Microsoft Edge 对 Windows 信息保护 (WIP) 的支持
本文介绍 Microsoft Edge 对 Windows 信息保护 (WIP) 的支持情况。
注意
本文适用于 Microsoft Edge 版本 81 或更高版本。 Windows 信息保护将随着时间的推移而停止。 有关详细信息,请参阅 宣布推出 Windows 信息保护 (WIP) 。
概述
Windows 信息保护 (WIP) 是一种 Windows 10 功能,可帮助保护企业数据免遭未经授权的或意外的泄露。 随着远程工作的增长,在工作场所之外共享公司数据会增加风险。 在公司设备上进行个人活动和工作活动时,这种风险就会增加。
Microsoft Edge 支持 WIP 以在用户经常共享和分发内容的 Web 环境中帮助保护内容安全。
系统要求
以下要求适用于企业中使用 WIP 的设备:
- Windows 10 版本 1607 或更高版本
- 仅 Windows 客户端 SKU
- WIP 先决条件中描述的管理解决方案之一
Windows 信息保护的优势
WIP 具有以下优势:
- 个人和公司数据之间的明显分离,而不要求员工切换环境或应用。
- 对于现有业务线应用的其他数据保护,而无需更新应用。
- 允许远程擦除 Intune 移动设备管理 (MDM) 注册的设备上的公司数据而不影响个人数据。
- 有关跟踪问题以及补救措施(例如针对用户的合规性培训)的审核报告。
- 与现有管理系统进行集成以配置、部署和管理 WIP。 一些示例包括 Microsoft Intune、Microsoft Endpoint Configuration Manager 或当前的移动设备管理 (MDM) 系统。
WIP 策略和保护模式
使用策略可以配置下表中所述的四种保护模式。 有关详细信息,请参阅 WIP 保护模式。
| 模式 | 描述 |
|---|---|
| 阻止 | WIP 将查找不恰当的数据共享行为并阻止员工完成该操作。 除了在应用之间共享企业数据或在组织网络之外尝试共享之外,此搜索还可以包括向非企业保护的应用共享企业数据。 |
| 允许覆盖 | WIP 将查找不恰当的数据共享,当员工执行某些视为可能不安全的操作时会向他们发出警告。 但是,此管理模式允许员工覆盖策略并共享数据,同时将该操作记录到审核日志。 |
| 静默 | WIP 将静默运行,同时记录不恰当的数据共享,但不会阻止在“允许覆盖”模式下时本来会针对员工交互而发出的任何内容提示。 像应用不恰当地尝试访问网络资源或 WIP 保护的数据等不被允许的操作仍将受到阻止。 |
| 关闭 | WIP 将处于关闭状态,并且不会帮助保护或审核你的数据。 关闭 WIP 后,系统将尝试解密本地连接的驱动器上的任何 WIP 标记文件。 如果重新打开 WIP 保护,以前的解密和策略信息不会自动重新应用。 |
Microsoft Edge 支持的 WIP 功能
Microsoft Edge 从版本 81 开始支持以下功能:
- 地址栏上的公文包图标将指示工作网站。
- 从工作位置下载的文件会自动加密。
- 以静默/阻止/覆盖模式将工作文件上传到非工作位置。
- 以静默/阻止/覆盖模式执行文件拖放操作。
- 以静默/阻止/覆盖模式执行剪贴板操作。
- 从非工作配置文件浏览到工作位置会自动重定向到与Microsoft Entra 标识关联的工作配置文件 (。)
- IE 模式支持完整的 WIP 功能。
在 Microsoft Edge 中使用 WIP
为 Microsoft Edge 启用 WIP 支持后,用户将在访问工作相关信息时看到这一点。 下一个屏幕截图显示了地址栏中的公文包图标,表明可通过浏览器访问工作相关信息。
Microsoft Edge 让用户能够在未批准的网站中共享受保护的内容。 下一个屏幕截图显示了 Microsoft Edge 提示,允许用户在未批准的网站中使用受保护的内容。
配置策略以支持 WIP
将 WIP 与 Microsoft Edge 配合使用时,需要存在工作配置文件。
确保存在工作配置文件
在已加入混合的计算机上,Microsoft Edge 使用 Microsoft Entra 帐户自动登录。 若要确保用户不删除此配置文件(WIP 需要此配置文件),请配置以下策略:
注意
如果环境不是混合联接,则可以使用以下说明进行混合联接: 规划Microsoft Entra 混合联接实现。
如果混合加入不是一个选项,则可以使用本地Microsoft Entra 帐户,以允许 Microsoft Edge 使用用户的域帐户自动创建特殊的工作配置文件。 请注意,本地帐户可能不会收到所有Microsoft Entra 功能,例如云同步、Office NTP 等。
Microsoft Entra 帐户
对于 Microsoft Entra 帐户,必须将以下策略配置为让 Microsoft Edge 自动创建一个特殊的工作配置文件。
适用于 WIP 的 Windows 策略
可使用 Windows 策略配置 WIP。 有关详细信息,请参阅使用 Microsoft Intune 创建和部署 WIP 策略
常见问题
如何解决错误代码 - 2147024540?
此错误代码对应于以下 Windows 信息保护错误:ERROR_EDP_POLICY_DENIES_OPERATION: 请求的操作已被 Windows 信息保护策略阻止。有关详细信息,请联系系统管理员。
当组织已启用 Windows 信息保护 (WIP) 以仅允许具有已批准应用程序的用户访问公司资源时,Microsoft Edge 显示此错误。 在这种情况下,由于 Microsoft Edge 不在已批准的应用程序列表上,因此管理员必须更新 WIP 策略以授予对 Microsoft Edge 的访问权限。
以下屏幕截图显示了如何使用 Microsoft Intune 将 Microsoft Edge 添加为 WIP允许的应用程序。
如果没有使用 Microsoft Intune,请下载并应用 WIP 企业 AppLocker 策略文件中的策略更新。