Compartilhar via

Suporte para o Windows Information Protection (WIP) no Windows

O Windows Information Protection (WIP) é uma solução simples para gerir o acesso a dados da empresa e a segurança em dispositivos pessoais. O suporte do WIP está incorporado no Windows.

Observação

A partir de julho de 2022, a Microsoft vai preterir o Windows Information Protection (WIP). A Microsoft continuará a suportar o WIP em versões suportadas do Windows. As novas versões do Windows não incluirão novas capacidades para o WIP e não serão suportadas em versões futuras do Windows. Para obter mais informações, consulte Anunciar o pôr-do-sol do Windows Information Protection.

Para as suas necessidades de proteção de dados, a Microsoft recomenda que utilize o Microsoft Purview Information Protection e a Prevenção de Perda de Dados do Microsoft Purview. O Purview simplifica a configuração da configuração e fornece um conjunto avançado de capacidades.

Integração com o Microsoft Entra ID

O WIP está integrado no serviço de identidade do Microsoft Entra. O serviço WIP suporta a autenticação integrada do Microsoft Entra para o utilizador e o dispositivo durante a inscrição e a transferência de políticas wip. A integração do WIP com o Microsoft Entra ID é semelhante à integração da gestão de dispositivos móveis (MDM). Veja Integração do Microsoft Entra com a MDM.

O WIP utiliza a Associação à Área de Trabalho (WPJ). O WPJ está integrado na adição de um fluxo de conta profissional a um dispositivo pessoal. Se um utilizador adicionar a respetiva conta escolar ou profissional do Microsoft Entra como uma conta secundária ao computador, o respetivo dispositivo está registado no WPJ. Se um utilizador associar o respetivo dispositivo ao Microsoft Entra ID, este será inscrito na MDM. Em geral, um dispositivo que tenha uma conta pessoal como conta principal é considerado um dispositivo pessoal e deve ser registado no WPJ. Uma associação ao Microsoft Entra e a inscrição na MDM devem ser utilizadas para gerir dispositivos empresariais.

Em dispositivos pessoais, os utilizadores podem adicionar uma conta Microsoft Entra como uma conta secundária ao dispositivo, mantendo a sua conta pessoal como principal. Os utilizadores podem adicionar uma conta Microsoft Entra ao dispositivo a partir de uma aplicação integrada do Microsoft Entra suportada, como a próxima atualização das aplicações do Microsoft 365. Em alternativa, os utilizadores podem adicionar uma conta do Microsoft Entra a partir de Definições > Contas > acesso profissional ou escolar.

Os utilizadores não administradores normais podem inscrever-se na MAM.

Compreender o Windows Information Protection

O WIP tira partido das políticas incorporadas para proteger os dados da empresa no dispositivo. Para proteger aplicações pertencentes ao utilizador em dispositivos pessoais, o WPJ limita a imposição de políticas WIP a aplicações otimizadas e aplicações com deteção de WIP. As aplicações otimizadas podem diferenciar entre dados empresariais e pessoais, determinando corretamente quais proteger com base nas políticas wip. As aplicações com deteção de WIP indicam ao Windows que não processam dados pessoais e, por conseguinte, é seguro para o Windows proteger os dados em seu nome.

Para que as aplicações estejam cientes do WIP, os programadores de aplicações têm de incluir os seguintes dados no ficheiro de recursos da aplicação.

// Mark this binary as Allowed for WIP (EDP) purpose
MICROSOFTEDPAUTOPROTECTIONALLOWEDAPPINFO EDPAUTOPROTECTIONALLOWEDAPPINFOID
  BEGIN
      0x0001
  END

Configurar um inquilino do Microsoft Entra para inscrição de MAM

A inscrição MAM requer integração com o Microsoft Entra ID. O fornecedor de serviços MAM tem de publicar a aplicação MDM de Gestão na galeria de aplicações do Microsoft Entra. A mesma aplicação MDM de Gestão baseada na cloud no Microsoft Entra ID suporta inscrições MDM e MAM. Se já publicou a sua aplicação MDM, esta tem de ser atualizada para incluir a Inscrição MAM e os URLs dos Termos de utilização. Esta captura de ecrã ilustra a aplicação de gestão para uma configuração de administrador de TI.

Aplicação de gestão de aplicações móveis.

Os serviços MAM e MDM numa organização podem ser fornecidos por fornecedores diferentes. Dependendo da configuração da empresa, normalmente, o administrador de TI tem de adicionar uma ou duas aplicações do Microsoft Entra Management para configurar políticas de MAM e MDM. Por exemplo, se a MAM e a MDM forem fornecidas pelo mesmo fornecedor, um Administrador de TI tem de adicionar uma aplicação de Gestão deste fornecedor que contenha políticas de MAM e MDM para a organização. Em alternativa, se os serviços MAM e MDM numa organização forem fornecidos por dois fornecedores diferentes, duas aplicações de Gestão dos dois fornecedores têm de ser configuradas para a empresa no Microsoft Entra ID: uma para MAM e outra para MDM.

Observação

Se o serviço MDM numa organização não estiver integrado no Microsoft Entra ID e utilizar a deteção automática, apenas uma aplicação de Gestão para MAM tem de ser configurada.

Inscrição MAM

A inscrição MAM baseia-se na extensão MAM do protocolo [MS-MDE2]. A inscrição MAM suporta a autenticação federada do Microsoft Entra ID como o único método de autenticação.

Estas são as alterações de protocolo para a inscrição de MAM:

  • A deteção de MDM não é suportada.
  • O nó APPAUTH no DMAcc CSP é opcional.
  • A variação da inscrição MAM do protocolo [MS-MDE2] não suporta o certificado de autenticação de cliente e, por conseguinte, não suporta o protocolo [MS-XCEP]. Os servidores têm de utilizar um token do Microsoft Entra para autenticação de cliente durante as sincronizações de políticas. As sessões de sincronização de políticas têm de ser realizadas através de TLS/SSL unidirecional através da autenticação de certificado de servidor.

Eis um exemplo de aprovisionamento de XML para inscrição MAM.

<wap-provisioningdoc version="1.1">
  <characteristic type="APPLICATION">
    <parm name="APPID" value="w7"/>
    <parm name="PROVIDER-ID" value="MAM SyncML Server"/>
    <parm name="NAME" value="mddprov account"/>
    <parm name="ADDR" value="http://localhost:88"/>
    <parm name="DEFAULTENCODING" value="application/vnd.syncml.dm+xml" />
  </characteristic>
</wap-provisioningdoc>

Uma vez que o nó Poll não é fornecido neste exemplo, o dispositivo seria predefinido para uma vez a cada 24 horas.

CSPs suportados

O WIP suporta os seguintes fornecedores de serviços de configuração (CSPs). Todos os outros CSPs estão bloqueados. Tenha em atenção que a lista pode ser alterada mais tarde com base nos comentários dos clientes:

Políticas de bloqueio de dispositivos e EAS

A MAM suporta políticas de bloqueio de dispositivos semelhantes à MDM. As políticas são configuradas pela área DeviceLock do CSP de Política e PassportForWork CSP.

Não recomendamos a configuração de políticas do Exchange ActiveSync (EAS) e de MAM para o mesmo dispositivo. No entanto, se ambos estiverem configurados, o cliente comporta-se da seguinte forma:

  • Quando as políticas EAS são enviadas para um dispositivo que já tem políticas de MAM, o Windows avalia se as políticas de MAM existentes estão em conformidade com as políticas EAS configuradas e comunica a conformidade com o EAS.
  • Se o dispositivo for considerado conforme, o EAS comunica a conformidade com o servidor para permitir a sincronização do correio. A MAM suporta apenas políticas EAS obrigatórias. Verificar a conformidade do EAS não requer direitos de administrador do dispositivo.
  • Se o dispositivo for considerado não conforme, o EAS impõe as suas próprias políticas ao dispositivo e o conjunto resultante de políticas é um superconjunto de ambos. A aplicação de políticas EAS ao dispositivo requer direitos de administrador.
  • Se um dispositivo que já tem políticas EAS estiver inscrito na MAM, o dispositivo tem ambos os conjuntos de políticas: MAM e EAS e o conjunto de políticas resultantes são um superconjunto de ambas.

Sincronização de políticas

As sincronizações de políticas de MAM são modeladas após a MDM. O cliente MAM utiliza um token do Microsoft Entra para autenticar no serviço para sincronizações de políticas.

Alterar a inscrição MAM para MDM

O Windows não suporta a aplicação de políticas de MAM e MDM nos mesmos dispositivos. Se configurado pelo administrador, os utilizadores podem alterar a inscrição MAM para MDM.

Observação

Quando os utilizadores atualizam da MAM para a MDM na edição Windows Home, perdem o acesso ao Windows Information Protection. Na edição Windows Home, não recomendamos que emita políticas mdm para permitir que os utilizadores atualizem.

Para configurar o dispositivo MAM para a inscrição MDM, o administrador tem de configurar o URL de Deteção de MDM no CSP DMClient. Este URL é utilizado para a inscrição mdm.

No processo de alteração da inscrição MAM para MDM, as políticas de MAM serão removidas do dispositivo após as políticas de MDM terem sido aplicadas com êxito. Normalmente, quando as políticas do Windows Information Protection são removidas do dispositivo, o acesso do utilizador a documentos protegidos pelo WIP é revogado (eliminação seletiva), a menos que eDP CSP RevokeOnUnenroll esteja definido como falso. Para impedir a eliminação seletiva na alteração da inscrição da MAM para a MDM, o administrador tem de garantir que:

  • As políticas de MAM e MDM para a organização suportam o Windows Information Protection.
  • O EDP CSP Enterprise ID é o mesmo para MAM e MDM.
  • EDP CSP RevokeOnMDMHandoff está definido como falso.

Se o dispositivo MAM estiver configurado corretamente para inscrição MDM, a ligação Inscrever apenas na gestão de dispositivos é apresentada em Definições > Contas > de Acesso profissional ou escolar. O utilizador pode selecionar esta ligação, fornecer as respetivas credenciais e a inscrição será alterada para MDM. A conta Microsoft Entra não será afetada.