Windows怎么配置Windows信息保护_Windows如何用WIP策略防止企业数据泄露到个人应用【指南】-1

如果您在 Windows 设备上处理企业数据,但发现工作文件可能被意外复制到微信、个人 OneDrive 或其他未授权应用中,则可能是由于 Windows 信息保护(WIP)未启用或策略配置不当。以下是配置 WIP 策略以防止企业数据泄露到个人应用的具体操作步骤:

一、确认设备与系统要求

WIP 仅在 Windows 10/11 企业版或教育版中可用,且设备必须已加入 Azure Active Directory(Azure AD)或域,并由支持的 MDM(如 Microsoft Intune 或 Configuration Manager)管理。未满足任一条件将导致策略无法部署或生效。

1、按 Win + R 打开运行框,输入 winver,确认系统版本为 Windows 10/11 企业版或教育版。

2、打开“设置” > “账户” > “访问工作或学校”,检查是否已连接到组织的 Azure AD 账户;若显示“已连接”,则继续下一步;若未连接,需先添加账户并完成同步。

3、确认设备已注册到 Intune:进入“设置” > “账户” > “访问工作或学校” > 点击组织账户 > 查看“连接服务”中是否列出 Microsoft Intune 并显示“已注册”状态。

二、通过 Microsoft Intune 创建 WIP 策略

Intune 是配置 WIP 的主流方式,策略定义后将自动推送到已注册设备,控制哪些应用可访问企业数据、如何响应越界操作等核心行为。

1、使用全局管理员账号登录 https://endpoint.microsoft.com。

2、导航至 Devices > Windows > Windows Information Protection (WIP),点击“创建策略”。

3、在“基本”页填写名称(如“标准WIP-阻止模式”)和说明,选择平台为 Windows 10 and later。

4、在“配置设置”页,设置以下关键项:— 保护模式:选择 阻止(完全禁止向非允许应用共享);— 受保护的应用程序:添加 Microsoft Office、Edge、Outlook、Teams 等企业级应用;— 排除的应用程序:添加已知与 WIP 存在兼容性问题的应用(如部分旧版第三方 PDF 阅读器),需上传 Microsoft 官方提供的 AppLocker XML 排除列表;— 网络边界:勾选 SharePoint Online、OneDrive for Business、Exchange Online 作为受信任位置。

5、在“分配”页,选择目标用户组(如“所有员工”或“财务部”),避免分配给“全部用户”以防影响测试环境。

6、点击“创建”,策略将在数分钟内同步至目标设备。

三、通过本地组策略手动配置(适用于域环境)

在未使用 Intune 但已部署 Active Directory 域控制器的环境中,可通过组策略对象(GPO)部署 WIP 策略,适用于 Windows Server 2016 及以上版本的域控。

1、在域控制器上打开 组策略管理控制台(GPMC),右键“域” > “在此域中创建 GPO 并在此处链接”,命名为“WIP-Domain-Policy”。

2、右键该 GPO > “编辑”,导航至 计算机配置 > 管理模板 > Windows 组件 > Windows 信息保护。

3、双击“启用 Windows 信息保护”,设置为“已启用”,并在下方“选项”区域指定:— 企业标识:输入组织的 Azure AD 租户域名(如 contoso.onmicrosoft.com);— 受保护的资源路径:添加 %USERPROFILE%DocumentsWork 等自定义工作目录;— 允许的应用程序列表:逐条输入可执行文件名(如 winword.exe、excel.exe、msedge.exe)。

4、继续启用子策略:“阻止对非受保护应用的数据重定向”设为“已启用”,“记录所有 WIP 相关事件”设为“已启用”以供审计。

5、关闭编辑器,在 GPMC 中右键该 GPO > “强制”,确保策略优先级最高;随后在客户端执行 gpupdate /force 刷新策略。

四、验证 WIP 是否生效

策略部署后需立即验证加密与隔离机制是否按预期运行,重点确认企业数据能否被正确标记、受保护应用能否正常访问、个人应用是否受限。

1、在文件资源管理器中新建一个文本文件,保存至 OneDrive for Business 同步文件夹,文件名任意(如 test-wip.txt)。

2、右键该文件 > “属性” > 切换到“常规”选项卡,点击“高级”按钮,确认勾选项中出现 “加密内容以便保护数据” 且呈灰色不可取消状态。

3、打开 Microsoft Edge,访问公司 SharePoint 网站并下载一份 Word 文档;下载完成后,在文件资源管理器中查看该文件的“文件所有权”列,应显示组织名称(如“Contoso Ltd.”)而非“个人”。

4、尝试将该文档中的文字复制粘贴至微信桌面版或 Notepad++:若策略为“阻止”模式,粘贴操作将失败并弹出红色提示框;若为“覆盖”模式,则弹出黄色警告对话框,提示“此操作可能不安全”。

五、修复常见分类错误

当文件未被自动识别为企业数据时,WIP 将无法施加保护,此时需手动修正文件所有权归属,确保其纳入企业加密上下文。

1、在文件资源管理器中找到待修复文件,右键单击该文件,选择 “文件所有权” > “工作”(若当前显示为“个人”);若右键菜单无此选项,说明组织策略禁用了手动分类,需联系 IT 管理员。

2、若文件位于网络共享路径(如 \servershareeport.docx),需先将其复制到本地受保护路径(如 %USERPROFILE%DocumentsWork),再执行上述右键操作。

3、对整批文件批量修正:选中多个文件 > 右键 > “文件所有权” > “工作”,系统将统一应用企业标识并触发后台加密。

4、验证修正结果:右键文件 > “属性” > “详细信息”选项卡,查找字段 “企业标识”,其值应为组织的 Azure AD 租户域名。

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。