使用 Windows 資訊保護 (WIP) 保護您的企業資料
注意
從 2022 年 7 月開始,Microsoft 即將淘汰 Windows 資訊保護 (WIP) 。 Microsoft 將繼續在支援的 Windows 版本上支援 WIP。 新版本的 Windows 不會包含 WIP 的新功能,未來版本的 Windows 將不支援它。 如需詳細資訊,請參閱宣佈 Windows 資訊保護 日落。
針對您的數據保護需求,Microsoft 建議您使用 Microsoft Purview 資訊保護 和 Microsoft Purview 資料外洩防護。 Purview 可簡化組態設定,並提供一組進階功能。
適用於:
- Windows 10
- Windows 11
隨著企業中員工擁有裝置的增加,透過電子郵件、社交媒體和公用雲端等應用程式和服務意外洩漏數據的風險也會增加,而這些應用程式和服務不在企業控制範圍之外。 例如,當員工透過個人電子郵件帳戶傳送最新的工程圖片、複製產品資訊並貼至推文,或是將進行中的銷售報告儲存至其公用雲端儲存空間時。
「Windows 資訊保護」(WIP) (之前稱為企業資料保護 (EDP)) 可以在不干擾員工體驗的情況下,協助防止這個潛在的資料外洩。 WIP 也可以在不需變更您的環境或其他應用程式的情況下,協助保護企業應用程式和資料,防止在企業擁有的裝置和員工帶到公司的個人裝置上意外洩漏資料。 Azure Rights Management 是另一種數據保護技術,也可與 WIP 搭配運作。 它會針對離開裝置的數據擴充數據保護,例如當電子郵件附件是從 Rights Management Mail 用戶端的企業感知版本傳送時。
重要
雖然 Windows 資訊保護 可以防止惡意員工意外外泄數據,但並不是要阻止惡意的測試人員移除企業數據。 如需 WIP 提供之優點的詳細資訊,請參閱本主題稍後的為何使用 WIP?
影片:防止企業數據意外複製到錯誤的位置
必要條件
您需要此軟體才能在企業中執行 Windows 資訊保護:
| 作業系統 | 管理解決方案 |
|---|---|
| Windows 10 (版本 1607) 或更新版本 | Microsoft Intune -或- Microsoft Configuration Manager - 或 - 您目前的全公司第三方行動裝置管理 (MDM) 解決方案。 如需有關第三方 MDM 解決方案的資訊,請參閱產品隨附的檔。 如果您的第三方 MDM 沒有原則的 UI 支援,請參閱 EnterpriseDataProtection CSP 檔。 |
什麼是企業資料控制?
有效率的共同作業,意味著您必須與企業中的其他人員分享資料。 此共用可能來自一個極端,其中每個人都可以存取所有專案,而不需要任何安全性。 另一個極端是當人們無法共用任何專案,而且全都受到高度保護時。 大多數企業皆採取介於上述兩種極端狀況之間的做法,試圖在提供必要存取權與潛在不當資料洩漏風險之間取得平衡。
身為系統管理員,您可運用存取權控制 (例如員工認證) 處理有關讓哪些人員取得您資料存取權的問題。 不過,因為有人有權存取您的數據,並不保證數據會保留在企業的安全位置內。 因此,訪問控制是一個不錯的開始,但不足。
總而言之,這些安全性措施的共通點,即是員工僅會在需要尋求安全性限制做法之前,才會容忍這諸多不便。 例如,如果您不允許員工透過受保護的系統共用檔案,員工將會轉向很可能缺少安全性控制的外部應用程式。
使用防止資料遺失系統
為了協助解決此安全性不足的問題,公司開發了數據外泄防護 (也稱為 DLP) 系統。 資料遺失防止系統需要:
關於系統如何識別和分類需要保護之資料的規則集。 例如,規則集可能包含識別信用卡號碼的規則,以及識別身分證號碼的其他規則。
透過此方式掃描公司資料,以查看其是否符合任何您定義的規則。 目前而言,Microsoft Exchange Server 與 Exchange Online 針對傳輸中的電子郵件提供此服務,而 Microsoft SharePoint 與 SharePoint Online 針對存放在文件庫中的內容提供此服務。
可指定資料符合規則時採取的動作,包括哪些員工可略過強制。 例如,在 Microsoft SharePoint 和 SharePoint Online 中,Microsoft Purview 資料外洩防護 系統可讓您警告您的員工共用數據包含敏感性資訊,並以選擇性的稽核記錄專案) (共用。
遺憾的是,防止資料遺失系統亦有其個別問題。 例如,規則集越不詳細,建立的誤判就越多。 此行為可能會導致員工認為規則會降低其工作速度,而且需要略過才能維持生產力,而可能導致數據遭到不正確封鎖或不當釋放。 另一個主要問題在於,必須廣泛實作防止資料遺失系統方可發揮理想運作效率。 例如,若貴公司使用針對電子郵件的防止資料遺失系統,而非針對檔案分享或文件儲存的防止資料遺失系統,則您可能會發現資料會透過未受保護的管道洩漏。 數據外泄防護系統最大的問題可能是它提供不雅的體驗,中斷員工的自然工作流程。 它可以停止某些作業 (例如傳送附件的訊息,系統會將該附件標記為敏感性) ,同時允許其他人,通常是根據員工看不到且無法瞭解的細微規則。
使用資訊版權管理系統
為了協助解決潛在的防止資料遺失系統問題,公司特此研發資訊版權管理 (亦稱 IRM) 系統。 資訊版權管理系統可將防護技術直接遷入至文件,因此當員工建立文件時,便可判斷適用的防護類型。 例如,員工可選擇停止將文件轉送、列印、分享至組織外部等等。
設定防護類型後,建立應用程式即會將文件加密,因此僅有獲得授權的人員才可開啟該文件,甚至僅可使用相容的應用程式來開啟文件。 員工開啟文件後,應用程式便會負責強制執行指定的防護。 因為保護會隨文件移動,如果授權人員將它傳送給未經授權的人員,未經授權的人員將無法讀取或變更它。 不過,資訊版權系統會要求您部署並同時設定伺服器與用戶端環境,以使此功能有效發揮作用。 此外,因為只有相容的用戶端可以使用受保護的檔,所以如果員工嘗試使用不相容的應用程式,工作可能會意外中斷。
員工自公司離職或取消註冊裝置時該怎麼辦?
最後,當員工離開或取消註冊裝置時,公司有數據外泄的風險。 先前,您會從裝置清除所有公司數據,以及裝置上的任何其他個人資料。
WIP 的優點
Windows 資訊保護 提供:
清楚區分個人和公司資料,而不需要員工切換環境或應用程式。
為現有的商務應用程式組合提供額外的資料保護,而不需要更新應用程式。
在不影響個人資料的情況下從已註冊 Intune MDM 的裝置移除公司資料的能力。
使用稽核報告來追蹤問題及採取補救動作。
與現有的管理系統 (Microsoft Intune、Microsoft Configuration Manager 或您目前的行動裝置管理 (MDM) 系統整合,) 為您的公司設定、部署及管理 Windows 資訊保護。
為什麼要使用 WIP?
Windows 資訊保護 是在 Windows 10 上 (MAM) 機制的行動應用程式管理。 WIP 可讓您以新方式管理 Windows 10 桌面作業系統上應用程式和檔的數據原則強制執行,以及在企業管理解決方案中註冊之後,從企業和個人裝置 (移除企業數據存取權的能力,例如 Intune) 。
改變您對強制執行資料原則的看法。 身為企業系統管理員,您需要維護資料原則與資料存取中的相容性。 Windows 資訊保護 可協助保護公司和員工擁有裝置上的企業,即使員工未使用裝置也一般。 當員工在受企業保護的裝置上建立內容時,可以選擇將它儲存為公司文件。 如果是工作檔,則會在本機維護為企業數據。
管理您的企業文件、應用程式及加密模式。
複製或下載企業資料。 當員工或應用程式利用 WIP 保護的裝置,下載 SharePoint、網路共用或企業 Web 位置等位置的內容時,WIP 就會為裝置上的資料加密。
使用受保護的應用程式。 受控應用程式 (WIP 原則中 [ 受保護的應用程式 ] 清單中包含的應用程式,) 可以存取您的企業數據,而且與不允許、非企業感知或僅限個人的應用程式搭配使用時,會以不同的方式互動。 例如,如果 WIP 管理設定為 [封鎖],您的員工可以從一個受保護的應用程式複製並貼到另一個受保護的應用程式,但不能複製並貼到個人應用程式。 假設 HR 人員想要將工作描述從受保護的應用程式複製到內部職涯網站,這是企業保護的位置,但卻發生錯誤,並嘗試改為貼到個人應用程式。 貼上動作失敗,並出現通知,指出應用程式因原則限制而無法貼上。 接著,這位 HR 人員便可毫無問題地將內容正確地貼到求職網站。
受管理的應用程式和限制。 使用 WIP 時,您可以控制哪些應用程式可存取和使用您的企業資料。 將應用程式新增至受保護的應用程式清單之後,應用程式會受到企業數據的信任。 視您的 WIP 管理模式而定,所有不在此清單上的應用程式都無法存取企業資料。
您不需要修改永遠不會觸控個人資料的企業營運應用程式,即可將其列為受保護的應用程式;只要將它們包含在受保護的應用程式清單中即可。
決定您的資料存取層級。 WIP 可讓您封鎖、允許覆寫或稽核員工的資料共用動作。 隱藏覆寫會立即停止動作。 允許覆寫會讓員工知道有風險,但可一邊記錄和稽核動作,一邊讓員工繼續共用資料。 無訊息只會記錄動作,而不會停止員工在使用該設定時可能覆寫的任何專案;收集可協助您查看不當共用模式的資訊,讓您可以採取教育動作,或尋找應新增至受保護應用程式清單的應用程式。 如需如何收集稽核記錄檔的相關資訊,請參閱 如何收集 Windows 資訊保護 (WIP) 稽核事件記錄檔。
待用資料加密。 Windows 資訊保護 可協助保護本機檔案和卸除式媒體上的企業數據。
Microsoft Word 之類的應用程式可與 WIP 搭配使用,以協助在本機檔案和抽取式媒體上繼續保護您的資料。 這些應用程式稱為「企業感知」應用程式。 例如,如果員工從 Word 開啟 WIP 加密的內容、編輯內容,然後嘗試以不同的名稱儲存編輯過的版本,Word 會自動將 Windows 資訊保護 套用至新檔。
協助防止意外將資料公開到公用空間。 Windows 資訊保護 可協助保護您的企業數據,避免意外共用至公用空間,例如公用雲端記憶體。 例如,如果Dropbox™不在受保護的應用程式清單上,員工將無法將加密的檔案同步至其個人雲端記憶體。 相反地,如果員工將內容儲存到受保護應用程式清單上的應用程式,例如 Microsoft 商務用 OneDrive,加密的檔案可以自由地同步至商務雲端,同時在本機維護加密。
協助防止意外將資料公開到抽取式媒體。 Windows 資訊保護 可協助防止企業數據在複製或傳輸至抽取式媒體時洩漏。 例如,如果員工將企業數據放在通用序列總線 (USB) 也具有個人資料的磁碟驅動器上,則企業數據會保持加密,而個人資料則不會加密。
從受公司保護的裝置移除對企業資料的存取權。 Windows 資訊保護 讓系統管理員能夠從一或多個已註冊 MDM 的裝置撤銷企業數據,同時單獨保留個人資料。 這是員工離職或裝置遭竊時的優點。 決定需要移除資料存取權之後,您可以使用 Microsoft Intune 來將裝置取消註冊,如此一來,當該裝置連接到網路時,即會撤銷使用者對於該裝置的加密金鑰,而企業資料就會變成無法讀取。
注意
若要管理 Surface 裝置,建議您使用最新分支 Microsoft Configuration Manager。
Configuration Manager 也可讓您撤銷企業數據。 不過,它會藉由執行裝置的原廠重設來執行此動作。
WIP 的運作方式
Windows 資訊保護 可協助解決您在企業中的日常挑戰。 其中包括:
協助防止企業資料遺失,即使是在無法鎖定的員工自有裝置上也一樣。
由於企業擁有的裝置上有限制的資料管理原則,因而可減少員工的麻煩。
協助維持企業資料的擁有權和控制權。
協助控制非企業感知之應用程式的網路和數據存取和數據共用
企業案例
Windows 資訊保護 目前可解決下列企業案例:
您可以在員工擁有的裝置和公司擁有的裝置上加密企業資料。
您可以在不影響個人資料的情況下,從遠端清除受管理電腦 (包括員工擁有的電腦) 上的企業資料。
您可以保護可存取企業數據的特定應用程式,這些企業數據可讓員工清楚辨識。 您也可以阻止非受保護的應用程式存取企業資料。
在有適當企業原則的情況下,您員工在個人與企業應用程式之間切換時,並不會導致工作中斷。 不需要切換環境或多次登入。
WIP 保護模式
企業數據會在從企業來源載入裝置,或員工將數據標示為公司時自動加密。 然後,當企業數據寫入磁碟時,Windows 資訊保護 會使用 Windows 提供的加密文件系統 (EFS) 來保護它,並將它與您的企業身分識別產生關聯。
您的 Windows 資訊保護 原則包含受保護以存取和處理公司數據的信任應用程式清單。 此應用程式清單係透過 AppLocker 功能實作,負責控制允許執行的應用程式,以及通知 Windows 作業系統哪些應用程式可編輯企業資料。 此清單中包含的應用程式不需要經過修改即可開啟公司數據,因為其在清單中的存在可讓 Windows 決定是否授與他們存取權。 不過在適用於 Windows 10 的全新功能中,應用程式開發人員可使用全新的應用程式開發介面 (API) 組合,建立可使用和編輯企業與個人資料的覺察型應用程式。 使用覺察型應用程式的一項重大優點是,Microsoft Word 等雙重使用應用程式可以不考慮不小心加密個人資料,因為 API 可讓應用程式判斷數據是否為企業所擁有,還是個人擁有。
注意
如需如何收集稽核記錄檔的相關資訊,請參閱如何收集 Windows 資訊保護 (WIP) 稽核事件記錄檔。
您可以將 Windows 資訊保護 原則設定為使用 4 種保護和管理模式中的 1 種:
| 模式 | 描述 |
|---|---|
| 封鎖 | Windows 資訊保護 尋找不適當的數據共享做法,並阻止員工完成動作。 這可包含將企業資訊共用至非企業保護的應用程式,以及在應用程式之間共用企業資料,或嘗試在組織網路以外的地方進行共用。 |
| 允許覆寫 | Windows 資訊保護 會尋找不適當的數據共用,並在員工執行一些可能不安全的動作時發出警告。 不過,此管理模式允許員工覆寫原則並共用資料,同時將該動作記錄到您的稽核記錄中。 |
| 無訊息 | Windows 資訊保護 會以無訊息方式執行、記錄不適當的數據共用,而不會停止在允許覆寫模式中提示員工互動的任何專案。 不允許的動作 (例如,不適當地嘗試存取網路資源或 WIP 所保護資料的應用程式) 仍會遭到阻止。 |
| 關閉 | Windows 資訊保護 已關閉,無法協助保護或稽核您的數據。 關閉 WIP 之後,會嘗試在本機連接的磁碟機上將任何有 WIP 標記的檔案解密。 如果您重新開啟 Windows 資訊保護,則不會自動重新套用先前的解密和原則資訊。 |
關閉 WIP
您可以關閉所有「Windows 資訊保護」和限制、解密由 WIP 管理的所有裝置,並還原成啟用 WIP 前的狀態,而不會遺失任何資料。 不過,不建議這麼做。 如果您選擇關閉 WIP,一律可以重新開啟,但解密和原則資訊不會自動重新套用。
後續步驟
在您決定在環境中使用 WIP 之後,請建立 Windows 資訊保護 (WIP) 原則。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應