Criar uma política do Windows Information Protection no Microsoft Intune

Observação

A partir de julho de 2022, a Microsoft vai preterir o Windows Information Protection (WIP). A Microsoft continuará a suportar o WIP em versões suportadas do Windows. As novas versões do Windows não incluirão novas capacidades para o WIP e não serão suportadas em versões futuras do Windows. Para obter mais informações, consulte Anunciar o pôr-do-sol do Windows Information Protection.

Para as suas necessidades de proteção de dados, a Microsoft recomenda que utilize o Microsoft Purview Information Protection e a Prevenção de Perda de Dados do Microsoft Purview. O Purview simplifica a configuração da configuração e fornece um conjunto avançado de capacidades.

Aplica-se a:

• Windows 10
• Windows 11

O Microsoft Intune tem uma forma fácil de criar e implementar uma política do Windows Information Protection (WIP). Pode escolher as aplicações a proteger, o nível de proteção e como localizar dados empresariais na rede. Os dispositivos podem ser totalmente geridos pela Gestão de Dispositivos Móveis (MDM) ou geridos pela Gestão de Aplicações Móveis (MAM), onde o Intune gere apenas as aplicações no dispositivo pessoal de um utilizador.

Diferenças entre MDM e MAM para WIP

Pode criar uma política de proteção de aplicações no Intune com a inscrição de dispositivos para MDM ou sem inscrição de dispositivos para MAM. O processo de criação de qualquer uma das políticas é semelhante, mas existem diferenças importantes:

• A MAM tem mais definições de Acesso para o Windows Hello para Empresas.
• A MAM pode eliminar seletivamente os dados da empresa do dispositivo pessoal de um utilizador.
• A MAM requer uma licença Microsoft Entra ID P1 ou P2.
• Também é necessária uma licença do Microsoft Entra ID P1 ou P2 para a recuperação automática do WIP, onde um dispositivo pode voltar a inscrever-se e recuperar o acesso aos dados protegidos. A recuperação automática do WIP depende do registo do Microsoft Entra para fazer uma cópia de segurança das chaves de encriptação, o que requer a inscrição automática do dispositivo com a MDM.
• A MAM suporta apenas um utilizador por dispositivo.
• A MAM só pode gerir aplicações otimizadas.
• Apenas a MDM pode utilizar políticas CSP do BitLocker .
• Se o mesmo utilizador e dispositivo forem direcionados para MDM e MAM, a política de MDM será aplicada aos dispositivos associados ao Microsoft Entra ID. Para dispositivos pessoais associados à área de trabalho (ou seja, adicionados através das Definições>E-mail & contas>Adicionar uma conta escolar ou profissional), a política apenas de MAM será preferida, mas é possível atualizar a gestão de dispositivos para a MDM nas Definições. A edição Windows Home só suporta WIP apenas para MAM; A atualização para a política de MDM na edição Home Page revogará o acesso a dados protegidos pelo WIP.

Pré-requisitos

Antes de poder criar uma política wip com o Intune, tem de configurar um fornecedor de MDM ou MAM no Microsoft Entra ID. A MAM requer uma licença Microsoft Entra ID P1 ou P2. Também é necessária uma licença do Microsoft Entra ID P1 ou P2 para a recuperação automática do WIP, onde um dispositivo pode voltar a inscrever-se e recuperar o acesso aos dados protegidos. A recuperação automática do WIP depende do registo do Microsoft Entra para fazer uma cópia de segurança das chaves de encriptação, o que requer a inscrição automática de dispositivos com MDM.

Configurar o fornecedor de MDM ou MAM

1. Inicie sessão no portal do Azure.

2. Selecione Microsoft Entra ID>Mobility (MDM e MAM)>Microsoft Intune.

3. Selecione Restaurar URLs Predefinidos ou introduza as definições para o âmbito de utilizador MDM ou MAM e selecione Guardar:

   

Criar uma política WIP

1. Inicie sessão no centro de administração do Microsoft Intune.

2. Abra o Microsoft Intune e selecione Aplicações>Políticas de proteção de aplicações>Criar política.

   

3. No ecrã Política de aplicação, selecione Adicionar uma política e, em seguida, preencha os campos:

   • Nome. Digite um nome (obrigatório) para sua nova política.

   • Descrição. Digite uma descrição opcional.

   • Plataforma. Selecione Windows 10.

   • Estado do registro. Selecione Sem inscrição para MAM ou Com inscrição para MDM.

   

4. Selecione Aplicações protegidas e, em seguida, selecione Adicionar aplicações.

   

   Pode adicionar estes tipos de aplicações:

   • Aplicativos recomendados
   • Aplicações da loja
   • Apps da área de trabalho

Observação

Uma aplicação pode devolver erros de acesso negado após removê-la da lista de aplicações protegidas. Em vez de removê-la da lista, desinstale e reinstale a aplicação ou isentar a aplicação da política WIP.

Adicionar aplicações recomendadas

Selecione Aplicações recomendadas e selecione cada aplicação que pretende aceder aos seus dados empresariais ou selecione-as todas e selecione OK.

Adicionar aplicativos da Loja

Selecione Aplicações da loja, escreva o nome e o publicador do produto da aplicação e selecione OK. Por exemplo, para adicionar a Aplicação Móvel do Power BI a partir da Loja, escreva o seguinte:

• Nome: Microsoft Power BI
• Publicador: CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
• Nome do Produto: Microsoft.MicrosoftPowerBIForWindows

Para adicionar várias aplicações da Loja, selecione as reticências ….

Se não souber o nome do produto ou o publicador da aplicação da Loja, pode encontrá-los seguindo estes passos.

1. Acesse o site da Microsoft Store para Empresas e localize seu aplicativo. Por exemplo, Aplicação Móvel do Power BI.

2. Copie o valor de ID da URL do aplicativo. Por exemplo, o URL do ID da Aplicação Móvel do Power BI é https://www.microsoft.com/store/p/microsoft-power-bi/9nblgggzlxn1e copiaria o valor do ID, 9nblgggzlxn1.

3. Em um navegador, execute a API Web do portal da Microsoft Store para Empresas para retornar um arquivo JavaScript Object Notation (JSON) que inclua os valores de nome do produto e fornecedor. Por exemplo, execute https://bspmts.mp.microsoft.com/v1/public/catalog/Retail/Products/9nblgggzlxn1/applockerdata, em que 9nblgggzlxn1 é substituído pelo seu valor de ID.

   A API é executada e abre um editor de texto com os detalhes do aplicativo.

    {
    	"packageIdentityName": "Microsoft.MicrosoftPowerBIForWindows",
    	"publisherCertificateName": "CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US"
    }
   

4. Copie o valor publisherCertificateName para a caixa Fornecedor e o valor packageIdentityName para a caixa Nome do Intune.

   Importante

   O arquivo JSON também pode retornar um valor windowsPhoneLegacyId para as caixas Nome do Fornecedor e Nome do Produto. Isto significa que tem uma aplicação que está a utilizar um pacote XAP e que tem de definir o Nome do Produto como windowsPhoneLegacyIde definir o Nome do Publicador como CN= seguido do windowsPhoneLegacyId.

   Por exemplo:

   {
       "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
   }
   

Adicionar aplicativos da área de trabalho

Para adicionar aplicações de Ambiente de Trabalho, preencha os seguintes campos, com base nos resultados que pretende que sejam devolvidos.

Campo	Gerencia
Todos os campos marcados como *	Todos os arquivos assinados por um fornecedor. (Não recomendado e pode não funcionar)
Somente fornecedor	Se apenas preencher este campo, receberá todos os ficheiros assinados pelo publicador nomeado. Isso poderá ser útil se sua empresa for a fornecedora e a signatária dos aplicativos de linha de negócios internos.
Apenas fornecedor e nome	Se apenas preencher estes campos, obterá todos os ficheiros do produto especificado, assinados pelo publicador nomeado.
Apenas fornecedor, nome e arquivo	Se apenas preencher estes campos, obterá qualquer versão do ficheiro ou pacote com nome para o produto especificado, assinado pelo publicador nomeado.
Somente a versão de fornecedor, nome, arquivos e Mín	Se apenas preencher estes campos, obterá a versão especificada ou as versões mais recentes do ficheiro ou pacote com nome para o produto especificado, assinado pelo publicador nomeado. Essa opção é recomendada para aplicativos habilitados que não foram habilitados anteriormente.
Somente a versão de fornecedor, nome, arquivos e Máx	Se apenas preencher estes campos, obterá a versão especificada ou versões mais antigas do ficheiro ou pacote com nome para o produto especificado, assinado pelo publicador nomeado.
Todos os campos concluídos	Se preencher todos os campos, obterá a versão especificada do ficheiro ou pacote com nome para o produto especificado, assinado pelo publicador nomeado.

Para adicionar outra aplicação de Ambiente de Trabalho, selecione as reticências …. Depois de introduzir as informações nos campos, selecione OK.

Se não tiver a certeza sobre o que incluir para o publicador, pode executar este comando do PowerShell:

Get-AppLockerFileInformation -Path "<path_of_the_exe>"

Onde "<path_of_the_exe>" vai até o local do aplicativo no dispositivo. Por exemplo:

Get-AppLockerFileInformation -Path "C:\Program Files\Windows NT\Accessories\wordpad.exe"

Nesse exemplo, você obteria a seguinte informação:

Path                   Publisher
----                   ---------
%PROGRAMFILES%\WINDOWS NT\ACCESSORIES\WORDPAD.EXE O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US

Onde O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US está o nome do Publisher e WORDPAD.EXE é o Nome do ficheiro .

Relativamente a como obter o Nome do Produto para as Aplicações que pretende Adicionar, contacte a Equipa de Suporte do Windows para pedir as diretrizes

Importar uma lista de aplicações

Esta secção abrange dois exemplos de utilização de um ficheiro XML appLocker para a lista aplicações protegidas . Irá utilizar esta opção se quiser adicionar várias aplicações ao mesmo tempo.

• Criar uma regra de Aplicação Em Pacote para aplicações da Loja
• Criar uma regra executável para aplicações não assinadas

Para obter mais informações sobre o AppLocker, consulte o conteúdo AppLocker.

Criar uma regra de Aplicação Em Pacote para aplicações da Loja

1. Abra o snap-in Política de Segurança Local (SecPol.msc).

2. Expanda Políticas de Controlo de Aplicações, expanda AppLocker e, em seguida, selecione Regras de Aplicações Em Pacote.

   

3. Clique com o botão direito do rato no lado direito e, em seguida, selecione Criar Nova Regra.

   O assistente Criar Regras para Aplicativos Empacotados é exibido.

4. Na página Antes de Começar , selecione Seguinte.

   

5. Na página Permissões , certifique-se de que a Ação está definida como Permitir e que o Utilizador ou grupo está definido como Todos e, em seguida, selecione Seguinte.

   

6. Na página Publicador , selecione Selecionar na área Utilizar uma aplicação em pacote instalada como referência .

   

7. Na caixa Selecionar aplicações, selecione a aplicação que pretende utilizar como referência para a sua regra e, em seguida, selecione OK. Neste exemplo, estamos a utilizar o Microsoft Dynamics 365.

   

8. Na página atualizada do Publisher , selecione Criar.

   

9. Selecione Não na caixa de diálogo apresentada, perguntando se pretende criar as regras predefinidas. Não crie regras predefinidas para a política wip.

   

10. Revise o snap-in Política de Segurança Local para verificar se a regra está correta.

    

11. À esquerda, clique com o botão direito do rato em AppLocker e, em seguida, selecione Exportar política.

    A caixa Exportar política é aberta, permitindo que você exporte e salve a nova política como XML.

    

12. Na caixa Política de exportação , navegue para onde a política deve ser armazenada, atribua um nome à política e, em seguida, selecione Guardar.

    A política é guardada e verá uma mensagem a indicar que uma regra foi exportada da política.

    Arquivo XML de exemplo
    Este é o arquivo XML que o AppLocker cria para o Microsoft Dynamics 365.

    <?xml version="1.0"?>
    <AppLockerPolicy Version="1">
        <RuleCollection EnforcementMode="NotConfigured" Type="Appx">
            <FilePublisherRule Action="Allow" UserOrGroupSid="S-1-1-0" Description="" Name="Microsoft.MicrosoftDynamicsCRMforWindows10, version 3.2.0.0 and above, from Microsoft Corporation" Id="3da34ed9-aec6-4239-88ba-0afdce252ab4">
                <Conditions>
                    <FilePublisherCondition BinaryName="*" ProductName="Microsoft.MicrosoftDynamicsCRMforWindows10" PublisherName="CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US">
                        <BinaryVersionRange HighSection="*" LowSection="3.2.0.0"/>
                    </FilePublisherCondition>
                </Conditions>
            </FilePublisherRule>
        </RuleCollection>
        <RuleCollection EnforcementMode="NotConfigured" Type="Dll"/>
        <RuleCollection EnforcementMode="NotConfigured" Type="Exe"/>
        <RuleCollection EnforcementMode="NotConfigured" Type="Msi"/>
        <RuleCollection EnforcementMode="NotConfigured" Type="Script"/>
    </AppLockerPolicy>
    

13. Depois de criar o ficheiro XML, tem de importá-lo com o Microsoft Intune.

Criar uma regra executável para aplicações não assinadas

A regra executável ajuda a criar uma regra do AppLocker para assinar aplicações não assinadas. Permite adicionar o caminho do ficheiro ou o publicador da aplicação contido na assinatura digital do ficheiro necessária para que a política WIP seja aplicada.

1. Abra o snap-in Política de Segurança Local (SecPol.msc).

2. No painel esquerdo, selecione Políticas de Controlo de Aplicações> Regrasexecutáveis doAppLocker>.

3. Clique com o botão direito do rato em Regras >ExecutáveisCriar Nova Regra.

   

4. Na página Antes de Começar , selecione Seguinte.

5. Na página Permissões , certifique-se de que a Ação está definida como Permitir e que o Utilizador ou grupo está definido como Todos e, em seguida, selecione Seguinte.

6. Na página Condições , selecione Caminho e, em seguida, selecione Seguinte.

   

7. Selecione Procurar Pastas... e selecione o caminho para as aplicações não assinadas. Neste exemplo, estamos a utilizar "C:\Programas".

   

8. Na página Exceções , adicione quaisquer exceções e, em seguida, selecione Seguinte.

9. Na página Nome , escreva um nome e uma descrição para a regra e, em seguida, selecione Criar.

10. No painel esquerdo, clique com o botão direito do rato emPolítica de exportação do AppLocker>.

11. Na caixa Política de exportação , navegue para onde a política deve ser armazenada, atribua um nome à política e, em seguida, selecione Guardar.

    A política é guardada e verá uma mensagem a indicar que uma regra foi exportada da política.

12. Depois de criar o ficheiro XML, tem de importá-lo com o Microsoft Intune.

Para importar uma lista de aplicações protegidas com o Microsoft Intune

1. Em Aplicações protegidas, selecione Importar aplicações.

   

   Em seguida, importe o ficheiro.

   

2. Navegue para o ficheiro de política do AppLocker exportado e, em seguida, selecione Abrir.

   As importações de ficheiros e as aplicações são adicionadas à sua lista aplicações protegidas .

Isentar aplicações de uma política WIP

Se a sua aplicação for incompatível com o WIP, mas ainda precisar de ser utilizada com dados empresariais, pode isentar a aplicação das restrições do WIP. Isso significa que seus aplicativos não incluirão criptografia automática nem marcação e não respeitarão as restrições de rede. Isso também significa que você pode perder seus aplicativos isentos.

1. Em Aplicações cliente – Políticas de proteção de aplicações, selecione Isentar aplicações.

   

2. Em Aplicações isentas, selecione Adicionar aplicações.

   Quando isentar aplicações, estas podem ignorar as restrições do WIP e aceder aos seus dados empresariais.

3. Preencha o resto das informações da aplicação, com base no tipo de aplicação que está a adicionar:

   • Adicionar aplicações recomendadas

   • Adicionar aplicativos da Loja

   • Adicionar aplicativos da área de trabalho

   • Importar aplicações

4. Clique em OK.

Gerenciar o modo de proteção por WIP dos dados corporativos

Depois de adicionar os aplicativos que deseja proteger com WIP, você precisará aplicar um modo de gerenciamento e proteção.

É recomendável iniciar com Silencioso ou Permitir Substituições ao verificar, com um pequeno grupo, se você tem os aplicativos corretos na lista de aplicativos protegidos. Depois de terminar, pode alterar para a política de imposição final, Bloquear.

1. Na Política de proteção de aplicações, selecione o nome da política e, em seguida, selecione Definições necessárias.

   

   Modo	Descrição
   Bloqueio	A WIP procura práticas inadequadas de compartilhamento de dados e impede que o funcionário execute a ação. Isso pode incluir compartilhar informações em todos os aplicativos protegidos não corporativos, além de compartilhar dados empresariais entre outras pessoas e dispositivos fora da empresa.
   Permitir substituições	A WIP procura compartilhamento de dados inapropriados, avisando os funcionários se eles fizerem algo considerado potencialmente inseguro. No entanto, esse modo de gerenciamento permite que o funcionário substitua a política e compartilhe os dados, registrando a ação no log de auditoria. Para obter informações sobre como coletar os arquivos de log de auditoria, consulte Como coletar logs de eventos de auditoria de Proteção de Informações do Windows (WIP).
   Silencioso	O WIP é executado automaticamente, registando partilhas de dados inadequadas, sem bloquear nada que teria sido pedido para interação do funcionário enquanto estava no modo Permitir Substituição. Ações não permitidas, como aplicativos tentando acessar de maneira inadequada um recurso de rede ou dados protegidos pela WIP, continuam sendo interrompidas.
   Desativada	A WIP permanece desativada e não ajuda a proteger nem auditar os dados. Depois de desativar a WIP, é feita uma tentativa de descriptografar todos os arquivos marcados pela WIP nas unidades conectadas localmente. As suas informações de descriptografia e política anteriores não serão reaplicadas automaticamente se você reativar a proteção WIP novamente. Para obter mais informações, consulte Como desativar o Windows Information Protection.

2. Selecione Salvar.

Definir sua identidade corporativa gerenciada na empresa

A identidade empresarial, normalmente expressa como o seu domínio de Internet principal (por exemplo, contoso.com), ajuda a identificar e etiquetar os seus dados empresariais a partir de aplicações que marcou como protegidas pelo WIP. Por exemplo, emails usando contoso.com são identificados como sendo corporativos e são restringidos por suas políticas de Proteção de Informações do Windows.

A partir do Windows 10, versão 1703, o Intune determina automaticamente sua identidade corporativa e a adiciona ao campo Identidade corporativa.

Para mudar sua identidade corporativa

1. Em Política de aplicação, selecione o nome da política e, em seguida, selecione Definições obrigatórias.

2. Se a identidade definida automaticamente não estiver correta, pode alterar as informações no campo Identidade empresarial .

   

3. Para adicionar domínios, tais como os nomes de domínio de e-mail, selecione Configurar Definições avançadas>Adicionar limite de rede e selecione Domínios protegidos.

   

Escolher o local onde os aplicativos podem acessar dados empresariais

Depois de adicionar um modo de proteção aos seus aplicativos, é necessário decidir onde esses aplicativos podem acessar dados empresariais em sua rede. Todas as políticas wip devem incluir as suas localizações de rede empresarial.

Não existem locais padrão incluídos com a WIP. Você deve adicionar cada um dos seus locais de rede. Esta área aplica-se a qualquer dispositivo de ponto final de rede que obtenha um endereço IP no intervalo da sua empresa e também esteja vinculada a um dos seus domínios empresariais, incluindo partilhas SMB. Os locais do sistema de arquivos locais devem apenas manter a criptografia (por exemplo, em NTFS, FAT e ExFAT locais).

Para definir os limites de rede, selecione Política> de aplicação o nome da política >Definições avançadas>Adicionar limite de rede.

Selecione o tipo de limite de rede para adicionar a partir da caixa Tipo de limite. Escreva um nome para o limite na caixa Nome , adicione os seus valores à caixa Valor , com base nas opções abrangidas nas seguintes subsecções e, em seguida, selecione OK.

Recursos da cloud

Especifique os recursos de nuvem para serem tratados como corporativos e protegidos pela WIP. Para cada recurso de nuvem, você também pode especificar um servidor proxy de sua lista de Servidores Proxy Internos Empresariais para rotear o tráfego para esse recurso de nuvem. Todo o tráfego encaminhado através dos servidores proxy internos é considerado empresarial.

Separe vários recursos com o delimitador "|". Por exemplo:

URL <,proxy>|URL <,proxy>

As aplicações pessoais podem aceder a um recurso da cloud que tenha um espaço em branco ou um caráter inválido, como um ponto à direita no URL.

Para adicionar um subdomínio para um recurso da cloud, utilize um ponto final (.) em vez de um asterisco (*). Por exemplo, para adicionar todos os subdomínios no Office.com, utilize ".office.com" (sem as aspas).

Em alguns casos, como quando uma aplicação se liga diretamente a um recurso da cloud através de um endereço IP, o Windows não consegue saber se está a tentar ligar-se a um recurso da cloud empresarial ou a um site pessoal. Nesse caso, o Windows bloqueará a conexão por padrão. Para impedir que o Windows bloqueie automaticamente essas conexões, adicione a cadeia de caracteres /*AppCompat*/ à configuração. Por exemplo:

URL <,proxy>|URL <,proxy>|/*AppCompat*/

Quando utilizar esta cadeia de carateres, recomendamos que ative também o Acesso Condicional do Microsoft Entra, utilizando a opção Domínio associado ou marcado como conforme , o que impede que as aplicações acedam a quaisquer recursos da cloud empresarial protegidos pelo acesso condicional.

Formato de valor com proxy:

contoso.sharepoint.com,contoso.internalproxy1.com|contoso.visualstudio.com,contoso.internalproxy2.com

Formato de valor sem proxy:

contoso.sharepoint.com|contoso.visualstudio.com|contoso.onedrive.com,

Domínios protegidos

Especifique os domínios utilizados para identidades no seu ambiente. Todo o tráfego para os domínios completamente qualificados apresentados nesta lista será protegido. Separe vários domínios com o delimitador "|".

exchange.contoso.com|contoso.com|region.contoso.com

Domínios de rede

Especifique os sufixos DNS usado em seu ambiente. Todo o tráfego para os domínios completamente qualificados apresentados nesta lista será protegido. Separe vários recursos com o delimitador "".

corp.contoso.com,region.contoso.com

Servidores de proxy

Especifique os servidores proxy pelos quais seus dispositivos passarão para atingir seus recursos de nuvem. A utilização deste tipo de servidor indica que os recursos da cloud aos quais está a ligar são recursos empresariais.

Esta lista não deve incluir servidores listados na sua lista servidores proxy internos. Servidores proxy devem ser usados somente para o tráfego protegido não-WIP (não-empresarial). Separe vários recursos com o delimitador ";".

proxy.contoso.com:80;proxy2.contoso.com:443

Servidores proxy internos

Especifique os servidores proxy internos pelos quais seus dispositivos passarão para atingir seus recursos de nuvem. A utilização deste tipo de servidor indica que os recursos da cloud aos quais está a ligar são recursos empresariais.

Esta lista não deve incluir servidores listados na sua lista de servidores Proxy. Servidores proxy internos devem ser usados somente para o tráfego protegido WIP (empresarial). Separe vários recursos com o delimitador ";".

contoso.internalproxy1.com;contoso.internalproxy2.com

Intervalos IPv4

Especifique os endereços para um intervalo de valores IPv4 válidos na sua intranet. Esses endereços, usados com seus Nomes de Domínio de Rede, definem os limites da rede corporativa. A notação CIDR (Classless Inter-Domain Routing) não é suportada.

Separe vários intervalos com o delimitador "".

A partir do endereço IPv4: 3.4.0.1
Encerrando endereço IPv4: 3.4.255.254
URI personalizada: 3.4.0.1-3.4.255.254,
10.0.0.1-10.255.255.254

Intervalos IPv6

A partir do Windows 10, versão 1703, esse campo é opcional.

Especifique os endereços para um intervalo de valores IPv6 válidos na sua intranet. Estes endereços, utilizados com os nomes de domínio de rede, definem os limites da rede empresarial. A notação CIDR (Classless Inter-Domain Routing) não é suportada.

Separe vários intervalos com o delimitador "".

Endereço IPv6 inicial:2a01:110::
Endereço IPv6 final:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff
URI personalizado:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff,'<br>'fd00::-fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

Recursos neutros

Especifique seus pontos de extremidade de redirecionamento de autenticação para sua empresa. Esses locais são considerados empresariais ou pessoais, com base no contexto da conexão antes do redirecionamento. Separe vários recursos com o delimitador "".

sts.contoso.com,sts.contoso2.com

Decida se pretende que o Windows procure mais definições de rede:

• A lista de servidores proxy empresariais é autoritativa (não detecta automaticamente). Ative se pretender que o Windows trate os servidores proxy que especificou na definição de limite de rede como a lista completa de servidores proxy disponíveis na sua rede. Se desativar esta opção, o Windows irá procurar mais servidores proxy na sua rede imediata.

• A lista de intervalos de IP empresariais é autoritativa (não detectar automaticamente). Ative se pretender que o Windows trate os intervalos de IP que especificou na definição de limite de rede como a lista completa de intervalos de IP disponíveis na sua rede. Se desativar esta opção, o Windows irá procurar mais intervalos de IP em quaisquer dispositivos associados a um domínio ligados à sua rede.

Carregar o certificado DRA (Agente de recuperação de dados)

Depois de criar e implementar a política wip para os seus funcionários, o Windows começa a encriptar os seus dados empresariais na unidade de dispositivo local dos funcionários. Se, de alguma forma, as chaves de encriptação locais dos funcionários forem perdidas ou revogadas, os dados encriptados podem tornar-se irrecuperáveis. Para ajudar a evitar essa possibilidade, o certificado de agente de recuperação de dados (DRA) permite que o Windows use uma chave pública incluída para criptografar os dados locais, enquanto você mantém a chave privada que pode descriptografar os dados.

Importante

A utilização de um certificado DRA não é obrigatória. No entanto, é altamente recomendável. Para obter mais informações sobre como localizar e exportar o certificado de recuperação de dados, veja Data Recovery and Encrypting File System (EFS). Para obter mais informações sobre como criar e verificar o certificado EFS DRA, veja Criar e verificar um certificado dra (Encrypting File System) Data Recovery Agent (DRA).

Para carregar seu certificado de DRA

1. Em Política de aplicação, selecione o nome da sua política e, em seguida, selecione Definições avançadas no menu apresentado.

   As definições avançadas são apresentadas .

2. Na caixa Carregar um Certificado do Agente de Recuperação de Dados (DRA) para permitir a recuperação de dados encriptados , selecione Procurar para adicionar um certificado de recuperação de dados para a sua política.

   

Escolha as configurações opcionais relacionadas à WIP

Depois de decidir onde as suas aplicações protegidas podem aceder aos dados empresariais na sua rede, pode escolher definições opcionais.

Revogar as chaves de criptografia em cancelar registro. Determina se pretende revogar as chaves de encriptação local de um utilizador a partir de um dispositivo quando é anulada a inscrição no Windows Information Protection. Se as chaves de criptografia estiverem revogadas, um usuário não tem mais acesso aos dados corporativos criptografados. As opções são:

• Ativado, ou não configurado (recomendado). Revoga as chaves de criptografia locais de um dispositivo durante o cancelamento de registro.

• Desativar. Para as chaves de criptografia locais de serem revogadas de um dispositivo durante o cancelamento de registro. Por exemplo, se estiver a migrar entre soluções de Gestão de Dispositivos Móveis (MDM).

Mostre o ícone de proteção de dados corporativos. Determina se a sobreposição do ícone da Proteção de Informações do Windows aparece em arquivos corporativos nas exibições Salvar Como e Explorador de Arquivos. As opções são:

• Ativado. Permite que a sobreposição do ícone da Proteção de Informações do Windows apareça em arquivos corporativos nas exibições Salvar Como e Explorador de Arquivos. Além disso, para aplicações não esclarcidas mas protegidas, a sobreposição do ícone também é apresentada no mosaico da aplicação e com Texto gerido no nome da aplicação no menu Iniciar .

• Desativado, ou não configurado (recomendado). Impede que a sobreposição do ícone do Windows Information Protection apareça em ficheiros empresariais ou aplicações não ativadas, mas protegidas. Não configurado é a opção padrão.

Use o Azure RMS para WIP. Determina se o WIP utiliza o Microsoft Azure Rights Management para aplicar a encriptação EFS a ficheiros copiados do Windows 10 para USB ou outras unidades amovíveis para que possam ser partilhados em segurança com os funcionários. Por outras palavras, o WIP utiliza a "maquinaria" do Azure Rights Management para aplicar a encriptação EFS aos ficheiros quando são copiados para unidades amovíveis. Já tem de ter o Azure Rights Management configurado. A chave de encriptação de ficheiros EFS está protegida pela licença do modelo RMS. Apenas os utilizadores com permissão para esse modelo podem lê-lo a partir da unidade amovível. O WIP também pode ser integrado no Azure RMS com as definições De MDM AllowAzureRMSForEDP e RMSTemplateIDForEDP no CSP EnterpriseDataProtection.

• Ativado. Protege os ficheiros copiados para uma unidade amovível. Pode introduzir um GUID templateID para especificar quem pode aceder aos ficheiros protegidos do Azure Rights Management e durante quanto tempo. O modelo do RMS só é aplicado aos ficheiros em suportes de dados amovíveis e é utilizado apenas para controlo de acesso. Na verdade, não aplica o Azure Information Protection aos ficheiros.

  Se não especificar um modelo do RMS, é um ficheiro EFS normal com um modelo de RMS predefinido ao qual todos os utilizadores podem aceder.

• Desativado, ou não configurado. Impede o WIP de encriptar ficheiros do Azure Rights Management que são copiados para uma unidade amovível.

  Observação

  Independentemente desta definição, todos os ficheiros no OneDrive para Empresas serão encriptados, incluindo Pastas Conhecidas movidas.

Permitir que o Indexador do Windows Search pesquise ficheiros encriptados. Determina se deve permitir que o Indexador do Windows Search indexe itens encriptados, como ficheiros protegidos pelo WIP.

• Ativado. Inicia o Indexador do Windows Search para indexar ficheiros encriptados.

• Desativado, ou não configurado. Impede o Indexador do Windows Search de indexar ficheiros encriptados.

Extensões de ficheiros encriptados

Pode restringir os ficheiros protegidos pelo WIP quando são transferidos a partir de uma partilha SMB nas localizações de rede da empresa. Se esta definição estiver configurada, apenas os ficheiros com as extensões na lista serão encriptados. Se esta definição não for especificada, será aplicado o comportamento de encriptação automática existente.

Artigos relacionados

• Como coletar logs de eventos de auditoria de Proteção de Informações do Windows (WIP)

• Diretrizes gerais e práticas recomendadas para WIP (Proteção de informações Windows)

• O que é o Azure Rights Management?

• Criar uma política de proteção do Windows Information Protection (WIP) com o Microsoft Intune

• Intune MAM sem registro

• Atualização de documentação do Azure RMS para maio de 2016