使用 Windows 資訊保護 (WIP) 時的限制
適用於:
- Windows 10
- Windows 11
下列清單提供您在組織中執行 Windows 資訊保護 時可能遇到的最常見問題相關信息。
限制:根據您的 Azure RMS 設定,USB 磁碟驅動器上的企業數據可能會繫結至其所保護的裝置。
其顯示方式:
- 如果您使用 Azure RMS:已驗證的使用者可以在執行 Windows 10 版本 1703 的電腦上,在 USB 磁碟驅動器上開啟企業數據。
- 如果您未使用 Azure RMS:新位置中的數據會保持加密狀態,但在其他裝置和其他使用者上則無法存取。 例如,檔案無法開啟,或是檔案已開啟,但其中沒有可讀的文字。
因應措施:透過企業文件伺服器或企業雲端位置與同事共用檔案。 若必須透過 USB 分享資料,則員工可解密受保護的檔案,但系統將會稽核該檔案。
強烈建議您針對如何限制或摒除此解密需求方面,實行相關的員工教育訓練。
限制:直接存取與 Windows 資訊保護 不相容。
顯示方式:直接存取可能會遇到 Windows 資訊保護 如何強制執行應用程式行為和數據移動的問題,因為 WIP 如何判斷什麼是公司網路資源,而非公司網路資源。
因應措施:建議您使用 VPN 來存取內部網路資源的用戶端。
注意
VPN 是選擇性的,Windows 資訊保護 不需要。
限制:NetworkIsolation 群組原則 設定優先於 MDM 原則設定。
- 顯示方式:NetworkIsolation 群組原則 設定可以設定也可以使用 MDM 設定的網路設定。 WIP 依賴這些原則的設定正確。
- 因應措施:如果您同時使用 群組原則 和 MDM 來設定 NetworkIsolation 設定,您必須確定使用 群組原則 和 MDM 將這些相同的設定部署到您的組織。
限制:如果 Cortana 位於允許的應用程式清單上,則可能會允許數據外洩。
限制:Windows 資訊保護 是針對每個裝置的單一用戶所設計。
- 顯示方式:當未啟用的應用程式開始自動為所有使用者加密時,裝置上的次要使用者可能會遇到應用程式相容性問題。 此外,在取消註冊程序期間,只能撤銷已註冊的初始用戶內容。
- 因應措施:每個管理的裝置只有一個使用者。
- 如果發生這種情況,可能會降低風險。 停用保護之後,第二位使用者可以藉由變更檔案擁有權來移除保護。 雖然保護已就緒,但使用者仍可存取檔案。
限制:從企業網路檔案共享複製的安裝程式可能無法正常運作。
- 顯示方式:應用程式可能無法正確安裝,因為它無法讀取必要的組態或數據檔,例如安裝所需的 .cab 或 .xml 檔案,其受到複製動作保護。
- 因應措施:若要修正此問題,您可以:
直接從檔案分享啟動安裝程式。
或
將安裝程式所需的本機複製檔案解密。
或
將安裝媒體的檔案共享標示為「個人」。 若要這樣做,您必須將企業IP範圍設定為 [授權 ],然後排除檔伺服器的IP位址,或者您必須將檔伺服器放在 [企業 Proxy 伺服器] 清單上。
限制:不支持變更您的主要公司身分識別。
- 其顯示方式:您可能會遇到各種機率,包括但不限於網路和檔案存取失敗,而且可能授與不正確的存取權。
- 因應措施:在變更主要公司身分識別之前,先關閉所有裝置的 Windows 資訊保護, (清單中的第一個專案) 、重新啟動,最後重新部署。
限制:具有 Client-Side 快取的重新導向資料夾與 Windows 資訊保護 不相容。
顯示方式:應用程式在嘗試讀取快取的離線檔案時,可能會遇到存取錯誤。
因應措施:移轉以使用另一個檔案同步處理方法,例如工作資料夾或 商務用 OneDrive。
注意
如需工作資料夾和離線檔案的詳細資訊,請參閱 Windows 工作資料夾和離線檔案支援 資訊保護 部落格。 如果您在使用離線檔案和 Windows 資訊保護 時無法離線開啟檔案,請參閱使用離線檔案和 Windows 資訊保護 時無法離線開啟檔案。
限制:非受控裝置可以使用遠端桌面通訊協定 (RDP) 連線到受 WIP 管理的裝置。
其顯示方式:
- 從 WIP 受控裝置複製的數據會標示為 [工作]。
- 複製到 WIP 管理裝置的數據不會標示為 [工作]。
- 複製到 WIP 管理裝置的本機 工作 數據會保留 工作 數據。
- 在相同會話中的兩個應用程式之間複製的工作資料會保留 ** 資料。
因應措施:停用 RDP 以防止存取,因為無法限制僅限 Windows 資訊保護 所管理之裝置的存取權。 預設會停用 RDP。
限制:您無法使用 Microsoft Edge 或 Internet Explorer 將企業檔案上傳至個人位置。
- 顯示方式:出現一則訊息,指出內容標示為 [工作 ],且用戶沒有選項可覆寫為 [個人]。
- 因應措施:開啟 檔案總管,並將檔案擁有權變更為 [個人],然後再上傳。
限制:應謹慎使用 ActiveX 控制件。
顯示方式:使用 ActiveX 控制件的網頁可能會與其他未使用 Windows 資訊保護 保護的外部進程通訊。
因應措施:建議您切換至使用 Microsoft Edge,這是更安全且更安全的瀏覽器,可防止使用 ActiveX 控件。 此外,也建議您只在需要舊版技術的企業營運應用程式中使用 Internet Explorer 11。
如需詳細資訊,請參閱封鎖過時的 ActiveX 控制項。
限制:Windows 資訊保護 目前不支持復原文件系統 (ReFS) 。
- 顯示方式:嘗試將 Windows 資訊保護 檔案儲存或傳輸至 ReFS 將會失敗。
- 因應措施:格式化 NTFS 的磁碟驅動器,或使用不同的磁碟驅動器。
限制:如果下列任一檔夾的MakeFolderAvailableOfflineDisabled 選項設為 False,則不會開啟 Windows 資訊保護:
- AppDataRoaming
- 桌面
- StartMenu
- 文件
- 圖片
- 音樂
- 影片
- 我的最愛
- 連絡人
- 下載
- 連結
- 搜尋
- 儲存的遊戲
其顯示方式:未為組織中的員工開啟 Windows 資訊保護。 如果使用 Microsoft Configuration Manager 部署 Windows 資訊保護,將會產生錯誤碼0x807c0008。
因應措施:請勿將任何指定資料夾的 MakeFolderAvailableOfflineDisabled 選項設定為 False 。 您可以設定此參數,如 停用個別重新導向資料夾上的離線檔案所述。
如果您目前使用重新導向的資料夾,建議您移轉至支援 Windows 資訊保護 的檔案同步處理解決方案,例如工作資料夾或 商務用 OneDrive。 此外,如果您在 Windows 資訊保護 就緒之後套用重新導向的資料夾,您可能無法離線開啟檔案。
如需這些潛在存取錯誤的詳細資訊,請參閱當您使用離線檔案和 Windows 資訊保護時無法離線開啟檔案。
限制:只有啟用的應用程式才能在沒有裝置註冊的情況下進行管理
顯示方式:如果使用者註冊裝置進行行動應用程式管理 (MAM) 而不註冊裝置,則只會管理覺察型應用程式。 這是設計來防止未經覺察的應用程式在無意中加密個人檔案。
需要使用 MAM 存取工作的未檢視應用程式必須重新編譯為 LOB 應用程式,或使用 MDM 搭配裝置註冊來管理。
因應措施:如果需要管理所有應用程式,請註冊 MDM 的裝置。
限制:根據設計,Windows 目錄中的檔案 (%windir% 或 C:/Windows) 無法加密,因為任何使用者都需要存取這些檔案。 如果 Windows 目錄中的檔案由一位使用者加密,其他使用者就無法存取它。
- 其顯示方式:任何在 Windows 目錄中加密檔案的嘗試都會傳回拒絕存取檔案的錯誤。 但是,如果您將加密的檔案複製或拖放到 Windows 目錄,它會保留加密以接受擁有者的意圖。
- 因應措施:如果您需要將加密的檔案儲存在 Windows 目錄中,請在不同的目錄中建立並加密檔案,然後複製它。
限制:必須正確設定 商務用 OneDrive 上的 OneNote 筆記本,才能使用 Windows 資訊保護。
顯示方式:OneNote 在同步處理 商務用 OneDrive 筆記本時可能會發生錯誤,並建議將檔案擁有權變更為個人。 嘗試在瀏覽器的 OneNote Online 中檢視筆記本會顯示錯誤,且無法檢視。
因應措施:從 檔案總管 新複製到 商務用 OneDrive資料夾的 OneNote 筆記本應該會自動修正。 若要這樣做,請執行下列步驟:
- 關閉 OneNote 中的筆記本。
- 透過 檔案總管 將筆記本資料夾從 商務用 OneDrive 資料夾移至另一個位置,例如Desktop。
- 複製筆記本資料夾,並將其貼回 商務用 OneDrive資料夾。
請等候幾分鐘,讓 OneDrive 完成同步 & 升級筆記本,且資料夾應該會自動轉換成因特網快捷方式。 開啟快捷方式會在瀏覽器中開啟筆記本,然後使用 [在應用程式中開啟] 按鈕在 OneNote 用戶端中開啟。
限制: (PST 和 OST 檔案) 的 Microsoft Office Outlook 離機數據檔不會標示為 工作 檔案,因此不受保護。
- 顯示方式:如果 Microsoft Office Outlook 設定為在快取模式下運作, (預設設定) ,或如果某些電子郵件儲存在本機 PST 檔案中,則不會保護數據。
- 因應措施:建議您以在線模式使用 Microsoft Office Outlook,或使用加密手動保護 OST 和 PST 檔案。
注意
當公司數據寫入磁碟時,Windows 資訊保護 會使用 Windows 提供的加密文件系統 (EFS) 來保護它,並將它與您的企業身分識別產生關聯。 請注意,檔案總管 中的 [預覽] 窗格不適用於加密的檔案。
請提供我們編輯內容、新增內容及意見反應,協助提升本主題的品質。 如需如何參與本主題的相關資訊,請參閱發表至我們的內容 (英文)。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應