Implementare e usare Windows Information Protection

Completato

Quando si usa Windows Information Protection, i dati dell'organizzazione vengono crittografati automaticamente quando i dati vengono scaricati o aperti in un dispositivo locale. La crittografia protegge i dati dei file e associa i dati all'identità aziendale.

I criteri WIP specificano quindi quali app attendibili possono usare e modificare tali dati. Le app abilitate come Word o Microsoft Excel possono funzionare con dati aziendali e personali. Quando si creano criteri WIP, è possibile impostare quattro modalità di protezione WIP, elencate nella tabella seguente, per la gestione di tale accesso.

Mode

Descrizione

Blocca o nascondi override

Impedisce ai dipendenti di eseguire azioni di condivisione dei dati quando sono bloccati dai criteri. In alcuni documenti di Microsoft, questa opzione viene definita modalità Nascondi override.

Consenti override

Avvisa i dipendenti quando eseguono un'azione potenzialmente rischiosa, ma questi possono scegliere di completare l'azione. Record dell'azione nel log di controllo.

Silenzioso

Funziona come la modalità Consenti override, ad eccezione del fatto che registra solo qualsiasi azione che un dipendente può ignorare nel log di audit. Qualsiasi azione che verrebbe bloccata resta ancora bloccata.

Disattivato

WIP è disattivato e non protegge i dati.

Creare un criterio WIP in Intune

Quando si creano criteri in Intune, è possibile definire quali app sono protette, il livello di protezione fornito e come trovare i dati dell'organizzazione nella rete.

Per creare un criterio WIP in Intune, eseguire le operazioni seguenti:

1. Accedere all'interfaccia di amministrazione di Microsoft Endpoint Manager.
2. Selezionare App>Criteri di protezione app.
3. Selezionare Aggiungi un criterio e quindi immettere un nome per il criterio.
4. Selezionare Windows 10 e versioni successive come Piattaforma.
5. Selezionare Con registrazione come stato di registrazione.
6. Aggiungere app protette.
7. Aggiungere eventuali app esenti.
8. Nel pannello Impostazioni obbligatorie, selezionare la modalità Windows Information Protection e quindi impostare l'identità aziendale.
9. Nel pannello Impostazioni avanzate definire il perimetro di rete aggiungendo limiti di rete che definiscono dove le app possono trovare e inviare dati aziendali.
10. Caricare un certificato dell'agente di recupero dati (DRA, Data Recovery Agent).
11. Scegliere altre impostazioni WIP, tra cui se consentire Azure RM con WIP.
12. Selezionare OK e quindi Crea.

App consentite ed esenti

Il processo per l'aggiunta di una regola dell'app varia leggermente a seconda del tipo di modello di regola usato. I modelli di regola sono:

• App consigliata. Le app consigliate sono app con riconoscimento dei dati che funzionano con WIP.
• App dello Store. Questo vale per le app disponibili da Microsoft Store.
• Applicazione desktop. Questo vale per le app desktop Windows firmate.

Per informazioni dettagliate su come aggiungere ogni tipo di app all'elenco app consentite, vedere l'argomento “Aggiungi app all'elenco” delle app consentite in “Creare un criterio di Windows Information Protection (WIP) con MDM usando l'interfaccia di amministrazione di Endpoint Manager”.

Dopo aver aggiunto le app che si prevede di proteggere, sarà necessario decidere la modalità di protezione che si vuole usare. Quando si creano e verificano i criteri con un gruppo di utenti di test, considerare la migliore procedura d’uso, la modalità Silenzioso o Consenti override prima di utilizzare la modalità Blocca. In questo modo, è possibile confermare che queste sono le app corrette da avere nell'elenco app consentite.

Identità aziendale

L'identità aziendale identifica i dati dell'organizzazione dalle app protette con WIP. Ad esempio, i messaggi di posta elettronica provenienti dal dominio dell'organizzazione verranno identificati come aziendali e verranno applicati i criteri WIP. Per questo motivo, in genere si cerca di aggiungere tutti i domini da cui si inviano messaggi di posta elettronica.

Per aggiungere l'identità aziendale, digitare il nome di dominio o più nomi di dominio separati dal carattere di pipe (|) nel campo Identità aziendale.

Perimetro di rete

WIP deve sapere dove le app possono trovare e accedere ai dati dell'organizzazione nella rete, noto anche come limite di rete. Non esiste un set predefinito di posizioni o un modo automatico per definire queste posizioni. È necessario aggiungerli ai criteri WIP ed è possibile aggiungere tutti i percorsi necessari.

Quando si aggiunge una definizione di limite di rete, si sceglie il tipo di limite; in base a tale scelta, si specifica la definizione in un formato specifico. È anche possibile configurare i criteri per indicare a Windows se alcuni elenchi di limiti, ad esempio gli elenchi di server proxy o indirizzi IP, sono definitivi o se è consentita la ricerca di altri server o indirizzi IP nella rete.

Nella tabella seguente vengono descritte le diverse opzioni relative al tipo di limite.

Elemento di rete

Descrizione

Risorse cloud

Specifica gli URL per le risorse o le applicazioni basate sul cloud, ad esempio SharePoint Online o Microsoft Visual Studio Codespace, che devono essere trattati come contenenti dati dell'organizzazione. È possibile creare più voci usando il formato URL1|URL2.

Domini protetti

Definisce i suffissi DNS per i domini che devono essere considerati protetti. Sono consentite più voci usando il formato domainname1,domainname2; ad esempio, corp.adatum.com, sales.adatum.com.

Domini di rete

Definisce i suffissi DNS usati nell'ambiente. Sono consentite più voci usando il formato domainname1,domainname2; ad esempio, corp.adatum.com, sales.adatum.com.

Server proxy

Specifica gli indirizzi e le porte del server proxy con connessione esterna in cui WIP deve proteggere il traffico. Ad esempio, proxy.adatum.com:80;proxy2.adatum.com:137.

Server proxy interni

Specifica i server proxy che i dispositivi usano per raggiungere le risorse basate sul cloud. Usa lo stesso formato dei server proxy aziendali.

Intervalli IPv4

Specifica l'intervallo di indirizzi IPv4 (Internet Protocol versione 4) usati nella rete. Immettere usando il formato startingaddress-endingaddress, con più intervalli separati da virgole. Questo elemento di rete è necessario se non si specifica un intervallo enterprise Internet Protocol versione 6 (IPv6).

Intervalli IPv6

Specifica l'intervallo di indirizzi IPv6 usati nella rete. Questo elemento di rete è necessario se non si specificano intervalli IPv4 aziendali e si usa lo stesso formato di IPv4.

Risorse neutre

Specifica gli endpoint di reindirizzamento dell'autenticazione per l'azienda, ad esempio gli endpoint Active Directory Federation Services. Immettere usando il formato URL1|URL2.

Certificato dell'agente di recupero dati (DRA, Data Recovery Agent)

Come descritto in precedenza, WIP crittograferà i dati aziendali quando vengono usati nelle unità locali. Se la chiave di crittografia viene persa o revocata, non è possibile recuperare i dati. Aggiungendo un certificato DRA, si fornisce una chiave pubblica che crittograferà i dati locali, cosa che consentirà di decrittografare i dati in un secondo momento, se necessario.

Se non si dispone già di un certificato DRA Encrypting File System (EFS), è necessario crearne uno e caricarlo nei criteri prima di distribuirlo.

Per ulteriori informazioni, vedere Creare e verificare un certificato DFA (Data Recovery Agent) Encrypting File System (EFS).

Impostazioni facoltative correlate a WIP

È inoltre possibile configurare queste impostazioni aggiuntive dei criteri WIP:

• Revocare le chiavi di crittografia all'annullamento della registrazione. Gli utenti non possono accedere ai dati dell'organizzazione crittografati quando viene annullata la registrazione di un dispositivo da Intune.
• Mostra la sovrimpressione dell'icona Windows Information Protection. Determina se l'icona WIP si sovrappone ai file in Esplora file o nella visualizzazione Salva con nome.
• Usare Azure RMS per WIP. Determina se la crittografia Azure RMS verrà utilizzata per WIP. Azure RMS è fondamentale.
• Usare Windows Hello for Business come metodo per l'accesso a Windows. Determina se gli utenti possono usare Windows Hello per accedere al dispositivo e le regole per l'uso di Windows Hello.