在 Windows 上支持 Windows 信息保护 (WIP)

Windows 信息保护 (WIP) 是一种轻型解决方案,用于管理个人设备上的公司数据访问和安全性。 WIP 支持内置于 Windows 中。

注意

从 2022 年 7 月开始,Microsoft 将弃用 Windows 信息保护 (WIP) 。 Microsoft 将继续在受支持的 Windows 版本上支持 WIP。 新版本的 Windows 不包括 WIP 的新功能,并且将来的 Windows 版本中不支持它。 有关详细信息,请参阅宣布 Windows 信息保护的日落

为了满足数据保护需求,Microsoft 建议使用 Microsoft Purview 信息保护Microsoft Purview 数据丢失防护。 Purview 简化了配置设置,并提供一组高级功能。

与 Microsoft Entra ID 集成

WIP 与Microsoft Entra标识服务集成。 WIP 服务支持在注册和下载 WIP 策略期间对用户和设备进行Microsoft Entra集成身份验证。 WIP 与 Microsoft Entra ID 的集成类似于移动设备管理 (MDM) 集成。 请参阅Microsoft Entra与 MDM 集成

WIP 使用工作区加入 (WPJ) 。 WPJ 与将工作帐户流添加到个人设备集成。 如果用户将其工作或学校Microsoft Entra帐户作为辅助帐户添加到计算机,则其设备已注册到 WPJ。 如果用户将设备加入到Microsoft Entra ID,则它已注册到 MDM。 通常,将个人帐户作为其主帐户的设备被视为个人设备,应向 WPJ 注册。 应使用Microsoft Entra加入和注册到 MDM 来管理公司设备。

在个人设备上,用户可以将Microsoft Entra帐户作为辅助帐户添加到设备,同时将其个人帐户保留为主帐户。 用户可以从受支持的Microsoft Entra集成应用程序(例如 Microsoft 365 应用的下一次更新)向设备添加Microsoft Entra帐户。 或者,用户可以从“设置帐户访问工作或学校”>中添加Microsoft Entra帐户>

普通非管理员用户可以注册到 MAM。

了解 Windows 信息保护

WIP 利用 内置策略 来保护设备上的公司数据。 为了保护个人设备上的用户拥有的应用程序,WPJ 将 WIP 策略的强制实施限制为 启发式应用 和 WIP 感知应用。 启发式应用可以区分公司和个人数据,根据 WIP 策略正确确定要保护哪些数据。 WIP 感知应用向 Windows 指示它们不处理个人数据,因此 Windows 可以安全地代表他们保护数据。

若要使应用程序具有 WIP 感知能力,应用开发人员需要在应用资源文件中包含以下数据。

// Mark this binary as Allowed for WIP (EDP) purpose
MICROSOFTEDPAUTOPROTECTIONALLOWEDAPPINFO EDPAUTOPROTECTIONALLOWEDAPPINFOID
  BEGIN
      0x0001
  END

为 MAM 注册配置Microsoft Entra租户

MAM 注册需要与 Microsoft Entra ID 集成。 MAM 服务提供商需要将管理 MDM 应用发布到 Microsoft Entra 应用库。 Microsoft Entra ID中相同的基于云的管理 MDM 应用支持 MDM 和 MAM 注册。 如果已发布 MDM 应用,则需要对其进行更新,以包含 MAM 注册和使用条款 URL。 此屏幕截图演示了 IT 管理员配置的管理应用。

移动应用程序管理应用。

组织中的 MAM 和 MDM 服务可以由不同的供应商提供。 根据公司配置,IT 管理员通常需要添加一两个Microsoft Entra管理应用来配置 MAM 和 MDM 策略。 例如,如果 MAM 和 MDM 都由同一供应商提供,则 IT 管理员需要从此供应商添加一个管理应用,其中包含组织的 MAM 和 MDM 策略。 或者,如果组织中的 MAM 和 MDM 服务由两个不同的供应商提供,则需要在 Microsoft Entra ID 中为公司配置来自两家供应商的两个管理应用:一个用于 MAM,一个用于 MDM。

注意

如果组织中的 MDM 服务未与Microsoft Entra ID集成,并且使用自动发现,则只需配置一个用于 MAM 的管理应用。

MAM 注册

MAM 注册基于 [MS-MDE2] 协议的 MAM 扩展。 MAM 注册支持Microsoft Entra ID联合身份验证作为唯一的身份验证方法。

以下是 MAM 注册的协议更改:

  • 不支持 MDM 发现。
  • DMAcc CSP 中的 APPAUTH 节点是可选的。
  • [MS-MDE2] 协议的 MAM 注册变体不支持客户端身份验证证书,因此不支持 [MS-XCEP] 协议。 服务器必须在策略同步期间使用Microsoft Entra令牌进行客户端身份验证。 必须使用服务器证书身份验证通过单向 TLS/SSL 执行策略同步会话。

下面是为 MAM 注册预配 XML 的示例。

<wap-provisioningdoc version="1.1">
  <characteristic type="APPLICATION">
    <parm name="APPID" value="w7"/>
    <parm name="PROVIDER-ID" value="MAM SyncML Server"/>
    <parm name="NAME" value="mddprov account"/>
    <parm name="ADDR" value="http://localhost:88"/>
    <parm name="DEFAULTENCODING" value="application/vnd.syncml.dm+xml" />
  </characteristic>
</wap-provisioningdoc>

由于此示例中未提供 轮询 节点,因此设备默认为每 24 小时一次。

支持的 CSP

WIP 支持以下配置服务提供程序 (CSP) 。 阻止所有其他 CSP。 请注意,以后可能会根据客户反馈更改列表:

设备锁定策略和 EAS

MAM 支持类似于 MDM 的设备锁定策略。 策略由策略 CSP 和 PassportForWork CSP 的 DeviceLock 区域配置。

建议不要为同一设备配置Exchange ActiveSync (EAS) 和 MAM 策略。 但是,如果同时配置了两者,则客户端的行为如下所示:

  • 将 EAS 策略发送到已有 MAM 策略的设备时,Windows 会评估现有 MAM 策略是否符合配置的 EAS 策略,并报告 EAS 的符合性。
  • 如果发现设备符合要求,EAS 会报告与服务器的合规性,以允许邮件同步。MAM 仅支持强制 EAS 策略。 检查 EAS 符合性不需要设备管理员权限。
  • 如果发现设备不符合要求,EAS 将对设备强制实施其自己的策略,并且生成的策略集是两者的超集。 将 EAS 策略应用到设备需要管理员权限。
  • 如果已将具有 EAS 策略的设备注册到 MAM,则设备具有两组策略:MAM 和 EAS,并且生成的策略集是这两组策略的超集。

策略同步

MAM 策略同步是在 MDM 之后建模的。 MAM 客户端使用Microsoft Entra令牌向服务进行身份验证,以便进行策略同步。

将 MAM 注册更改为 MDM

Windows 不支持同时将 MAM 和 MDM 策略应用于同一设备。 如果由管理员配置,用户可以将其 MAM 注册更改为 MDM。

注意

当用户从 Windows 家庭版上的 MAM 升级到 MDM 时,他们将无法访问 Windows 信息保护。 在 Windows 家庭版上,我们不建议推送 MDM 策略以允许用户升级。

若要为 MDM 注册配置 MAM 设备,管理员需要在 DMClient CSP 中配置 MDM 发现 URL。 此 URL 用于 MDM 注册。

在将 MAM 注册更改为 MDM 的过程中,成功应用 MDM 策略后,将从设备中删除 MAM 策略。 通常,当从设备中删除 Windows 信息保护策略时,除非将 EDP CSP RevokeOnUnenroll 设置为 false,否则用户对 WIP 保护的文档的访问 (选择性擦除) 被撤销。 若要防止选择性擦除从 MAM 到 MDM 的注册更改,管理员需要确保:

  • 组织的 MAM 和 MDM 策略都支持 Windows 信息保护。
  • MAM 和 MDM 的 EDP CSP 企业 ID 相同。
  • EDP CSP RevokeOnMDMHandoff 设置为 false。

如果为 MDM 注册正确配置了 MAM 设备,则“仅注册到设备管理”链接将显示在“设置帐户>访问工作或学校” >中。 用户可以选择此链接,提供其凭据,注册将更改为 MDM。 他们的Microsoft Entra帐户不会受到影响。