支持 Windows 上的 Windows 信息保护 (WIP)
Windows 信息保护 (WIP) 是一种轻型解决方案,用于管理个人设备上的公司数据访问和安全性。 WIP 支持内置于 Windows 中。
注意
从 2022 年 7 月开始,Microsoft将弃用 Windows 信息保护 (WIP) 。 Microsoft将继续在受支持的 Windows 版本上支持 WIP。 新版本的 Windows 不包括 WIP 的新功能,并且将来的 Windows 版本中不支持它。 有关详细信息,请参阅 宣布 Windows 信息保护即将推出。
为了满足数据保护需求,Microsoft 建议使用 Microsoft Purview 信息保护 和 Microsoft Purview 数据丢失防护。 Purview 简化了配置设置,并提供一组高级功能。
与 Microsoft Entra ID 集成
WIP 与 Microsoft Entra 标识服务集成。 WIP 服务支持在注册和下载 WIP 策略期间为用户和设备Microsoft Entra 集成身份验证。 WIP 与 Microsoft Entra ID 的集成类似于移动设备管理 (MDM) 集成。 请参阅 Microsoft Entra 与 MDM 的集成。
WIP 使用工作区加入 (WPJ) 。 WPJ 与将工作帐户流添加到个人设备集成。 如果用户将其工作或学校Microsoft Entra 帐户作为辅助帐户添加到计算机,则其设备已注册到 WPJ。 如果用户将设备加入到Microsoft Entra ID,则它已注册到 MDM。 通常,将个人帐户作为主要帐户的设备被视为个人设备,应向 WPJ 注册。 应使用Microsoft Entra 联接和注册到 MDM 来管理公司设备。
在个人设备上,用户可以将Microsoft Entra 帐户作为辅助帐户添加到设备,同时将其个人帐户保留为主帐户。 用户可以将Microsoft Entra 帐户从受支持的 Microsoft Entra 集成应用程序添加到设备,例如Microsoft 365 应用的下一个更新。 或者,用户可以从“设置帐户访问工作或学校”>中添加Microsoft Entra 帐户>。
普通非管理员用户可以注册到 MAM。
了解 Windows 信息保护
WIP 利用 内置策略 来保护设备上的公司数据。 为了保护个人设备上的用户拥有的应用程序,WPJ 将 WIP 策略的强制实施限制为 启发式应用 和 WIP 感知应用。 启发式应用可以区分公司和个人数据,根据 WIP 策略正确确定要保护哪些数据。 WIP 感知应用向 Windows 指示它们不处理个人数据,因此 Windows 可以安全地代表他们保护数据。
若要使应用程序具有 WIP 感知能力,应用开发人员需要在应用资源文件中包含以下数据。
// Mark this binary as Allowed for WIP (EDP) purpose
MICROSOFTEDPAUTOPROTECTIONALLOWEDAPPINFO EDPAUTOPROTECTIONALLOWEDAPPINFOID
BEGIN
0x0001
END
为 MAM 注册配置 Microsoft Entra 租户
MAM 注册需要与 Microsoft Entra ID 集成。 MAM 服务提供商需要将管理 MDM 应用发布到 Microsoft Entra 应用库。 Microsoft Entra ID 中的同一基于云的管理 MDM 应用支持 MDM 和 MAM 注册。 如果已发布 MDM 应用,则需要对其进行更新,以包含 MAM 注册和使用条款 URL。 此屏幕截图演示了 IT 管理员配置的管理应用。
组织中的 MAM 和 MDM 服务可以由不同的供应商提供。 根据公司配置,IT 管理员通常需要添加一两个Microsoft Entra 管理应用来配置 MAM 和 MDM 策略。 例如,如果 MAM 和 MDM 都由同一供应商提供,则 IT 管理员需要从此供应商添加一个管理应用,其中包含组织的 MAM 和 MDM 策略。 或者,如果组织中的 MAM 和 MDM 服务由两个不同的供应商提供,则需要在 Entra ID 中为公司配置两个管理应用,Microsoft Entra ID:一个用于 MAM,一个用于 MDM。
注意
如果组织中的 MDM 服务未与 Microsoft Entra ID 集成,并且使用自动发现,则只需为 MAM 配置一个管理应用。
MAM 注册
MAM 注册基于 [MS-MDE2] 协议的 MAM 扩展。 MAM 注册支持Microsoft Entra ID 联合身份验证 作为唯一的身份验证方法。
以下是 MAM 注册的协议更改:
- 不支持 MDM 发现。
- DMAcc CSP 中的 APPAUTH 节点是可选的。
- [MS-MDE2] 协议的 MAM 注册变体不支持客户端身份验证证书,因此不支持 [MS-XCEP] 协议。 服务器必须在策略同步期间使用 Microsoft Entra 令牌进行客户端身份验证。 必须使用服务器证书身份验证通过单向 TLS/SSL 执行策略同步会话。
下面是为 MAM 注册预配 XML 的示例。
<wap-provisioningdoc version="1.1">
<characteristic type="APPLICATION">
<parm name="APPID" value="w7"/>
<parm name="PROVIDER-ID" value="MAM SyncML Server"/>
<parm name="NAME" value="mddprov account"/>
<parm name="ADDR" value="http://localhost:88"/>
<parm name="DEFAULTENCODING" value="application/vnd.syncml.dm+xml" />
</characteristic>
</wap-provisioningdoc>
由于此示例中未提供 轮询 节点,因此设备默认为每 24 小时一次。
支持的 CSP
WIP 支持以下配置服务提供程序 (CSP) 。 阻止所有其他 CSP。 请注意,以后可以根据客户反馈更改列表:
- 用于配置 Windows 信息保护企业允许的应用的 AppLocker CSP。
- ClientCertificate 安装用于 安装 VPN 和 Wi-Fi 证书的 CSP。
- 条件访问支持所需的 DeviceStatus CSP。
- DevInfo CSP。
- DMAcc CSP。
- 用于轮询计划配置和 MDM 发现 URL 的 DMClient CSP。
- EnterpriseDataProtection CSP 具有 Windows 信息保护策略。
- 条件访问支持所需的运行状况证明 CSP。
- PassportForWork CSP for Windows Hello 企业版 PIN 管理。
- 特定于 NetworkIsolation 和 DeviceLock 区域的策略 CSP。
- 报告用于 检索 Windows 信息保护日志的 CSP。
- RootCaTrustedCertificates CSP。
- 对于 IT 计划允许使用 MAM 访问和保护仅限云的资源的部署,应省略 VPNv2 CSP。
- 对于 IT 计划允许使用 MAM 访问和保护仅限云资源的部署,应省略 WiFi CSP。
设备锁定策略和 EAS
MAM 支持类似于 MDM 的设备锁定策略。 策略由策略 CSP 和 PassportForWork CSP 的 DeviceLock 区域配置。
建议不要为同一设备配置 Exchange ActiveSync (EAS) 和 MAM 策略。 但是,如果同时配置了两者,则客户端的行为如下所示:
- 将 EAS 策略发送到已有 MAM 策略的设备时,Windows 会评估现有 MAM 策略是否符合配置的 EAS 策略,并报告 EAS 的符合性。
- 如果发现设备符合要求,EAS 会报告与服务器的合规性,以允许邮件同步。MAM 仅支持强制 EAS 策略。 检查 EAS 符合性不需要设备管理员权限。
- 如果发现设备不符合要求,EAS 将对设备强制实施其自己的策略,并且生成的策略集是两者的超集。 将 EAS 策略应用到设备需要管理员权限。
- 如果已将具有 EAS 策略的设备注册到 MAM,则设备具有两组策略:MAM 和 EAS,并且生成的策略集是这两组策略的超集。
策略同步
MAM 策略同步是在 MDM 之后建模的。 MAM 客户端使用 Microsoft Entra 令牌向服务进行身份验证,以便进行策略同步。
将 MAM 注册更改为 MDM
Windows 不支持同时将 MAM 和 MDM 策略应用于同一设备。 如果由管理员配置,用户可以将其 MAM 注册更改为 MDM。
注意
当用户从 Windows 家庭版的 MAM 升级到 MDM 时,他们将无法访问 Windows 信息保护。 在 Windows 家庭版上,我们不建议推送 MDM 策略以允许用户升级。
若要为 MDM 注册配置 MAM 设备,管理员需要在 DMClient CSP 中配置 MDM 发现 URL。 此 URL 用于 MDM 注册。
在将 MAM 注册更改为 MDM 的过程中,成功应用 MDM 策略后,将从设备中删除 MAM 策略。 通常,从设备中删除 Windows 信息保护策略时,除非 EDP CSP RevokeOnUnenroll 设置为 false,否则用户对受 WIP 保护的文档的访问 (选择性擦除) 被撤销。 若要防止选择性擦除从 MAM 到 MDM 的注册更改,管理员需要确保:
- 组织的 MAM 和 MDM 策略都支持 Windows 信息保护。
- MAM 和 MDM 的 EDP CSP 企业 ID 相同。
- EDP CSP RevokeOnMDMHandoff 设置为 false。
如果为 MDM 注册正确配置了 MAM 设备,则“仅注册到设备管理”链接将显示在“设置帐户>访问工作或学校” >中。 用户可以选择此链接,提供其凭据,注册将更改为 MDM。 其Microsoft Entra 帐户不会受到影响。