Windows信息保护（WIP）：终极指南

数据保护和安全需求在不断发展，尤其是随着远程工作，不断增长的一线员工以及快速采用BYOD和无边界工作文化的需求。 Windows笔记本电脑和台式机在企业以及个人使用空间中都享有很高的知名度。当这些设备在公司网络和基础架构之外运行时，BYO PC（员工拥有的Windows计算机和笔记本电脑）上公司数据的安全性将受到威胁。这就是Microsoft Windows信息保护策略在保护公司数据方面发挥作用的地方。 

在本文中，让我们深入了解Windows信息保护-用于企业数据保护的WIP。 

• 

什么是Microsoft Windows信息保护（WIP）？

Windows信息保护是一组策略，可以帮助组织及其后续的IT团队在主要由员工拥有的设备上保护公司数据，而又不影响整体用户体验，这是在企业环境中大量采用Windows的主要原因。 

Microsoft Windows信息保护（WIP）（以前称为企业数据保护（EDP））与Windows 10周年更新一起推出，旨在支持和补充Windows 10周年纪念日。 Windows 10现代管理. 

当我们定义Windows信息保护或WIP的含义时，它通常与员工拥有的Windows台式机和笔记本电脑相关。但是重要的是要了解Windows是与所有权无关的操作系统，这意味着Windows信息保护（WIP）也可以用于 保护公司数据 在100％企业拥有的，完全托管的设备上。 

为什么要使用WIP – Windows信息保护？

用于业务的个人Windows设备的数量呈指数增长。尽管一些组织完全依靠员工使用其个人设备来工作，但许多组织允许并依赖于员工设备的部分使用-它可能是在周末完成任务，解决紧急情况或在远程工作时。工作场所（本地或远程）中员工拥有的设备的激增，导致对企业数据安全性的担忧增加。员工通过其个人计算机访问的许多网站或应用程序之一意外泄漏数据的风险越来越高，这是企业需要Windows信息保护的主要原因。它也是 保护企业数据免受故意破坏 员工尝试访问设备上的公司数据时，他们还可以访问社交媒体，共享和公共云存储。 

Windows信息保护策略的优点是它不会超过计算机的用户体验或与用户的体验重叠。与使用 企业移动性管理 该工具是IT管理员阻止/限制对非业务和未经授权的应用程序的访问的工具，Windows信息保护策略与员工使用其个人设备时的控制权和隐私权保持同步。 

简而言之， 在制品的好处 是：

• 保护员工设备上的公司数据
• 确保不更改现有企业环境和应用程序
• 促进原始Windows用户体验

• 

使用Windows信息保护（WIP）保护您的企业数据

Windows信息保护的主要思想不仅是保护员工设备上的公司数据，而且还要将员工设备上的公司数据和个人数据分叉，并对公司数据有选择地应用数据保护策略。这样可以确保在保护企业数据以维持企业的安全状态的同时，不影响员工的个人数据。 

让我们看看Windows信息保护如何影响： 

公司资料

Windows信息保护在员工设备上的公司数据中添加公司标记或身份，并在从预定义公司源下载，保存或获取数据时自动对数据进行加密。这些来源包括公司应用程序，公司网络和受保护的公司域。从这些来源流入的所有数据都使用Windows Information Protection进行加密。 IT管​​理员可以定义Windows信息保护策略，并防止复制公司数据并将其粘贴到个人应用程序/数据中。公司数据文件只能通过受保护的应用程序访问，而不能从不受保护的应用程序访问。

个人资料

员工的个人数据不会受到Windows Information Protection策略的影响，也不会受到影响。当组织在退休设备或与该组织不再关联的员工设备上禁用Windows信息保护策略时，个人数据将保持原样。即使使用MDM在这些设备上进行了远程擦除，个人数据也将保持完整。这是Windows信息保护的主要优点之一。

开明的应用程序与未开明的应用程序

我们需要了解两种基本类型的应用程序以及根据Windows Information Protection使用的术语。关于Windows信息保护，两种常用的应用程序是-启蒙应用程序和不启蒙应用程序。 

开明的应用程序：

这些应用程序可以区分公司数据和个人数据。 Microsoft Office 365 ProPlus应用程序（例如MS Word，MS Excel，MS PowerPoint，MS OneNote和MSOutlook）是开明的应用程序。 

不启发的应用程序：

这些应用程序无法区分公司数据和个人数据。 Gmail和Google都是不开明应用的常见示例 Chrome浏览器 。当IT管理员创建Windows信息保护策略时，他们选择不公开的应用程序作为允许的应用程序，可以通过这些应用程序访问公司数据。未加密的应用将设备上的所有数据视为公司数据并对其进行加密。这也包括员工的个人数据。 Windows信息保护策略可确保在需要不公开的应用程序进行业务运营时，始终对数据进行加密。  

建议在WIP设置中仅允许使用开明的应用程序，以确保仅对公司数据进行加密。这解决了围绕如何保护Windows 10上的客户端信息或如何保护Windows中的机密信息的共同担忧。

托管应用：

这些是在企业环境中在设备上运行的应用程序。这些不是员工启用的个人应用程序，必须由IT管理员允许。这些应用程序也称为企业应用程序或企业应用程序。 

Windows信息保护用例

Windows信息保护的最常见用例是 BYOD设备 。例如，用户可以访问多个企业文档和图像。在同一台PC上，他/他可以将企业文档上载到其个人云存储中，也可以使用社交媒体共享该文档，而无需Windows Information Protection。或者员工可以通过他们的个人电子邮件共享任何敏感的业务信息，从而邀请数据攻击者。同样，用户可以使用企业应用程序打开个人文件。

使用Scalefusion MDM设置Windows 10设备的Windows Information Protection

在本节中，我们将学习如何在Scalefusion上逐步配置Windows信息保护 Windows 10 MDM 。但让我们从Windows信息保护的要求开始。

Windows信息保护先决条件

• Windows 10版本1607及更高版本
• Windows 10移动版1607和更高版本
• 用于Windows信息保护设置的Scalefusion MDM解决方案

WIP设置分步指南

第1步：Scalefusion入门

要在Windows 10设备上启用Windows信息保护， 注册并登录 在Scalefusion MDM平台上。您可以使用公司ID进行注册，也可以使用Azure AD凭据进行注册，以进一步利用加入Azure AD的设置。使用Azure AD进行注册，同时还可以帮助您无缝地将用户添加到MDM仪表板，并向他们发送邀请以将其BYO设备注册到管理中。将设备注册到MDM平台后，即可开始配置Windows 10设备的使用策略以进行工作。

• 

步骤2：定义设备配置文件/政策

导航到仪表板的“设备管理”部分。创建配置文件或编辑要应用于BYO PC的现有设备配置文件。允许在设备上访问应用和白名单网站。

• 

步骤3：创建Windows信息保护（WIP）策略

在设置部分，您可以激活Windows信息保护。如果跳过设置，则无法在BYOD设备上实施Windows信息保护。让我们看看可用于启用Windows信息保护模式的详细设置。

• 

1. 基本设定

必须配置这些设置。 

• 

1.1您可以选择Windows信息保护模式的保护级别。

• 当您关闭它时， 托管和非托管应用之间均可进行数据复制。  
• 在“允许和记录操作”设置中，记录复制操作。这些数据可以从Windows信息保护审核日志中获取
• 在允许替代中&日志操作设置，在复制数据时仅向用户显示警告，用户可以覆盖设置。
• 为了全面保护公司数据，建议选择阻止设置，以防止在受保护和不受保护的应用程序之间复制任何数据。  

1.2定义作为主要域的公司身份-来自该域的移动数据将始终借助Windows提供的加密文件系统（EFS）进行加密。 

1.3 您可以选择隐藏或显示WIP公文包图标，该图标将出现在受保护的应用程序和数据文件上。如果员工需要了解如何检查是否为特定文件/应用程序启用了Windows信息保护，则可以检查右上角的公文包图标。  

1.4启用此设置后，当从设备禁用Windows信息保护或设备不再注册到Scalefusion MDM中时，公司数据文件将可读。

2. 应用程序目标设置：

这些也是必填设置。 

2.1在这里，选择允许访问企业数据的UWP或Win32应用程序。选择要从中保护哪些应用程序以及从哪些应用程序中排除哪些数据。您必须至少选择一个应用程序。例如，如果要启用Windows Information Protection for Chrome浏览器，则可以从应用程序列表中选择Chrome浏览器。 

• 

2.2如果为任何应用程序选择保护选项，则该应用程序将能够在遵守自动加密/标记策略的同时访问企业数据。这些应用程序中的动态数据，从这些应用程序下载的文件将在磁盘上加密。

2.3 exempt选项适用于与WIP不兼容但仍需要访问企业数据的应用程序。如果选择此选项，则该应用将有权访问公司数据，但数据不会被加密并可能导致泄漏。

我们建议保护所有应用程序，以确保公司数据的安全。如果任何应用程序都无法处理公司数据文件，建议您选择免除设置，而不要选择清除。

3. 高级设置：常规

• 

3.1 Enterprise Proxy Servers列表是权威性的（不自动检测）：如果启用此设置，则用户可以覆盖Windows对代理服务器的自动检测。

3.2企业IP范围列表是权威性的（请勿自动检测：启用此设置后，用户可以覆盖Windows IP范围的自动检测。

3.3加密的文件扩展名：定义必须始终加密的文件扩展名。如果未定义文件扩展名，将启用自动加密。您可以使用逗号添加多种文件扩展名类型。

例如，如果您不必加密设备上的任何视频文件类型，则始终将其免于加密。

3.4受保护的域名：选择并添加将自动加密的主域名以外的域名列表。这可以是您的电子邮件域等。您可以添加多个由管道符号分隔的域。

4. 进阶设定：网路周边

• 

选择受保护的应用程序可以访问企业数据的位置。选择企业网络位置，添加用于加密的网络源。对于远程工作的员工，建议指定所有网络源。 Windows信息保护阻止无法通过这些设置访问企业数据的Internet连接。 

4.1企业云资源：选择将被视为受保护的云资源。 

4.2企业保护域： 选择组成您的企业网络的DNS名称。这将有助于定义网络边界以及IP范围。

4.3企业IP范围：添加企业网络的IP范围。您可以添加多个值。

4.4内部代理服务器：指定用于路由到企业云的流量的代理。

4.5外部代理服务器： 添加将允许和保护通信的外部代理服务器的列表。

4.6中性源：为您的企业添加经过身份验证的重定向端点。 

步骤4：  Update profile

保存配置文件设置并将其应用到设备。现在将使用这些设置为WIP启用所有具有此策略的设备。您可以将配置文件应用于设备或设备组。如果您想知道如何检查Windows信息保护状态，则只需访问Scalefusion仪表板上的配置文件，然后查看启用了哪些配置文件。

• 

Windows信息保护的局限性

在企业级配置设置之前，权衡Windows Information Protection的优缺点非常重要。尽管Windows信息保护是Windows 10提供的关键数据安全功能之一，但Windows信息保护仍存在一些局限性，例如：

1. 定义后，主要公司身份将无法更改。
2. USB驱动器中的企业数据可能需要基于Windows的Azure信息保护客户端（Azure RMS）配置绑定在受保护的设备上，以进行加密。
3. 直接访问与WIP不兼容
4. NetworkIsolation组策略设置可以覆盖MDM WIP策略设置。
5. 如果将Cortana（Windows 10虚拟助手）添加为受保护的应用程序，它仍然可能导致数据泄漏。
6. 每台设备的WIP最适合一位用户。对于多个用户设置，第二个用户可能会遇到应用程序兼容性问题。
7. 从企业网络下载的应用程序安装文件可能无法按预期运行。 
8. 具有客户端缓存的文件夹不受WIP保护
9. 远程桌面协议（RDP）可用于连接到WIP管理的设备。
10. 无法使用Microsoft Edge或Internet Explorer将企业文件上传到个人位置。
11.  WIP不支持弹性文件系统（ReFS）。
12. 使用ActiveX控件的网页不受WIP保护。
13.  MakeFolderAvailableOfflineDisabled选项设置为False的文件夹不受WIP保护
14.  Windows目录中的文件无法加密
15. Microsoft Office Outlook脱机数据文件不受WIP保护
16.  如果没有MDM注册，则只能在WIP下管理开明的应用程序。因此，建议将WIP与Scalefusion MDM结合使用。

Scalefusion MDM 通过结合使用访问控制设置，Windows Information Protection和Bitlocker来实现企业数据加密和保护。 

Windows信息保护与Azure信息保护

我们已经讨论了Windows信息保护策略的功能和安全设置的列表。 Azure信息保护（以前称为Azure RMS）也是Windows 10引入的一项功能，用于防止企业数据泄漏。但是Windows信息保护和Azure信息保护之间有区别。 

Azure信息保护AIP是一组基于云的设置，使IT管理员可以为Office 365 AD的本地设备标记，分类和保护文档和消息，并对其进行保护。尽管可以使用Office 365上的Office Web和桌面应用程序来保护文档和消息，但AD RMS可以利用本地硬件的功能来帮助保护文档和消息。

WIP和AIP之间的最大区别在于，它无法解决混合设备或BYOD的数据加密问题。在AIP中，对整个数据集和应用程序进行加密，而在WIP中，仅对选定的应用程序（企业应用程序）和通过这些应用程序移动的数据进行加密。在WIP中， 定义配置文件设置后，工作数据将自动加密。同样，WIP根据数据源标记数据，并且加密从企业数据源流入的所有数据。这使作为设备所有者的员工能够完全控制其个人数据（例如文件和应用程序）。

AIP和WIP之间的另一个主要区别是WIP需要 MDM解决方案 用于策略定义，并且仅在Windows 10周年版或更高版本上有效。

概要

这份全面的Windows信息保护指南可以帮助企业IT团队利用WIP设置轻松保护公司数据。 Scalefusion MDM 。适用于Windows 10的Scalefusion MDM具有广泛的安全功能和访问控制设置，使员工轻松操作BYO PC，既提高了工作效率，又简化了IT团队的管理。