Поддержка Windows Information Protection (WIP) в Microsoft Edge

В этой статье объясняется, как Microsoft Edge поддерживает Windows Information Protection (WIP).

Примечание.

Эта статья относится к Microsoft Edge версии 81 или более поздней. Защита информации Windows будет прекращена со временем. Дополнительные сведения см. в статье Объявление о прекращении работы Windows Information Protection (WIP).

Обзор

Windows Information Protection (WIP) — это функция Windows 10, которая помогает защитить корпоративные данные от несанкционированного или случайного раскрытия. С ростом популярности удаленной работы увеличивается риск общего доступа к корпоративным данным за пределами рабочей области. Этот риск возрастает, если личные действия и рабочие действия выполняются на корпоративных устройствах.

Microsoft Edge поддерживает WIP, чтобы защитить содержимое в веб-среде, где пользователи часто делятся содержимым и распространяют его.

Требования к системе

К мобильным устройствам, использующим WIP в корпоративной среде, применяются следующие требования:

  • Windows 10 версии 1607 или более поздней
  • Только номера SKU клиентов Windows
  • Одно из решений для управления, описанных в статье Необходимые компоненты WIP

Преимущества Windows Information Protection

WIP обеспечивает следующие преимущества:

  • Очевидное разделение между персональными и корпоративными данными без необходимости переключения сотрудниками сред или приложений.
  • Дополнительная защита данных в существующих бизнес-приложениях без необходимости обновления приложений.
  • Возможность удаленной очистки корпоративных данных, не затрагивающей персональные данные, на зарегистрированных в MDM устройствах Intune.
  • Отчеты аудита для отслеживания проблем и действий по устранению неполадок, таких как обучение пользователей соответствию требованиям.
  • Интеграция с существующей системой управления для настройки, развертывания и управления WIP. В качестве примера можно привести Microsoft Intune, Microsoft Endpoint Configuration Manager или текущую систему управления мобильными устройствами (MDM).

Политика WIP и режимы защиты

С помощью политик можно настроить четыре режима защиты, описанные в таблице ниже. Дополнительные сведения см. в статье Режимы защиты WIP.

Режим Описание
Блокирование WIP обнаруживает случаи недопустимого предоставления доступа к данным и запрещает сотруднику выполнить действие. К таким обнаруженным случаям может относиться предоставление общего доступа к корпоративным данным в приложениях, которые не защищены на корпоративном уровне (в дополнение к совместному использованию корпоративных данных в различных приложениях), а также попытки предоставить доступ к данным вне сети вашей организации.
Разрешить переопределения WIP обнаруживает случаи недопустимого предоставления доступа к данным и предупреждает сотрудника о том, что он собирается выполнить потенциально небезопасное действие. Тем не менее в этом режиме управления сотрудник может переопределить политику и предоставить доступ к данным. При этом сведения о его действии будут внесены в журнал аудита.
Автоматически WIP работает в автоматическом режиме, занося в журнал сведения о недопустимом предоставлении доступа к данным, но не останавливает действия, предупреждения о которых пользователь увидел бы в режиме "Разрешить переопределения". Неразрешенные действия, например несанкционированные попытки приложений получить доступ к сетевым ресурсам или данным, защищенным с помощью WIP, останавливаются.
Отключено Средство WIP отключено. Оно не защищает данные и не производит их аудит. После отключения WIP будет выполнена попытка расшифровать все файлы с тегами WIP на локально подключенных дисках. Необходимо отметить, что введенные ранее сведения о расшифровке и политике не применяются повторно автоматически, если снова включить защиту WIP.

Возможности WIP, поддерживаемые в Microsoft Edge

С Microsoft Edge версии 81 поддерживаются следующие возможности:

  • Рабочие сайты определяются значком портфеля в адресной строке.
  • Файлы, загруженные из рабочего расположения, шифруются автоматически.
  • Использование режимов "Автоматически", "Блокирование" и "Переопределение" для отправки рабочих файлов в нерабочие расположения.
  • Использование режимов "Автоматически", "Блокирование" и "Переопределение" для операций перетаскивания файлов.
  • Использование режимов "Автоматически", "Блокирование" и "Переопределение" для действий в буфере обмена.
  • При просмотре рабочих расположений из нерабочих профилей автоматически перенаправляется в рабочий профиль (связанный с удостоверением Microsoft Entra).
  • В режиме IE поддерживаются все возможности WIP.

Работа с WIP в Microsoft Edge

После включения поддержки WIP в Microsoft Edge пользователи будут видеть, когда осуществляется доступ к информации, связанной с работой. На следующем снимке экрана отображается значок портфеля в адресной строке, который указывает на то, что доступ к информации, связанной с работой, осуществляется через браузер.

Индикатор адресной строки для сайтов, помеченных как

Microsoft Edge предоставляет пользователям возможность делиться защищенным содержимым на неутвержденном веб-сайте. На следующем снимке экрана показан запрос в Microsoft Edge, позволяющий пользователю использовать защищенное содержимое на неутвержденном веб-сайте.

Запрос на переопределение защищенного содержимого

Настройка политик для поддержки WIP

Для использования WIP в Microsoft Edge требуется рабочий профиль.

Убедитесь в наличии рабочего профиля

На компьютерах с гибридным присоединением Microsoft Edge автоматически входит с помощью учетной записи Microsoft Entra. Чтобы убедиться, что пользователи не смогут удалить профиль, необходимый для WIP, настройте следующую политику:

Примечание.

Если ваша среда не присоединена к гибридной среде, вы можете выполнить гибридное присоединение, выполнив следующие инструкции: Планирование реализации гибридного соединения Microsoft Entra.

Если гибридное присоединение не является вариантом, можно использовать локальные учетные записи Microsoft Entra, чтобы разрешить Microsoft Edge автоматически создавать специальный рабочий профиль с учетными записями домена пользователей. Обратите внимание, что локальные учетные записи могут не получать все функции Microsoft Entra, такие как облачная синхронизация, Office NTP и т. д.

Учетные записи Microsoft Entra

Для учетных записей Microsoft Entra необходимо настроить следующую политику, чтобы microsoft Edge автоматически создавал специальный рабочий профиль.

Политики Windows для WIP

WIP можно настроить с помощью политик Windows. Дополнительные сведения см. в статье Создание и развертывание политик WIP с помощью Microsoft Intune

Вопросы и ответы

Как устранить ошибку с кодом 2147024540?

Этот код ошибки соответствует следующей ошибке Windows Information Protection: ERROR_EDP_POLICY_DENIES_OPERATION: запрошенная операция была заблокирована политикой Windows Information Protection. Для получения дополнительных сведений обратитесь к системному администратору.

Эта ошибка возникает в Microsoft Edge в том случае, если в организации включена система Windows Information Protection (WIP) с целью разрешить доступ к корпоративным ресурсам только пользователям с утвержденными приложениями. В этом случае, поскольку Microsoft Edge нет в списке утвержденных приложений, администратору необходимо обновить политики WIP, чтобы предоставить доступ к Microsoft Edge.

На приведенном ниже снимке экрана отображено, как использовать Microsoft Intune, чтобы добавить Microsoft Edge в качестве разрешенного приложения для WIP.

Диалоговое окно Intune при добавлении Microsoft Edge в качестве приложения для WIP.

Если вы не используете Microsoft Intune, скачайте и примените обновление политики в файле WIP Enterprise AppLocker Policy.

См. также