EnterpriseDataProtection 云解决方案提供商

下表显示了 Windows 的适用性：

版次	Windows 10	Windows 11
Home 键	是	是
专业版	是	是
Windows SE	否	是
商用版	是	是
企业	是	是
教育	是	是

EnterpriseDataProtection 配置服务提供程序 (CSP) 用于配置 Windows 信息保护 (WIP) （以前称为企业数据保护）的设置。 有关 WIP 的详细信息，请参阅使用 Windows 信息保护 (WIP) 保护企业数据。

注意

从 2022 年 7 月开始，Microsoft 将弃用 Windows 信息保护 (WIP) 和支持 WIP 的 API。 Microsoft 将继续在受支持的 Windows 版本上支持 WIP。 新版本的 Windows 不包括 WIP 的新功能，并且将来的 Windows 版本中不支持它。 有关详细信息，请参阅宣布 Windows 信息保护的日落。

为了满足数据保护需求，Microsoft 建议使用 Microsoft Purview 信息保护 和 Microsoft Purview 数据丢失防护。 Purview 简化了配置设置，并提供一组高级功能。

注意

若要使 Windows 信息保护正常运行，还必须配置 AppLocker CSP 和特定于网络隔离的设置。 有关详细信息，请参阅策略 CSP 中的 AppLocker CSP 和 NetworkIsolation 策略。

虽然 Windows 信息保护不依赖于 VPN，但为了获得最佳结果，应在配置 WIP 策略之前先配置 VPN 配置文件。 有关 VPN 最佳做法建议，请参阅 VPNv2 CSP。

若要了解有关 Windows 信息保护的详细信息，请参阅以下文章：

• 创建 Windows 信息保护 (WIP) 策略
• Windows 信息保护 (WIP) 的一般指南和最佳做法

以下示例以树格式显示 EnterpriseDataProtection CSP。

./Device/Vendor/MSFT
EnterpriseDataProtection
----Settings
--------EDPEnforcementLevel
--------EnterpriseProtectedDomainNames
--------AllowUserDecryption
--------DataRecoveryCertificate
--------RevokeOnUnenroll
--------RMSTemplateIDForEDP
--------AllowAzureRMSForEDP
--------EDPShowIcons
----Status

./Device/Vendor/MSFT/EnterpriseDataProtection CSP 的根节点。

设置Windows 信息保护 (WIP 的根节点) 配置设置。

Settings/EDPEnforcementLevel 设置 WIP 强制级别。

注意

设置此值不足以在设备上启用 Windows 信息保护。 当 WIP 清理正在运行时，尝试更改此值将失败。

以下列表显示支持的值:

• 0 (默认) – 关闭/无保护 (解密以前受保护的数据) 。
• 1 – 静默模式 (仅加密和审核) 。
• 2 – 允许替代模式 (加密、提示和允许替代，以及审核) 。
• 3 – 隐藏替代 (加密、提示但隐藏替代以及审核) 。

支持的操作包括“添加”、“获取”、“替换”和“删除”。 值类型为整数。

Settings/EnterpriseProtectedDomainNames 企业用于其用户标识的域列表，由管道 (“|”分隔) 。 列表中的第一个域必须是主要企业 ID，即表示 Windows 信息保护的管理机构。 将其中一个域的用户身份视为企业托管的帐户，与之相关联的数据应受到保护。 例如，企业拥有的所有电子邮件帐户的域应会显示在此列表中。 当 WIP 清理正在运行时，尝试更改此值将失败。

不支持更改主要企业 ID，这可能会导致客户端出现意外行为。

注意

客户端要求域名为规范域名，否则客户端将拒绝该设置。

下面是创建规范域名的步骤：

1. 将仅) (A-Z 的 ASCII 字符转换为小写。 例如，Microsoft.COM -> microsoft.com。
2. 使用 IDN_USE_STD3_ASCII_RULES 作为标志调用 IdnToAscii 。
3. 调用未设置标志的 IdnToUnicode (dwFlags = 0) 。

支持的操作包括“添加”、“获取”、“替换”和“删除”。 值类型为字符串。

Settings/AllowUserDecryption 允许用户解密文件。 如果设置为 0 (不允许) ，则用户将无法通过操作系统或应用程序用户体验删除企业内容保护。

重要提示

从 Windows 10 版本 1703 开始，不再支持 AllowUserDecryption。

以下列表显示支持的值:

• 0 – 不允许。
• 1（默认值）– 允许。

最受限制的值为 0。

支持的操作包括“添加”、“获取”、“替换”和“删除”。 值类型为整数。

Settings/DataRecoveryCertificate 指定可用于加密文件的数据恢复的恢复证书。 此证书与用于加密文件系统 (EFS) 的数据恢复代理 (DRA) 证书相同，仅通过移动设备管理 (MDM) 而不是组策略传递。

注意

如果同时配置了此策略和相应的组策略设置，则会强制实施组策略设置。

来自 MDM 策略的 DRA 信息必须是与预期来自 GP 的相同序列化的二进制 Blob。 二进制 Blob 是以下结构的序列化版本：

//
//  Recovery Policy Data Structures
//

typedef struct _RECOVERY_POLICY_HEADER {
    USHORT      MajorRevision;
    USHORT      MinorRevision;
    ULONG       RecoveryKeyCount;
} RECOVERY_POLICY_HEADER, *PRECOVERY_POLICY_HEADER;

typedef struct _RECOVERY_POLICY_1_1    {
        RECOVERY_POLICY_HEADER  RecoveryPolicyHeader;
        RECOVERY_KEY_1_1        RecoveryKeyList[1];
}   RECOVERY_POLICY_1_1, *PRECOVERY_POLICY_1_1;

#define EFS_RECOVERY_POLICY_MAJOR_REVISION_1   (1)
#define EFS_RECOVERY_POLICY_MINOR_REVISION_0   (0)

#define EFS_RECOVERY_POLICY_MINOR_REVISION_1   (1)

///////////////////////////////////////////////////////////////////////////////
//                                                                            /
//  RECOVERY_KEY Data Structure                                               /
//                                                                            /
///////////////////////////////////////////////////////////////////////////////

//
// Current format of recovery data.
//

typedef struct _RECOVERY_KEY_1_1   {
        ULONG               TotalLength;
        EFS_PUBLIC_KEY_INFO PublicKeyInfo;
} RECOVERY_KEY_1_1, *PRECOVERY_KEY_1_1;


typedef struct _EFS_PUBLIC_KEY_INFO {

    //
    // The length of this entire structure, including string data
    // appended to the end. The length should be a multiple of 8 for
    // 64 bit alignment
    //

    ULONG Length;

    //
    // Sid of owner of the public key (regardless of format).
   // This field is to be treated as a hint only.
    //

    ULONG PossibleKeyOwner;

    //
    // Contains information describing how to interpret
    // the public key information
    //

    ULONG KeySourceTag;

    union {

        struct {

            //
            // The following fields contain offsets based at the
            // beginning of the structure.  Each offset is to
            // a NULL terminated WCHAR string.
            //

            ULONG ContainerName;
            ULONG ProviderName;

            //
            // The exported public key used to encrypt the FEK.
            // This field contains an offset from the beginning of the
            // structure.
            //

            ULONG PublicKeyBlob;

            //
            // Length of the PublicKeyBlob in bytes
            //

            ULONG PublicKeyBlobLength;

        } ContainerInfo;

        struct {

            ULONG CertificateLength;       // in bytes
            ULONG Certificate;             // offset from start of structure

        } CertificateInfo;


        struct {

            ULONG ThumbprintLength;        // in bytes
            ULONG CertHashData;            // offset from start of structure

        } CertificateThumbprint;
    };



} EFS_PUBLIC_KEY_INFO, *PEFS_PUBLIC_KEY_INFO;

//
// Possible KeyTag values
//

typedef enum _PUBLIC_KEY_SOURCE_TAG {
    EfsCryptoAPIContainer = 1,
    EfsCertificate,
    EfsCertificateThumbprint
} PUBLIC_KEY_SOURCE_TAG, *PPUBLIC_KEY_SOURCE_TAG;

对于 EFSCertificate KeyTag，应为 DER ENCODED 二进制证书。

支持的操作包括“添加”、“获取”、“替换”和“删除”。 值类型是 base-64 编码证书。

Settings/RevokeOnUnenroll此策略控制在设备从管理服务中取消注册时是否撤销 Windows 信息保护密钥。 如果设置为 0 (不撤销密钥) ，则不会撤销密钥，并且用户在取消注册后将继续有权访问受保护的文件。 如果未撤销密钥，则以后不会进行已撤销的文件清理。 在发送取消注册命令之前，如果希望设备在取消注册时执行选择性擦除，则应将此策略显式设置为 1。

以下列表显示支持的值:

• 0 – 不撤销密钥。
• 1 (默认) – 撤销密钥。

支持的操作包括“添加”、“获取”、“替换”和“删除”。 值类型为整数。

Settings/RevokeOnMDMHandoff在 Windows 10 版本 1703 中添加。 此策略控制在设备从移动应用程序管理 (MAM) 升级到 MDM 时是否撤销 Windows 信息保护密钥。 如果设置为 0 (不撤销密钥) ，则不会撤销密钥，并且用户在升级后将继续有权访问受保护的文件。 如果为 MDM 服务配置了与 MAM 服务相同的 WIP EnterpriseID，则建议使用此设置。

• 0 - 不撤销密钥。
• 1 (默认) - 撤销密钥。

支持的操作包括“添加”、“获取”、“替换”和“删除”。 值类型为整数。

Settings/RMSTemplateIDForEDP 用于 Rights Management Service 的 TemplateID GUID (RMS) 加密。 RMS 模板允许 IT 管理员配置有关谁有权访问受 RMS 保护的文件以及他们有权访问多长时间的详细信息。

支持的操作包括“添加”、“获取”、“替换”和“删除”。 值类型是 GUID) (字符串。

Settings/AllowAzureRMSForEDP指定是否允许 Windows 信息保护的 Azure RMS 加密。

• 0 (默认) – 请勿使用 RMS。
• 1 - 使用 RMS。

支持的操作包括“添加”、“获取”、“替换”和“删除”。 值类型为整数。

Settings/SMBAutoEncryptedFileExtensions在 Windows 10 版本 1703 中添加。 指定文件扩展名列表，以便在从服务器消息块 (SMB) 共享的服务器消息块复制时加密这些扩展名的文件，如 NetworkIsolation/EnterpriseIPRange 和 NetworkIsolation/EnterpriseNetworkDomainNames 的策略 CSP 节点中定义的那样。 在列表中使用分号 (;) 分隔符。 如果未指定此策略，则会应用现有的自动加密行为。 配置此策略后，只会加密列表中扩展名为的文件。 支持的操作包括“添加”、“获取”、“替换”和“删除”。 值类型为字符串。

Settings/EDPShowIcons 确定是否将覆盖添加到 “开始 ”菜单上的“资源管理器”和“仅限企业”应用磁贴中受 WIP 保护的文件的图标。 从 Windows 10 版本 1703 开始，此设置还会在受 WIP 保护的应用的标题栏中配置 Windows 信息保护图标的可见性。 以下列表显示支持的值:

• 0 (默认) - 图标或磁贴上没有 WIP 覆盖。
• 1 - 在只能创建企业内容的受保护文件和应用上显示 WIP 覆盖。

支持的操作包括“添加”、“获取”、“替换”和“删除”。 值类型为整数。

地位一个只读位掩码，指示设备上 Windows 信息保护的当前状态。 MDM 服务可以使用此值来确定 WIP 的当前总体状态。 如果配置了 WIP 强制策略和 WIP AppLocker 设置，WIP 仅在 (位 0 = 1) 。

建议的值：

保留供将来使用	WIP 强制设置 Set = 1 未设置 = 0	保留供将来使用	已配置 AppLocker 是 = 1 否 = 0	WIP on = 1 WIP off = 0
4	3	2	1	0

位 0 指示 WIP 是打开还是关闭。

第 1 位指示是否设置了 AppLocker WIP 策略。

第 3 位指示是否配置了必需的 Windows 信息保护策略。 如果未配置一个或多个必需的 WIP 策略，则位 3 设置为 0 (零) 。

下面是必需的 WIP 策略列表：

• EnterpriseDataProtection CSP 中的 EDPEnforcementLevel
• EnterpriseDataProtection CSP 中的 DataRecoveryCertificate
• EnterpriseDataProtection CSP 中的 EnterpriseProtectedDomainNames
• 策略 CSP 中的 NetworkIsolation/EnterpriseIPRange
• 策略 CSP 中的 NetworkIsolation/EnterpriseNetworkDomainNames

第 2 位和第 4 位保留供将来使用。

支持的操作为 Get。 值类型为整数。

相关主题

配置服务提供程序参考