Windows Information Protection (WIP)
Nota I criteri di Windows Information Protection (WIP) possono essere applicati a Windows 10, versione 1607 o successiva.
WIP protegge i dati appartenenti a un'organizzazione applicando criteri definiti dall'organizzazione stessa. Se l'app è inclusa in questi criteri, tutti i dati prodotti dall'app sono soggetti alle restrizioni dei criteri. Questo argomento consente di creare app che applicano in modo più corretto questi criteri senza avere alcun impatto sui dati personali dell'utente.
In primo luogo, che cos'è WIP?
WIP è un set di funzionalità su desktop, portatili, tablet e telefoni che supportano il sistema Mobile Device Management (MDM) e Mobile Application Management (MAM) dell'organizzazione.
WIP insieme a MDM offre all'organizzazione un maggiore controllo sul modo in cui i dati vengono gestiti sui dispositivi gestiti dall'organizzazione. A volte, gli utenti portano i propri dispositivi al lavoro e non li registrano nella MDM dell'organizzazione. In questi casi, le organizzazioni possono usare MAM per ottenere un maggiore controllo sul modo in cui i dati vengono gestiti nelle app line-of-business specifiche installate dagli utenti sul dispositivo.
Utilizzando MDM o MAM, gli amministratori possono identificare quali app sono autorizzate ad accedere ai file appartenenti all'organizzazione e se gli utenti possono copiare dati da tali file e quindi incollarli in documenti personali.
e funziona nel modo seguente: Gli utenti registrano i propri dispositivi nel sistema di gestione dei dispositivi mobili (MDM) dell'organizzazione. Un amministratore dell'organizzazione di gestione usa Microsoft Intune o System Center Configuration Manager (SCCM) per definire e quindi distribuire un criterio ai dispositivi registrati.
Se gli utenti non sono obbligati a registrare i loro dispositivi, gli amministratori useranno il sistema MAM per definire e distribuire un criterio applicabile ad app specifiche. Quando gli utenti installano una di queste app, riceveranno i criteri associati.
Tale criterio identifica le app che possono accedere ai dati aziendali (denominato elenco di elementi consentiti dei criteri). Queste app possono accedere ai file protetti aziendali, alle reti private virtuali (VPN) e ai dati aziendali negli Appunti o tramite un contratto di condivisione. I criteri definiscono anche le regole che governano i dati. Ad esempio, se i dati possono essere copiati da file di proprietà dell'organizzazione e incollati in file non di proprietà dell'organizzazione.
Se gli utenti annullano la registrazione del dispositivo dal sistema MDM dell'organizzazione o disinstallano le app identificate dal sistema MAM delle organizzazioni, gli amministratori possono cancellare da remoto i dati aziendali dal dispositivo.
Altre informazioni su WIP
- Introduzione a Windows Information Protection
- Proteggere i dati aziendali con Windows Information Protection (WIP)
Se l'app è presente nell'elenco di quelle consentite, tutti i dati prodotti dall'app sono soggetti alle restrizioni dei criteri. Ciò significa che se gli amministratori revocano all'utente l'accesso ai dati aziendali, tali gli utenti perderanno l'accesso a tutti i dati prodotti dall'app.
Tutto ciò funziona bene se l'app è progettata solo per l'uso aziendale. Tuttavia, se l'app crea dati che gli utenti considerano personali, è consigliabile abilitare l'app al riconoscimento dei dati affinché sia in grado di distinguere in modo intelligente tra dati aziendali e dati personali. Questo tipo di app è detta con riconoscimento dei dati poiché può applicare correttamente i criteri aziendali mantenendo l'integrità dei dati personali dell'utente.
Creare un'app con riconoscimento dei dati aziendali
Usa le API WIP per rendere l'app con riconoscimento dei dati e quindi dichiara la tua app come app con riconoscimento dei dati aziendali.
Abilita la tua app al riconoscimento dei dati, se questa verrà usata sia per scopi aziendali sia personali.
Abilita l'app al riconoscimento dei dati se vuoi gestire correttamente l'applicazione degli elementi dei criteri.
Ad esempio, se i criteri consentono agli utenti di incollare i dati aziendali in un documento personale, è possibile impedire agli utenti di rispondere a una finestra di dialogo con richiesta di consenso prima di incollare i dati. Analogamente, è possibile presentare finestre di dialogo informative personalizzate in risposta a questi tipi di eventi.
Se sei pronto per l'abilitazione dell'app al riconoscimento dei dati, consulta una delle guide seguenti:
Per le app Universal Windows Platform (UWP) compilate con C#
Guida per gli sviluppatori di Windows Information Protection (WIP).
Per le app desktop compilate con C++
Guida per gli sviluppatori di Windows Information Protection (WIP) (C++).
Creare un'app senza riconoscimento dei dati aziendali
se stai creando un'app line-of-business (LOB) non destinata all'uso personale, potresti non doverla illuminare.
App desktop di Windows
Non è necessario configurare un'app desktop di Windows, ma è necessario testare l'app per assicurarsi che funzioni correttamente in base ai criteri. Ad esempio, avvia l'app, usala, quindi annulla la registrazione del dispositivo da MDM. Assicurati quindi che l'app possa essere riavviata. Se i file critici per il funzionamento dell'app vengono crittografati, l'app potrebbe non avviarsi. Esamina anche i file con cui l'app interagisce per assicurarti che l'app non crittografi inavvertitamente i file personali per l'utente. Ciò può includere file di metadati, immagini e altri elementi.
Dopo aver testato l'app, aggiungi questo flag al file di risorse o al progetto e quindi ricompila l'app.
MICROSOFTEDPAUTOPROTECTIONALLOWEDAPPINFO EDPAUTOPROTECTIONALLOWEDAPPINFOID
BEGIN
0x0001
END
Anche se i criteri MDM non richiedono il flag, i criteri MAM lo fanno.
App UWP
Se prevedi che l'app venga inclusa in un criterio MAM, è consigliabile abilitarla al riconoscimento dei dati. I criteri distribuiti ai dispositivi in MDM non lo richiedono, ma se si distribuisce l'app ai consumer dell'organizzazione, è difficile, se non è impossibile, determinare il tipo di sistema di gestione dei criteri che useranno. Per essere sicuri che l'app funzioni in entrambi i tipi di sistemi di gestione dei criteri (MDM e MAM), è consigliabile abilitare l'app al riconoscimento dei dati.