Implementación y uso de Windows Information Protection

Completado

Cuando se utiliza Windows Information Protection, los datos de la organización son cifrados automáticamente cuando son descargados o se abren en un dispositivo local. El cifrado protege los datos del archivo y asocia los datos con la identidad de su empresa.

Las directivas WIP especifican que aplicaciones de confianza pueden utilizar y manipular esos datos. Las aplicaciones habilitadas, como Word o Microsoft Excel, pueden trabajar con datos organizativos y personales. Al crear las directivas WIP, se pueden establecer cuatro modos de protección WIP, que se enumeran en la siguiente tabla, para administrar ese acceso.

Mode

Descripción

Bloquear u ocultar anulaciones

Evita que los empleados realicen acciones de intercambio de datos cuando están bloqueados por la directiva.. En cierta documentación de Microsoft, esto se denomina modo Ocultar anulaciones.

Permitir anulaciones

Advierte a los empleados cuando están realizando una acción potencialmente arriesgada, pero pueden elegir completar la acción. La acción se registra en el registro de auditoría.

Silencioso

Funciona como el modo Permitir anulaciones, excepto que solo registra cualquier acción que un empleado pueda anular en el registro de auditoría. Cualquier acción que se haya bloqueado seguiría bloqueada.

Desactivado

El WIP está desactivado y no protege los datos.

Crear una directiva WIP en Intune

Al crear directivas en Intune, puede definir qué aplicaciones están protegidas, el nivel de protección proporcionado y cómo encontrar los datos de la organización en su red.

Para crear una directiva WIP en Intune, realice lo siguiente:

1. Inicie sesión en el Centro de administración del Administrador de puntos de conexión de Microsoft.
2. Seleccione Aplicaciones>Directivas de protección de aplicaciones.
3. Seleccione Agregar una directiva, y luego introduzca un nombre para la directiva.
4. Seleccione Windows 10 y versiones posteriores como plataforma.
5. Seleccione Con inscripción como estado de inscripción.
6. Agregar aplicaciones protegidas.
7. Agregar cualquier aplicación exenta.
8. En la hoja de configuración requerida, seleccione el modo de Windows Information Protection, y luego, establezca su identidad corporativa.
9. En la hoja de configuración avanzada, defina el perímetro de su red agregando límites de red que definan dónde pueden encontrar y enviar las aplicaciones los datos corporativos.
10. Cargar un certificado de Agente de recuperación de datos (DRA).
11. Elija otros ajustes de WIP, incluyendo si permite Azure RM con WIP.
12. Seleccione Aceptar y luego, seleccione Crear.

Aplicaciones permitidas y exentas

El proceso para agregar una regla de aplicación varía ligeramente en función del tipo de plantilla de regla que se utilice. Las plantillas de regla son:

• Aplicación recomendada. Las aplicaciones recomendadas son aplicaciones iluminadas que funcionan con WIP.
• Aplicación de la tienda. Esto es para las aplicaciones que están disponibles en Microsoft Store.
• Aplicación de escritorio Esto es para las aplicaciones de escritorio firmadas de Windows.

Para obtener información detallada sobre cómo agregar cada tipo de aplicación a la lista de aplicaciones permitidas, consulte el tema "Agregar aplicaciones a la lista de aplicaciones permitidas" en "Crear una directiva de Windows Information Protection (WIP) con MDM mediante el centro de administración de Endpoint Manager".

Después de agregar las aplicaciones que desea proteger, tendrá que decidir el modo de protección que desea usar. Al crear y verificar sus directivas con un grupo de usuarios de prueba, considere la mejor práctica de usar el modo Silencioso o Permitir anulaciones antes de usar el modo Bloqueo. Al hacerlo, puede confirmar que estas son las aplicaciones correctas que debe tener en su lista de aplicaciones permitidas.

Identidad corporativa

Su identidad corporativa identifica los datos de la organización de las aplicaciones que usted protege con WIP. Por ejemplo, los correos electrónicos procedentes de su dominio organizativo se identificarían como organizativos, y se aplicarían las directivas WIP. Por esta razón, normalmente querrá agregar todos los dominios desde los que envía correos electrónicos.

Para agregar la identidad corporativa, escriba el nombre de dominio o varios nombres de dominio separados por el carácter de canalización (|) en el campo Identidad corporativa.

Perímetro de red

El WIP necesita saber dónde las aplicaciones pueden encontrar y acceder a los datos de la organización en su red, también conocido como el límite de la red. No hay un conjunto de ubicaciones por defecto ni una forma automática de definir estas ubicaciones. Debe agregarlas a sus directivas WIP, y puede agregar tantas ubicaciones como necesite.

Cuando se agregue una definición de límite de red, se elige el tipo de límite; en función de esa elección, se proporciona la definición en un formato específico. También puede configurar la directiva para indicar a Windows si algunas listas de límites, como las listas de servidores proxy o direcciones IP, son definitivas o si se permite la búsqueda de servidores o direcciones IP adicionales en su red.

La siguiente tabla describe las diferentes opciones de tipos de límites.

Elemento de red

Descripción

Recursos en la nube

Especifique las direcciones URL de los recursos o aplicaciones basados en la nube, como SharePoint Online o Microsoft Visual Studio Codespace, que deben tratarse como un contenedor de datos de la organización. Puede hacer varias entradas utilizando el formato URL1|URL2.

Dominios protegidos

Define los sufijos DNS para los dominios que deben ser tratados como protegidos. Se permiten múltiples entradas utilizando el formato domainname1,domainname2; por ejemplo, corp.adatum.com,sales.adatum.com.

Dominios de red

Define los sufijos DNS que se utilizan en su entorno. Se permiten múltiples entradas utilizando el formato domainname1,domainname2; por ejemplo, corp.adatum.com,sales.adatum.com.

Servidores proxy

Especifica las direcciones y los puertos del servidor proxy externo donde el WIP debe proteger el tráfico. Por ejemplo, proxy.adatum.com:80;proxy2.adatum.com:137.

Servidores proxy internos

Especifica los servidores proxy que los dispositivos utilizan para llegar a los recursos basados en la nube. Utiliza el mismo formato que los servidores proxy empresariales.

Intervalos IPv4

Especifica el rango de direcciones del Protocolo de Internet versión 4 (IPv4) que se usan en la red. Escriba utilizando el formato startingaddress-endingaddress, con rangos múltiples separados por comas. Este elemento de red es necesario si no se especifica un rango de Protocolo de Internet versión 6 (IPv6) de la empresa.

Intervalos IPv6

Especifica el intervalo de direcciones IPv6 utilizadas en su red. Este elemento de red es necesario si no se especifican los intervalos de IPv4 de la empresa, y utiliza el mismo formato que IPv4.

Recursos neutros

Especifica los puntos de conexión de redirección de la autenticación para su empresa, como los puntos de conexión de los servicios de federación de Active Directory. Escriba utilizando el formato URL1|URL2.

Certificado de Agente de recuperación de datos (DRA)

Como se ha descrito anteriormente, el WIP cifrará los datos de la empresa cuando estén en unidades locales. Si la clave de cifrado se pierde o se revoca, no podrá recuperar los datos. Al agregar un certificado DRA, proporciona una clave pública que cifrará los datos locales, lo que le permitirá desencriptar esos datos más tarde si es necesario.

Si todavía no tiene un certificado DRA de Sistema de Archivos Encriptados (EFS), tendrá que crear uno y cargarlo en su directiva antes de poder implementarlo.

Para obtener más información, consulte Crear y verificar un certificado de Agente de recuperación de datos (DFA) del Sistema de cifrado de archivos (EFS).

Configuración opcional relacionada con WIP

También puede configurar estas opciones adicionales de la directiva WIP:

• Revocar las claves de encriptación al anular la inscripción. Los usuarios no pueden acceder a los datos organizativos encriptados cuando un dispositivo anula la inscripción en Intune.
• Mostrar el icono superpuesto de protección de la información de Windows. Determina si el icono WIP se superpone a los archivos en el Explorador de archivos o en la vista Guardar como.
• Use Azure RMS para WIP. Determina si se utilizará el cifrado Azure RMS para el WIP. Debe tener Azure RMS.
• Utilice Windows Hello para empresas como método para iniciar sesión en Windows. Determina si los usuarios pueden usar Windows Hello para iniciar sesión en su dispositivo y las reglas para usar Windows Hello.