创建数据保护(预览)配置文件,以使用 Microsoft Windows 信息保护功能将您所在组织数据的用户和应用程序访问权限限制为已批准网络和应用程序。您可以设置对数据保护的详细控制。

过程

  1. 导航到资源 > 配置文件和基准 > 配置文件 > 添加,然后选择添加配置文件
  2. 选择 Windows,然后选择 Windows 桌面作为平台。
  3. 选择设备配置文件
  4. 为配置文件配置常规设置。
  5. 选择数据保护负载。
  6. 配置企业数据保护设置:
    设置 说明
    添加

    选择此选项将企业应用程序添加到企业允许的列表。

    此处添加的是受信任的应用程序,可使用企业数据。

    应用类型

    选择应用程序是传统的桌面应用程序还是 Microsoft 应用商店应用。

    您还可以为桌面应用程序或存储应用选择应用程序发布者。从发布者中选择所有应用的发布者白名单。

    名称 输入应用名称。如果应用为 Microsoft 应用商店应用,则选择“搜索”图标 (),可搜索应用软件包名称 (PFN)。
    标识符 输入桌面应用程序的文件路径或应用商店应用的软件包系列名称。
    豁免

    如果应用不支持完全数据保护但仍需访问企业数据,则选中该复选框。启用此选项,则会将应用从数据保护限制中豁免。这些应用通常为尚未更新以实现数据保护支持的旧版应用。

    如果创建豁免,则会产生数据保护漏洞。仅在需要时创建豁免。

    主域名

    输入企业数据使用的主域名。

    来自受保护网络的数据仅可通过企业应用程序访问。尝试通过不在企业允许列表中的应用程序来访问受保护的网络,将导致系统强制执行策略操作。

    只能以小写字符输入域。

    企业受保护域名

    输入企业为其用户标识所使用的域(而不是主域)列表。使用竖线字符 (|) 分隔域。

    只能以小写字符输入域。

    企业 IP 范围

    输入定义企业网络中 Windows 10 设备的企业 IP 范围。

    源于范围内设备的数据将视为企业的组成部分并受到保护。这些位置被视为共享企业数据的安全目标。

    企业网络域名

    输入为企业网络边界的域列表。

    发送给设备的所列域的数据将被视为企业的数据并受到保护。这些位置被视为共享企业数据的安全目标。

    企业代理服务器 输入企业可当作企业资源的代理服务器列表。
    企业云资源

    输入企业资源域列表,这些域在云中托管、需要使用代理服务器(端口 80)通过企业网络路由进行保护。

    如果 Windows 无法确定是否允许应用连接到网络资源,则将自动屏蔽连接。如果要使 Windows 默认允许连接,请在该设置中添加 /*AppCompat*/ 字符串。例如:

    www.air-watch.com | /*AppCompat*/

    仅添加 /*AppCompat*/字符串一次,即可更改默认设置。

    应用程序数据保护级别 设置保护级别和为保护企业数据而需执行的操作。
    显示 EDP 图标

    启用此选项,可在访问受保护数据时将 EDP 图标 () 显示在 Web 浏览器、文件浏览器和应用图标中。此图标还显示在“开始”菜单的仅限企业应用磁贴中。

    取消注册时吊销 当设备从 Workspace ONE UEM 取消注册时,启用此选项可从设备吊销数据保护密钥。
    用户解密

    启用此选项,可允许用户使用启发式应用选择保存数据的方式。他们可选择另存为企业另存为个人

    如果未启用此选项,则使用启发式应用保存的所有数据将另存为企业数据,并使用企业加密进行加密。

    直接内存访问 启用此选项以允许用户直接访问设备内存。
    数据恢复证书 如果加密密钥丢失或损坏,可上传用于文件恢复的特殊加密文件系统证书。有关更多信息,请参阅创建加密文件系统证书
  7. 选择保存并发布,可将配置文件推送到设备。