Windows 信息保护 (WIP)
请注意,Windows 信息保护 (WIP) 策略可应用于 Windows 10 版本 1607 或更高版本。
WIP 通过强制执行组织定义的策略来保护属于组织的数据。 如果应用包含在这些策略中,则应用生成的所有数据都会受到策略限制。 本主题可帮助你生成更正常地强制实施这些策略的应用,而不会对用户的个人数据产生任何影响。
首先,什么是 WIP?
WIP 是支持组织的移动设备管理(MDM)和移动应用程序管理(MAM)系统的台式机、笔记本电脑、平板电脑和手机上的一组功能。
WIP 与 MDM 一起,可更好地控制组织在组织管理的设备上处理其数据的方式。 有时,用户将设备引入工作,并且不将其注册到组织的 MDM 中。 在这些情况下,组织可以使用 MAM 更好地控制用户在设备上安装的特定业务线应用上处理其数据的方式。
使用 MDM 或 MAM,管理员可以确定允许哪些应用访问属于组织的文件,以及用户是否可以从这些文件复制数据,然后将这些数据粘贴到个人文档中。
工作原理如下。 用户将其设备注册到组织的移动设备管理(MDM)系统中。 管理组织中的管理员使用 Microsoft Intune 或 System Center Configuration Manager (SCCM)来定义策略,然后将策略部署到已注册的设备。
如果用户不需要注册其设备,管理员将使用其 MAM 系统来定义和部署适用于特定应用的策略。 当用户安装其中任何一个应用时,他们将收到关联的策略。
该策略标识可以访问企业数据的应用(称为策略 允许的列表)。 这些应用可以通过剪贴板或共享合同访问受企业保护的文件、虚拟专用网络(VPN)和企业数据。 该策略还定义了管理数据的规则。 例如,是否可以从企业拥有的文件复制数据,然后将其粘贴到非企业拥有的文件。
如果用户从组织的 MDM 系统取消注册其设备,或卸载组织 MAM 系统标识的应用,管理员可以从设备远程擦除企业数据。
阅读有关 WIP 的详细信息
如果应用位于允许列表中,则应用生成的所有数据都受策略限制。 这意味着,如果管理员撤销用户对企业数据的访问权限,则这些用户将失去对应用生成的所有数据的访问权限。
如果你的应用仅用于企业使用,则这很好。 但是,如果你的应用创建用户认为他们个人的数据,你将希望 启发 你的应用以智能地区分企业和个人数据。 我们将这种类型的应用称为启发式应用,因为它可以正常地强制实施企业策略,同时保留用户个人数据的完整性。
创建企业启发式应用
使用 WIP API 启发应用,然后将应用声明为企业启发式应用。
如果应用将用于组织和个人目的,请启发你的应用。
如果要正常处理策略元素的强制实施,请启发应用。
例如,如果策略允许用户将企业数据粘贴到个人文档中,则可以阻止用户在粘贴数据之前必须响应同意对话框。 同样,可以呈现自定义信息对话框来响应这些事件。
如果已准备好启发应用,请参阅以下指南之一:
对于使用 C# 生成的通用 Windows 平台 (UWP) 应用
对于使用 C++ 生成的桌面应用
创建非启发式企业应用
如果要创建不适合个人使用的业务线(LOB)应用,可能不必启发它。
Windows 桌面应用
无需启发 Windows 桌面应用,但应测试应用,以确保它在策略下正常运行。 例如,启动应用,使用它,然后从 MDM 取消注册设备。 然后,请确保应用可以再次启动。 如果对应用操作至关重要的文件已加密,则应用可能不会启动。 此外,请查看应用与之交互的文件,以确保你的应用不会无意中加密用户个人化的文件。 这可能包括元数据文件、图像和其他内容。
测试应用后,将此标志添加到资源文件或项目,然后重新编译应用。
MICROSOFTEDPAUTOPROTECTIONALLOWEDAPPINFO EDPAUTOPROTECTIONALLOWEDAPPINFOID
BEGIN
0x0001
END
虽然 MDM 策略不需要标志,但 MAM 策略会执行。
UWP 应用
如果希望应用包含在 MAM 策略中,则应启发它。 部署到 MDM 下的设备的策略不需要,但如果将应用分发给组织使用者,则很难确定他们将使用哪种类型的策略管理系统。 为了确保你的应用可在这两种类型的策略管理系统(MDM 和 MAM)中工作,你应该启发你的应用。