EnterpriseDataProtection CSP

下表顯示 Windows 的適用性：

版本	Windows 10	Windows 11
Home	是	是
專業版	是	是
Windows SE	否	是
商務	是	是
企業	是	是
教育版	是	是

EnterpriseDataProtection 設定服務提供者 (CSP) 可用來設定 Windows 資訊保護 (WIP) 的設定，先前稱為企業數據保護。 如需 WIP 的詳細資訊，請參閱使用 Windows 資訊保護 (WIP) 保護您的企業數據。

注意

從 2022 年 7 月開始，Microsoft 即將淘汰 Windows 資訊保護 (WIP) 和支援 WIP 的 API。 Microsoft 將繼續在支援的 Windows 版本上支援 WIP。 新版本的 Windows 不會包含 WIP 的新功能，未來版本的 Windows 將不支援它。 如需詳細資訊，請參閱宣佈 Windows 資訊保護 日落。

針對您的數據保護需求，Microsoft 建議您使用 Microsoft Purview 資訊保護 和 Microsoft Purview 資料外洩防護。 Purview 可簡化組態設定，並提供一組進階功能。

注意

若要讓 Windows 資訊保護 運作，也必須設定 AppLocker CSP 和網路隔離特定設定。 如需詳細資訊，請參閱 原則 CSP 中的 AppLocker CSP 和 NetworkIsolation 原則。

雖然 Windows 資訊保護 對 VPN 沒有硬性相依性，但為了獲得最佳結果，您應該先設定 VPN 配置檔，再設定 WIP 原則。 如需 VPN 最佳做法建議，請參閱 VPNv2 CSP。

若要深入瞭解 Windows 資訊保護，請參閱下列文章：

• 建立 Windows 資訊保護 (WIP) 原則
• 關於 Windows 資訊保護 (WIP) 的一般指導方針與最佳做法

下列範例顯示樹狀結構格式的 EnterpriseDataProtection CSP。

./Device/Vendor/MSFT
EnterpriseDataProtection
----Settings
--------EDPEnforcementLevel
--------EnterpriseProtectedDomainNames
--------AllowUserDecryption
--------DataRecoveryCertificate
--------RevokeOnUnenroll
--------RMSTemplateIDForEDP
--------AllowAzureRMSForEDP
--------EDPShowIcons
----Status

./Device/Vendor/MSFT/EnterpriseDataProtection CSP 的根節點。

設置Windows 資訊保護 (WIP) 組態設定的根節點。

Settings/EDPEnforcementLevel 設定 WIP 強制層級。

注意

設定此值並不足以在裝置上啟用 Windows 資訊保護。 當 WIP 清除正在執行時，嘗試變更此值將會失敗。

下列清單顯示支援的值：

• 0 (預設) – 關閉/無保護 (解密先前受保護的數據) 。
• 1 – 無訊息模式 (僅加密和稽核) 。
• 2 – 允許覆寫模式 (加密、提示和允許覆寫，以及稽核) 。
• 3 – 隱藏覆寫 (加密、提示但隱藏覆寫，以及稽核) 。

支持的作業包括 [新增]、[取得]、[取代] 和 [刪除]。 值類型為整數。

Settings/EnterpriseProtectedDomainNames 企業用於使用者身分識別的網域清單，以管道 (“|” 分隔) 。 清單中的第一個網域必須是主要企業標識符，也就是代表 Windows 資訊保護 管理授權單位的網域。 來自這其中一個網域的使用者身分識別會被視為受企業管理的帳戶，而與其相關聯的資料應受到保護。 例如，企業擁有之所有電子郵件帳戶的網域應該會出現在此清單中。 當 WIP 清除正在執行時，嘗試變更此值將會失敗。

不支援變更主要企業標識碼，而且可能會在用戶端上造成非預期的行為。

注意

用戶端需要正式功能變數名稱，否則用戶端將會拒絕設定。

以下是建立標準功能變數名稱的步驟：

1. 將僅限 A-Z (ASCII 字元) 轉換為小寫。 例如，Microsoft.COM -> microsoft.com。
2. 以IDN_USE_STD3_ASCII_RULES作為旗標呼叫 IdnToAscii 。
3. 呼叫未設定旗標的 IdnToUnicode (dwFlags = 0) 。

支持的作業包括 [新增]、[取得]、[取代] 和 [刪除]。 值類型為字串。

Settings/AllowUserDecryption 允許使用者解密檔案。 如果此設定為 0 (不允許) ，則使用者將無法透過作業系統或應用程式用戶體驗，從企業內容移除保護。

重要

從 Windows 10 1703 版開始，不再支援 AllowUserDecryption。

下列清單顯示支援的值：

• 0 - 不允許。
• 1 (預設值) - 已允許。

限制程度最高的值為 0。

支持的作業包括 [新增]、[取得]、[取代] 和 [刪除]。 值類型為整數。

Settings/DataRecoveryCertificate 指定可用於加密檔案數據復原的復原憑證。 此憑證與數據復原代理程式 (DRA) 憑證相同，以加密文件系統 (EFS) ，僅透過行動裝置管理 (MDM) 傳遞，而不是 群組原則。

注意

如果同時設定此原則和對應的 群組原則 設定，則會強制執行 群組原則 設定。

來自 MDM 原則的 DRA 信息必須是串行化的二進位 Blob，與我們對 GP 的預期相同。 二進位 Blob 是下列結構的串行化版本：

//
//  Recovery Policy Data Structures
//

typedef struct _RECOVERY_POLICY_HEADER {
    USHORT      MajorRevision;
    USHORT      MinorRevision;
    ULONG       RecoveryKeyCount;
} RECOVERY_POLICY_HEADER, *PRECOVERY_POLICY_HEADER;

typedef struct _RECOVERY_POLICY_1_1    {
        RECOVERY_POLICY_HEADER  RecoveryPolicyHeader;
        RECOVERY_KEY_1_1        RecoveryKeyList[1];
}   RECOVERY_POLICY_1_1, *PRECOVERY_POLICY_1_1;

#define EFS_RECOVERY_POLICY_MAJOR_REVISION_1   (1)
#define EFS_RECOVERY_POLICY_MINOR_REVISION_0   (0)

#define EFS_RECOVERY_POLICY_MINOR_REVISION_1   (1)

///////////////////////////////////////////////////////////////////////////////
//                                                                            /
//  RECOVERY_KEY Data Structure                                               /
//                                                                            /
///////////////////////////////////////////////////////////////////////////////

//
// Current format of recovery data.
//

typedef struct _RECOVERY_KEY_1_1   {
        ULONG               TotalLength;
        EFS_PUBLIC_KEY_INFO PublicKeyInfo;
} RECOVERY_KEY_1_1, *PRECOVERY_KEY_1_1;


typedef struct _EFS_PUBLIC_KEY_INFO {

    //
    // The length of this entire structure, including string data
    // appended to the end. The length should be a multiple of 8 for
    // 64 bit alignment
    //

    ULONG Length;

    //
    // Sid of owner of the public key (regardless of format).
   // This field is to be treated as a hint only.
    //

    ULONG PossibleKeyOwner;

    //
    // Contains information describing how to interpret
    // the public key information
    //

    ULONG KeySourceTag;

    union {

        struct {

            //
            // The following fields contain offsets based at the
            // beginning of the structure.  Each offset is to
            // a NULL terminated WCHAR string.
            //

            ULONG ContainerName;
            ULONG ProviderName;

            //
            // The exported public key used to encrypt the FEK.
            // This field contains an offset from the beginning of the
            // structure.
            //

            ULONG PublicKeyBlob;

            //
            // Length of the PublicKeyBlob in bytes
            //

            ULONG PublicKeyBlobLength;

        } ContainerInfo;

        struct {

            ULONG CertificateLength;       // in bytes
            ULONG Certificate;             // offset from start of structure

        } CertificateInfo;


        struct {

            ULONG ThumbprintLength;        // in bytes
            ULONG CertHashData;            // offset from start of structure

        } CertificateThumbprint;
    };



} EFS_PUBLIC_KEY_INFO, *PEFS_PUBLIC_KEY_INFO;

//
// Possible KeyTag values
//

typedef enum _PUBLIC_KEY_SOURCE_TAG {
    EfsCryptoAPIContainer = 1,
    EfsCertificate,
    EfsCertificateThumbprint
} PUBLIC_KEY_SOURCE_TAG, *PPUBLIC_KEY_SOURCE_TAG;

針對EFSCertificate KeyTag，它應該是 DER ENCODED 二進位憑證。

支持的作業包括 [新增]、[取得]、[取代] 和 [刪除]。 實值類型是base-64編碼的憑證。

Settings/RevokeOnUnenroll此原則可控制裝置從管理服務取消註冊時，是否要撤銷 Windows 資訊保護 金鑰。 如果設為 0 (請勿撤銷金鑰) ，則不會撤銷密鑰，且使用者在取消註冊之後仍可繼續存取受保護的檔案。 如果未撤銷金鑰，稍後將不會有撤銷的檔案清除。 在傳送取消註冊命令之前，當您希望裝置在取消註冊時進行選擇性抹除時，您應該明確地將此原則設定為 1。

下列清單顯示支援的值：

• 0 – 不要撤銷金鑰。
• 1 (預設) – 撤銷金鑰。

支持的作業包括 [新增]、[取得]、[取代] 和 [刪除]。 值類型為整數。

Settings/RevokeOnMDMHandoff已在 Windows 10 1703 版中新增。 此原則可控制當裝置從行動應用程式管理 (MAM) 升級至 MDM 時，是否要撤銷 Windows 資訊保護 金鑰。 如果設為 0 (請勿撤銷金鑰) ，則不會撤銷密鑰，且使用者在升級之後仍可繼續存取受保護的檔案。 如果使用與 MAM 服務相同的 WIP EnterpriseID 來設定 MDM 服務，則建議使用此設定。

• 0 - 不要撤銷金鑰。
• 1 (預設) - 撤銷金鑰。

支持的作業包括 [新增]、[取得]、[取代] 和 [刪除]。 值類型為整數。

Settings/RMSTemplateIDForEDP 用於 Rights Management Service (RMS) 加密的 TemplateID GUID。 RMS 範本可讓 IT 系統管理員設定誰可以存取受 RMS 保護的檔案，以及他們擁有存取權多久的詳細數據。

支持的作業包括 [新增]、[取得]、[取代] 和 [刪除]。 實值類型是 GUID) (字串。

設定/允許AzureRMSForEDP指定是否允許 Windows 資訊保護 的 Azure RMS 加密。

• 0 (預設) – 請勿使用 RMS。
• 1 – 使用 RMS。

支持的作業包括 [新增]、[取得]、[取代] 和 [刪除]。 值類型為整數。

Settings/SMBAutoEncryptedFileExtensions已在 Windows 10 1703 版中新增。 指定擴展名清單，以便從伺服器消息塊複製時加密具有這些擴展名的檔案， (SMB) 在公司界限內共用，如 NetworkIsolation/EnterpriseIPRange 和 NetworkIsolation/EnterpriseNetworkDomainNames 原則 CSP 節點中所定義。 在清單中使用分號 (;) 分隔符。 未指定此原則時，會套用現有的自動加密行為。 設定此原則時，只會加密清單中具有擴展名的檔案。 支持的作業包括 [新增]、[取得]、[取代] 和 [刪除]。 值類型為字串。

Settings/EDPShowIcons 判斷重疊是否新增至總管中 WIP 保護檔案的圖示，以及 [ 開始 ] 選單上的僅限企業應用程式磚。 從 Windows 10 版 1703 開始，此設定也會在受 WIP 保護的應用程式標題列中設定 Windows 資訊保護 圖示的可見度。 下列清單顯示支援的值：

• 0 (預設) - 圖示或磚上沒有 WIP 重疊。
• 1 - 在只能建立企業內容的受保護檔案和應用程式上顯示 WIP 重疊。

支持的作業包括 [新增]、[取得]、[取代] 和 [刪除]。 值類型為整數。

地位只讀位掩碼，表示裝置上 Windows 資訊保護 的目前狀態。 MDM 服務可以使用此值來判斷 WIP 的目前整體狀態。 如果已設定 WIP 強制原則和 WIP AppLocker 設定，WIP 只會在 (位 0 = 1) 。

建議的值：

保留供日後使用	WIP 強制設定 Set = 1 未設定 = 0	保留供日後使用	已設定 AppLocker 是 = 1 否 = 0	WIP on = 1 WIP off = 0
4	3	2	1	0

位 0 表示 WIP 是開啟還是關閉。

位 1 指出是否已設定 AppLocker WIP 原則。

位 3 指出是否已設定必要的 Windows 資訊保護 原則。 如果未設定一或多個強制 WIP 原則，位 3 會設定為 0 (零) 。

以下是強制 WIP 原則的清單：

• EnterpriseDataProtection CSP 中的 EDPEnforcementLevel
• EnterpriseDataProtection CSP 中的 DataRecoveryCertificate
• EnterpriseDataProtection CSP 中的 EnterpriseProtectedDomainNames
• 原則 CSP 中的 NetworkIsolation/EnterpriseIPRange
• 原則 CSP 中的 NetworkIsolation/EnterpriseNetworkDomainNames

位 2 和 4 會保留供日後使用。

支援的操作為 [取得]。 值類型為整數。

相關主題

設定服務提供者參考