Creación e implementación de una directiva de Windows Information Protection (WIP) con IntuneCreate and deploy Windows Information Protection (WIP) policy with Intune

Se pueden usar directivas de Windows Information Protection (WIP) con aplicaciones de Windows 10 para proteger las aplicaciones sin inscripción de dispositivos.You can use Windows Information Protection (WIP) policies with Windows 10 apps to protect apps without device enrollment.

Antes de comenzarBefore you begin

Antes de agregar una directiva de trabajo en curso, debe tener claros algunos conceptos:You must understand a few concepts when adding a WIP policy:

Lista de aplicaciones permitidas y exentasList of allowed and exempt apps

  • Aplicaciones protegidas: estas son las aplicaciones que deben cumplir esta directiva.Protected apps: These apps are the apps that need to adhere to this policy.

  • Aplicaciones exentas: estas aplicaciones están exentas del cumplimiento de esta directiva y pueden acceder a los datos corporativos sin restricciones.Exempt apps: These apps are exempt from this policy and can access corporate data without restrictions.

Tipos de aplicacionesTypes of apps

  • Aplicaciones recomendadas: lista rellenada previamente de aplicaciones (en su mayoría de Microsoft Office) que permiten una importación sencilla en la directiva.Recommended apps: A pre-populated list of (mostly Microsoft Office) apps that allow you easily import into policy.
  • Aplicaciones de la Tienda: puede agregar cualquier aplicación de la Tienda Windows a la directiva.Store apps: You can add any app from the Windows store to the policy.
  • Aplicaciones de escritorio de Windows: puede agregar cualquier aplicación de escritorio tradicional de Windows a la directiva (por ejemplo, .exe, .dll, etc.).Windows desktop apps: You can add any traditional Windows desktop apps to the policy (for example, .exe, .dll)

Requisitos previosPrerequisites

Se debe configurar el proveedor de MAM para poder crear una directiva de WIP.You must configure the MAM provider before you can create a WIP policy. Obtenga más información sobre cómo configurar el proveedor de MAM con Intune.Learn more about how to configure your MAM provider with Intune.

Importante

WIP no admite varias identidades, solo puede existir una identidad administrada al mismo tiempo.WIP does not support multi-identity, only one managed identity can exist at a time. Para obtener información sobre las capacidades y limitaciones de WIP, vea Protección de los datos de su empresa mediante Windows Information Protection (WIP).For more information about the capabilities and limitations of WIP, see Protect your enterprise data using Windows Information Protection (WIP).

Además, necesita la siguiente licencia y actualización:Additionally, you need to have the following license and update:

Para agregar una directiva de WIPTo add a WIP policy

Una vez configurado Intune en su organización, puede crear una directiva específica de WIP.After you set up Intune in your organization, you can create a WIP-specific policy.

Sugerencia

Si quiere saber más sobre cómo crear directivas de WIP para Intune, incluidos los valores disponibles y cómo configurarlos, vea Crear una directiva Windows Information Protection (WIP) con MAM usando Azure Portal de Microsoft Intune en la biblioteca de documentación de Seguridad de Windows.For related information about creating WIP policies for Intune, including available settings and how to configure them, see Create a Windows Information Protection (WIP) policy with MAM using the Azure portal for Microsoft Intune in the Windows Security documentation library.

  1. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.
  2. En Aplicaciones > Directivas de protección de aplicaciones > Crear directiva.Select Apps > App protection policies > Create policy.
  3. Agregue los siguientes valores:Add the following values:
    • Nombre: escriba un nombre (necesario) para la nueva directiva.Name: Type a name (required) for your new policy.
    • Descripción: (opcional) escriba una descripción.Description: (Optional) Type a description.
    • Plataforma: Elija Windows 10 como plataforma admitida para la directiva de WIP.Platform: Choose Windows 10 as the supported platform for your WIP policy.
    • Estado de inscripción: elija Sin inscripción como estado de inscripción para la directiva.Enrollment state: Choose Without enrollment as the enrollment state for your policy.
  4. Elija Crear.Choose Create. La directiva se crea y aparece en la tabla del panel Directivas de protección de aplicaciones.The policy is created and appears in the table on the App protection policies pane.
  1. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.
  2. Seleccione Aplicaciones > Directivas de protección de aplicaciones.Select Apps > App protection policies.
  3. En el panel Directivas de protección de aplicaciones, seleccione la directiva que desea modificar.On the App protection policies pane, choose the policy you want to modify. Se muestra el panel Protección de aplicaciones de Intune.The Intune App Protection pane is displayed.
  4. Elija Aplicaciones protegidas en el panel Intune App Protection.Choose Protected apps from the Intune App Protection pane. Se abre el panel Aplicaciones protegidas, que muestra todas las aplicaciones que ya están incluidas en la lista para esta directiva de protección de la aplicación.The Protected apps pane opens showing you all apps that are already included in the list for this app protection policy.
  5. Seleccione Agregar aplicaciones.Select Add apps. La información Agregar aplicaciones muestra una lista filtrada de aplicaciones.The Add apps information shows you a filtered list of apps. La lista de la parte superior del panel le permite cambiar el filtro de la lista.The list at the top of the pane allows you to change the list filter.
  6. Seleccione cada una de las aplicaciones a las que quiera dar permiso para acceder a sus datos corporativos.Select each app that you want to allow access your corporate data.
  7. Haga clic en Aceptar.Click OK. El panel Aplicaciones protegidas se actualiza y muestra todas las aplicaciones seleccionadas.The Protected apps pane is updated showing all selected apps.
  8. Haga clic en Guardar.Click Save.

Agregar una aplicación de la Tienda a la lista de aplicaciones protegidasAdd a Store app to your protected apps list

Para agregar una aplicación de la TiendaTo add a Store app

  1. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.
  2. Seleccione Aplicaciones > Directivas de protección de aplicaciones.Select Apps > App protection policies.
  3. En el panel Directivas de protección de aplicaciones, seleccione la directiva que desea modificar.On the App protection policies pane, choose the policy you want to modify. Se muestra el panel Protección de aplicaciones de Intune.The Intune App Protection pane is displayed.
  4. Elija Aplicaciones protegidas en el panel Intune App Protection.Choose Protected apps from the Intune App Protection pane. Se abre el panel Aplicaciones protegidas, que muestra todas las aplicaciones que ya están incluidas en la lista para esta directiva de protección de la aplicación.The Protected apps pane opens showing you all apps that are already included in the list for this app protection policy.
  5. Seleccione Agregar aplicaciones.Select Add apps. La información Agregar aplicaciones muestra una lista filtrada de aplicaciones.The Add apps information shows you a filtered list of apps. La lista de la parte superior del panel le permite cambiar el filtro de la lista.The list at the top of the pane allows you to change the list filter.
  6. En la lista, seleccione Aplicaciones de la Tienda.From the list, select Store apps.
  7. Especifique los valores para Nombre, Editor, Nombre de producto y Acción.Enter values for Name, Publisher, Product Name, and Action. Asegúrese de establecer el valor Acción en Permitir para que la aplicación tenga acceso a los datos corporativos.Be sure to set the Action value to Allow, so that the app will have access to your corporate data.
  8. Haga clic en Aceptar.Click OK. El panel Aplicaciones protegidas se actualiza y muestra todas las aplicaciones seleccionadas.The Protected apps pane is updated showing all selected apps.
  9. Haga clic en Guardar.Click Save.

Agregar una aplicación de escritorio a la lista de aplicaciones protegidasAdd a desktop app to your protected apps list

Para agregar una aplicación de escritorioTo add a desktop app

  1. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.
  2. Seleccione Aplicaciones > Directivas de protección de aplicaciones.Select Apps > App protection policies.
  3. En el panel Directivas de protección de aplicaciones, seleccione la directiva que desea modificar.On the App protection policies pane, choose the policy you want to modify. Se muestra el panel Protección de aplicaciones de Intune.The Intune App Protection pane is displayed.
  4. Elija Aplicaciones protegidas en el panel Intune App Protection.Choose Protected apps from the Intune App Protection pane. Se abre el panel Aplicaciones protegidas, que muestra todas las aplicaciones que ya están incluidas en la lista para esta directiva de protección de la aplicación.The Protected apps pane opens showing you all apps that are already included in the list for this app protection policy.
  5. Seleccione Agregar aplicaciones.Select Add apps. La información Agregar aplicaciones muestra una lista filtrada de aplicaciones.The Add apps information shows you a filtered list of apps. La lista de la parte superior del panel le permite cambiar el filtro de la lista.The list at the top of the pane allows you to change the list filter.
  6. En la lista, seleccione Aplicaciones de escritorio.From the list, select Desktop apps.
  7. Escriba valores para Nombre, Editor, Nombre de producto, Archivo, Versión mínima, Versión máxima y Acción.Enter values for Name, Publisher, Product Name, File, Min Version, Max Version, and Action. Asegúrese de establecer el valor Acción en Permitir para que la aplicación tenga acceso a los datos corporativos.Be sure to set the Action value to Allow, so that the app will have access to your corporate data.
  8. Haga clic en Aceptar.Click OK. El panel Aplicaciones protegidas se actualiza y muestra todas las aplicaciones seleccionadas.The Protected apps pane is updated showing all selected apps.
  9. Haga clic en Guardar.Click Save.

Aprendizaje de WIPWIP Learning

Después de agregar las aplicaciones que desea proteger con WIP, debe aplicar un modo de protección mediante Aprendizaje de WIP.After you add the apps you want to protect with WIP, you need to apply a protection mode by using WIP Learning.

Antes de comenzarBefore you begin

Aprendizaje de WIP es un informe que permite supervisar las aplicaciones que tengan WIP habilitado y las que sean desconocidas para WIP.WIP Learning is a report that allows you to monitor your WIP-enabled apps and WIP-unknown apps. Las aplicaciones desconocidas son las que no ha implementado el departamento de TI de su organización.The unknown apps are the ones not deployed by your organization's IT department. Puede exportar estas aplicaciones desde el informe y agregarlas a sus directivas de WIP para evitar la interrupción de productividad antes de exigir WIP en modo "Bloquear".You can export these apps from the report and add them to your WIP policies to avoid productivity disruption before they enforce WIP in "Block" mode.

Además de ver información sobre las aplicaciones habilitadas para WIP, puede ver un resumen de los dispositivos que han compartido datos de trabajo con sitios web.In addition to viewing information about WIP-enabled apps, you can view a summary of the devices that have shared work data with websites. Con esta información, puede determinar qué sitios web se deben agregar a las directivas WIP de grupo y de usuario.With this information, you can determine which websites should be added to group and user WIP policies. En el resumen se muestra que las aplicaciones habilitadas para WIP han accedido a las direcciones URL del sitio web.The summary shows which website URLs are accessed by WIP-enabled apps.

Al trabajar con aplicaciones que tengan WIP habilitado o que sean desconocidas para WIP, se recomienda empezar con Silencioso o Permitir invalidaciones al realizar comprobaciones con un pequeño grupo que tenga las aplicaciones adecuadas en la lista de aplicaciones protegidas.When working with WIP-enabled apps and WIP-unknown apps, we recommend that you start with Silent or Allow Overrides while verifying with a small group that you have the right apps on your protected apps list. Cuando haya terminado, puede cambiar a la directiva de aplicación final, Bloquear.After you're done, you can change to your final enforcement policy, Block.

¿Cuáles son los modos de protección?What are the protection modes?

BloquearBlock

WIP busca prácticas de uso compartido de datos inapropiadas y no permite al usuario completar la acción.WIP looks for inappropriate data sharing practices and stops the user from completing the action. Las acciones bloqueadas pueden incluir el uso compartido de información entre aplicaciones protegidas no corporativas y el uso compartido de datos corporativos entre otras personas y dispositivos no pertenecientes a su organización.Blocked actions can include sharing info across non-corporate-protected apps, and sharing corporate data between other people and devices outside of your organization.

Permitir invalidacionesAllow Overrides

WIP busca el uso compartido de datos inadecuado, avisando a los usuarios si hacen algo que se considera potencialmente no seguro.WIP looks for inappropriate data sharing, warning users when they do something deemed potentially unsafe. Sin embargo, este modo permite al usuario reemplazar la directiva y compartir los datos, registrando la acción en el registro de auditoría.However, this mode lets the user override the policy and share the data, logging the action to your audit log.

SilenciosoSilent

WIP se ejecuta en modo silencioso, ya que registra el uso compartido de datos inadecuado sin bloquear nada que se hubiera solicitado en la interacción con el empleado en el modo Permitir invalidaciones.WIP runs silently, logging inappropriate data sharing, without blocking anything that would have been prompted for employee interaction while in Allow Override mode. Las acciones no permitidas, como las aplicaciones que intentan de manera inapropiada obtener acceso a un recurso de red o a datos protegidos por WIP, se siguen deteniendo.Unallowed actions, like apps inappropriately trying to access a network resource or WIP-protected data, are still stopped.

WIP está desactivado y no ayuda a proteger o auditar los datos.WIP is turned off and doesn't help to protect or audit your data.

Una vez desactivado WIP, se realiza un intento de descifrar los archivos etiquetados con WIP en las unidades conectadas localmente.After you turn off WIP, an attempt is made to decrypt any WIP-tagged files on the locally attached drives. Tenga en cuenta que la información anterior de descifrado y directiva no se vuelve a aplicar automáticamente si vuelve a activar la protección de WIP.Note that previous decryption and policy info isn't automatically reapplied if you turn WIP protection back on.

Agregar un modo de protecciónAdd a protection mode

  1. En el panel Directiva de aplicaciones, seleccione el nombre de la directiva y elija Valores obligatorios.From the App policy pane, choose the name of your policy, then choose Required settings.

    Captura de pantalla del panel de modo de aprendizaje

  2. Seleccione un valor y elija Guardar.Select a setting and then choose Save.

Uso del aprendizaje de WIPUse WIP Learning

  1. Abra Azure Portal.Open the Azure portal. Elija Todos los servicios.Choose All services. Escriba Intune en el filtro del cuadro de texto.Type Intune in the text box filter.

  2. Elija Intune > Aplicaciones.Choose Intune > Apps.

  3. Elija Estado de protección de la aplicación > Informes > Aprendizaje de Windows Information Protection.Choose App protection status > Reports > Windows Information Protection learning.

    Una vez que tenga las aplicaciones que se muestran en el informe de registro del aprendizaje de WIP, puede agregarlas a las directivas de protección de aplicaciones.Once you have the apps showing up in the WIP Learning logging report, you can add them to your app protection policies.

Permitir que el indizador de Windows Search busque elementos cifradosAllow Windows Search Indexer to search encrypted items

Permite o deniega la indexación de elementos.Allows or disallows the indexing of items. Este modificador es para el indizador de Windows Search, que controla si indexa los elementos que están cifrados, como los archivos protegidos de Windows Information Protection (WIP).This switch is for the Windows Search Indexer, which controls whether it indexes items that are encrypted, such as the Windows Information Protection (WIP) protected files.

Esta opción de directiva de protección de aplicaciones está en la Configuración avanzada de la directiva de Windows Information Protection.This app protection policy option is in the Advanced settings of the Windows Information Protection policy. La directiva de protección de aplicaciones debe establecerse en la plataforma Windows 10 y la directiva de aplicación Estado de inscripción debe establecerse en Con inscripción.The app protection policy must be set to the Windows 10 platform and the app policy Enrollment state must be set to With enrollment.

Cuando la directiva está habilitada, los elementos protegidos por WIP se indexan y los metadatos sobre ellos se almacenan en una ubicación sin cifrar.When the policy is enabled, WIP protected items are indexed and the metadata about them are stored in an unencrypted location. Los metadatos incluyen elementos tales como la ruta de acceso de archivo y la fecha de modificación.The metadata includes things like file path and date modified.

Cuando la directiva está deshabilitada, los elementos protegidos por WIP no se indexan y no se muestran en los resultados de Cortana o del explorador de archivos.When the policy is disabled, the WIP protected items are not indexed and do not show up in the results in Cortana or file explorer. También puede haber un impacto en el rendimiento de fotografías y aplicaciones de Groove si hay muchos archivos multimedia protegidos por WIP en el dispositivo.There may also be a performance impact on photos and Groove apps if there are many WIP protected media files on the device.

Agregar extensiones de archivo cifradoAdd encrypted file extensions

Además de establecer la opción Permitir que el indizador de Windows Search busque elementos cifrados, puede especificar una lista de extensiones de archivo.In addition to setting the Allow Windows Search Indexer to search encrypted items option, you can specify a list of file extensions. Los archivos con estas extensiones se cifran cuando se copian desde un recurso compartido de bloque de mensajes del servidor (SMB) dentro de los límites corporativos, tal y como se define en la lista de ubicaciones de red.Files with these extensions are encrypted when copying from a Server Message Block (SMB) share within the corporate boundary as defined in the network location list. Cuando no se especifica esta directiva, se aplica el comportamiento de cifrado automático existente.When this policy is not specified, the existing auto-encryption behavior is applied. Cuando se configura esta directiva, se cifrarán únicamente los archivos con las extensiones de la lista.When this policy is configured, only files with the extensions in the list will be encrypted.

Implementación de la directiva de protección de aplicaciones de WIPDeploy your WIP app protection policy

Importante

Esta información corresponde a WIP sin la inscripción de dispositivos.This information applies for WIP without device enrollment.

Después de crear la directiva de protección de aplicaciones de WIP, debe implementarla en su organización mediante MAM.After you created your WIP app protection policy, you need to deploy it to your organization using MAM.

  1. En el panel Directiva de aplicaciones, elija la directiva de protección de aplicaciones recién creada y elija Grupos de usuarios > Agregar grupo de usuarios.On the App policy pane, choose your newly created app protection policy, choose User groups > Add user group.

    Se abre una lista de grupos de usuarios, que consta de todos los grupos de seguridad de Azure Active Directory, en el panel Agregar grupo de usuarios.A list of user groups, made up of all the security groups in your Azure Active Directory, opens in the Add user group pane.

  2. Seleccione el grupo al que quiere que se aplique la directiva y, después, elija Seleccionar para implementar la directiva.Choose the group you want your policy to apply to, then choose Select to deploy the policy.

Pasos siguientesNext steps

Para obtener más información sobre Windows Information Protection, consulte Protect your enterprise data using Windows Information Protection (WIP) [Protección de los datos de su empresa mediante Windows Information Protection (WIP)].Learn more about Windows Information Protection, see Protect your enterprise data using Windows Information Protection (WIP).