使用 Intune 建立和部署 Windows 資訊保護 (WIP) 原則

  • 發行項

注意事項

Microsoft Intune 已停止未來在管理和部署 Windows 資訊保護 方面的投資。

已移除在 Microsoft Intune 中不含註冊案例的 Windows 資訊保護 支援。

如需詳細資訊,請參閱 Windows 資訊保護 終止支援指引

如需在 Windows 上 Intune MAM 的詳細資訊,請參閱適用於 Windows 的 MAM適用於 Windows 的 應用程式防護 原則設定

您可以使用 Windows 資訊保護 (WIP) 原則搭配 Windows 10 應用程式來保護應用程式,而不需要裝置註冊。

開始之前

新增 WIP 原則時,您必須瞭解一些概念:

允許和豁免應用程式的清單

  • 受保護的應用程式: 這些應用程式是必須遵守此原則的應用程式。

  • 豁免應用程式: 這些應用程式不受此原則約束,而且可以無限制地存取公司數據。

應用程式類型

  • 建議的應用程式: 預先填入的 (大多數是 Microsoft 365 (Office) ) 應用程式清單,可讓您輕鬆地匯入原則。
  • 市集應用程式: 您可以從 Windows 市集將任何應用程式新增至原則。
  • Windows 傳統型應用程式: 您可以將任何傳統的 Windows 傳統型應用程式新增至原則 (例如,.exe、.dll)

必要條件

您必須先設定 MAM 提供者,才能建立 WIP 原則。 深入瞭解如何使用 Intune 設定 MAM 提供者

重要事項

WIP 不支援多重身分識別,一次只能存在一個受控識別。 如需 WIP 功能和限制的詳細資訊,請參閱使用 Windows 資訊保護 (WIP) 保護您的企業數據

此外,您需要具備下列授權和更新:

若要新增 WIP 原則

在組織中設定 Intune 之後,您可以建立 WIP 特定的原則。

重要事項

沒有註冊的 Windows 資訊保護 (WIP) 原則已被取代。 您無法再為未註冊的裝置建立 WIP 原則。

提示

如需為 Intune 建立 WIP 原則的相關信息,包括可用的設定和設定方式,請參閱在 Windows 安全性 文檔庫中使用入口網站建立具有 MAM 的 Windows 資訊保護 (WIP) 原則 Microsoft Intune

  1. 登入 Microsoft Intune 系統管理中心
  2. 取 [應用程式>應用程式防護 原則>建立原則]
  3. 新增下列值:
    • 名字: 輸入新原則所需的名稱 () 。
    • 描述: (選擇性) 鍵入描述。
    • 平臺:選擇 [Windows 10] 作為 WIP 原則的支持平臺。
    • 註冊狀態: 選擇 [不註冊] 作為原則的註冊狀態。
  4. 選擇 [建立]。 原則隨即建立,並出現在 [原則] 窗格 應用程式防護 數據表中。
  1. 登入 Microsoft Intune 系統管理中心
  2. 選取 [應用程式]>[應用程式防護原則]
  3. 在 [應用程式防護 原則] 窗格中,選擇您想要修改的原則。 [Intune 應用程式保護] 窗格隨即顯示。
  4. 從 [Intune 應用程式保護] 窗格中選擇 [受保護的應用程式]。 [ 受保護的應用程式] 窗格隨即開啟,其中顯示此應用程式保護原則清單中已包含的所有應用程式。
  5. 選取 [新增應用程式][新增應用程式] 資訊會顯示已篩選的應用程式清單。 窗格頂端的清單可讓您變更清單篩選。
  6. 選取您想要允許存取公司數據的每個應用程式。
  7. 按一下確定。 [ 受保護的應用程式] 窗格已更新,顯示所有選取的應用程式。
  8. 按一下儲存

將市集應用程式新增至受保護的應用程式清單

新增市集應用程式

  1. 登入 Microsoft Intune 系統管理中心
  2. 選取 [應用程式]>[應用程式防護原則]
  3. 在 [應用程式防護 原則] 窗格中,選擇您想要修改的原則。 [Intune 應用程式保護] 窗格隨即顯示。
  4. 從 [Intune 應用程式保護] 窗格中選擇 [受保護的應用程式]。 [ 受保護的應用程式] 窗格隨即開啟,其中顯示此應用程式保護原則清單中已包含的所有應用程式。
  5. 選取 [新增應用程式][新增應用程式] 資訊會顯示已篩選的應用程式清單。 窗格頂端的清單可讓您變更清單篩選。
  6. 從清單中,選取 [市集應用程式]
  7. 輸入 [名稱]、[ 發行者]、[ 產品名稱] 和 [ 動作] 的值。 請務必將 [ 動作 ] 值設定為 [ 允許],讓應用程式能夠存取您的公司數據。
  8. 按一下確定。 [ 受保護的應用程式] 窗格已更新,顯示所有選取的應用程式。
  9. 按一下儲存

將傳統型應用程式新增至受保護的應用程式清單

新增傳統型應用程式

  1. 登入 Microsoft Intune 系統管理中心
  2. 選取 [應用程式]>[應用程式防護原則]
  3. 在 [應用程式防護 原則] 窗格中,選擇您想要修改的原則。 [Intune 應用程式保護] 窗格隨即顯示。
  4. 從 [Intune 應用程式保護] 窗格中選擇 [受保護的應用程式]。 [ 受保護的應用程式] 窗格隨即開啟,其中顯示此應用程式保護原則清單中已包含的所有應用程式。
  5. 選取 [新增應用程式][新增應用程式] 資訊會顯示已篩選的應用程式清單。 窗格頂端的清單可讓您變更清單篩選。
  6. 從清單中,選取 [桌面應用程式]
  7. 輸入 [名稱]、[ 發行者]、[ 產品名稱]、[ 檔案]、[ 最小版本]、[ 最大版本] 和 [ 動作] 的值。 請務必將 [ 動作 ] 值設定為 [ 允許],讓應用程式能夠存取您的公司數據。
  8. 按一下確定。 [ 受保護的應用程式] 窗格已更新,顯示所有選取的應用程式。
  9. 按一下儲存

WIP 學習

新增要使用 WIP 保護的應用程式之後,您必須使用 WIP 學習來套用保護模式。

開始之前

WIP 學習是一份報告,可讓您監視已啟用 WIP 的應用程式和 WIP 未知的應用程式。 未知的應用程式不是貴組織的IT部門所部署的應用程式。 您可以從報表導出這些應用程式,並將其新增至 WIP 原則,以避免生產力中斷,然後再以「封鎖」模式強制執行 WIP。

除了檢視已啟用 WIP 之應用程式的相關信息之外,您還可以檢視具有與網站共用工作數據之裝置的摘要。 使用這項資訊,您可以判斷哪些網站應該新增至群組和使用者 WIP 原則。 摘要會顯示啟用 WIP 的應用程式可存取哪些網站 URL。

使用已啟用 WIP 的應用程式和 WIP 未知的應用程式時,建議您從 無訊息允許覆 寫開始,同時使用您在受保護應用程式清單上具有正確應用程式的小型群組進行驗證。 完成之後,您可以變更為最終強制原則 [封鎖]

什麼是保護模式?

封鎖

WIP 會尋找不適當的數據共享做法,並阻止使用者完成動作。 封鎖的動作可能包括跨不受公司保護的應用程式共享資訊,以及在組織外部的其他人和裝置之間共用公司數據。

允許覆寫

WIP 會尋找不適當的數據共用,並在使用者執行一些可能不安全的動作時發出警告。 不過,此模式可讓使用者覆寫原則並共享數據,並將動作記錄到您的稽核記錄檔。

無聲

WIP 會以無訊息方式執行、記錄不適當的數據共用,而不會封鎖在允許覆寫模式時,會提示員工互動的任何專案。 不允許的動作,例如應用程式不適當地嘗試存取網路資源或受WIP保護的數據,仍然會停止。

WIP 已關閉,無法協助保護或稽核您的數據。

關閉 WIP 之後,會嘗試解密本機連接磁碟驅動器上任何 WIP 標記的檔案。 請注意,如果您重新開啟WIP保護,則不會自動重新套用先前的解密和原則資訊。

新增保護模式

  1. 從 [ 應用程式原則 ] 窗格中,選擇您原則的名稱,然後選擇 [ 必要設定]

    [學習模式] 窗格的螢幕快照

  2. 選取設定,然後選擇 [ 儲存]

允許 Windows 搜尋 索引器搜尋加密的專案

允許或不允許編製專案的索引。 此參數適用於 Windows 搜尋 索引器,可控制其是否為加密的專案編製索引,例如 Windows 資訊保護 (WIP) 受保護的檔案。

此應用程式保護原則選項位於 Windows 資訊保護 原則的 [進階設定] 中。 應用程式保護原則必須設定為 Windows 10 平臺,而且應用程式原則註冊狀態必須設定為 [使用註冊]

當原則啟用時,WIP 保護的專案會編製索引,而其相關元數據會儲存在未加密的位置。 元數據包含檔案路徑和修改日期等專案。

停用原則時,WIP 保護的專案不會編製索引,而且不會顯示在 Cortana 或檔案總管的結果中。 如果裝置上有許多受 WIP 保護的媒體檔案,則可能會對相片和 Groove 應用程式造成效能影響。

注意事項

Microsoft 已取代 Windows Cortana 獨立應用程式。 Cortana 生產力 助理 仍可供使用。 如需 Windows 用戶端上已被取代功能的詳細資訊,請移至 Windows 用戶端的已淘汰功能

新增加密的擴展名

除了設定 [允許 Windows 搜尋 索引器搜尋加密的專案] 選項,您還可以指定擴展名清單。 從伺服器消息塊複製時,會加密具有這些延伸模組的檔案 (SMB) 在公司界限內共用,如網路位置清單中所定義。 未指定此原則時,會套用現有的自動加密行為。 設定此原則時,只會加密清單中具有擴展名的檔案。

部署 WIP 應用程式保護原則

重要事項

此資訊適用於沒有裝置註冊的 WIP。

建立 WIP 應用程式保護原則之後,您必須使用 MAM 將它部署到您的組織。

  1. 在 [ 應用程式原則 ] 窗格中,選擇新建立的應用程式保護原則,選擇 [ 使用者群組>][新增使用者群組]

    由您 Microsoft Entra ID 中的所有安全組組成的使用者群組清單,會在 [新增使用者群組] 窗格中開啟。

  2. 選擇您想要套用原則的群組,然後選擇 [選取 ] 以部署原則。

後續步驟

深入瞭解 Windows 資訊保護,請參閱使用 Windows 資訊保護 (WIP) 保護您的企業數據