Windows 信息保护设备策略

Windows 信息保护 (WIP) 以前称为企业数据保护 (EDP),是一项防止出现潜在企业数据泄漏的 Windows 技术。数据泄漏会通过与非企业保护的应用程序、在应用程序之间或在组织网络外部共享企业数据发生。有关详细信息,请参阅 Microsoft TechNet 上的 Protect your enterprise data using Windows Information Protection (WIP)(使用 Windows 信息保护 (WIP) 保护您的企业数据)。

可以在 XenMobile 创建一条设备策略以指定在您设置的强制级别需要 Windows 信息保护的应用程序。“Windows 信息保护”策略适用于 Windows 10 1607 版及更高版本的受监督 Phone、Tablet 和 Desktop。

XenMobile 包括一些常用应用程序,并且您可以添加其他应用程序。您为策略指定影响用户体验的强制级别。例如,您可以:

  • 阻止任何不恰当的数据共享。

  • 警告不恰当的数据共享并允许用户覆盖策略。

  • 登录并允许不恰当的数据共享过程中无提示运行 WIP。

要将应用程序从 Windows 信息保护中排除,请在 Microsoft AppLocker XML 文件中定义这些应用程序,然后将这些文件导入到 XenMobile 中。

要添加或配置此策略,请转至配置 > 设备策略。有关详细信息,请参阅设备策略

Windows 10 设置

“设备策略”配置屏幕图

  • 桌面应用程序 (Windows 10 Tablet)、应用商店应用程序(Windows 10 Phone 和 Tablet):XenMobile 包括一些常用应用程序,如上例中所示。您可以根据需要编辑或删除这些应用程序。

    要添加其他应用程序,请在桌面应用程序应用商店应用程序表中,单击添加并提供应用程序信息。

    允许的应用程序可以读取、创建和更新企业数据。禁止的应用程序不能访问企业数据。例外应用程序可以读取企业数据,但不能创建或修改这些数据。

    • AppLocker XML: Microsoft 提供存在与 WIP 有关的已知兼容性问题的 Microsoft 应用程序的列表。要从 WIP 中排除这些应用程序,请单击浏览以上载该列表。XenMobile 在发送到设备的策略中将上载的 AppLocker XML 与配置的桌面和应用商店应用程序组合在一起。有关详细信息,请参阅 Recommended deny list for Windows Information Protection(针对 Windows 信息保护的建议拒绝列表)。

    • 强制级别: 选择一个选项以指定您希望 Windows 信息保护功能保护和管理数据共享的方式。默认值为

      • 0-关闭: WIP 已关闭,不保护或审核您的数据。

      • 1-无提示: WIP 无提示运行,记录不恰当的数据共享,并且不阻止任何操作。您可以通过报告 CSP 访问日志。

      • 2-替代: WIP 向用户警告潜在的不安全数据共享。用户可以替代警告并共享数据。此模式在您的审核日志中记录操作,包括用户替代操作。

      • 3-阻止: WIP 阻止用户完成潜在的不安全数据共享。

    • 受保护的域名: 您的企业用于其用户身份的域。此托管标识域列表以及主域组成了您的托管企业的标识。列表中的第一个域是在 Windows UI 中使用的主企业标识。请使用“|”分隔列表项。例如: domain1.com | domain2.com

    • 数据恢复证书: 单击浏览,然后选择一个用于加密文件的数据恢复的恢复证书。此证书与用于加密文件系统 (EFS) 的数据恢复代理 (DRA) 证书相同,仅通过 MDM 提供,不通过组策略提供。如果恢复证书不可用,请进行创建。有关信息,请参阅本节中的“创建数据恢复证书”。

    • 网络域名称: 组成了企业边界的域的列表。WIP 保护传输到此列表中的完全限定域的所有流量。此设置以及 IP 范围设置用于检测专用网络中的网络端点是企业端点还是个人端点。请使用逗号分隔列表项。例如:corp.example.com,region.example.com

    • IP 范围: 定义企业网络中的计算机的企业 IPv4 和 IPv6 范围的列表。WIP 将这些位置视为企业数据共享的安全位置。请使用逗号分隔列表项。例如:

      10.0.0.0-10.255.255.255,2001:4898::-2001:4898:7fff:ffff:ffff:ffff:ffff:ffff

    • IP 范围列表具有权威性: 要阻止 Windows 自动检测 IP 范围,请将此设置更改为。默认值为

    • 代理服务器: 企业可以用于公司资源的代理服务器的列表。如果在您的网络中使用代理,则需要此设置。如果未设置代理服务器,则当客户端位于代理后面时,企业资源可能不可用。例如,可能无法从宾馆和饭店的某些 WiFi 热点访问资源。请使用逗号分隔列表项。例如:

      proxy.example.com:80;157.54.11.118:443

    • 内部代理服务器: 您的设备通过其访问云资源的代理服务器的列表。使用此服务器类型指示您要连接到的云资源属于企业资源。请勿在此列表中包括代理服务器设置中的任何服务器,这些服务器用于非 WIP 保护的流量。请使用逗号分隔列表项。例如:

      example.internalproxy1.com;10.147.80.50

    • 云资源: WIP 保护的云资源的列表。对于每种云资源,您还可以选择在代理服务器列表中指定一个代理服务器,用于路由此云资源的流量。通过代理服务器路由的所有流量都被视为企业流量。请使用逗号分隔列表项。例如:

      domain1.com:InternalProxy.domain1.com,domain2.com:InternalProxy.domain2.com

    • 设置锁定情况下需要保护: 仅限 Windows 10 Phone。如果设置为,还需要设置通行码设备策略。否则,Windows 信息保护策略部署将失败。此外,如果此策略设置为,则将显示需要锁定保护设置。默认值为

    • 需要锁定保护: 仅限 Windows 10 Phone。指定是否在锁定设备上使用不受员工 PIN 保护的密钥加密企业数据。应用程序不能读取锁定设备上的公司数据。默认值为

    • 取消注册时吊销 WIP 证书: 指定从 Windows 信息保护中取消注册用户设备时是否从该用户设备中吊销本地加密密钥。吊销加密密钥后,用户将无法访问加密的公司数据。如果设置为,取消注册后将不吊销这些密钥,并且用户可以继续有权访问受保护的文件。默认值为

    • 显示覆盖图标: 指定是否在资源管理器中的公司文件以及“开始”菜单中的仅企业应用程序磁贴中包括 Windows 信息保护图标叠加。默认值为

创建数据恢复证书

要启用 Windows 信息保护策略,需要数据恢复证书。

  1. 在 XenMobile Server 上,打开一个命令提示窗口并导航到要在其中创建证书的文件夹(Windows\System32 除外)。

  2. 运行以下命令:

    cipher /r:ESFDRA

  3. 系统提示时,请输入一个用于保护私钥文件的密码。

    cipher 命令将创建一个 .cer 和 .pfx 文件。

  4. 在 XenMobile 控制台中,转至设置 > 证书并导入 .cer 文件,该文件应用于 Windows 10 Tablet 和 Phone。

用户体验

当 Windows 信息保护生效时,应用程序和文件将包括一个图标:

Windows 信息保护图标示例

Windows 信息保护图标示例

如果用户复制受保护的文件或者将其保存到不受保护的位置,则将显示以下通知,具体取决于所配置的强制级别。

通知示例

Windows 信息保护设备策略