“数据保护”配置文件可通过配置相关规则来控制企业应用程序访问来自您所在组织多个源的数据。了解如何使用数据保护配置文件确保只有安全且经批准的应用程序才能访问您的数据。

由于同一设备上会同时存储个人和工作数据,有可能会出现通过您所在组织无法控制的服务而造成意外数据泄漏。借助数据保护负载,Workspace ONE UEM 可以控制企业数据在应用程序之间的移动方式,从而限制数据泄漏,并将对最终用户的影响降至最低。Workspace ONE UEM 使用 Microsoft Windows 信息保护 (WIP) 功能来保护 Windows 10 设备。

数据保护的工作原理,是将企业应用程序列入白名单并授予访问来自受保护网络的企业数据的权限。如果最终用户将数据转移到非企业应用程序,则您可以根据选定的强制策略执行相应操作。

WIP 会将数据当作未加密个人数据或企业数据来进行保护和加密。列入白名单以进行数据保护的应用程序包括四种不同的类型。这些类型将决定应用与保护数据的交互方式。

  • 启发式应用 - 这些应用完全支持 WIP 功能。启发式应用可以访问个人和企业数据,不会出现问题。如果数据通过启发式应用进行创建,您可以将数据保存为未加密个人数据或加密企业数据。您可以使用数据保护配置文件限制用户使用启发式应用保存个人数据。
  • 允许 - 这些应用支持 WIP 加密数据。允许的应用可同时访问企业和个人数据,但应用会将所有访问的数据保存为加密企业数据。允许的应用将个人数据保存为加密企业数据,因而 WIP 批准的外部应用将无法访问。考虑按情况逐个将允许的应用列入白名单,以防止出现数据访问问题。请联系软件供应商,了解 WIP 批准信息。
  • 豁免 - 您可在创建数据保护配置文件时确定豁免执行 WIP 策略的应用。豁免不支持 WIP 加密数据的任何应用。如果应用不支持 WIP 加密,尝试访问加密企业数据时此应用会中断。没有任何 WIP 策略适用于豁免应用。豁免应用可以访问未加密个人数据和加密企业数据。由于豁免应用可在不执行 WIP 策略的情况下访问企业数据,用户在将豁免应用列入白名单时需特别谨慎。豁免应用会产生数据保护漏洞,泄漏企业数据。
  • 不允许 - 这些应用未列入白名单或从 WIP 策略中豁免,无法访问加密企业数据。不允许的应用仍可访问 WIP 保护设备上的个人数据。
重要事项: “数据保护”配置文件要求具有 Windows 信息保护 (WIP) 功能。此功能需要 Windows 年度更新版。请考虑先测试此配置文件,然后再部署到生产中。