- Управление функцией Windows Information Protection для рабочих и личных файлов
- Как определить разницу между рабочими и личными файлами
- Как вручную классифицировать файл как рабочий или личный
- Что делать, если не удается открыть рабочие данные
- Ограничения при использовании Windows Information Protection (WIP) Limitations while using Windows Information Protection (WIP)
Управление функцией Windows Information Protection для рабочих и личных файлов
Windows Information Protection — это функция, которую организации используют для защиты рабочих или учебных данных путем их шифрования и отделения от персональных данных.
Часто данные будут автоматически классифицироваться как работающие из-за политик организации. Если вы попытаетесь использовать рабочие данные так, чтобы они не были разрешены вашей организацией, вы увидите одно из следующих сообщений в зависимости от политик организации:
Как определить разницу между рабочими и личными файлами
Существует два способа определить разницу между рабочими и личными файлами:
В проводнике в столбце Владение файлом вы увидите имя вашей организации.
При просмотре рабочего веб-сайта в Microsoft Edge вы увидите символ «Портфель» в верхней правой части страницы.
Как вручную классифицировать файл как рабочий или личный
Если файл неправильно классифицирован как рабочий или личный, некоторые организации позволяют исправить классификацию вручную.
Если ваша организация позволяет это, нажмите и удерживайте (или щелкните правой кнопкой мыши) файл и выберите Владение файлом > Личный, чтобы сделать рабочий файл личным
И наоборот, можно сделать личный файл рабочим файлом, выбрав пункт Владение файлом > Рабочий.
Что делать, если не удается открыть рабочие данные
На рабочем компьютере может отобразиться такое сообщение:
Это означает, что не удается открыть один или несколько рабочих файлов, так как ключи шифрования не доступны. Этот сценарий обычно происходит, если была произведена очистка раздела операционной системы, а рабочие файлы хранятся в другом разделе или диске.
Чтобы восстановить доступ к рабочим файлам, обратитесь к администратору или в службу технической поддержки вашей организации.
Если вам больше не требуется доступ к рабочим файлам, просто выберите пункт Игнорировать в сообщении.
Примечание: Если вам требуется дополнительная помощь с исправлением классификации файла, обратитесь к администратору вашей организации.
Ограничения при использовании Windows Information Protection (WIP) Limitations while using Windows Information Protection (WIP)
Область применения Applies to:
- Windows 10 версии 1607 и выше Windows 10, version 1607 and later
- Windows 10 Mobile версии 1607 и выше Windows 10 Mobile, version 1607 and later
В этой таблице представлены сведения о наиболее распространенных проблемах, с которыми вы можете столкнуться при использовании WIP в своей организации. This table provides info about the most common problems you might encounter while running WIP in your organization.
Ограничение Limitation | Как оно отображается How it appears | Обходной путь Workaround |
---|---|---|
Корпоративные данные на USB-устройствах могут быть привязаны к устройству, на котором они были защищены, в зависимости от конфигурации службы Azure RMS. Your enterprise data on USB drives might be tied to the device it was protected on, based on your Azure RMS configuration. | Если вы используете службу Azure RMS: прошедшие проверку подлинности пользователи могут открывать корпоративные данные с USB-носителей на компьютерах под управлением Windows 10 версии 1703. If you’re using Azure RMS: Authenticated users can open enterprise data on USB drives, on computers running Windows 10, version 1703. Если вы не используете службу Azure RMS: данные в новом расположении остаются зашифрованными, но становятся недоступными на других устройствах и для других пользователей. If you’re not using Azure RMS: Data in the new location remains encrypted, but becomes inaccessible on other devices and for other users. Например, файл не будет’или откроется, но’не содержит читаемый текст. For example, the file won’t open or the file opens, but doesn’t contain readable text. | Обмен файлами с коллегами через корпоративные файловые серверы или облачные корпоративные расположения. Share files with fellow employees through enterprise file servers or enterprise cloud locations. Если данные необходимо предоставить через USB, сотрудники могут расшифровать защищенные файлы, но эта процедура будет проходить аудит. If data must be shared via USB, employees can decrypt protected files, but it will be audited. Мы настоятельно рекомендуем рассказывать сотрудникам о том, как можно ограничить или исключить необходимость этой расшифровки. We strongly recommend educating employees about how to limit or eliminate the need for this decryption. |
Прямой доступ несовместим с WIP. Direct Access is incompatible with WIP. | Прямой доступ может испытывать проблемы с тем, как WIP обеспечивает необходимое поведение приложения и перемещение данных в связи с тем, как WIP определяет, что является ресурсом корпоративной сети, а что им не является. Direct Access might experience problems with how WIP enforces app behavior and data movement because of how WIP determines what is and isn’t a corporate network resource. | Мы рекомендуем использовать VPN для клиентского доступа к ресурсам вашей интрасети. We recommend that you use VPN for client access to your intranet resources. Примечание Note |
Параметр групповой политики NetworkIsolation имеет приоритет над параметрами политики MDM. NetworkIsolation Group Policy setting takes precedence over MDM Policy settings. | Параметр групповой политики NetworkIsolation может настраивать параметры сети, которые настраиваются также с помощью MDM. The NetworkIsolation Group Policy setting can configure network settings that can also be configured by using MDM. WIP исходит из того, что эти политики настроены правильно. WIP relies on these policies being correctly configured. | При использовании групповой политики и MDM для настройки параметров NetworkIsolation необходимо убедиться в том, что те же параметры развернуты в организации с помощью групповой политики и MDM. If you use both Group Policy and MDM to configure your NetworkIsolation settings, you must make sure that those same settings are deployed to your organization using both Group Policy and MDM. |
Кортана может допустить утечку данных, если она входит в список разрешенных приложений. Cortana can potentially allow data leakage if it’s on the allowed apps list. | Если Кортана включена в список разрешенных приложений, некоторые файлы неожиданно могут стать зашифрованными после того, как сотрудник выполнит поиск с помощью Кортаны. If Cortana is on the allowed list, some files might become unexpectedly encrypted after an employee performs a search using Cortana. Ваши сотрудники по-прежнему смогут использовать Кортану для поиска и отображения результатов по корпоративным документам и расположениям, но эти результаты могут быть отправлены в корпорацию Microsoft. Your employees will still be able to use Cortana to search and provide results on enterprise documents and locations, but results might be sent to Microsoft. | Мы не рекомендуем добавлять Кортану в список разрешенных приложений. We don’t recommend adding Cortana to your allowed apps list. Однако, если вы хотите использовать Cortana и не’не возражать против того, что результаты потенциально идут в Microsoft, вы можете сделать Кортана приложение исключением. However, if you wish to use Cortana and don’t mind whether the results potentially go to Microsoft, you can make Cortana an Exempt app. |
Технология WIP предназначена для одного пользователя на устройстве. WIP is designed for use by a single user per device. | Вторичный пользователь на устройстве может испытывать проблемы с совместимостью приложений, когда незасвеченные приложения начинают автоматически шифроваться для всех пользователей. A secondary user on a device might experience app compatibility issues when unenlightened apps start to automatically encrypt for all users. Кроме того, при отмене регистрации возможен отзыв содержимого только первого зарегистрированного пользователя. Additionally, only the initial, enrolled user’s content can be revoked during the unenrollment process. | Рекомендуется создание только одного пользователя на управляемом устройстве. We recommend only having one user per managed device. |
Установщики, скопированные из общей корпоративной сетевой папки, могут работать неправильно. Installers copied from an enterprise network file share might not work properly. | Установка приложения может завершиться сбоем в связи с невозможность доступа к необходимым данным конфигурации или в файле, например с расширением .cab или .xml, необходимым для установки и ранее защищенным при операции копирования. An app might fail to properly install because it can’t read a necessary configuration or data file, such as a .cab or .xml file needed for installation, which was protected by the copy action. | Возможные пути устранения проблемы указаны ниже. To fix this, you can:
Расшифруйте локально скопированные файлы, необходимые для установки. Decrypt the locally copied files needed by the installer. |
Изменение основного корпоративного удостоверения не поддерживается. Changing your primary Corporate Identity isn’t supported. | Могут возникать различные сбои, включая, помимо прочего, сбои при доступе к сети и файлам, также возможно ошибочное предоставление доступа. You might experience various instabilities, including but not limited to network and file access failures, and potentially granting incorrect access. | Отключите WIP для всех устройств перед изменением основного корпоративного удостоверения (первый элемент в списке), затем выполните перезапуск и повторное развертывание. Turn off WIP for all devices before changing the primary Corporate Identity (first entry in the list), restarting, and finally redeploying. |
Папки с перенаправлением с кэшированием на стороне клиента не совместимы с WIP. Redirected folders with Client Side Caching are not compatible with WIP. | Приложения могут столкнуться с ошибками доступа при чтении кэшированных автономных файлов. Apps might encounter access errors while attempting to read a cached, offline file. | Выполните перенос для использования другого метода синхронизации файлов, например рабочих папок или OneDrive для бизнеса. Migrate to use another file synchronization method, such as Work Folders or OneDrive for Business. Примечание Note |
Неуправляемое устройство может использовать протокол удаленного рабочего стола (RDP) для подключения к устройству, управляемому WIP. An unmanaged device can use Remote Desktop Protocol (RDP) to connect to a WIP-managed device. | Отключение RDP для предотвращения доступа, так как нет возможности ограничить доступ только к устройствам, управляемым WIP. Disable RDP to prevent access because there is no way to restrict access to only devices managed by WIP. RDP отключен по умолчанию. RDP is disabled by default. | |
Вы можете’отправить корпоративный файл в личное расположение с помощью Microsoft Edge или Internet Explorer. You can’t upload an enterprise file to a personal location using Microsoft Edge or Internet Explorer. | Появляется сообщение, в котором говорится, что содержимое помечено как Work, а’пользователь не может переопределять его в Personal. A message appears stating that the content is marked as Work and the user isn’t given an option to override to Personal. | Откройте проводник и смените принадлежность файла на личное перед отправкой. Open File Explorer and change the file ownership to Personal before you upload. |
Элементы ActiveX следует использовать с осторожностью. ActiveX controls should be used with caution. | Веб-страницы, использующие элементы ActiveX, могут взаимодействовать с другими процессами, не защищенными с помощью WIP. Webpages that use ActiveX controls can potentially communicate with other outside processes that aren’t protected by using WIP. | Мы рекомендуем использовать Microsoft Edge, более безопасный браузер, который запрещает применение элементов ActiveX. We recommend that you switch to using Microsoft Edge, the more secure and safer browser that prevents the use of ActiveX controls. Мы также рекомендуем использовать Internet Explorer 11 только для бизнес-приложений, которым необходимы устаревшие технологии. We also recommend that you limit the usage of Internet Explorer 11 to only those line-of-business apps that require legacy technology. Дополнительные сведения см. в разделе Блокирование устаревших элементов управления ActiveX. For more info, see Out-of-date ActiveX control blocking. |
Устойчивая файловая система (ReFS)’в настоящее время не поддерживается с WIP. Resilient File System (ReFS) isn’t currently supported with WIP. | Попытка сохранить или передать WIP-файлы в ReFS завершится неудачей. Trying to save or transfer WIP files to ReFS will fail. | Отформатируйте накопитель в формате NTFS или используйте другой накопитель. Format drive for NTFS, or use a different drive. |
Средство WIP отключено, если в любой из следующих папок для параметра MakeFolderAvailableOfflineDisabled задано значение False: WIP isn’t turned on if any of the following folders have the MakeFolderAvailableOfflineDisabled option set to False:
| Средство WIP отключено для сотрудников в вашей организации. WIP isn’t turned on for employees in your organization. Код ошибки 0x807c0008, если WIP развернут с помощью Microsoft Endpoint Configuration Manager. Error code 0x807c0008 will result if WIP is deployed by using Microsoft Endpoint Configuration Manager. | Не устанавливайте для параметра MakeFolderAvailableOfflineDisabled значение False в какой-либо из указанных папок. Don’t set the MakeFolderAvailableOfflineDisabled option to False for any of the specified folders. Этот параметр можно настроить, как описано здесь. You can configure this parameter, as described here. Если вы сейчас используете перенаправленные папки, рекомендуем перейти на решение синхронизации файлов, которое поддерживает WIP, например Work Folders или OneDrive для бизнеса. If you currently use redirected folders, we recommend that you migrate to a file synchronization solution that supports WIP, such as Work Folders or OneDrive for Business. Кроме того, если вы используете перенаправленные папки после применения WIP, вы не сможете открывать файлы в автономном режиме. Additionally, if you apply redirected folders after WIP is already in place, you might be unable to open your files offline. Дополнительные сведения об этих потенциальных ошибках доступа см. в’можно открыть файлы в автономном режиме при использовании автономных файлов и защиты информации Windows. For more info about these potential access errors, see Can’t open files offline when you use Offline Files and Windows Information Protection. |
Только с помощью просвещенных приложений можно управлять без регистрации на устройствах Only enlightened apps can be managed without device enrollment | Если пользователь зарегистрит устройство для управления мобильными приложениями (MAM) без регистрации устройства, управлять будут только просвещенные приложения. If a user enrolls a device for Mobile Application Management (MAM) without device enrollment, only enlightened apps will be managed. Это необходимо для предотвращения непреднамеренно шифрования личных файлов незасвеченными приложениями. This is by design to prevent personal files from being unintentionally encrypted by unenlighted apps. Незасвеченные приложения, которым необходимо получить доступ к работе с помощью MAM, необходимо повторно компилировать в качестве приложений LOB или управлять с помощью MDM с регистрацией устройств. Unenlighted apps that need to access work using MAM need to be re-compiled as LOB apps or managed by using MDM with device enrollment. | Если необходимо управлять всеми приложениями, зарегистрив устройство для MDM. If all apps need to be managed, enroll the device for MDM. |
По проекту файлы в каталоге Windows (%windir% или C:/Windows) не могут быть зашифрованы, так как к ним должен иметь доступ любой пользователь. By design, files in the Windows directory (%windir% or C:/Windows) cannot be encrypted because they need to be accessed by any user. Если файл в каталоге Windows шифруется одним пользователем, другие пользователи могут’доступ к нему. If a file in the Windows directory gets encrypted by one user, other users can’t access it. | Любая попытка шифрования файла в каталоге Windows возвращает отказ в доступе к файлам. Any attempt to encrypt a file in the Windows directory will return a file access denied error. Но если вы скопируете или перетащите зашифрованный файл в каталог Windows, он сохранит шифрование, чтобы соблюдать намерения владельца. But if you copy or drag and drop an encrypted file to the Windows directory, it will retain encryption to honor the intent of the owner. | Если вам нужно сохранить зашифрованный файл в каталоге Windows, создайте и шифруйте файл в другом каталоге и скопируйте его. If you need to save an encrypted file in the Windows directory, create and encrypt the file in a different directory and copy it. |
Записные книжки OneNote в OneDrive для бизнеса необходимо правильно настроить для работы с WIP. OneNote notebooks on OneDrive for Business must be properly configured to work with WIP. | OneNote может столкнуться с ошибками при синхронизации записной книжки OneDrive для бизнеса и предложить изменить владение файлом на Личный. OneNote might encounter errors syncing a OneDrive for Business notebook and suggest changing the file ownership to Personal. Попытка просмотреть записную книжку в OneNote Online в браузере покажет ошибку и не сможет ее просмотреть. Attempting to view the notebook in OneNote Online in the browser will show an error and unable to view it. | «Записные книжки OneNote, которые недавно копируются в папку OneDrive для бизнеса из File Explorer, должны быть исправлены автоматически. «OneNote notebooks that are newly copied into the OneDrive for Business folder from File Explorer should get fixed automatically. Для этого выполните следующие действия: 1. закройте записную книжку в OneNote. To do this, follow these steps: 1. Close the notebook in OneNote. 2. Переместите папку ноутбука с помощью Проводника файлов из папки OneDrive для бизнеса в другое расположение, например в Desktop. Move the notebook folder via File Explorer out of the OneDrive for Business folder to another location, such as the Desktop. 3. Скопируйте папку ноутбука и вложите ее обратно в папку OneDrive для бизнеса. Copy the notebook folder and Paste it back into the OneDrive for Business folder. Подождите несколько минут, чтобы разрешить OneDrive завершить синхронизацию & обновления записной книжки, и папка должна автоматически преобразоваться в ярлык Интернета. Wait a few minutes to allow OneDrive to finish syncing & upgrading the notebook, and the folder should automatically convert to an Internet Shortcut. Открытие ярлыка откроет записную книжку в браузере, которую можно открыть в клиенте OneNote с помощью кнопки «Открыть в приложении». Opening the shortcut will open the notebook in the browser, which can then be opened in the OneNote client by using the “Open in app” button. |
Microsoft Office Outlook автономные файлы данных (PST и OST-файлы) не помечены как файлы Work и поэтому не защищены. Microsoft Office Outlook offline data files (PST and OST files) are not marked as Work files, and are therefore not protected. | Если Microsoft Office Outlook настроена на работу в кэшированном режиме (параметр по умолчанию), или если некоторые сообщения хранятся в локальном PST-файле, данные не защищены. If Microsoft Office Outlook is set to work in cached mode (default setting), or if some emails are stored in a local PST file, the data is unprotected. | Рекомендуется использовать Microsoft Office Outlook режиме Online или использовать шифрование для защиты файлов OST и PST вручную. It is recommended to use Microsoft Office Outlook in Online mode, or to use encryption to protect OST and PST files manually. |