Implementare e usare Windows Information Protection
Quando si usa Windows Information Protection, i dati dell'organizzazione vengono crittografati automaticamente quando vengono scaricati o aperti in un dispositivo locale. La crittografia protegge i dati dei file e li associa all'identità aziendale.
I criteri WIP specificano quindi quali app attendibili possono usare e modificare tali dati. Le app con riconoscimento dei dati aziendali, come Word o Microsoft Excel, possono usare dati aziendali e personali. Quando si creano criteri WIP, è possibile impostare quattro modalità di protezione WIP, elencate nella tabella seguente, per la gestione dell'accesso.
| Mode | Descrizione |
|---|---|
| Blocca o nascondi override | Impedisce ai dipendenti di eseguire azioni di condivisione dei dati se bloccate dai criteri. In alcuni documenti Microsoft, questa modalità viene definita Nascondi override. |
| Consenti override | Avvisa i dipendenti quando stanno eseguendo un'azione potenzialmente rischiosa, ma possono scegliere di completarla. L'azione viene registrata nel log di controllo. |
| Automatico | Funziona come la modalità Consenti override, ad eccezione del fatto che registra nel log di controllo solo le azioni di cui un dipendente può eseguire l'override. Qualsiasi azione bloccata rimane bloccata. |
| Disattivato | WIP è disattivato e non protegge i dati. |
Creare un criterio WIP in Intune
Quando si creano criteri in Intune, è possibile definire quali app sono protette, il livello di protezione fornito e come trovare i dati dell'organizzazione nella rete.
Per creare un criterio WIP in Intune, seguire questa procedura:
- Accedere all'interfaccia di amministrazione di Microsoft Intune.
- Passare a App>Criteri di protezione delle app.
- Nel riquadro Criteri di protezione delle app selezionare Aggiungi un criterio e quindi compilare i campi seguenti:
- Nome. Immetti un nome per il criterio.
- Descrizione. Immettere una descrizione per il criterio.
- Piattaforma. Selezionare la piattaforma per il criterio.
- Stato registrazione: Scegliere Senza registrazione per MAM o Con registrazione per MDM.
- Selezionare App protette e quindi selezionare Aggiungi app. È possibile aggiungere questi tipi di app:
- App consigliate. Si tratta di app con riconoscimento dei dati aziendali con Windows Information Protection.
- App dello Store. Si tratta di app disponibili in Microsoft Store.
- App desktop. Si tratta di app desktop di Windows firmate. Si noti che un'applicazione potrebbe restituire errori di accesso negato dopo averla rimossa dall'elenco delle app protette. Invece di rimuoverla dall'elenco, è consigliabile disinstallare e reinstallare l'applicazione o esentarla dai criteri WIP.
App consentite ed esenti
Il processo di aggiunta di una regola per le app varia leggermente a seconda del tipo di modello di regola usato. I modelli di regola sono:
- App consigliata. Le app consigliate sono app con riconoscimento dei dati aziendali che possono essere usate con Windows Information Protection.
- App dello Store. Questa opzione è per le app disponibili in Microsoft Store.
- App desktop. Questa opzione è per le app desktop di Windows firmate.
Per informazioni dettagliate su come aggiungere ogni tipo di app all'elenco App consentite, fare riferimento all'argomento "Aggiungere app all'elenco App consentite" in "Creare un criterio di Windows Information Protection (WIP) con MDM tramite l'interfaccia di amministrazione di Endpoint Manager".
Dopo aver aggiunto le app che si intende proteggere, è necessario decidere la modalità di protezione da usare. Quando si creano e si verificano i criteri con un gruppo di utenti di test, prendere in considerazione la procedura consigliata di usare la modalità Invisibile all'utente o Consenti override prima di usare la modalità blocco. In questo modo, è possibile verificare che queste siano le app corrette da inserire nell'elenco App consentite.
Identità aziendale
L'identità aziendale identifica i dati dell'organizzazione dalle app protette con WIP. Ad esempio, i messaggi di posta elettronica provenienti dal dominio aziendale verranno identificati come aziendali e verranno applicati i criteri WIP. Per questo motivo, in genere si desidera aggiungere tutti i domini da cui si inviano messaggi di posta elettronica.
È possibile aggiungere l'identità aziendale digitando il nome di dominio o più nomi di dominio separati dal carattere pipe (|) nel campo Identità aziendale.
Perimetro di rete
WIP deve sapere dove le app possono trovare e accedere ai dati dell'organizzazione nella rete, noto anche come limite di rete. Non esiste un set predefinito di posizioni o un modo automatico per definirle. È necessario aggiungerle ai criteri WIP ed è possibile aggiungere tutti le posizioni necessarie.
Quando si aggiunge una definizione del limite di rete, si sceglie il tipo di limite e, in base a tale scelta, si fornisce la definizione in un formato specifico. È anche possibile configurare il criterio per indicare a Windows se alcuni elenchi di limiti, come gli elenchi di server proxy o indirizzi IP, sono definitivi o se è consentita la ricerca di altri server o indirizzi IP nella rete.
Nella tabella seguente vengono descritte le diverse opzioni del tipo di limite.
| Elemento di rete | Descrizione |
|---|---|
| Risorse cloud | Specifica gli URL per le risorse o le applicazioni basate sul cloud, ad esempio SharePoint Online o Microsoft Visual Studio Codespace, che devono essere trattati come contenenti dati dell'organizzazione. È possibile creare più voci usando il formato URL1|URL2. |
| Domini protetti | Definisce i suffissi DNS per i domini che devono essere considerati protetti. Sono consentite più voci usando il formato nomedominio1,nomedominio2, ad esempio corp.adatum.com,sales.adatum.com. |
| Domini di rete | Definisce i suffissi DNS usati all'interno dell'ambiente. Sono consentite più voci usando il formato nomedominio1,nomedominio2, ad esempio corp.adatum.com,sales.adatum.com. |
| Server proxy | Specifica gli indirizzi e le porte dei server proxy esterni in cui WIP deve proteggere il traffico. Ad esempio, proxy.adatum.com:80;proxy2.adatum.com:137. |
| Server proxy interni | Specifica i server proxy usati dai dispositivi per raggiungere le risorse basate sul cloud. Usa lo stesso formato dei server proxy aziendali. |
| Intervalli IPv4 | Specifica l'intervallo di indirizzi IPv4 (protocollo IP versione 4) usati nella rete. Usare il formato startingaddress-endingaddress, con più intervalli separati da virgole. Questo elemento di rete è obbligatorio se non si specifica un intervallo IPv6 (protocollo IP aziendale versione 6). |
| Intervalli IPv6 | Specifica l'intervallo di indirizzi IPv6 usati nella rete. Questo elemento di rete è obbligatorio se non si specificano intervalli IPv4 aziendali e usa lo stesso formato di IPv4. |
| Risorse neutre | Specifica gli endpoint di reindirizzamento dell'autenticazione per l'azienda, ad esempio gli endpoint Active Directory Federation Services. Usare il formato URL1|URL2. |
Certificato dell'agente di recupero dati
Come descritto in precedenza, WIP crittografa i dati aziendali quando si trovano in unità locali. Se la chiave di crittografia viene persa o revocata, non è possibile recuperare i dati. Aggiungendo un certificato DRA, si fornisce una chiave pubblica che crittografa i dati locali, consentendo di decrittografarli in un secondo momento, se necessario.
Se non si dispone già di un certificato DRA EFS (Encrypting File System), è necessario crearne uno e caricarlo nel criterio prima di distribuirlo.
Per altre informazioni, vedere Creare e verificare un certificato dell'agente di recupero dati EFS (Encrypting File System).
Impostazioni facoltative correlate a WIP
È anche possibile configurare queste altre impostazioni dei criteri WIP:
- Revoca le chiavi di crittografia all'annullamento della registrazione. Gli utenti non possono accedere ai dati dell'organizzazione crittografati quando viene annullata la registrazione di un dispositivo in Intune.
- Mostra l'immagine sovrapposta all'icona Windows Information Protection. Determina se l'icona WIP si sovrappone ai file in Esplora file o nella visualizzazione Salva con nome.
- Usare Azure RMS per WIP. Determina se viene usata la crittografia di Azure RMS per WIP. Deve essere incluso Azure RMS.
- Usare Windows Hello for Business come metodo per accedere a Windows. Determina se gli utenti possono usare Windows Hello per accedere al dispositivo e le regole per l'uso di Windows Hello.