Creare e distribuire Windows Information Protection (WIP) con Intune

Puoi usare i criteri Windows Information Protection (WIP) con le app Windows 10 per proteggere le app senza registrazione dei dispositivi.

Prima di iniziare

Quando si aggiunge un criterio WIP, è necessario comprendere alcuni concetti:

Elenco delle app consentite ed esenti

  • App protette: Queste app sono le app che devono rispettare questo criterio.

  • App esenti: Queste app sono esenti da questo criterio e possono accedere ai dati aziendali senza restrizioni.

Tipi di app

  • App consigliate: Un elenco precompilato di app (principalmente Microsoft Office) che ti consentono di importare facilmente nel criterio.
  • App dello Store: Puoi aggiungere qualsiasi app dall'Windows store al criterio.
  • Windows desktop: puoi aggiungere qualsiasi app desktop Windows tradizionale al criterio (ad esempio, .exe, .dll)

Prerequisiti

È necessario configurare il provider MAM prima di poter creare un criterio WIP. Altre informazioni su come configurare il provider MAM con Intune.

Importante

WiP non supporta più identità, ma può esistere una sola identità gestita alla volta. Per ulteriori informazioni sulle funzionalità e sulle limitazioni di Windows Information Protection, vedere Proteggere i dati aziendali tramite Windows Information Protection (WIP).

Inoltre, è necessario disporre della licenza e dell'aggiornamento seguenti:

Per aggiungere un criterio wip

Dopo aver configurato Intune nell'organizzazione, è possibile creare un criterio specifico di Windows Windows 2000.

Suggerimento

Per informazioni correlate sulla creazione di criteri WIP per Intune, incluse le impostazioni disponibili e su come configurarli, vedere Create a Windows Information Protection (WIP) policy with MAM using the portal for Microsoft Intune nella raccolta della documentazione di Sicurezza di Windows.

  1. Accedere all'interfaccia di amministrazione di Microsoft Endpoint Manager.
  2. Selezionare App > Criteri di protezione delle app > Crea criterio.
  3. Aggiungere i valori seguenti:
    • Nome: Digitare un nome (obbligatorio) per il nuovo criterio.
    • Descrizione: (Facoltativo) Digitare una descrizione.
    • Piattaforma: Scegli Windows 10 come piattaforma supportata per i criteri wip.
    • Stato registrazione: Scegliere Senza registrazione come stato di registrazione per i criteri.
  4. Scegliere Crea. Il criterio viene creato e visualizzato nella tabella nel riquadro Criteri di protezione app.
  1. Accedere all'interfaccia di amministrazione di Microsoft Endpoint Manager.
  2. Selezionare App > Criteri di protezione delle app.
  3. Nel riquadro Criteri di protezione app scegliere il criterio che si desidera modificare. Viene visualizzato il riquadro Intune App Protection.
  4. Scegliere App protette nel riquadro Intune App Protection. Verrà visualizzato il riquadro App protette che mostra tutte le app già incluse nell'elenco per questo criterio di protezione delle app.
  5. Seleziona Aggiungi app. Le informazioni su Aggiungi app mostrano un elenco filtrato di app. L'elenco nella parte superiore del riquadro consente di modificare il filtro elenco.
  6. Seleziona ogni app che vuoi consentire l'accesso ai dati aziendali.
  7. Fare clic su OK. Il riquadro App protette viene aggiornato con tutte le app selezionate.
  8. Fare clic su Salva.

Aggiungere un'app dello Store all'elenco delle app protette

Per aggiungere un'app dello Store

  1. Accedere all'interfaccia di amministrazione di Microsoft Endpoint Manager.
  2. Selezionare App > Criteri di protezione delle app.
  3. Nel riquadro Criteri di protezione app scegliere il criterio che si desidera modificare. Viene visualizzato il riquadro Intune App Protection.
  4. Scegliere App protette nel riquadro Intune App Protection. Verrà visualizzato il riquadro App protette che mostra tutte le app già incluse nell'elenco per questo criterio di protezione delle app.
  5. Seleziona Aggiungi app. Le informazioni su Aggiungi app mostrano un elenco filtrato di app. L'elenco nella parte superiore del riquadro consente di modificare il filtro elenco.
  6. Nell'elenco seleziona App dello Store.
  7. Immettere i valori per Name, Publisher, Product Name e Action. Assicurati di impostare il valore Action su Allow, in modo che l'app abbia accesso ai dati aziendali.
  8. Fare clic su OK. Il riquadro App protette viene aggiornato con tutte le app selezionate.
  9. Fare clic su Salva.

Aggiungere un'app desktop all'elenco delle app protette

Per aggiungere un'app desktop

  1. Accedere all'interfaccia di amministrazione di Microsoft Endpoint Manager.
  2. Selezionare App > Criteri di protezione delle app.
  3. Nel riquadro Criteri di protezione app scegliere il criterio che si desidera modificare. Viene visualizzato il riquadro Intune App Protection.
  4. Scegliere App protette nel riquadro Intune App Protection. Verrà visualizzato il riquadro App protette che mostra tutte le app già incluse nell'elenco per questo criterio di protezione delle app.
  5. Seleziona Aggiungi app. Le informazioni su Aggiungi app mostrano un elenco filtrato di app. L'elenco nella parte superiore del riquadro consente di modificare il filtro elenco.
  6. Nell'elenco seleziona App desktop.
  7. Immettere i valori per Nome, Publisher, Nome prodotto, File, Versione minima, Versione massima e Azione. Assicurati di impostare il valore Action su Allow, in modo che l'app abbia accesso ai dati aziendali.
  8. Fare clic su OK. Il riquadro App protette viene aggiornato con tutte le app selezionate.
  9. Fare clic su Salva.

WiP Learning

Dopo aver aggiunto le app che vuoi proteggere con WIP, devi applicare una modalità di protezione usando wip Learning.

Prima di iniziare

WiP Learning è un report che consente di monitorare le app abilitate per WIP e le app sconosciute da WIP. Le app sconosciute sono quelle non distribuite dal reparto IT dell'organizzazione. Puoi esportare queste app dal report e aggiungerle ai criteri wip per evitare interruzioni di produttività prima che applivino WIP in modalità "Blocca".

Oltre a visualizzare le informazioni sulle app abilitate per WiP, puoi visualizzare un riepilogo dei dispositivi che hanno condiviso i dati di lavoro con i siti Web. Con queste informazioni, è possibile determinare quali siti Web aggiungere ai criteri wip di gruppo e utente. Il riepilogo mostra a quali URL del sito Web sono accessibili le app abilitate per WiP.

Quando si lavora con app abilitate per WIP e app sconosciute da WIP, è consigliabile iniziare con Le sostituzioni invisibile all'utente o Consenti sostituzioni verificando con un piccolo gruppo di avere le app giuste nell'elenco delle app protette. Al termine, è possibile passare al criterio di imposizione finale, Blocca.

Quali sono le modalità di protezione?

Blocca

WiP cerca procedure di condivisione dei dati inappropriate e impedisce all'utente di completare l'azione. Le azioni bloccate possono includere la condivisione di informazioni tra app non protette dall'azienda e la condivisione di dati aziendali tra altre persone e dispositivi esterni all'organizzazione.

Consenti sostituzioni

WiP cerca la condivisione dei dati inappropriata, avvisando gli utenti quando fanno qualcosa di ritenuto potenzialmente non sicuro. Tuttavia, questa modalità consente all'utente di ignorare il criterio e condividere i dati, registrando l'azione nel log di controllo.

Invisibile all'utente

WiP viene eseguito in modo invisibile all'utente, registrazione della condivisione dei dati inappropriata, senza bloccare tutto ciò che sarebbe stato richiesto per l'interazione dei dipendenti mentre era attiva la modalità Consenti sostituzione. Le azioni non consentite, ad esempio le app che tentano in modo inappropriato di accedere a una risorsa di rete o a dati protetti tramite WiP, vengono comunque arrestate.

WiP è disattivato e non consente di proteggere o controllare i dati.

Dopo aver disattivato WiP, viene eseguito un tentativo di decrittografare i file con tag WIP nelle unità collegate localmente. Tieni presente che le informazioni sulla decrittografia e sui criteri precedenti non vengono riapplicate automaticamente se riapplica la protezione wip.

Aggiungere una modalità di protezione

  1. Nel riquadro Criteri app scegli il nome del criterio, quindi scegli Impostazioni obbligatorie.

    Screenshot del riquadro modalità Learning utente

  2. Selezionare un'impostazione e quindi scegliere Salva.

Consentire Windows indicizzatore di ricerca per cercare elementi crittografati

Consente o non consente l'indicizzazione degli elementi. Questa opzione è per l'indicizzatore di ricerca Windows, che controlla se indicizza gli elementi crittografati, ad esempio i file protetti da Windows Information Protection (WIP).

Questa opzione dei criteri di protezione delle app si trova nelle impostazioni avanzate del criterio Windows Information Protection. Il criterio di protezione delle app deve essere impostato sulla piattaforma Windows 10 e lo stato di registrazione dei criteri app deve essere impostato su Con registrazione.

Quando il criterio è abilitato, gli elementi protetti da WiP vengono indicizzati e i relativi metadati vengono archiviati in un percorso non crittografato. I metadati includono elementi come il percorso del file e la data di modifica.

Quando il criterio è disabilitato, gli elementi protetti da WiP non vengono indicizzati e non vengono visualizzati nei risultati in Cortana o Esplora file. Potrebbe inoltre verificarsi un impatto sulle prestazioni sulle foto e sulle app Groove se nel dispositivo sono presenti molti file multimediali protetti da WiP.

Aggiungere estensioni di file crittografate

Oltre a impostare l'opzione Consenti Windows indicizzatore di ricerca per la ricerca di elementi crittografati, è possibile specificare un elenco di estensioni di file. I file con queste estensioni vengono crittografati durante la copia da una condivisione SMB (Server Message Block) all'interno del limite aziendale, come definito nell'elenco dei percorso di rete. Quando questo criterio non viene specificato, viene applicato il comportamento di crittografia automatica esistente. Quando questo criterio è configurato, verranno crittografati solo i file con le estensioni nell'elenco.

Distribuire i criteri di protezione delle app wip

Importante

Queste informazioni si applicano a WiP senza registrazione del dispositivo.

Dopo aver creato i criteri di protezione delle app WIP, devi distribuirlo all'organizzazione usando MAM.

  1. Nel riquadro Criteri app scegliere il criterio di protezione delle app appena creato, scegliere Gruppi di utenti Aggiungi gruppo > di utenti.

    Un elenco di gruppi di utenti, costituito da tutti i gruppi di sicurezza nell'Azure Active Directory, viene aperto nel riquadro Aggiungi gruppo di utenti.

  2. Scegli il gruppo a cui vuoi applicare i criteri, quindi scegli Seleziona per distribuire il criterio.

Passaggi successivi

Per ulteriori informazioni Windows Information Protection, vedere Proteggere i dati aziendali tramite Windows Information Protection (WIP).