此外，在取消註冊程序期間，只能撤銷已註冊的初始用戶內容。
  • 因應措施：每個管理的裝置只有一個使用者。
  • 如果發生這種情況，可能會降低風險。 停用保護之後，第二位使用者可以藉由變更檔案擁有權來移除保護。 雖然保護已就緒，但使用者仍可存取檔案。

• 限制：從企業網路檔案共享複製的安裝程式可能無法正常運作。

  • 顯示方式：應用程式可能無法正確安裝，因為它無法讀取必要的組態或數據檔，例如安裝所需的 .cab 或 .xml 檔案，其受到複製動作保護。
  • 因應措施：若要修正此問題，您可以：

    • 直接從檔案分享啟動安裝程式。

      或

    • 將安裝程式所需的本機複製檔案解密。

      或

    • 將安裝媒體的檔案共享標示為「個人」。 若要這樣做，您必須將企業IP範圍設定為 [授權 ]，然後排除檔伺服器的IP位址，或者您必須將檔伺服器放在 [企業 Proxy 伺服器] 清單上。

• 限制：不支持變更您的主要公司身分識別。

  • 其顯示方式：您可能會遇到各種機率，包括但不限於網路和檔案存取失敗，而且可能授與不正確的存取權。
  • 因應措施：在變更主要公司身分識別之前，先關閉所有裝置的 Windows 資訊保護， (清單中的第一個專案) 、重新啟動，最後重新部署。

• 限制：具有 Client-Side 快取的重新導向資料夾與 Windows 資訊保護 不相容。

  • 顯示方式：應用程式在嘗試讀取快取的離線檔案時，可能會遇到存取錯誤。

  • 因應措施：移轉以使用另一個檔案同步處理方法，例如工作資料夾或 商務用 OneDrive。

    注意

    如需工作資料夾和離線檔案的詳細資訊，請參閱 Windows 工作資料夾和離線檔案支援 資訊保護 部落格。 如果您在使用離線檔案和 Windows 資訊保護 時無法離線開啟檔案，請參閱使用離線檔案和 Windows 資訊保護 時無法離線開啟檔案。

• 限制：非受控裝置可以使用遠端桌面通訊協定 (RDP) 連線到受 WIP 管理的裝置。

  • 其顯示方式：

    • 從 WIP 受控裝置複製的數據會標示為 [工作]。
    • 複製到 WIP 管理裝置的數據不會標示為 [工作]。
    • 複製到 WIP 管理裝置的本機 工作 數據會保留 工作 數據。
    • 在相同會話中的兩個應用程式之間複製的工作資料會保留 ** 資料。

  • 因應措施：停用 RDP 以防止存取，因為無法限制僅限 Windows 資訊保護 所管理之裝置的存取權。 預設會停用 RDP。

• 限制：您無法使用 Microsoft Edge 或 Internet Explorer 將企業檔案上傳至個人位置。

  • 顯示方式：出現一則訊息，指出內容標示為 [工作 ]，且用戶沒有選項可覆寫為 [個人]。
  • 因應措施：開啟 檔案總管，並將檔案擁有權變更為 [個人]，然後再上傳。

• 限制：應謹慎使用 ActiveX 控制件。

  • 顯示方式：使用 ActiveX 控制件的網頁可能會與其他未使用 Windows 資訊保護 保護的外部進程通訊。

  • 因應措施：建議您切換至使用 Microsoft Edge，這是更安全且更安全的瀏覽器，可防止使用 ActiveX 控件。 此外，也建議您只在需要舊版技術的企業營運應用程式中使用 Internet Explorer 11。

    如需詳細資訊，請參閱封鎖過時的 ActiveX 控制項。

• 限制：Windows 資訊保護 目前不支持復原文件系統 (ReFS) 。

  • 顯示方式：嘗試將 Windows 資訊保護 檔案儲存或傳輸至 ReFS 將會失敗。
  • 因應措施：格式化 NTFS 的磁碟驅動器，或使用不同的磁碟驅動器。

• 限制：如果下列任一檔夾的MakeFolderAvailableOfflineDisabled 選項設為 False，則不會開啟 Windows 資訊保護：

  • AppDataRoaming
  • 桌面
  • StartMenu
  • 文件
  • 圖片
  • 音樂
  • 影片
  • 我的最愛
  • 連絡人
  • 下載
  • 連結
  • 搜尋
  • 儲存的遊戲
  
  

  • 其顯示方式：未為組織中的員工開啟 Windows 資訊保護。 如果使用 Microsoft Configuration Manager 部署 Windows 資訊保護，將會產生錯誤碼0x807c0008。

  • 因應措施：請勿將任何指定資料夾的 MakeFolderAvailableOfflineDisabled 選項設定為 False 。 您可以設定此參數，如 停用個別重新導向資料夾上的離線檔案所述。

    如果您目前使用重新導向的資料夾，建議您移轉至支援 Windows 資訊保護 的檔案同步處理解決方案，例如工作資料夾或 商務用 OneDrive。 此外，如果您在 Windows 資訊保護 就緒之後套用重新導向的資料夾，您可能無法離線開啟檔案。

    如需這些潛在存取錯誤的詳細資訊，請參閱當您使用離線檔案和 Windows 資訊保護時無法離線開啟檔案。

• 限制：只有啟用的應用程式才能在沒有裝置註冊的情況下進行管理

  • 顯示方式：如果使用者註冊裝置進行行動應用程式管理 (MAM) 而不註冊裝置，則只會管理覺察型應用程式。 這是設計來防止未經覺察的應用程式在無意中加密個人檔案。

    需要使用 MAM 存取工作的未檢視應用程式必須重新編譯為 LOB 應用程式，或使用 MDM 搭配裝置註冊來管理。

  • 因應措施：如果需要管理所有應用程式，請註冊 MDM 的裝置。

• 限制：根據設計，Windows 目錄中的檔案 (%windir% 或 C：/Windows) 無法加密，因為任何使用者都需要存取這些檔案。 如果 Windows 目錄中的檔案由一位使用者加密，其他使用者就無法存取它。

  • 其顯示方式：任何在 Windows 目錄中加密檔案的嘗試都會傳回拒絕存取檔案的錯誤。 但是，如果您將加密的檔案複製或拖放到 Windows 目錄，它會保留加密以接受擁有者的意圖。
  • 因應措施：如果您需要將加密的檔案儲存在 Windows 目錄中，請在不同的目錄中建立並加密檔案，然後複製它。

• 限制：必須正確設定 商務用 OneDrive 上的 OneNote 筆記本，才能使用 Windows 資訊保護。

  • 顯示方式：OneNote 在同步處理 商務用 OneDrive 筆記本時可能會發生錯誤，並建議將檔案擁有權變更為個人。 嘗試在瀏覽器的 OneNote Online 中檢視筆記本會顯示錯誤，且無法檢視。

  • 因應措施：從 檔案總管 新複製到 商務用 OneDrive資料夾的 OneNote 筆記本應該會自動修正。 若要這樣做，請執行下列步驟：

    1. 關閉 OneNote 中的筆記本。
    2. 透過 檔案總管 將筆記本資料夾從 商務用 OneDrive 資料夾移至另一個位置，例如Desktop。
    3. 複製筆記本資料夾，並將其貼回 商務用 OneDrive資料夾。

    請等候幾分鐘，讓 OneDrive 完成同步 & 升級筆記本，且資料夾應該會自動轉換成因特網快捷方式。 開啟快捷方式會在瀏覽器中開啟筆記本，然後使用 [在應用程式中開啟] 按鈕在 OneNote 用戶端中開啟。

• 限制： (PST 和 OST 檔案) 的 Microsoft Office Outlook 離機數據檔不會標示為 工作 檔案，因此不受保護。

  • 顯示方式：如果 Microsoft Office Outlook 設定為在快取模式下運作， (預設設定) ，或如果某些電子郵件儲存在本機 PST 檔案中，則不會保護數據。
  • 因應措施：建議您以在線模式使用 Microsoft Office Outlook，或使用加密手動保護 OST 和 PST 檔案。

注意

• 當公司數據寫入磁碟時，Windows 資訊保護 會使用 Windows 提供的加密文件系統 (EFS) 來保護它，並將它與您的企業身分識別產生關聯。 請注意，檔案總管 中的 [預覽] 窗格不適用於加密的檔案。

• 請提供我們編輯內容、新增內容及意見反應，協助提升本主題的品質。 如需如何參與本主題的相關資訊，請參閱發表至我們的內容 (英文)。