Creare criteri di Windows Information Protection in Microsoft Intune

Nota

A partire da luglio 2022, Microsoft sta deprecando Windows Information Protection (WIP). Microsoft continuerà a supportare WIP nelle versioni supportate di Windows. Le nuove versioni di Windows non includeranno nuove funzionalità per WIP e non saranno supportate nelle versioni future di Windows. Per altre informazioni, vedere Annuncio del tramonto di Windows Information Protection.

Per le esigenze di protezione dei dati, Microsoft consiglia di usare Microsoft Purview Information Protection e Prevenzione della perdita dei dati Microsoft Purview. Purview semplifica la configurazione e offre un set avanzato di funzionalità.

Si applica a:

  • Windows 10
  • Windows 11

Microsoft Intune offre un modo semplice per creare e distribuire criteri di Windows Information Protection (WIP). È possibile scegliere quali app proteggere, il livello di protezione e come trovare i dati aziendali in rete. I dispositivi possono essere completamente gestiti da Mobile Gestione dispositivi (MDM) o gestiti da Mobile Application Management (MAM), dove Intune gestisce solo le app nel dispositivo personale di un utente.

Differenze tra MDM e MAM per WIP

È possibile creare criteri di protezione delle app in Intune con registrazione del dispositivo per MDM o senza registrazione del dispositivo per MAM. Il processo di creazione di entrambi i criteri è simile, ma esistono differenze importanti:

  • MAM include più impostazioni di accesso per Windows Hello per le aziende.
  • MAM può cancellare in modo selettivo i dati aziendali dal dispositivo personale di un utente.
  • MAM richiede una licenza Di Azure Active Directory (Azure AD) Premium.
  • È necessaria anche una licenza di Azure AD Premium per il ripristino automatico di WIP, in cui un dispositivo può registrare nuovamente e ottenere nuovamente l'accesso ai dati protetti. Il ripristino automatico di WIP dipende dalla registrazione di Azure AD per eseguire il backup delle chiavi di crittografia, che richiede la registrazione automatica del dispositivo con MDM.
  • MAM supporta un solo utente per dispositivo.
  • MAM può gestire solo le app con riconoscimento delle informazioni.
  • Solo MDM può usare i criteri CSP BitLocker .
  • Se lo stesso utente e lo stesso dispositivo sono destinati sia a MDM che a MAM, i criteri MDM verranno applicati ai dispositivi aggiunti ad Azure AD. Per i dispositivi personali aggiunti all'area di lavoro ,ovvero aggiunti tramite Impostazioni>Email & account>Aggiungere un account aziendale o dell'istituto di istruzione, i criteri solo MAM saranno preferiti, ma è possibile aggiornare la gestione dei dispositivi a MDM in Impostazioni. Windows Home Edition supporta solo WIP per MAM; l'aggiornamento ai criteri MDM nell'edizione Home revoca l'accesso ai dati protetto da WIP.

Prerequisiti

Prima di creare criteri WIP con Intune, è necessario configurare un provider MDM o MAM in Azure Active Directory (Azure AD). MAM richiede una licenza Di Azure Active Directory (Azure AD) Premium. È necessaria anche una licenza di Azure AD Premium per il ripristino automatico di WIP, in cui un dispositivo può registrare nuovamente e ottenere nuovamente l'accesso ai dati protetti. Il ripristino automatico di WIP si basa sulla registrazione di Azure AD per eseguire il backup delle chiavi di crittografia, che richiede la registrazione automatica del dispositivo con MDM.

Configurare il provider MDM o MAM

  1. Accedere al portale di Azure.

  2. Selezionare Azure Active Directory>Mobility (MDM e MAM)>Microsoft Intune.

  3. Selezionare Ripristina URL predefiniti o immettere le impostazioni per l'ambito utente MDM o MAM e selezionare Salva:

    Configurare il provider MDM o MAM.

Creare un criterio WIP

  1. Accedere all'interfaccia di amministrazione di Microsoft Endpoint Manager.

  2. Aprire Microsoft Intune e selezionare App>Protezione di app criteri>Crea criterio.

    Aprire App client.

  3. Nella schermata Criteri app selezionare Aggiungi un criterio e quindi compilare i campi:

    • Nome. Digita un nome (obbligatorio) per il nuovo criterio.

    • Descrizione. Digita una descrizione facoltativa.

    • Piattaforma. Scegliere Windows 10.

    • Stato registrazione. Scegliere Senza registrazione per MAM o Con registrazione per MDM.

    Aggiungere criteri per app per dispositivi mobili.

  4. Selezionare App protette e quindi Aggiungi app.

    Aggiungere app protette.

    È possibile aggiungere questi tipi di app:

Nota

Un'applicazione potrebbe restituire errori di accesso negato dopo averlo rimosso dall'elenco delle app protette. Invece di rimuoverlo dall'elenco, disinstallare e reinstallare l'applicazione o esentarla dai criteri wip.

Selezionare App consigliate e selezionare ogni app che si vuole accedere ai dati aziendali o selezionarle tutte e selezionare OK.

Console di gestione di Microsoft Intune: app consigliate.

Aggiungere app di Windows Store

Selezionare App dello Store, digitare il nome e l'editore del prodotto dell'app e selezionare OK. Ad esempio, per aggiungere l'app Power BI per dispositivi mobili dallo Store, digitare quanto segue:

  • Nome: Microsoft Power BI
  • Server di pubblicazione: CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
  • Nome prodotto: Microsoft.MicrosoftPowerBIForWindows

Aggiungere un'app dello Store.

Per aggiungere più app dello Store, selezionare i puntini di sospensione .

Se non conosci il nome del prodotto o dell'editore dell'app dello Store, puoi trovarli seguendo questa procedura.

  1. Vai al sito Web Microsoft Store per le aziende e trova l'app. Ad esempio, Power BI per dispositivi mobili App.

  2. Copia il valore ID dall'URL dell'app. Ad esempio, l'URL dell'ID app Power BI per dispositivi mobili è https://www.microsoft.com/store/p/microsoft-power-bi/9nblgggzlxn1e si copia il valore id , 9nblgggzlxn1.

  3. In un browser esegui l'API Web del portale dello Store per le aziende per restituire un file JSON (JavaScript Object Notation) che include i valori per il nome dell'autore e del prodotto. Ad esempio, eseguire https://bspmts.mp.microsoft.com/v1/public/catalog/Retail/Products/9nblgggzlxn1/applockerdata, dove 9nblgggzlxn1 viene sostituito con il valore ID.

    L'API viene eseguita e apre un editor di testo con i dettagli dell'app.

     {
     	"packageIdentityName": "Microsoft.MicrosoftPowerBIForWindows",
     	"publisherCertificateName": "CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US"
     }
    
  4. Copia il valore publisherCertificateName nella casella Autore e il valore packageIdentityName nella casella Nome di Intune.

    Importante

    Il file JSON potrebbe anche restituire un valore windowsPhoneLegacyId per le caselle Nome autore e Nome prodotto. Ciò significa che si dispone di un'app che usa un pacchetto XAP e che è necessario impostare il nome del prodotto su windowsPhoneLegacyIde impostare il nome del server di pubblicazione come CN= seguito da .windowsPhoneLegacyId

    Ad esempio:

    {
        "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
    }
    

Aggiungere app desktop

Per aggiungere app desktop, completare i campi seguenti, in base ai risultati che si desidera restituire.

Campo Gestisce
Tutti i campi contrassegnati come * Tutti i file firmati da un autore. (Non consigliato e potrebbe non funzionare)
Solo autore Se si compila solo questo campo, si otterranno tutti i file firmati dal server di pubblicazione denominato. Può essere utile se la società è l'autore e il firmatario di app line-of-business interne.
Solo autore e nome Se si compilano solo questi campi, si otterranno tutti i file per il prodotto specificato, firmato dal server di pubblicazione denominato.
Solo autore, nome e file Se si compilano solo questi campi, si otterrà qualsiasi versione del file o pacchetto denominato per il prodotto specificato, firmato dal server di pubblicazione denominato.
Solo autore, nome, file e versione minima Se si compilano solo questi campi, si otterrà la versione specificata o le versioni più recenti del file o pacchetto denominato per il prodotto specificato, firmato dal server di pubblicazione denominato. Questa opzione è consigliata per app con riconoscimento dei dati aziendali che in precedenza erano senza riconoscimento dei dati aziendali.
Solo autore, nome, file e versione massima Se si compilano solo questi campi, si otterrà la versione specificata o le versioni precedenti del file o pacchetto denominato per il prodotto specificato, firmato dal server di pubblicazione denominato.
Tutti i campi completati Se si compilano tutti i campi, si otterrà la versione specificata del file o pacchetto denominato per il prodotto specificato, firmata dal server di pubblicazione denominato.

Per aggiungere un'altra app desktop, selezionare i puntini di sospensione . Dopo aver immesso le informazioni nei campi, selezionare OK.

Console di gestione di Microsoft Intune: aggiunta di informazioni sull'app desktop.

Se non si è certi di cosa includere per il server di pubblicazione, è possibile eseguire questo comando di PowerShell:

Get-AppLockerFileInformation -Path "<path_of_the_exe>"

Dove "<path_of_the_exe>" rappresenta il percorso dell'app nel dispositivo. Ad esempio:

Get-AppLockerFileInformation -Path "C:\Program Files\Windows NT\Accessories\wordpad.exe"

Per questo esempio otterrai le seguenti informazioni:

Path                   Publisher
----                   ---------
%PROGRAMFILES%\WINDOWS NT\ACCESSORIES\WORDPAD.EXE O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US

Dove O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US è il nome del server di pubblicazione e WORDPAD.EXE è il nome del file .

Per informazioni su come ottenere il nome del prodotto per le app da aggiungere, contattare il team di supporto di Windows per richiedere le linee guida

Importare un elenco di app

Questa sezione illustra due esempi di uso di un file XML AppLocker nell'elenco App protette . Questa opzione verrà usata se si vogliono aggiungere più app contemporaneamente.

Per altre info su AppLocker, vedi i contenuti su AppLocker.

Creare una regola dell'app in pacchetto per le app dello Store

  1. Apri lo snap-in Criteri di sicurezza locali (SecPol.msc).

  2. Espandere Criteri di controllo dell'applicazione, AppLocker e quindi selezionare Regole app in pacchetto.

    Snap-in di sicurezza locale, che mostra le regole dell'app in pacchetto.

  3. Fare clic con il pulsante destro del mouse sul lato destro e quindi scegliere Crea nuova regola.

    Viene visualizzata la procedura guidata di creazione delle regole delle app in pacchetto.

  4. Nella pagina Prima di iniziare selezionare Avanti.

    Screenshot della scheda Prima di iniziare.

  5. Nella pagina Autorizzazioni verificare che l'azione sia impostata su Consenti e che l'utente o il gruppo sia impostato su Tutti e quindi selezionare Avanti.

    Screenshot della scheda Autorizzazioni con l'opzione

  6. Nella pagina Server di pubblicazione scegliere Selezionanell'area Usa un'app in pacchetto installata come riferimento .

    Screenshot del pulsante di opzione

  7. Nella casella Seleziona applicazioni selezionare l'app che si vuole usare come riferimento per la regola e quindi selezionare OK. Per questo esempio si usa Microsoft Dynamics 365.

    Screenshot dell'elenco Seleziona applicazioni.

  8. Nella pagina del server di pubblicazione aggiornato selezionare Crea.

    Screenshot della scheda Server di pubblicazione.

  9. Selezionare No nella finestra di dialogo visualizzata, chiedendo se si desidera creare le regole predefinite. Non creare regole predefinite per i criteri WIP.

    Screenshot dell'avviso di AppLocker.

  10. Esamina lo snap-in Criteri di sicurezza locali per assicurarti che la regola sia corretta.

    Snap-in di sicurezza locale, che mostra la nuova regola.

  11. A sinistra fare clic con il pulsante destro del mouse su AppLocker e quindi scegliere Esporta criterio.

    Viene visualizzata la finestra Esporta criterio, che ti permette di esportare e salvare il nuovo criterio come file XML.

    Snap-in di sicurezza locale che mostra l'opzione Esporta criteri.

  12. Nella casella Esporta criterio passare alla posizione in cui archiviare i criteri, assegnare un nome al criterio e quindi selezionare Salva.

    Il criterio viene salvato e verrà visualizzato un messaggio che indica che una regola è stata esportata dal criterio.

    File di esempio XML
    Questo è il file XML creato da AppLocker per Microsoft Dynamics 365.

    <?xml version="1.0"?>
    <AppLockerPolicy Version="1">
        <RuleCollection EnforcementMode="NotConfigured" Type="Appx">
            <FilePublisherRule Action="Allow" UserOrGroupSid="S-1-1-0" Description="" Name="Microsoft.MicrosoftDynamicsCRMforWindows10, version 3.2.0.0 and above, from Microsoft Corporation" Id="3da34ed9-aec6-4239-88ba-0afdce252ab4">
                <Conditions>
                    <FilePublisherCondition BinaryName="*" ProductName="Microsoft.MicrosoftDynamicsCRMforWindows10" PublisherName="CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US">
                        <BinaryVersionRange HighSection="*" LowSection="3.2.0.0"/>
                    </FilePublisherCondition>
                </Conditions>
            </FilePublisherRule>
        </RuleCollection>
        <RuleCollection EnforcementMode="NotConfigured" Type="Dll"/>
        <RuleCollection EnforcementMode="NotConfigured" Type="Exe"/>
        <RuleCollection EnforcementMode="NotConfigured" Type="Msi"/>
        <RuleCollection EnforcementMode="NotConfigured" Type="Script"/>
    </AppLockerPolicy>
    
  13. Dopo aver creato il file XML, è necessario importarlo usando Microsoft Intune.

Creare una regola eseguibile per le app non firmate

La regola eseguibile consente di creare una regola di AppLocker per firmare eventuali app non firmate. Consente di aggiungere il percorso del file o l'editore dell'app contenuto nella firma digitale del file necessaria per l'applicazione dei criteri WIP.

  1. Apri lo snap-in Criteri di sicurezza locali (SecPol.msc).

  2. Nel riquadro sinistro selezionare Application Control PoliciesAppLockerExecutable Rules (Regole eseguibili di Application Control Policies >AppLocker>).

  3. Fare clic con il pulsante destro del mouse su Regole >eseguibiliCrea nuova regola.

    Snap-in di sicurezza locale, che mostra le regole eseguibili.

  4. Nella pagina Prima di iniziare selezionare Avanti.

  5. Nella pagina Autorizzazioni verificare che l'azione sia impostata su Consenti e che l'utente o il gruppo sia impostato su Tutti e quindi selezionare Avanti.

  6. Nella pagina Condizioni selezionare Percorso e quindi avanti.

    Screenshot con le condizioni del percorso selezionate nella creazione guidata regole eseguibili.

  7. Selezionare Sfoglia cartelle e selezionare il percorso per le app non firmate. Per questo esempio si usa "C:\Programmi".

    Screenshot del campo Percorso della creazione guidata regole eseguibili.

  8. Nella pagina Eccezioni aggiungere eventuali eccezioni e quindi selezionare Avanti.

  9. Nella pagina Nome digitare un nome e una descrizione per la regola e quindi selezionare Crea.

  10. Nel riquadro sinistro fare clic con il pulsante destro del mouse su Criteridi esportazionedi AppLocker>.

  11. Nella casella Esporta criterio passare alla posizione in cui archiviare i criteri, assegnare un nome al criterio e quindi selezionare Salva.

    Il criterio viene salvato e verrà visualizzato un messaggio che indica che una regola è stata esportata dal criterio.

  12. Dopo aver creato il file XML, è necessario importarlo usando Microsoft Intune.

Per importare un elenco di app protette tramite Microsoft Intune

  1. In App protette selezionare Importa app.

    Importare app protette.

    Importare quindi il file.

    Microsoft Intune, Importazione del file di criteri di AppLocker con Intune.

  2. Passare al file di criteri di AppLocker esportato e quindi selezionare Apri.

    Le importazioni di file e le app vengono aggiunte all'elenco App protette .

Esentare le app da un criterio WIP

Se l'app non è compatibile con WIP, ma deve comunque essere usata con i dati aziendali, è possibile esentare l'app dalle restrizioni wip. Questo significa che le tue app non includeranno crittografia automatica o aggiunta di tag e non rispetteranno le restrizioni di rete. Significa anche che le app escluse potrebbero provocare la perdita di dati.

  1. In App client - Criteri di Protezione di app selezionare Esenta app.

    Esentare le app.

  2. In Esentare le app selezionare Aggiungi app.

    Quando si esentano le app, è possibile ignorare le restrizioni wip e accedere ai dati aziendali.

  3. Compilare le altre informazioni sull'app, in base al tipo di app che si sta aggiungendo:

  4. Selezionare OK.

Gestire la modalità di protezione di Windows Information Protection per i dati aziendali

Dopo avere aggiunto le app che vuoi proteggere con Windows Information Protection, devi applicare una modalità di gestione e protezione.

Ti consigliamo di iniziare con Invisibile all'utente o Consenti sostituzioni verificando con un piccolo gruppo per cui sono state inserite le app corrette nell'elenco delle app protette. Al termine, è possibile passare al criterio di imposizione finale, Blocca.

  1. In Protezione di app criterio selezionare il nome del criterio e quindi selezionare Impostazioni necessarie.

    Microsoft Intune, Le impostazioni obbligatorie mostrano la modalità windows Information Protection.

    Modalità Descrizione
    Blocca Windows Information Protection controlla se vengono eseguite operazioni di condivisione dei dati non appropriate e impedisce al dipendente di completare l'azione. Questo può includere la condivisione di informazioni tra app senza protezione aziendale, oltre alla condivisione di dati aziendali tra altri utenti e dispositivi all'esterno dell'azienda.
    Consenti sostituzioni Windows Information Protection controlla se vengono eseguite operazioni di condivisione dei dati non appropriate e segnala ai dipendenti l'esecuzione di operazioni potenzialmente non sicure. Tuttavia, questa modalità di gestione permette al dipendente di ignorare i criteri e condividere comunque i dati, registrando l'azione nel log di controllo. Per informazioni su come raccogliere i file di registro di controllo, vedi Come raccogliere i registri eventi di controllo di Windows Information Protection (WIP).
    Invisibile all'utente Wip viene eseguito in modo invisibile all'utente, registrando la condivisione dei dati inappropriata, senza bloccare nulla che avrebbe richiesto l'interazione dei dipendenti in modalità Consenti sostituzione. Le azioni non consentite, come quella di un'app che prova in modo non appropriato ad accedere a una risorsa di rete o a dati protetti da Windows Information Protection, continuano a essere arrestate.
    Disattivato Windows Information Protection è disattivato e non esegue alcuna attività di controllo o protezione dei dati.

    Dopo aver disattivato Windows Information Protection, viene eseguito il tentativo di decrittografare qualsiasi file con tag di Windows Information Protection nelle unità collegate localmente. Le precedenti informazioni su decrittografia e criteri non vengono riapplicate automaticamente riattivando la protezione di Windows Information Protection. Per altre informazioni, vedere Come disabilitare Windows Information Protection.
  2. Seleziona Salva.

Definire l'identità aziendale gestita dall'organizzazione

L'identità aziendale, in genere espressa come dominio Internet primario (ad esempio, contoso.com), consente di identificare e contrassegnare i dati aziendali dalle app contrassegnate come protette da WIP. Ad esempio, gli indirizzi e-mail che usano contoso.com vengono identificati come aziendali e soggetti a restrizioni dai criteri di Windows Information Protection.

A partire da Windows 10, versione 1703, Intune stabilisce automaticamente l'identità aziendale e la aggiunge al campo Identità aziendale.

Per modificare l'identità aziendale

  1. In Criteri app selezionare il nome del criterio e quindi selezionare Impostazioni necessarie.

  2. Se l'identità definita automaticamente non è corretta, è possibile modificare le informazioni nel campo Identità aziendale .

    Microsoft Intune, impostare l'identità aziendale per l'organizzazione.

  3. Per aggiungere domini, ad esempio i nomi di dominio di posta elettronica, selezionare Configura impostazioni> avanzateAggiungi limite di rete e selezionare Domini protetti.

    Aggiungere domini protetti.

Scegliere i percorsi in cui le app possono accedere ai dati aziendali

Dopo avere aggiunto una modalità di protezione alle app, dovrai decidere il percorso di rete in cui le app possono accedere ai dati aziendali. Ogni criterio WIP deve includere i percorsi di rete aziendali.

Windows Information Protection non include percorsi predefiniti e devi aggiungere personalmente ogni percorso di rete. Questa area si applica a qualsiasi dispositivo endpoint di rete che ottiene un indirizzo IP nell'intervallo dell'organizzazione ed è associato anche a uno dei domini aziendali, incluse le condivisioni SMB. I percorsi di file system locali devono mantenere solo la crittografia, ad esempio in NTFS, FAT e ExFAT locali.

Per definire i limiti di rete, selezionare Criteri> app il nome dei criteri >Impostazioni> avanzateAggiungi limite di rete.

Microsoft Intune, Impostare la posizione in cui le app possono accedere ai dati aziendali nella rete.

Selezionare il tipo di limite di rete da aggiungere dalla casella Tipo di limite. Digitare un nome per il limite nella casella Nome , aggiungere i valori alla casella Valore in base alle opzioni descritte nelle sottosezioni seguenti e quindi selezionare OK.

Risorse cloud

Specifica le risorse cloud da considerare aziendali e protette da Windows Information Protection. Per ogni risorsa cloud puoi anche specificare un server proxy dell'elenco di server proxy interni per indirizzare il traffico per questa risorsa cloud. Tutto il traffico instradato attraverso i server proxy interni è considerato aziendale.

Separare più risorse con il delimitatore "|". Ad esempio:

URL <,proxy>|URL <,proxy>

Le applicazioni personali possono accedere a una risorsa cloud con uno spazio vuoto o un carattere non valido, ad esempio un punto finale nell'URL.

Per aggiungere un sottodominio per una risorsa cloud, usare un punto (.) anziché un asterisco (*). Ad esempio, per aggiungere tutti i sottodomini all'interno di Office.com, usare ".office.com" (senza virgolette).

In alcuni casi, ad esempio quando un'app si connette direttamente a una risorsa cloud tramite un indirizzo IP, Windows non può indicare se sta tentando di connettersi a una risorsa cloud aziendale o a un sito personale. In questo caso, Windows blocca la connessione per impostazione predefinita. Per impedire a Windows di bloccare automaticamente queste connessioni, puoi aggiungere la stringa /*AppCompat*/ all'impostazione. Ad esempio:

URL <,proxy>|URL <,proxy>|/*AppCompat*/

Quando si usa questa stringa, è consigliabile attivare anche l'accesso condizionale di Azure Active Directory usando l'opzione Aggiunta al dominio o contrassegnata come conforme , che impedisce alle app di accedere a qualsiasi risorsa cloud aziendale protetta dall'accesso condizionale.

Formato valore con proxy:

contoso.sharepoint.com,contoso.internalproxy1.com|contoso.visualstudio.com,contoso.internalproxy2.com

Formato valore senza proxy:

contoso.sharepoint.com|contoso.visualstudio.com|contoso.onedrive.com,

Domini protetti

Specificare i domini usati per le identità nell'ambiente. Tutto il traffico verso i domini completi visualizzati in questo elenco verrà protetto. Separare più domini con il delimitatore "|".

exchange.contoso.com|contoso.com|region.contoso.com

Domini di rete

Specifica il suffisso DNS usato nell'ambiente. Tutto il traffico verso i domini completi visualizzati in questo elenco verrà protetto. Separare più risorse con il delimitatore "".

corp.contoso.com,region.contoso.com

Server proxy

Specifica i server proxy attraverso cui devono passare i dispositivi per raggiungere le risorse cloud. L'uso di questo tipo di server indica che le risorse cloud a cui ci si connette sono risorse aziendali.

Questo elenco non deve includere alcun server elencato nell'elenco Dei server proxy interni. I server proxy interni devono essere utilizzati solo per il traffico non protetto da Windows Information Protection (non enterprise). Separare più risorse con il delimitatore ";".

proxy.contoso.com:80;proxy2.contoso.com:443

Server proxy interni

Specifica i server proxy interni attraverso cui devono passare i dispositivi per raggiungere le risorse cloud. L'uso di questo tipo di server indica che le risorse cloud a cui ci si connette sono risorse aziendali.

Questo elenco non deve includere alcun server elencato nell'elenco dei server proxy. I server proxy interni devono essere utilizzati solo per il traffico protetto da Windows Information Protection (enterprise). Separare più risorse con il delimitatore ";".

contoso.internalproxy1.com;contoso.internalproxy2.com

Intervalli IPv4

Specifica gli indirizzi per un intervallo di valori IPv4 valido all'interno della Intranet. Questi indirizzi, usati con i nomi di dominio di rete, definiscono i limiti della rete aziendale. La notazione CIDR (Classless Inter-Domain Routing) non è supportata.

Separare più intervalli con il delimitatore "".

Indirizzo IPv4 iniziale: 3.4.0.1
Indirizzo IPv4 finale: 3.4.255.254
URI personalizzato: 3.4.0.1-3.4.255.254,
10.0.0.1-10.255.255.254

Intervalli IPv6

A partire da Windows 10 versione 1703, questo campo è facoltativo.

Specifica gli indirizzi per un intervallo di valori IPv6 valido all'interno della Intranet. Questi indirizzi, usati con i nomi di dominio di rete, definiscono i limiti di rete aziendale. La notazione CIDR (Classless Inter-Domain Routing) non è supportata.

Separare più intervalli con il delimitatore "".

Indirizzo IPv6 iniziale:2a01:110::
Indirizzo IPv6 finale:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff
URI personalizzato:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff,'<br>'fd00::-fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

Risorse neutre

Specifica gli endpoint di reindirizzamento dell'autenticazione per la società. Questi percorsi sono considerati aziendali o personali, in base al contesto della connessione prima del reindirizzamento. Separare più risorse con il delimitatore "".

sts.contoso.com,sts.contoso2.com

Decidere se si vuole che Windows cerchi altre impostazioni di rete:

  • L'elenco di server proxy aziendali è autorevole (non rilevare automaticamente). Attivare se si vuole che Windows consideri i server proxy specificati nella definizione del limite di rete come l'elenco completo dei server proxy disponibili nella rete. Se si disattiva questa opzione, Windows cercherà altri server proxy nella rete immediata.

  • L'elenco di intervalli IP aziendali è autorevole (non rilevare automaticamente). Attiva se vuoi che Windows consideri gli intervalli IP specificati nella definizione dei limiti di rete come l'elenco completo degli intervalli IP disponibili nella rete. Se si disattiva questa opzione, Windows cercherà altri intervalli IP in tutti i dispositivi aggiunti a un dominio connessi alla rete.

Microsoft Intune, scegliere se si vuole che Windows cerchi altri server proxy o intervalli IP nell'organizzazione.

Carica il certificato dell'agente di recupero dati

Dopo aver creato e distribuito i criteri wip ai dipendenti, Windows inizia a crittografare i dati aziendali nell'unità del dispositivo locale dei dipendenti. Se in qualche modo le chiavi di crittografia locali dei dipendenti vengono perse o revocate, i dati crittografati possono diventare irrecuperabili. Per evitare questa possibilità, il certificato dell'agente di ripristino dati permette a Windows di usare una chiave pubblica inclusa per crittografare i dati locali, mantenendo la chiave privata che può decrittografare i dati.

Importante

L'uso di un certificato DRA non è obbligatorio. Tuttavia, è fortemente consigliato. Per altre informazioni su come trovare ed esportare il certificato di recupero dati, vedi Recupero dati e crittografia del file system (EFS). Per altre info sulla creazione e la verifica del certificato EFS DRA, vedi Creare e verificare un certificato dell'agente di recupero dati EFS (Encrypting File System).

Per caricare un certificato DRA

  1. In Criteri app selezionare il nome del criterio e quindi selezionare Impostazioni avanzate dal menu visualizzato.

    Vengono visualizzate le impostazioni avanzate .

  2. Nella casella Carica un certificato dell'agente di recupero dati (DRA) per consentire il ripristino dei dati crittografati selezionare Sfoglia per aggiungere un certificato di recupero dati per i criteri.

    Microsoft Intune, Caricare il certificato dell'agente di recupero dati.

Dopo aver deciso dove le app protette possono accedere ai dati aziendali nella rete, è possibile scegliere le impostazioni facoltative.

Impostazioni facoltative avanzate.

Revoca le chiavi di crittografia all'annullamento della registrazione. Determina se revocare le chiavi di crittografia locali di un utente a un dispositivo quando viene annullata la registrazione da Windows Information Protection. Se le chiavi di crittografia vengono revocate, un utente non ha più accesso ai dati aziendali crittografati. Le opzioni sono:

  • Attivata o non configurata (scelta consigliata). Revoca le chiavi di crittografia locali da un dispositivo durante l'annullamento della registrazione.

  • Disattivata. Impedisce la revoca delle chiavi di crittografia locali da un dispositivo durante l'annullamento della registrazione, Ad esempio, se si esegue la migrazione tra soluzioni MDM (Mobile Gestione dispositivi).

Mostra l'icona di Protezione dei dati aziendali. Determina se l'immagine sovrapposta all'icona Windows Information Protection viene visualizzata nei file aziendali nelle visualizzazioni Salva con nome ed Esplora file. Le opzioni sono:

  • Attivata. Consente la visualizzazione dell'immagine sovrapposta all'icona Windows Information Protection nei file aziendali nelle visualizzazioni Salva con nome ed Esplora file. Inoltre, per le app non illuminate ma protette, la sovrimpressione dell'icona viene visualizzata anche nel riquadro dell'app e con testo gestito nel nome dell'app nel menu Start .

  • Disattivata o non configurata (scelta consigliata). Impedisce la visualizzazione della sovrimpressione dell'icona di Windows Information Protection nei file aziendali o nelle app non illuminate ma protette. L'opzione predefinita è Non configurato.

Usare Azure RMS per Windows Information Protection. Determina se WIP usa Microsoft Azure Rights Management per applicare la crittografia EFS ai file copiati da Windows 10 a USB o ad altre unità rimovibili in modo che possano essere condivisi in modo sicuro con i dipendenti. In altre parole, WIP usa i "macchinari" di Azure Rights Management per applicare la crittografia EFS ai file quando vengono copiati in unità rimovibili. È necessario che Azure Rights Management sia già configurato. La chiave di crittografia file EFS è protetta dalla licenza del modello RMS. Solo gli utenti autorizzati a tale modello possono leggerlo dall'unità rimovibile. Wip può anche integrarsi con Azure RMS usando le impostazioni AllowAzureRMSForEDP e RMSTemplateIDForEDP MDM nel CSP EnterpriseDataProtection.

  • Attivata. Protegge i file copiati in un'unità rimovibile. È possibile immettere un GUID TemplateID per specificare chi può accedere ai file protetti di Azure Rights Management e per quanto tempo. Il modello RMS viene applicato solo ai file su supporti rimovibili e viene usato solo per il controllo di accesso. In realtà non applica Azure Information Protection ai file.

    Se non si specifica un modello RMS, si tratta di un normale file EFS che usa un modello RMS predefinito a cui tutti gli utenti possono accedere.

  • Disattivata o non configurata. Impedisce a WIP di crittografare i file di Azure Rights Management copiati in un'unità rimovibile.

    Nota

    Indipendentemente da questa impostazione, tutti i file in OneDrive for Business verranno crittografati, incluse le cartelle note spostate.

Consenti all'indicizzatore di Windows Search di cercare file crittografati. Determina se consentire all'indicizzatore di Windows Search di indicizzare gli elementi crittografati, ad esempio i file protetti da WIP.

  • Attivata. Avvia l'indicizzatore di Windows Search per indicizzare i file crittografati.

  • Disattivata o non configurata. Impedisce all'indicizzatore di Windows Search di indicizzare i file crittografati.

Estensioni di file crittografate

È possibile limitare i file protetti da WIP quando vengono scaricati da una condivisione SMB all'interno dei percorsi di rete aziendali. Se questa impostazione è configurata, verranno crittografati solo i file con le estensioni nell'elenco. Se questa impostazione non è specificata, viene applicato il comportamento di crittografia automatica esistente.

Estensioni di file crittografate wip.