Criar e implementar Windows política de Proteção de Informação (WIP) com a Intune

  • Artigo

Pode utilizar Windows políticas de Proteção de Informação (WIP) com aplicações Windows 10 para proteger aplicações sem a inscrição de dispositivos.

Antes de começar

Tem de compreender alguns conceitos ao adicionar uma política WIP:

Lista de aplicações permitidas e excluídas

  • Aplicações protegidas: estas são as aplicações que precisam de cumprir esta política.

  • Aplicações excluídas: estas aplicações estão excluídas desta política e podem aceder aos dados empresariais sem restrições.

Tipos de aplicações

  • Aplicativos recomendados: Uma lista pré-povoada de aplicações (na sua maioria Microsoft Office) que lhe permitem importar facilmente para a política.
  • Aplicações da Loja: pode adicionar qualquer aplicação da loja Windows à política.
  • Aplicações de ambiente de trabalho do Windows: pode adicionar qualquer aplicação de ambiente de trabalho à política (por exemplo, .exe, .dll)

Pré-requisitos

Tem de configurar o fornecedor MAM antes de poder criar uma política WIP. Saiba mais sobre como configurar o fornecedor de MAM com o Intune.

Importante

O WIP não suporta várias identidades, apenas pode existir uma identidade gerida de cada vez. Para obter mais informações sobre as capacidades e limitações do WIP, consulte Proteja os dados da sua empresa utilizando Windows Proteção de Informação (WIP).

Além disso, tem de ter a seguinte licença e atualização:

Para adicionar uma política WIP

Depois de configurar o Intune na sua organização, pode criar uma política específica do WIP.

Dica

Para obter informações relacionadas sobre a criação de políticas WIP para o Intune, incluindo as definições disponíveis e como configurá-las, consulte Criar uma política de proteção de informação Windows (WIP) com o MAM utilizando o portal para Microsoft Intune na biblioteca de documentação Segurança do Windows.

  1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.
  2. Selecione > políticas de proteção de aplicativos > Escolha a política.
  3. Adicione os seguintes valores:
    • Nome: introduza um nome (obrigatório) para a nova política.
    • Descrição: (opcional) escreva uma descrição.
    • Plataforma: Escolha Windows 10 como plataforma suportada para a sua política WIP.
    • Estado de inscrição: escolha Sem inscrição como o estado de inscrição da política.
  4. Escolha Criar. A política é criada e aparece na tabela do painel de políticas de proteção da App.
  1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.
  2. Selecione > políticas de proteção de aplicativos de aplicações.
  3. No painel de políticas de proteção da App, escolha a política que pretende modificar. É apresentado o painel de proteção da aplicação Intune.
  4. Escolha aplicativos protegidos a partir do painel de proteção de aplicações Intune. O painel de aplicações Protected abre mostrando todas as aplicações que já estão incluídas na lista para esta política de proteção de aplicações.
  5. Selecione Adicionar aplicações. As informações Adicionar aplicações mostram uma lista de aplicações filtrada. A lista no topo do painel permite-lhe alterar o filtro da lista.
  6. Selecione todas as aplicações que pretende que acedam aos seus dados empresariais.
  7. Clique em OK. O painel de aplicações Protected é atualizado mostrando todas as aplicações selecionadas.
  8. Clique em Guardar.

Adicionar uma aplicação da loja à lista de aplicações protegidas

Para adicionar uma aplicação da Loja

  1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.
  2. Selecione > políticas de proteção de aplicativos de aplicações.
  3. No painel de políticas de proteção da App, escolha a política que pretende modificar. É apresentado o painel de proteção da aplicação Intune.
  4. Escolha aplicativos protegidos a partir do painel de proteção de aplicações Intune. O painel de aplicações Protected abre mostrando todas as aplicações que já estão incluídas na lista para esta política de proteção de aplicações.
  5. Selecione Adicionar aplicações. As informações Adicionar aplicações mostram uma lista de aplicações filtrada. A lista no topo do painel permite-lhe alterar o filtro da lista.
  6. A partir da lista, selecione Aplicações da loja.
  7. Introduza os valores para Nome, Fabricante, Nome do Produto e Ação. Certifique-se de que define o valor Ação para Permitir, para que a aplicação tenha acesso aos seus dados empresariais.
  8. Clique em OK. O painel de aplicações Protected é atualizado mostrando todas as aplicações selecionadas.
  9. Clique em Guardar.

Adicionar uma aplicação de ambiente de trabalho à lista de aplicações protegidas

Para adicionar uma aplicação de ambiente de trabalho

  1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.
  2. Selecione > políticas de proteção de aplicativos de aplicações.
  3. No painel de políticas de proteção da App, escolha a política que pretende modificar. É apresentado o painel de proteção da aplicação Intune.
  4. Escolha aplicativos protegidos a partir do painel de proteção de aplicações Intune. O painel de aplicações Protected abre mostrando todas as aplicações que já estão incluídas na lista para esta política de proteção de aplicações.
  5. Selecione Adicionar aplicações. As informações Adicionar aplicações mostram uma lista de aplicações filtrada. A lista no topo do painel permite-lhe alterar o filtro da lista.
  6. A partir da lista, selecione Aplicações de ambiente de trabalho.
  7. Introduza os valores para Nome, Fabricante, Nome do Produto, Ficheiro, Versão Mínima, Versão Máxima e Ação. Certifique-se de que define o valor Ação para Permitir, para que a aplicação tenha acesso aos seus dados empresariais.
  8. Clique em OK. O painel de aplicações Protected é atualizado mostrando todas as aplicações selecionadas.
  9. Clique em Guardar.

Aprendizagem de WIP

Depois de adicionar as aplicações que pretende proteger com o WIP, tem de aplicar um modo de proteção através da Aprendizagem de WIP.

Antes de começar

A Aprendizagem de WIP é um relatório que lhe permite monitorizar as suas aplicações com o WIP e as aplicações desconhecidas de WIP. As aplicações desconhecidas são as que não são implementadas pelo departamento de TI da sua organização. Pode exportar estas aplicações a partir do relatório e adicioná-las às suas políticas wip para evitar perturbações de produtividade antes de aplicarem WIP no modo "Block".

Para além de ver informações sobre aplicações com o WIP, agora pode ver um resumo dos dispositivos que partilharam dados profissionais com sites. Com estas informações, pode determinar os sites que devem ser adicionados às políticas WIP dos grupos e dos utilizadores. O resumo mostra que URLs de sites são acedidos por aplicações com o WIP.

Quando estiver a trabalhar com aplicações com o WIP e aplicações desconhecidas de WIP, recomendamos que comece com Silencioso ou Permitir Substituições enquanto verifica com um pequeno grupo que tenha as aplicações corretas na sua lista de aplicações protegidas. Depois de terminar, pode alterar a política de imposição final, Bloquear.

O que são os modos de proteção?

Bloquear

O WIP procura práticas de partilha de dados inadequadas e impede o utilizador de concluir a ação. As ações bloqueadas podem incluir a partilha de informações em aplicações não protegidas pela empresa e a partilha de dados empresariais entre outras pessoas e dispositivos fora da sua organização.

Permitir Substituições

O WIP procura partilhas de dados inadequadas e avisará os utilizadores quando estes realizarem alguma ação considerada potencialmente não segura. No entanto, este modo permite ao utilizador substituir a política e partilhar os dados, registando a ação no registo de auditorias.

Automática

O WIP é executado no modo silencioso e regista as partilhas de dados inadequadas sem bloquear nada que pedisse a interação do funcionário durante o modo Permitir Substituição. As ações não permitidas, tais como aplicações que estejam a tentar aceder inadequadamente a um recurso de rede ou a dados protegidos pelo WIP, continuam a ser interrompidas.

O WIP está desativado e não ajuda a proteger ou a auditar os seus dados.

Depois de desativar o WIP, é realizada uma tentativa para desencriptar quaisquer ficheiros etiquetados pelo WIP nas unidades ligadas localmente. Note que informações anteriores sobre desencriptação e política não são automaticamente reaplicadas se voltar a ligar a proteção WIP.

Adicionar um modo de proteção

  1. A partir do painel de política da App, escolha o nome da sua política e, em seguida, escolha as definições necessárias.

    Screenshot do painel de modo Aprendizagem

  2. Selecione uma definição e, em seguida, selecione Guardar.

Permitir que o Indexador do Windows Search procure itens encriptados

Permite ou proíbe a indexação de itens. Este parâmetro é para o Indexador do Windows Search, que controla a indexação de itens que são encriptados, tais como os ficheiros protegidos do Windows Information Protection (WIP).

Esta opção de política de proteção de aplicações está nas Definições avançadas da política do Windows Information Protection. A política de proteção de aplicações tem de ser definida para a plataforma do Windows 10 e a política de aplicação Estado da inscrição tem de ser definida para Com inscrição.

Quando a política está ativada, os itens protegidos pelo WIP são indexados e os respetivos metadados são armazenados numa localização não encriptada. Os metadados incluem conteúdos como o caminho do ficheiro e a data de modificação.

Quando a política está desativada, os itens protegidos pelo WIP não são indexados e não são apresentados nos resultados na Cortana ou no explorador de ficheiros. O desempenho das aplicações de fotografias e do Groove também poderá ser afetado se existirem muitos ficheiros multimédia protegidos pelo WIP no dispositivo.

Adicionar extensões do ficheiro encriptado

Além de definir a opção Permitir que o Indexador do Windows Search procure itens encriptados, pode especificar uma lista de extensões de ficheiros. Os ficheiros com estas extensões são encriptados ao copiar de uma partilha do protocolo SMB (Server Message Block) dentro do limite empresarial como definido na lista de localizações de rede. Quando esta política não é especificada, é aplicado o comportamento de encriptação automática existente. Quando esta política é configurada, apenas os ficheiros com extensões na lista são encriptados.

Implementar a política de proteção de aplicações do WIP

Importante

Estas informações aplicam-se ao WIP sem inscrição de dispositivos.

Depois de criar a política de proteção de aplicações do WIP, tem de a implementar na sua organização através da MAM.

  1. No painel de política da App, escolha a sua política de proteção de aplicações recentemente criada, escolha grupos de utilizadores > Adicione grupo de utilizadores.

    Uma lista de grupos de utilizadores, composta por todos os grupos de segurança do seu Azure Ative Directory, abre no painel do grupo de utilizadores Add.

  2. Selecione o grupo ao qual pretende aplicar a sua política e, em seguida, escolha Selecionar para implementá-la.

Passos seguintes

Para saber mais sobre o Windows Information Protection, veja Proteger os dados empresariais com o Windows Information Protection (WIP).