Windows 資訊保護 (WIP)
注意 Windows 資訊保護 (WIP) 原則可套用至 Windows 10 版本 1607 或更新版本。
WIP 會強制執行組織所定義的原則,以保護屬於組織的資料。 如果您的應用程式包含在這些原則中,則您的應用程式產生的所有資料都將受到原則限制。 本主題可協助您建立能更適當地強制執行這些原則的應用程式,而不會對使用者的個人資料產生任何影響。
首先,什麼是 WIP?
WIP 是桌上型電腦、筆記型電腦、平板電腦和手機上的一組功能,支援組織的行動裝置管理 (MDM) 和行動應用程式管理 (MAM) 系統。
將 WIP 與 MDM 搭配使用,可讓組織能更好地控制其資料在組織所管理裝置上的處理方式。 有時,使用者使用裝置進行工作,卻沒有將該裝置註冊到組織的 MDM 中。 在這些情況下,組織可以使用 MAM 來更好地控制使用者在其裝置上,在安裝特定商務應用程式中處理資料的方式。
使用 MDM 或 MAM,管理員可以確定允許哪些應用程式存取屬於組織的檔案,以及使用者是否可以從這些檔案複製資料,然後將該資料貼到個人文件中。
其運作方式如下。 使用者將其裝置註冊到組織的行動裝置管理 (MDM) 系統中。 管理組織中的管理員使用 Microsoft Intune 或 System Center Configuration Manager (SCCM) 定義原則,然後將其部署到已註冊的裝置。
如果不需要使用者註冊其裝置,管理員將使用其 MAM 系統來定義和部署適用於特定應用程式的原則。 當使用者安裝這些應用程式時,他們將收到關聯的原則。
該原則會識別可以存取企業資料的應用程式 (稱為原則的允許清單)。 這些應用程式可以存取企業受保護的檔案、虛擬私人網路 (VPN) 以及剪貼簿或透過共用合約的企業資料。 該原則還定義了治理資料的規則。 例如,是否可以從企業擁有的檔案複製資料,然後貼上到非企業擁有的檔案中。
如果使用者從組織的 MDM 系統取消註冊其裝置,或卸載組織 MAM 系統識別的應用程式,管理員可以遠端清除裝置中的企業資料。
深入了解 WIP
如果您的應用程式位於允許清單中,則您應用程式產生的所有資料都會受到原則限制。 這代表如果管理員撤銷使用者對企業資料的存取權限,這些使用者將失去對您的應用程式產生的所有資料的存取權。
如果您的應用程式是專為企業使用而設計,那就沒問題。 但如果您的應用程式會建立使用者將其視為個人的資料,您將希望啟發您的應用程式,以智慧方式區分企業和個人資料。 我們將這種類型的應用程式稱為企業級啟發式應用程式,因為它可以適當地強制執行企業原則,同時保留使用者個人資料的完整性。
建立企業啟發式應用程式
使用 WIP API 來啟發您的應用程式,然後將您的應用程式宣告為企業啟發式應用程式。
如果您的應用程式將用於組織和個人用途,請啟發您的應用程式。
如果您想適當地強制執行原則元素,請啟發您的應用程式。
例如,如果原則允許使用者將企業資料貼上到個人文件中,您可以防止使用者在貼上資料之前必須回應同意對話方塊。 同樣,您可以顯示自訂資訊對話方塊來回應此類事件。
如果您準備好啟發您的應用程式,請參閱以下指南之一:
使用 C# 建置的通用 Windows 平台 (UWP) 應用程式
使用 C++ 建立的桌面應用程式
Windows 資訊保護 (WIP) 開發人員指南 (C++)。
建立非啟發式企業應用程式
如果您要建立不供個人使用的企業營運 (LOB) 應用程式,則您可能不需要對其進行啟發。
Windows 桌面應用程式
您不需要啟發 Windows 桌面應用程式,但您應該測試您的應用程式,以確保它在原則下正常運作。 例如,啟動您的應用程式,使用它,然後從 MDM 取消註冊裝置。 然後,確定應用程式可以再次啟動。 如果將重要的應用程式作業檔案加密,則應用程式可能無法啟動。 另外,請檢查與您應用程式互動的檔案,以確定您的應用程式不會無意中加密使用者的個人文件。 這可能包括中繼資料檔案、影像和其他內容。
測試應用程式後,請將此旗標新增至資源檔案或專案中,然後重新編譯應用程式。
MICROSOFTEDPAUTOPROTECTIONALLOWEDAPPINFO EDPAUTOPROTECTIONALLOWEDAPPINFOID
BEGIN
0x0001
END
雖然 MDM 原則不需要旗標,但 MAM 原則需要。
UWP 應用程式
如果您希望您的應用程式包含在 MAM 原則中,您應該對其進行啟發。 部署到 MDM 下裝置的原則不需要進行啟發,但如果您將應用程式分發給組織使用者,那就很難確定他們會使用哪種類型的原則管理系統。 為了確保您的應用程式可以在兩種類型的原則管理系統 (MDM 和 MAM) 中運作,最好要啟發應用程式。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應