Share via

Limitazioni nell'uso di Windows Information Protection (WIP)

  • Articolo

Si applica a:

  • Windows 10
  • Windows 11

Questo elenco seguente fornisce informazioni sui problemi più comuni che potrebbero verificarsi durante l'esecuzione di Windows Information Protection nell'organizzazione.

  • Limitazione: i dati aziendali nelle unità USB potrebbero essere collegati al dispositivo su cui è stato protetto, in base alla configurazione di Azure RMS.

    • Come appare:

      • Se si usa Azure RMS: gli utenti autenticati possono aprire i dati aziendali nelle unità USB, nei computer che eseguono Windows 10 versione 1703.
      • Se non si usa Azure RMS: i dati nella nuova posizione rimangono crittografati, ma diventano inaccessibili in altri dispositivi e per altri utenti. Ad esempio, il file non si apre o si apre ma non contiene testo leggibile.

    • Soluzione alternativa: condividere file con altri dipendenti tramite file server aziendali o percorsi cloud aziendali. Se i dati devono essere condivisi tramite USB, i dipendenti possono decrittografare i file protetti, ma i dati verranno controllati.

      È consigliabile spiegare ai dipendenti come limitare o eliminare la necessità di questa decrittografia.

  • Limitazione: l'accesso diretto non è compatibile con Windows Information Protection.

    • Come appare: l'accesso diretto potrebbe riscontrare problemi con il modo in cui Windows Information Protection applica il comportamento delle app e lo spostamento dei dati a causa del modo in cui WIP determina cosa è e non è una risorsa di rete aziendale.

    • Soluzione alternativa: è consigliabile usare la VPN per l'accesso client alle risorse Intranet.

      Nota

      La VPN è facoltativa e non è richiesta da Windows Information Protection.

  • Limitazione: l'impostazione networkIsolation Criteri di gruppo ha la precedenza sulle impostazioni dei criteri MDM.

    • Come appare: l'impostazione networkIsolation Criteri di gruppo può configurare impostazioni di rete che possono essere configurate anche tramite MDM. Windows Information Protection si basa su questi criteri configurati correttamente.
    • Soluzione alternativa: se si usano sia Criteri di gruppo che MDM per configurare le impostazioni di NetworkIsolation, è necessario assicurarsi che le stesse impostazioni vengano distribuite all'organizzazione usando sia Criteri di gruppo che MDM.

  • Limitazione: Cortana può potenzialmente consentire la perdita di dati se è presente nell'elenco delle app consentite.

    • Come appare: se Cortana è nell'elenco consentito, alcuni file potrebbero essere crittografati in modo imprevisto dopo che un dipendente esegue una ricerca usando Cortana. I dipendenti saranno ancora in grado di usare Cortana per eseguire ricerche e fornire risultati nei documenti e nelle posizioni aziendali, ma i risultati potrebbero essere inviati a Microsoft.

    • Soluzione alternativa: non è consigliabile aggiungere Cortana all'elenco delle app consentite. Tuttavia, se vuoi usare Cortana e non ti preoccupa che i risultati possano essere inviati a Microsoft, puoi escludere Cortana dalle restrizioni.

  • Limitazione: Windows Information Protection è progettato per l'uso da parte di un singolo utente per dispositivo.

    • Come appare: un utente secondario in un dispositivo potrebbe riscontrare problemi di compatibilità delle app quando le app non illuminate iniziano a crittografare automaticamente per tutti gli utenti. Inoltre, solo il contenuto dell'utente registrato iniziale può essere revocato durante il processo di annullamento della registrazione.
    • Soluzione alternativa: avere un solo utente per ogni dispositivo gestito.
    • Se si verifica questo scenario, potrebbe essere possibile attenuare. Una volta disabilitata la protezione, un secondo utente può rimuovere la protezione modificando la proprietà del file. Anche se la protezione è attiva, il file rimane accessibile all'utente.

  • Limitazione: i programmi di installazione copiati da una condivisione file di rete aziendale potrebbero non funzionare correttamente.

    • Come appare: un'app potrebbe non riuscire a eseguire correttamente l'installazione perché non è in grado di leggere un file di dati o di configurazione necessario, ad esempio un file di .cab o .xml necessario per l'installazione, protetto dall'azione di copia.
    • Soluzione alternativa: per risolvere questo problema, è possibile:

      • Avviare il programma di installazione direttamente dalla condivisione file.

        O

      • Decrittografare i file copiati localmente richiesti dal programma di installazione.

        O

      • Contrassegnare la condivisione file con il supporto di installazione come "personale". A tale scopo, è necessario impostare gli intervalli IP aziendali come Autorevole e quindi escludere l'indirizzo IP del file server oppure inserire il file server nell'elenco Server proxy aziendale.

  • Limitazione: la modifica dell'identità aziendale primaria non è supportata.

    • Come viene visualizzato: è possibile che si verifichino diverse instabilities, tra cui, a titolo esemplificatico, errori di accesso alla rete e ai file e potenzialmente la concessione di accesso non corretto.
    • Soluzione alternativa: disattivare Windows Information Protection per tutti i dispositivi prima di modificare l'identità aziendale primaria (prima voce nell'elenco), riavviare e infine ridistribuirsi.

  • Limitazione: le cartelle reindirizzate con Client-Side memorizzazione nella cache non sono compatibili con Windows Information Protection.

  • Limitazione: un dispositivo non gestito può usare Remote Desktop Protocol (RDP) per connettersi a un dispositivo gestito da WIP.

    • Come appare:

      • I dati copiati dal dispositivo gestito da WIP sono contrassegnati come Lavoro.
      • I dati copiati nel dispositivo gestito da WIP non sono contrassegnati come Lavoro.
      • I dati di Lavoro locale copiati nel dispositivo gestito da WIP rimangono dati di lavoro .
      • I dati di lavoro copiati tra due app nella stessa sessione rimangono ** dati.

    • Soluzione alternativa: disabilitare RDP per impedire l'accesso perché non esiste alcun modo per limitare l'accesso solo ai dispositivi gestiti da Windows Information Protection. RDP è disabilitato per impostazione predefinita.

  • Limitazione: non è possibile caricare un file aziendale in un percorso personale usando Microsoft Edge o Internet Explorer.

    • Come viene visualizzato: viene visualizzato un messaggio che indica che il contenuto è contrassegnato come Lavoro e all'utente non è stata concessa l'opzione per eseguire l'override su Personale.
    • Soluzione alternativa: aprire Esplora file e modificare la proprietà del file in Personale prima del caricamento.

  • Limitazione: i controlli ActiveX devono essere usati con cautela.

    • Come appare: le pagine Web che usano controlli ActiveX possono comunicare potenzialmente con altri processi esterni non protetti tramite Windows Information Protection.

    • Soluzione alternativa: è consigliabile passare all'uso di Microsoft Edge, il browser più sicuro e sicuro che impedisce l'uso di controlli ActiveX. Ti consigliamo anche di limitare l'uso di Internet Explorer 11 solo alle app line-of-business che richiedono tecnologia legacy.

      Per altre info, vedi Blocco dei controlli ActiveX non aggiornati.

  • Limitazione: Il file system resiliente (ReFS) non è attualmente supportato con Windows Information Protection.

    • Come appare:Il tentativo di salvare o trasferire file di Windows Information Protection in ReFS avrà esito negativo.
    • Soluzione alternativa: formattare l'unità per NTFS o usare un'unità diversa.

  • Limitazione: Windows Information Protection non è attivato se una delle cartelle seguenti ha l'opzione MakeFolderAvailableOfflineDisabled impostata su False:

    • AppDataRoaming
    • Desktop
    • StartMenu
    • Documenti
    • Immagini
    • Musica
    • Video
    • Preferiti
    • Contatti
    • Download
    • Collegamenti
    • Ricerche
    • SavedGames

    • Come appare: Windows Information Protection non è attivato per i dipendenti dell'organizzazione. Il codice di errore 0x807c0008 si verificherà se windows Information Protection viene distribuito tramite Microsoft Configuration Manager.

    • Soluzione alternativa: non impostare l'opzione MakeFolderAvailableOfflineDisabledsu False per una delle cartelle specificate. È possibile configurare questo parametro, come descritto disabilitare i file offline in singole cartelle reindirizzate.

      Se attualmente si usano cartelle reindirizzate, è consigliabile eseguire la migrazione a una soluzione di sincronizzazione file che supporta Windows Information Protection, ad esempio Cartelle di lavoro o OneDrive for Business. Inoltre, se si applicano cartelle reindirizzate dopo windows Information Protection è già in atto, potrebbe non essere possibile aprire i file offline.

      Per altre info su questi potenziali errori di accesso, vedi Impossibile aprire i file offline quando si utilizza File offline e Windows Information Protection.

  • Limitazione: è possibile gestire solo le app con riconoscimento dei dati senza registrazione del dispositivo

    • Come appare: se un utente registra un dispositivo per Gestione applicazioni mobili (MAM) senza registrazione del dispositivo, verranno gestite solo le app con riconoscimento dei dati. Questo è per progettazione per impedire che i file personali vengano involontariamente crittografati da app non illuminate.

      Le app non illuminate che devono accedere al lavoro con MAM devono essere ricompilate come app LOB o gestite tramite MDM con la registrazione del dispositivo.

    • Soluzione alternativa: se tutte le app devono essere gestite, registrare il dispositivo per MDM.

  • Limitazione: per impostazione predefinita, i file nella directory di Windows (%windir% o C:/Windows) non possono essere crittografati perché devono essere accessibili da qualsiasi utente. Se un file nella directory di Windows viene crittografato da un utente, gli altri utenti non possono accederci.

    • Come appare: qualsiasi tentativo di crittografare un file nella directory di Windows restituirà un errore di accesso ai file negato. Ma se si copia o si trascina un file crittografato nella directory di Windows, manterrà la crittografia per rispettare la finalità del proprietario.
    • Soluzione alternativa: se è necessario salvare un file crittografato nella directory di Windows, creare e crittografare il file in una directory diversa e copiarlo.

  • Limitazione: i blocchi appunti di OneNote in OneDrive for Business devono essere configurati correttamente per funzionare con Windows Information Protection.

    • Come viene visualizzato: OneNote potrebbe riscontrare errori durante la sincronizzazione di un blocco appunti OneDrive for Business e suggerire di modificare la proprietà del file in Personale. Se si tenta di visualizzare il blocco appunti in OneNote Online nel browser, verrà visualizzato un errore e non sarà possibile visualizzarlo.

    • Soluzione alternativa: i blocchi appunti di OneNote appena copiati nella cartella OneDrive for Business da Esplora file devono essere corretti automaticamente. A tale scopo, effettua quanto segue:

      1. Chiudere il blocco appunti in OneNote.
      2. Spostare la cartella del notebook tramite Esplora file dalla cartella OneDrive for Business in un altro percorso, ad esempio desktop.
      3. Copiare la cartella notebook e incollarla di nuovo nella cartella OneDrive for Business.

      Attendere alcuni minuti per consentire a OneDrive di completare la sincronizzazione & l'aggiornamento del notebook e la cartella deve essere convertita automaticamente in collegamento Internet. L'apertura del collegamento aprirà il blocco appunti nel browser, che può quindi essere aperto nel client OneNote usando il pulsante "Apri nell'app".

  • Limitazione: i file di dati offline di Microsoft Office Outlook (file PST e OST) non sono contrassegnati come file di lavoro e pertanto non sono protetti.

    • Come appare: se Microsoft Office Outlook è impostato per funzionare in modalità cache (impostazione predefinita) o se alcuni messaggi di posta elettronica vengono archiviati in un file PST locale, i dati non sono protetti.
    • Soluzione alternativa: è consigliabile usare Microsoft Office Outlook in modalità online o la crittografia per proteggere manualmente i file OST e PST.

Nota

  • Quando i dati aziendali vengono scritti su disco, Windows Information Protection usa il file system di crittografia (EFS) fornito da Windows per proteggerli e associarlo all'identità aziendale. Un avvertimento da tenere a mente è che il riquadro di anteprima in Esplora file non funzionerà per i file crittografati.

  • Aiutaci a migliorare questo argomento fornendoci modifiche, aggiunte e feedback. Per informazioni su come contribuire a questo argomento, vedi la pagina relativa ai contributi per i contenuti di Microsoft.