Limitaciones al usar Windows Information Protection (WIP)

Se aplica a:

• Windows 10
• Windows 11

En esta lista siguiente se proporciona información sobre los problemas más comunes que puede encontrar al ejecutar Windows Information Protection en su organización.

• Limitación: es posible que los datos empresariales de las unidades USB estén asociados al dispositivo en el que se protegía, en función de la configuración de Azure RMS.

  • Cómo aparece:

    • Si usa Azure RMS: los usuarios autenticados pueden abrir datos empresariales en unidades USB, en equipos que ejecutan Windows 10, versión 1703.
    • Si no usa Azure RMS: los datos de la nueva ubicación permanecen cifrados, pero se vuelven inaccesibles en otros dispositivos y para otros usuarios. Por ejemplo, el archivo no se abre o el archivo se abre, pero no contiene texto legible.

  • Solución alternativa: Comparta archivos con otros empleados a través de servidores de archivos empresariales o ubicaciones en la nube empresarial. Si los datos se deben compartir a través de USB, los empleados pueden descifrar los archivos protegidos, pero serán auditados.

    Te recomendamos encarecidamente informar a los empleados acerca de cómo limitar o eliminar la necesidad del descifrado.

• Limitación: el acceso directo no es compatible con windows Information Protection.

  • Cómo aparece: Direct Access puede experimentar problemas con la forma en que Windows Information Protection aplica el comportamiento de la aplicación y el movimiento de datos debido a cómo WIP determina qué es y no es un recurso de red corporativo.

  • Solución alternativa: se recomienda usar VPN para el acceso de cliente a los recursos de la intranet.

    Nota

    La VPN es opcional y no es necesaria para Windows Information Protection.

• Limitación: la configuración de directiva de grupo de administración de redes tiene prioridad sobre la configuración de directiva MDM.

  • Cómo aparece: la configuración de directiva de grupo NetworkIsolation puede configurar los valores de red que también se pueden configurar mediante MDM. WIP se basa en que estas directivas estén configuradas correctamente.
  • Solución alternativa: si usa directiva de grupo y MDM para configurar la configuración de NetworkIsolation, debe asegurarse de que esas mismas opciones se implementan en su organización mediante directiva de grupo y MDM.

• Limitación: Cortana puede permitir potencialmente la pérdida de datos si está en la lista de aplicaciones permitidas.

  • Cómo aparece: si Cortana está en la lista de permitidos, es posible que algunos archivos se cifren inesperadamente después de que un empleado realice una búsqueda mediante Cortana. Los empleados seguirán pudiendo usar Cortana para buscar y proporcionar resultados de documentos y ubicaciones de la empresa, pero los resultados podrán enviarse a Microsoft.

  • Solución alternativa: no se recomienda agregar Cortana a la lista de aplicaciones permitidas. Sin embargo, si deseas usar Cortana y no te importa que los resultados puedan enviarse a Microsoft, puedes hacer que Cortana sea una aplicación exenta.

• Limitación: Windows Information Protection está diseñado para su uso por un único usuario por dispositivo.

  • Cómo aparece: un usuario secundario de un dispositivo puede experimentar problemas de compatibilidad de aplicaciones cuando las aplicaciones no habilitadas comienzan a cifrarse automáticamente para todos los usuarios. Además, solo se puede revocar el contenido inicial del usuario inscrito durante el proceso de anulación de la inscripción.
  • Solución alternativa: solo tiene un usuario por dispositivo administrado.
  • Si se produce este escenario, puede ser posible mitigarlo. Una vez deshabilitada la protección, un segundo usuario puede quitar la protección cambiando la propiedad del archivo. Aunque la protección está en su lugar, el archivo sigue siendo accesible para el usuario.

• Limitación: es posible que los instaladores copiados de un recurso compartido de archivos de red empresarial no funcionen correctamente.

  • Cómo aparece: es posible que una aplicación no se instale correctamente porque no puede leer un archivo de datos o configuración necesario, como un archivo .cab o .xml necesario para la instalación, que estaba protegido por la acción de copia.
  • Solución alternativa: Para corregir esto, puede:

    • Iniciar el programa de instalación directamente desde el recurso compartido de archivos.

      O bien,

    • Descifrar los archivos copiados localmente necesarios el programa de instalación.

      O bien,

    • Marque el recurso compartido de archivos con el medio de instalación como "personal". Para ello, deberá establecer los intervalos IP de empresa como Autoritativo y, a continuación, excluir la dirección IP del servidor de archivos, o bien debe colocar el servidor de archivos en la lista Servidor proxy empresarial.

• Limitación: no se admite el cambio de la identidad corporativa principal.

  • Cómo aparece: es posible que experimente varias capacidades, entre las que se incluyen, entre otras, errores de acceso a la red y a los archivos, y la posibilidad de conceder acceso incorrecto.
  • Solución alternativa: desactive windows Information Protection para todos los dispositivos antes de cambiar la identidad corporativa principal (primera entrada de la lista), reiniciar y, por último, volver a implementarla.

• Limitación: las carpetas redirigidas con almacenamiento en caché de Client-Side no son compatibles con windows Information Protection.

  • Cómo aparece: es posible que las aplicaciones encuentren errores de acceso al intentar leer un archivo sin conexión almacenado en caché.

  • Solución alternativa: migre para usar otro método de sincronización de archivos, como Carpetas de trabajo o OneDrive para la Empresa.

    Nota

    Para obtener más información sobre carpetas de trabajo y archivos sin conexión, consulta el blog carpetas de trabajo y archivos sin conexión para Windows Information Protection blog. Si tiene problemas para abrir archivos sin conexión mientras usa archivos sin conexión y Windows Information Protection, consulte No se pueden abrir archivos sin conexión cuando se usan archivos sin conexión y Windows Information Protection.

• Limitación: un dispositivo no administrado puede usar el Protocolo de Escritorio remoto (RDP) para conectarse a un dispositivo administrado por WIP.

  • Cómo aparece:

    • Los datos copiados del dispositivo administrado por WIP se marcan como Trabajo.
    • Los datos copiados en el dispositivo administrado por WIP no están marcados como Trabajo.
    • Los datos de trabajo local copiados en el dispositivo administrado por WIP siguen siendo datos de trabajo .
    • Los datos de trabajo que se copian entre dos aplicaciones de la misma sesión siguen siendo ** datos.

  • Solución alternativa: deshabilite RDP para impedir el acceso porque no hay ninguna manera de restringir el acceso solo a los dispositivos administrados por Windows Information Protection. RDP está deshabilitado de forma predeterminada.

• Limitación: no se puede cargar un archivo empresarial en una ubicación personal mediante Microsoft Edge o Internet Explorer.

  • Cómo aparece: aparece un mensaje que indica que el contenido está marcado como Trabajo y que el usuario no tiene la opción de invalidar a Personal.
  • Solución alternativa: abra Explorador de archivos y cambie la propiedad del archivo a Personal antes de cargarla.

• Limitación: los controles ActiveX se deben usar con precaución.

  • Cómo aparece: las páginas web que usan controles ActiveX pueden comunicarse potencialmente con otros procesos externos que no están protegidos mediante Windows Information Protection.

  • Solución alternativa: se recomienda cambiar al uso de Microsoft Edge, el explorador más seguro y seguro que impide el uso de controles ActiveX. También te recomendamos que limites el uso de Internet Explorer 11 solo para aquellas aplicaciones de línea de negocio que requieren la tecnología heredada.

    Para obtener más información, consulta Bloqueo de controles ActiveX obsoletos.

• Limitación: El sistema de archivos resistente (ReFS) no se admite actualmente con Windows Information Protection.

  • Cómo aparece: se producirá un error al intentar guardar o transferir archivos de Windows Information Protection a ReFS.
  • Solución alternativa: dar formato a la unidad para NTFS o usar una unidad diferente.

• Limitación: Windows Information Protection no está activado si alguna de las siguientes carpetas tiene la opción MakeFolderAvailableOfflineDisabled establecida en False:

  • AppDataRoaming
  • Escritorio
  • StartMenu
  • Documentos
  • Imágenes
  • Música
  • Vídeos
  • Favoritos
  • Contactos
  • Descargas
  • Vínculos
  • Búsquedas
  • SavedGames
  
  

  • Cómo aparece: Windows Information Protection no está activado para los empleados de la organización. El código de error 0x807c0008 se producirá si Windows Information Protection se implementa mediante Microsoft Configuration Manager.

  • Solución alternativa: no establezca la opción MakeFolderAvailableOfflineDisabled en False para ninguna de las carpetas especificadas. Puede configurar este parámetro, como se describe Deshabilitar archivos sin conexión en carpetas redirigidas individuales.

    Si actualmente usa carpetas redirigidas, se recomienda migrar a una solución de sincronización de archivos que admita windows Information Protection, como Carpetas de trabajo o OneDrive para la Empresa. Además, si aplica carpetas redirigidas después de que Windows Information Protection ya esté en su lugar, es posible que no pueda abrir los archivos sin conexión.

    Para obtener más información sobre estos posibles errores de acceso, consulta Can't open files offline when you use Offline Files and Windows Information Protection (No se pueden abrir archivos sin conexión cuando se usa Archivos sin conexión y Windows Information Protection).

• Limitación: solo las aplicaciones habilitadas se pueden administrar sin inscripción de dispositivos

  • Cómo aparece: si un usuario inscribe un dispositivo para Mobile Application Management (MAM) sin inscripción de dispositivos, solo se administrarán las aplicaciones habilitadas. Esto es por diseño para evitar que las aplicaciones no habilitadas cifren involuntariamente los archivos personales.

    Las aplicaciones no habilitadas que necesitan acceder al trabajo mediante MAM deben volver a compilarse como aplicaciones LOB o administrarse mediante MDM con inscripción de dispositivos.

  • Solución alternativa: si es necesario administrar todas las aplicaciones, inscriba el dispositivo para MDM.

• Limitación: por diseño, los archivos del directorio de Windows (%windir% o C:/Windows) no se pueden cifrar porque cualquier usuario debe acceder a ellos. Si un usuario cifra un archivo en el directorio de Windows, otros usuarios no podrán acceder a él.

  • Cómo aparece: cualquier intento de cifrar un archivo en el directorio de Windows devolverá un error de acceso a archivos denegado. Pero si copia o arrastra y coloca un archivo cifrado en el directorio de Windows, conservará el cifrado para respetar la intención del propietario.
  • Solución alternativa: si necesita guardar un archivo cifrado en el directorio de Windows, cree y cifre el archivo en otro directorio y cópielo.

• Limitación: los blocs de notas de OneNote en OneDrive para la Empresa deben estar configurados correctamente para que funcionen con Windows Information Protection.

  • Cómo aparece: OneNote podría encontrar errores al sincronizar un cuaderno de OneDrive para la Empresa y sugerir cambiar la propiedad del archivo a Personal. Si intenta ver el cuaderno en OneNote Online en el explorador, se mostrará un error y no podrá verlo.

  • Solución alternativa: los cuadernos de OneNote que se copian recientemente en la carpeta OneDrive para la Empresa de Explorador de archivos deben corregirse automáticamente. Para ello, sigue estos pasos:

    1. Cierre el cuaderno en OneNote.
    2. Mueva la carpeta del cuaderno a través de Explorador de archivos fuera de la carpeta OneDrive para la Empresa a otra ubicación, como el escritorio.
    3. Copie la carpeta del cuaderno y péguela de nuevo en la carpeta OneDrive para la Empresa.

    Espere unos minutos para permitir que OneDrive termine de sincronizar & actualizar el cuaderno y la carpeta debe convertirse automáticamente en un acceso directo a Internet. Al abrir el acceso directo, se abrirá el cuaderno en el explorador, que se puede abrir en el cliente de OneNote mediante el botón "Abrir en la aplicación".

• Limitación: los archivos de datos sin conexión de Microsoft Office Outlook (archivos PST y OST) no están marcados como archivos de trabajo y, por tanto, no están protegidos.

  • Cómo aparece: si Microsoft Office Outlook está establecido para funcionar en modo almacenado en caché (configuración predeterminada) o si algunos correos electrónicos se almacenan en un archivo PST local, los datos se desprotegieron.
  • Solución alternativa: Se recomienda usar Microsoft Office Outlook en modo online o usar el cifrado para proteger archivos OST y PST manualmente.

Nota

• Cuando los datos corporativos se escriben en disco, Windows Information Protection usa el sistema de cifrado de archivos (EFS) proporcionado por Windows para protegerlos y asociarlos a su identidad empresarial. Una advertencia a tener en cuenta es que el panel de vista previa de Explorador de archivos no funcionará para los archivos cifrados.

• Para ayudarnos a mejorar este tema, proporciónanos ediciones, adiciones y comentarios. Para obtener información acerca de cómo contribuir a este tema, consulta Contributing to TechNet content (Contribución a nuestro contenido).