Crear una directiva de Windows Information Protection (WIP) mediante el portal de Azure para Microsoft IntuneCreate a Windows Information Protection (WIP) policy using the Azure portal for Microsoft Intune

Se aplica a:Applies to:

  • Windows10, versión 1607 y posterioresWindows10, version 1607 and later
  • Windows10 Mobile, versión 1607 y posteriores (excepto Microsoft Azure Rights Management, que solo está disponible en el escritorio)Windows10 Mobile, version 1607 and later (except Microsoft Azure Rights Management, which is only available on the desktop)

Microsoft Intune ofrece una manera sencilla de crear e implementar una directiva de Windows Information Protection (WIP).Microsoft Intune has an easy way to create and deploy a Windows Information Protection (WIP) policy. Puede elegir qué aplicaciones proteger, el nivel de protección y cómo buscar datos empresariales en la red.You can choose which apps to protect, the level of protection, and how to find enterprise data on the network. Los dispositivos pueden ser administrados completamente por la administración de dispositivos móviles (MDM) o administrados por la administración de aplicaciones móviles (MAM), donde Intune administra solo las aplicaciones del dispositivo personal de un usuario.The devices can be fully managed by Mobile Device Management (MDM), or managed by Mobile Application Management (MAM), where Intune manages only the apps on a user's personal device.

Diferencias entre MDM y MAM para el trabajo en cursoDifferences between MDM and MAM for WIP

Puede crear una directiva de protección de aplicaciones en Intune, ya sea con la inscripción de dispositivos para MDM o sin la inscripción de dispositivos para MAM.You can create an app protection policy in Intune either with device enrollment for MDM or without device enrollment for MAM. El proceso para crear cualquiera de las directivas es similar, pero hay importantes diferencias:The process to create either policy is similar, but there are important differences:

  • MAM tiene una configuración de acceso adicional para Windows Hello para empresas.MAM has additional Access settings for Windows Hello for Business.
  • MAM puede Borrar selectivamente los datos de la compañía del dispositivo personal de un usuario.MAM can selectively wipe company data from a user's personal device.
  • MAM requiere una licencia Premium de Azure Active Directory (Azure ad).MAM requires an Azure Active Directory (Azure AD) Premium license.
  • También se requiere una licencia de Azure AD Premium para la recuperación automática del trabajo en curso, en la que un dispositivo puede volver a inscribirse y obtener acceso a datos protegidos.An Azure AD Premium license is also required for WIP auto-recovery, where a device can re-enroll and re-gain access to protected data. La recuperación automática del trabajo en curso depende del registro de Azure AD para realizar una copia de seguridad de las claves de cifrado, lo que requiere la inscripción automática del dispositivo con MDM.WIP auto-recovery depends on Azure AD registration to back up the encryption keys, which requires device auto-enrollment with MDM.
  • MAM solo admite un usuario por dispositivo.MAM supports only one user per device.
  • MAM solo puede administrar aplicaciones habilitadas.MAM can only manage enlightened apps.
  • Solo MDM puede usar directivas CSP de BitLocker .Only MDM can use BitLocker CSP policies.
  • Si el mismo usuario y dispositivo están dirigidos tanto a MDM como a MAM, la Directiva MDM se aplicará a los dispositivos Unidos a Azure AD.If the same user and device are targeted for both MDM and MAM, the MDM policy will be applied to devices joined to Azure AD. Para dispositivos personales Unidos al trabajo (es decir, agregado mediante configuraciónde > correo electrónico & cuentas > agregue una cuenta profesional o educativa), se preferirá la Directiva de solo MAM pero es posible actualizar la administración de dispositivos a MDM en configuración.For personal devices that are workplace-joined (that is, added by using Settings > Email & accounts > Add a work or school account), the MAM-only policy will be preferred but it's possible to upgrade the device management to MDM in Settings. Windows Home Edition solo admite el trabajo en curso para MAM-Only; la actualización a la Directiva MDM en Home Edition revocará el acceso a datos protegido con el trabajo en curso.Windows Home edition only supports WIP for MAM-only; upgrading to MDM policy on Home edition will revoke WIP-protected data access.

Requisitos previosPrerequisites

Antes de poder crear una directiva de trabajo en curso con Intune, debe configurar un proveedor de MDM o MAM en Azure Active Directory (Azure AD).Before you can create a WIP policy using Intune, you need to configure an MDM or MAM provider in Azure Active Directory (Azure AD). MAM requiere una licencia Premium de Azure Active Directory (Azure ad).MAM requires an Azure Active Directory (Azure AD) Premium license. También se requiere una licencia de Azure AD Premium para la recuperación automática del trabajo en curso, en la que un dispositivo puede volver a inscribirse y obtener acceso a datos protegidos.An Azure AD Premium license is also required for WIP auto-recovery, where a device can re-enroll and re-gain access to protected data. La recuperación automática del trabajo en curso depende del registro de Azure AD para realizar una copia de seguridad de las claves de cifrado, lo que requiere la inscripción automática del dispositivo con MDM.WIP auto-recovery relies on Azure AD registration to back up the encryption keys, which requires device auto-enrollment with MDM.

Configurar el proveedor de MDM o MAMConfigure the MDM or MAM provider

  1. Inicie sesión en el portal de Azure.Sign in to the Azure portal.

  2. Haga clic en movilidad de Azure Active Directory > (MDM y MAM) > Microsoft Intune.Click Azure Active Directory > Mobility (MDM and MAM) > Microsoft Intune.

  3. Haga clic en restaurar direcciones URL predeterminadas o escriba la configuración de ámbito de usuario de MDM o MAM y haga clic en Guardar:Click Restore Default URLs or enter the settings for MDM or MAM user scope and click Save:

    Configurar el proveedor de MDM o MAM

Crear una directiva de trabajo en cursoCreate a WIP policy

  1. Inicie sesión en el portal de Azure.Sign in to the Azure portal.

  2. Abra Microsoft Intune y haga clic en directivas de protección de aplicaciones de aplicaciones cliente > App protection policies > crear Directiva.Open Microsoft Intune and click Client apps > App protection policies > Create policy.

    Abrir aplicaciones cliente

  3. En la pantalla Directiva de aplicaciones, haz clic en Agregar una directiva y luego rellena los campos:In the App policy screen, click Add a policy, and then fill out the fields:

    • Nombre.Name. Escriba un nombre (obligatorio) para tu nueva directiva.Type a name (required) for your new policy.

    • Descripción.Description. Escribe una descripción opcional.Type an optional description.

    • Plataforma.Platform. Elija Windows 10.Choose Windows 10.

    • Estado de inscripción.Enrollment state. Elija sin inscripción para MAM o con inscripción para MDM.Choose Without enrollment for MAM or With enrollment for MDM.

    Agregar una directiva de aplicación móvil

  4. Haga clic en aplicaciones protegidas y luego en agregar aplicaciones.Click Protected apps and then click Add apps.

    Agregar aplicaciones protegidas

    Puede agregar estos tipos de aplicaciones:You can add these types of apps:

Nota

Una aplicación podría devolver errores de acceso denegado después de quitarlo de la lista de aplicaciones protegidas.An application might return access denied errors after removing it from the list of protected apps. En lugar de quitarlo de la lista, desinstale y vuelva a instalar la aplicación o exenta de la Directiva de trabajo en curso.Rather than remove it from the list, uninstall and reinstall the application or exempt it from WIP policy.

Seleccione aplicaciones recomendadas y seleccione todas las aplicaciones a las que desea acceder a los datos de la empresa, o bien selecciónelas y haga clic en Aceptar.Select Recommended apps and select each app you want to access your enterprise data or select them all, and click OK.

Consola de administración de Microsoft Intune: aplicaciones recomendadas

Agregar aplicaciones de la TiendaAdd Store apps

Seleccione almacenar aplicaciones, escriba el nombre del producto de la aplicación y el editor, y haga clic en Aceptar.Select Store apps, type the app product name and publisher, and click OK. Por ejemplo, para agregar la aplicación móvil Power BI de la tienda, escriba lo siguiente:For example, to add the Power BI Mobile App from the Store, type the following:

  • Nombre: Microsoft Power BIName: Microsoft Power BI
  • Publisher:Publisher: CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
  • Nombre del producto:Product Name: Microsoft.MicrosoftPowerBIForWindows

Agregar aplicación de la tienda

Para agregar varias aplicaciones de la tienda, haga clic en los puntos suspensivos ....To add multiple Store apps, click the ellipsis .

Si no conoce el nombre del producto o el editor de la aplicación de la tienda, puede encontrarlos siguiendo estos pasos.If you don't know the Store app publisher or product name, you can find them by following these steps.

  1. Ve al sitio web de Microsoft Store para Empresas y busca la aplicación.Go to the Microsoft Store for Business website, and find your app. Por ejemplo, aplicación móvil Power BI.For example, Power BI Mobile App.

  2. Copia el valor de identificador de la dirección URL de la aplicación.Copy the ID value from the app URL. Por ejemplo, la dirección URL de la aplicación móvil de Power BI es https://www.microsoft.com/store/p/microsoft-power-bi/9nblgggzlxn1 , y copiará el valor de ID 9nblgggzlxn1 .For example, the Power BI Mobile App ID URL is https://www.microsoft.com/store/p/microsoft-power-bi/9nblgggzlxn1, and you'd copy the ID value, 9nblgggzlxn1.

  3. En un explorador, ejecuta la API web del portal de Store para empresas para devolver un archivo de notación de objetos JavaScript (JSON) que incluya los valores de nombre del editor y del producto.In a browser, run the Store for Business portal web API, to return a JavaScript Object Notation (JSON) file that includes the publisher and product name values. Por ejemplo, ejecute https://bspmts.mp.microsoft.com/v1/public/catalog/Retail/Products/9nblgggzlxn1/applockerdata , donde 9nblgggzlxn1 se reemplaza por el valor de identificación.For example, run https://bspmts.mp.microsoft.com/v1/public/catalog/Retail/Products/9nblgggzlxn1/applockerdata, where 9nblgggzlxn1 is replaced with your ID value.

    La API se ejecuta y abre un editor de texto con los detalles de la aplicación.The API runs and opens a text editor with the app details.

        {
            "packageIdentityName": "Microsoft.MicrosoftPowerBIForWindows",
            "publisherCertificateName": "CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US"
        }
    
  4. Copia el valor publisherCertificateName en el cuadro Editor y el valor packageIdentityName en el cuadro Nombre de Intune.Copy the publisherCertificateName value into the Publisher box and copy the packageIdentityName value into the Name box of Intune.

    Importante

    El archivo JSON también puede devolver un valor windowsPhoneLegacyId para ambos cuadros Nombre del editor y Nombre del producto.The JSON file might also return a windowsPhoneLegacyId value for both the Publisher Name and Product Name boxes. Esto significa que tienes una aplicación que está usando un paquete XAP y que debes establecer el Nombre del producto en windowsPhoneLegacyId y el Nombre del editor en CN= seguido del windowsPhoneLegacyId.This means that you have an app that’s using a XAP package and that you must set the Product Name as windowsPhoneLegacyId, and set the Publisher Name as CN= followed by the windowsPhoneLegacyId.

    Por ejemplo:For example:
    {
    "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
    }

Si necesita agregar aplicaciones móviles de Windows 10 que no se distribuyen a través de la tienda para empresas, debe usar la característica Windows Device portal .If you need to add Windows 10 mobile apps that aren't distributed through the Store for Business, you must use the Windows Device Portal feature.

Nota

Tu PC y teléfono deben estar en la misma red inalámbrica.Your PC and phone must be on the same wireless network.

  1. En Windows Phone, ve a Configuración, elige Actualización y seguridad y selecciona Para desarrolladores.On the Windows Phone, go to Settings, choose Update & security, and then choose For developers.

  2. En la pantalla Para desarrolladores, activa Modo de desarrollador, Detección de dispositivos y Portal de dispositivos.In the For developers screen, turn on Developer mode, turn on Device Discovery, and then turn on Device Portal.

  3. Copia la dirección URL del área Portal de dispositivos en el explorador de tu dispositivo y acepta el certificado SSL.Copy the URL in the Device Portal area into your device's browser, and then accept the SSL certificate.

  4. En el área Detección de dispositivos, presiona Emparejar y escribe el PIN en el sitio web del paso anterior.In the Device discovery area, press Pair, and then enter the PIN into the website from the previous step.

  5. En la pestaña Aplicaciones del sitio web, puedes ver los detalles de las aplicaciones en ejecución, con los nombres del editor y del producto.On the Apps tab of the website, you can see details for the running apps, including the publisher and product names.

  6. Inicia la aplicación para la que estás buscando los valores de nombre del editor y del producto.Start the app for which you're looking for the publisher and product name values.

  7. Copia el valor publisherCertificateName y pégalo en el cuadro Nombre del editor y el valor packageIdentityName en el cuadro Nombre del producto de Intune.Copy the publisherCertificateName value and paste it into the Publisher Name box and the packageIdentityName value into the Product Name box of Intune.

    Importante

    El archivo JSON también puede devolver un valor windowsPhoneLegacyId para ambos cuadros, Nombre del editor y Nombre del producto.The JSON file might also return a windowsPhoneLegacyId value for both the Publisher Name and Product Name boxes. Esto significa que tienes una aplicación que está usando un paquete XAP y que debes establecer el Nombre del producto en windowsPhoneLegacyId y el Nombre del editor en CN= seguido del windowsPhoneLegacyId.This means that you have an app that’s using a XAP package and that you must set the Product Name as windowsPhoneLegacyId, and set the Publisher Name as CN= followed by the windowsPhoneLegacyId.

    Por ejemplo:For example:
    {
    "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
    }

Agregar aplicaciones de escritorioAdd Desktop apps

Para agregar aplicaciones de escritorio, complete los siguientes campos, en función de los resultados que desea que se devuelvan.To add Desktop apps, complete the following fields, based on what results you want returned.

CampoField AdministraManages
Todos los campos marcados como "\*"All fields marked as “\*” Todos los archivos firmados por cualquier editor.All files signed by any publisher. (No se recomienda y es posible que no funcione)(Not recommended and may not work)
Solo editorPublisher only Si solo rellenas este campo, obtendrás todos los archivos firmados por el editor con nombre.If you only fill out this field, you’ll get all files signed by the named publisher.

Esto puede ser útil si tu empresa es el editor y el firmante de las aplicaciones de línea de negocio internas.This might be useful if your company is the publisher and signer of internal line-of-business apps.
Publisher and Name onlyPublisher and Name only Si solo rellenas estos campos, obtendrás todos los archivos para el producto especificado, firmados por el editor con nombre.If you only fill out these fields, you’ll get all files for the specified product, signed by the named publisher.
Publisher, Name, and File onlyPublisher, Name, and File only Si solo rellenas estos campos, obtendrás cualquier versión del paquete o archivo con nombre para el producto especificado, firmado por el editor con nombre.If you only fill out these fields, you’ll get any version of the named file or package for the specified product, signed by the named publisher.
Publisher, Name, File, and Min version onlyPublisher, Name, File, and Min version only Si solo rellenas estos campos, obtendrás la versión especificada o las versiones más recientes del paquete o del archivo con nombre para el producto especificado, firmado por el editor con nombre.If you only fill out these fields, you’ll get the specified version or newer releases of the named file or package for the specified product, signed by the named publisher.

Se recomienda esta opción para las aplicaciones habilitadas que no estaban habilitadas anteriormente.This option is recommended for enlightened apps that weren't previously enlightened.
Publisher, Name, File, and Max version onlyPublisher, Name, File, and Max version only Si solo rellenas estos campos, obtendrás la versión especificada o las versiones anteriores del paquete o del archivo con nombre para el producto especificado, firmado por el editor con nombre.If you only fill out these fields, you’ll get the specified version or older releases of the named file or package for the specified product, signed by the named publisher.
All fields completedAll fields completed Si rellenas todos los campos, obtendrás la versión especificada del paquete o archivo con nombre para el producto especificado, firmado por el editor con nombre.If you fill out all fields, you’ll get the specified version of the named file or package for the specified product, signed by the named publisher.

Para agregar otra aplicación de escritorio, haga clic en los puntos suspensivos ...To add another Desktop app, click the ellipsis . Una vez introducida la información en los campos, haga clic en Aceptar.After you’ve entered the info into the fields, click OK.

Consola de administración de Microsoft Intune: agregar información de aplicaciones de escritorio

Si no estás seguro de qué debes incluir para el editor, puedes ejecutar este comando de PowerShell:If you’re unsure about what to include for the publisher, you can run this PowerShell command:

Get-AppLockerFileInformation -Path "<path_of_the_exe>"

En el que "<path_of_the_exe>" va a la ubicación de la aplicación en el dispositivo.Where "<path_of_the_exe>" goes to the location of the app on the device. Por ejemplo:For example:

Get-AppLockerFileInformation -Path "C:\Program Files\Windows NT\Accessories\wordpad.exe"

En este ejemplo, obtendrías la información siguiente:In this example, you'd get the following info:

Path                   Publisher
----                   ---------
%PROGRAMFILES%\WINDOWS NT\ACCESSORIES\WORDPAD.EXE O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US

Donde O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US es el nombre del publicador y WORDPAD.EXE es el nombre de archivo .Where O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US is the Publisher name and WORDPAD.EXE is the File name.

Para obtener información sobre cómo obtener el nombre de producto de las aplicaciones que desea agregar, póngase en contacto con nuestro equipo de soporte técnico de Windows para solicitar las directricesRegarding to how to get the Product Name for the Apps you wish to Add, please reach out to our Windows Support Team to request the guidelines

Importar una lista de aplicacionesImport a list of apps

En esta sección se describen dos ejemplos de cómo usar un archivo XML de AppLocker en la lista de aplicaciones protegidas .This section covers two examples of using an AppLocker XML file to the Protected apps list. Debes usar esta opción si quieres agregar varias aplicaciones al mismo tiempo.You’ll use this option if you want to add multiple apps at the same time.

Para obtener más información sobre AppLocker, consulta el contenido de AppLocker.For more info about AppLocker, see the AppLocker content.

Crear una regla de aplicación empaquetada para las aplicaciones de la tiendaCreate a Packaged App rule for Store apps

  1. Abre el complemento Directiva de seguridad local (SecPol.msc).Open the Local Security Policy snap-in (SecPol.msc).

  2. En la hoja izquierda, expande Directivas de control de aplicaciones y AppLocker y, después, haz clic en Reglas de aplicaciones empaquetadas.In the left blade, expand Application Control Policies, expand AppLocker, and then click Packaged App Rules.

    Complemento de seguridad local, que muestra las reglas de aplicaciones empaquetadas

  3. Haz clic con el botón derecho en la hoja derecha y, después, haz clic en Crear nueva regla.Right-click in the right-hand blade, and then click Create New Rule.

    Se muestra el asistente Create Packaged app Rules.The Create Packaged app Rules wizard appears.

  4. En la página Antes de comenzar, haz clic en Siguiente.On the Before You Begin page, click Next.

    Asistente para creación de reglas de aplicaciones empaquetadas, que muestra la página Antes de comenzar

  5. En la página Permisos, asegúrate de que Acción esté establecido en Permitir y Usuario o grupo esté establecido en Todos. Después, haz clic en Siguiente.On the Permissions page, make sure the Action is set to Allow and the User or group is set to Everyone, and then click Next.

    Asistente para creación de reglas de aplicaciones empaquetadas, que muestra la página Antes de comenzar

  6. En la página Editor, haz clic en Seleccionar del área Usar una aplicación empaquetada instalada como referencia.On the Publisher page, click Select from the Use an installed packaged app as a reference area.

    Asistente para creación de reglas de aplicaciones empaquetadas, que muestra la página Editor

  7. En el cuadro Seleccionar aplicaciones, elige la aplicación que quieres usar como referencia para la regla y, después, haz clic en Aceptar.In the Select applications box, pick the app that you want to use as the reference for your rule, and then click OK. Para este ejemplo, usamos Microsoft Dynamics 365.For this example, we’re using Microsoft Dynamics 365.

    Asistente para creación de reglas de aplicaciones empaquetadas, que muestra la página Seleccionar aplicaciones

  8. En la página Editor actualizada, haz clic en Crear.On the updated Publisher page, click Create.

    Asistente para creación de reglas de aplicaciones empaquetadas, que muestra Microsoft Dynamics 365 en la página Editor

  9. Haz clic en No en el cuadro de diálogo que aparece en el que se pregunta si quieres crear las reglas predeterminadas.Click No in the dialog box that appears, asking if you want to create the default rules. No debes crear reglas predeterminadas para tu directiva de WIP.You must not create default rules for your WIP policy.

    Asistente para creación de reglas de aplicaciones empaquetadas, que muestra Microsoft Dynamics 365 en la página Editor

  10. Revisa el complemento Directiva de seguridad Local para asegurarte de que la regla sea correcta.Review the Local Security Policy snap-in to make sure your rule is correct.

    Complemento de seguridad local, que muestra la nueva regla

  11. En la hoja izquierda, haz clic con el botón derecho en AppLocker y, después, en Exportar directiva.In the left blade, right-click on AppLocker, and then click Export policy.

    Se abre el cuadro Exportar directiva, que permite exportar y guardar la nueva directiva como XML.The Export policy box opens, letting you export and save your new policy as XML.

    Complemento de seguridad local, que muestra la opción Exportar directiva

  12. En el cuadro Exportar directiva, ve a la ubicación donde debe guardarse la directiva, asigna un nombre a la directiva y, después, haz clic en Guardar.In the Export policy box, browse to where the policy should be stored, give the policy a name, and then click Save.

    La directiva se guarda y se muestra un mensaje que indica que se exportó una regla de la directiva.The policy is saved and you’ll see a message that says 1 rule was exported from the policy.

    Archivo XML de ejemploExample XML file
    Este es el archivo XML que AppLocker crea para Microsoft Dynamics 365.This is the XML file that AppLocker creates for Microsoft Dynamics 365.

    <?xml version="1.0"?>
    <AppLockerPolicy Version="1">
        <RuleCollection EnforcementMode="NotConfigured" Type="Appx">
            <FilePublisherRule Action="Allow" UserOrGroupSid="S-1-1-0" Description="" Name="Microsoft.MicrosoftDynamicsCRMforWindows10, version 3.2.0.0 and above, from Microsoft Corporation" Id="3da34ed9-aec6-4239-88ba-0afdce252ab4">
                <Conditions>
                    <FilePublisherCondition BinaryName="*" ProductName="Microsoft.MicrosoftDynamicsCRMforWindows10" PublisherName="CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US">
                        <BinaryVersionRange HighSection="*" LowSection="3.2.0.0"/>
                    </FilePublisherCondition>
                </Conditions>
            </FilePublisherRule>
        </RuleCollection>
        <RuleCollection EnforcementMode="NotConfigured" Type="Dll"/>
        <RuleCollection EnforcementMode="NotConfigured" Type="Exe"/>
        <RuleCollection EnforcementMode="NotConfigured" Type="Msi"/>
        <RuleCollection EnforcementMode="NotConfigured" Type="Script"/>
    </AppLockerPolicy>
    
  13. Después de crear el archivo XML, debes importarlo mediante Microsoft Intune.After you’ve created your XML file, you need to import it by using Microsoft Intune.

Crear una regla ejecutable para las aplicaciones sin firmarCreate an Executable rule for unsigned apps

La regla ejecutable ayuda a crear una regla de AppLocker para firmar las aplicaciones sin firmar.The executable rule helps to create an AppLocker rule to sign any unsigned apps. Permite agregar la ruta de acceso del archivo o el publicador de la aplicación contenido en la firma digital del archivo necesaria para que se aplique la Directiva de trabajo en curso.It enables adding the file path or the app publisher contained in the file's digital signature needed for the WIP policy to be applied.

  1. Abre el complemento Directiva de seguridad local (SecPol.msc).Open the Local Security Policy snap-in (SecPol.msc).

  2. En el panel izquierdo, haga clic en directivas de control de aplicación > reglas de ejecución deAppLocker > Executable Rules.In the left pane, click Application Control Policies > AppLocker > Executable Rules.

  3. Haga clic con el botón derecho en reglas ejecutablespara > crear una nueva regla.Right-click Executable Rules > Create New Rule.

    Complemento de seguridad local, que muestra las reglas ejecutables

  4. En la página Antes de comenzar, haz clic en Siguiente.On the Before You Begin page, click Next.

  5. En la página Permisos, asegúrate de que Acción esté establecido en Permitir y Usuario o grupo esté establecido en Todos. Después, haz clic en Siguiente.On the Permissions page, make sure the Action is set to Allow and the User or group is set to Everyone, and then click Next.

  6. En la página condiciones , haga clic en ruta y, a continuación, en siguiente.On the Conditions page, click Path and then click Next.

    Asistente para creación de reglas de aplicaciones empaquetadas, que muestra la página Editor

  7. Haga clic en examinar carpetas... y seleccione la ruta de acceso de las aplicaciones sin firmar.Click Browse Folders... and select the path for the unsigned apps. Para este ejemplo, usamos "C:\Archivos de programa".For this example, we’re using "C:\Program Files".

    Asistente para creación de reglas de aplicaciones empaquetadas, que muestra la página Seleccionar aplicaciones

  8. En la página excepciones , agregue las excepciones y, a continuación, haga clic en siguiente.On the Exceptions page, add any exceptions and then click Next.

  9. En la página nombre , escriba un nombre y una descripción para la regla y, a continuación, haga clic en crear.On the Name page, type a name and description for the rule and then click Create.

  10. En el panel izquierdo, haga clic con el botón derecho en Directiva de exportación de AppLocker > Export policy.In the left pane, right-click AppLocker > Export policy.

  11. En el cuadro Exportar directiva, ve a la ubicación donde debe guardarse la directiva, asigna un nombre a la directiva y, después, haz clic en Guardar.In the Export policy box, browse to where the policy should be stored, give the policy a name, and then click Save.

    La directiva se guarda y se muestra un mensaje que indica que se exportó una regla de la directiva.The policy is saved and you’ll see a message that says 1 rule was exported from the policy.

  12. Después de crear el archivo XML, debes importarlo mediante Microsoft Intune.After you’ve created your XML file, you need to import it by using Microsoft Intune.

Para importar una lista de aplicaciones protegidas con Microsoft IntuneTo import a list of protected apps using Microsoft Intune

  1. En aplicaciones protegidas, haga clic en importar aplicaciones.In Protected apps, click Import apps.

    Importar aplicaciones protegidas

    A continuación, importe el archivo.Then import your file.

    Microsoft Intune, importar el archivo de directiva de AppLocker mediante Microsoft Intune

  2. Busca el archivo de directiva de AppLocker exportado y, a continuación, haz clic en Abrir.Browse to your exported AppLocker policy file, and then click Open.

    Las importaciones de archivos y las aplicaciones se agregan a la lista de aplicaciones protegidas .The file imports and the apps are added to your Protected apps list.

Excluir aplicaciones de una directiva de trabajo en cursoExempt apps from a WIP policy

Si la aplicación no es compatible con el trabajo en curso, pero debe usarse con los datos de la empresa, puede eximir la aplicación de las restricciones del trabajo en curso.If your app is incompatible with WIP, but still needs to be used with enterprise data, you can exempt the app from the WIP restrictions. Esto significa que las aplicaciones no incluirán cifrado automático ni etiquetado, y que no respetarán las restricciones de la red.This means that your apps won't include auto-encryption or tagging and won't honor your network restrictions. Esto también significa que las aplicaciones exentas podrían sufrir fugas.It also means that your exempted apps might leak.

  1. En aplicaciones cliente: directivas de protección de aplicaciones, haga clic en excluir aplicaciones.In Client apps - App protection policies, click Exempt apps.

    Excluir aplicaciones

  2. En aplicaciones exentas, haga clic en agregar aplicaciones.In Exempt apps, click Add apps.

    Ten en cuenta que al excluir aplicaciones, estas podrán omitir las restricciones de WIP y acceder a tus datos corporativos.Be aware that when you exempt apps, they’re allowed to bypass the WIP restrictions and access your corporate data.

  3. Rellena el resto de información de la aplicación, según el tipo de aplicación que estés agregando:Fill out the rest of the app info, based on the type of app you’re adding:

  4. Haz clic en Aceptar.Click OK.

Administrar el modo de protección de WIP de los datos empresarialesManage the WIP protection mode for your enterprise data

Después de agregar las aplicaciones que quieres proteger con WIP, deberás aplicar un modo de administración y protección.After you've added the apps you want to protect with WIP, you'll need to apply a management and protection mode.

Se recomienda comenzar con Silencio o Permitir invalidaciones al comprobar con un grupo reducido que tienes las aplicaciones correctas en la lista de aplicaciones protegidas.We recommend that you start with Silent or Allow Overrides while verifying with a small group that you have the right apps on your protected apps list. Una vez que haya terminado, puede cambiar a la Directiva de aplicación final, bloquear.After you're done, you can change to your final enforcement policy, Block.

  1. Desde la hoja Directiva de protección de aplicaciones , haga clic en el nombre de la Directiva y, a continuación, haga clic en Configuración requerida.From the App protection policy blade, click the name of your policy, and then click Required settings.

    Microsoft Intune, hoja Valores obligatorios con el modo Windows Information Protection

    ModoMode DescripciónDescription
    BloquearBlock WIP busca prácticas de uso compartido inapropiado de datos e impide que el empleado complete la acción.WIP looks for inappropriate data sharing practices and stops the employee from completing the action. Esto puede incluir compartir información entre aplicaciones no protegidas por la empresa, además de compartir datos de la empresa con otros contactos y dispositivos fuera de la empresa.This can include sharing info across non-enterprise-protected apps in addition to sharing enterprise data between other people and devices outside of your enterprise.
    Permitir invalidacionesAllow Overrides WIP busca usos compartidos inapropiados de datos y advierte a los empleados si realizan acciones potencialmente no seguras.WIP looks for inappropriate data sharing, warning employees if they do something deemed potentially unsafe. Sin embargo, este modo de administración permite a los empleados invalidar la directiva y compartir los datos, registrando la acción en el registro de auditoría.However, this management mode lets the employee override the policy and share the data, logging the action to your audit log. Para obtener información sobre cómo recopilar los archivos de registro de auditoría, consulta Cómo recopilar registros de eventos de auditoría de Windows Information Protection (WIP).For info about how to collect your audit log files, see How to collect Windows Information Protection (WIP) audit event logs.
    SilencioSilent WIP se ejecuta en modo silencioso y registra el uso compartido inapropiado de datos, pero no bloquea ninguna advertencia causada por la interacción de los empleados que se hubiera realizado durante el modo Permitir invalidaciones.WIP runs silently, logging inappropriate data sharing, without blocking anything that would’ve been prompted for employee interaction while in Allow Override mode. Las acciones no autorizadas siguen detenidas, como, por ejemplo, el intento de acceso inapropiado de aplicaciones a un recurso de red o datos protegidos por WIP.Unallowed actions, like apps inappropriately trying to access a network resource or WIP-protected data, are still stopped.
    Desactivado (no se recomienda)Off (not recommended) WIP está desactivo y no ayuda a proteger ni auditar los datos.WIP is turned off and doesn't help to protect or audit your data.

    Tras desactivar WIP, se intentan descifrar los archivos etiquetados de WIP en las unidades conectadas localmente.After you turn off WIP, an attempt is made to decrypt any WIP-tagged files on the locally attached drives. Ten en cuenta que la información de directiva y descifrado anterior no se vuelve a aplicar automáticamente si vuelves a activar la protección WIP.Be aware that your previous decryption and policy info isn’t automatically reapplied if you turn WIP protection back on.
  2. Haz clic en Guardar.Click Save.

Definir la identidad corporativa administrada por la empresaDefine your enterprise-managed corporate identity

La identidad corporativa, que normalmente se expresa como el dominio principal de Internet (por ejemplo, contoso.com), ayuda a identificar y etiquetar los datos corporativos de aplicaciones que se han marcado como protegidos por WIP.Corporate identity, usually expressed as your primary Internet domain (for example, contoso.com), helps to identify and tag your corporate data from apps you’ve marked as protected by WIP. Por ejemplo, los correos electrónicos que usan contoso.com se identifican como corporativos y están restringidos por las directivas de Windows Information Protection.For example, emails using contoso.com are identified as being corporate and are restricted by your Windows Information Protection policies.

A partir de Windows 10, versión 1703, Intune determina automáticamente tu identidad corporativa y la agrega al campo Identidad corporativa.Starting with Windows 10, version 1703, Intune automatically determines your corporate identity and adds it to the Corporate identity field.

Para cambiar la identidad corporativaTo change your corporate identity

  1. En la hoja Directiva de aplicaciones , haga clic en el nombre de la Directiva y, a continuación, haga clic en Configuración requerida.From the App policy blade, click the name of your policy, and then click Required settings.

  2. Si la identidad definida automáticamente no es correcta, puedes cambiar la información en el campo Identidad corporativa.If the auto-defined identity isn’t correct, you can change the info in the Corporate identity field.

    Microsoft Intune, establecer tu identidad corporativa para la organización

  3. Para agregar dominios, como los nombres de dominio de su correo electrónico, haga clic en configurar configuración avanzada > Agregar límite de red y seleccionar dominios protegidos.To add domains, such your email domain names, click Configure Advanced settings > Add network boundary and select Protected domains.

    Agregar dominios protegidos

Elegir cuándo las aplicaciones pueden obtener acceso a los datos empresarialesChoose where apps can access enterprise data

Una vez que hayas agregado un modo de protección a las aplicaciones, deberás decidir el lugar de la red donde estas aplicaciones pueden acceder a los datos empresariales.After you've added a protection mode to your apps, you'll need to decide where those apps can access enterprise data on your network. Cada directiva de trabajo en curso debe incluir las ubicaciones de red de la empresa.Every WIP policy should include your enterprise network locations.

No existen ubicaciones predeterminadas incluidas con WIP, debes agregar cada una de las ubicaciones de red.There are no default locations included with WIP, you must add each of your network locations. Esta área se aplica a cualquier dispositivo de extremo de red que obtiene una dirección IP del intervalo de la empresa y también está enlazada a uno de los dominios de empresa, incluidos los recursos compartidos SMB.This area applies to any network endpoint device that gets an IP address in your enterprise’s range and is also bound to one of your enterprise domains, including SMB shares. Las ubicaciones del sistema de archivos local solo deberían mantener el cifrado (por ejemplo, en FAT, ExFAT y NTFS local).Local file system locations should just maintain encryption (for example, on local NTFS, FAT, ExFAT).

Para definir los límites de la red, haga clic en Directiva de aplicación > el nombre de la Directiva > Configuración avanzada > Agregar límite de red.To define the network boundaries, click App policy > the name of your policy > Advanced settings > Add network boundary.

Microsoft Intune, establecer dónde pueden acceder las aplicaciones a datos empresariales en la red

Selecciona el tipo de límite de red que se agregará en el cuadro Tipo de límite.Select the type of network boundary to add from the Boundary type box. Escriba un nombre para el límite en el cuadro nombre , agregue los valores al cuadro valor en función de las opciones que se tratan en las subsecciones siguientes y, a continuación, haga clic en Aceptar.Type a name for your boundary into the Name box, add your values to the Value box, based on the options covered in the following subsections, and then click OK.

Recursos de nubeCloud resources

Especifica los recursos de nube que deben tratarse como corporativos y protegidos por WIP.Specify the cloud resources to be treated as corporate and protected by WIP. Para cada recurso de nube, también puedes especificar un servidor proxy desde la lista de servidores proxy internos que redirija el tráfico para este recurso de nube.For each cloud resource, you may also optionally specify a proxy server from your Internal proxy servers list to route traffic for this cloud resource. Ten en cuenta que todo el tráfico que se enruta a través de los servidores proxy internos se considera de empresa.Be aware that all traffic routed through your Internal proxy servers is considered enterprise.

Separe varios recursos con el delimitador "|".Separate multiple resources with the "|" delimiter. Si no usas servidores proxy, también debes incluir el delimitador "," justo antes del carácter "|".If you don’t use proxy servers, you must also include the "," delimiter just before the "|". Por ejemplo:For example:

URL <,proxy>|URL <,proxy>

Las aplicaciones personales podrán acceder a un recurso en la nube que tiene un espacio en blanco o un carácter no válido, como un punto final en la dirección URL.Personal applications will be able to access a cloud resource that has a blank space or an invalid character, such as a trailing dot in the URL.

Para agregar un subdominio para un recurso de la nube, use un punto (.) en lugar de un asterisco (*).To add a subdomain for a cloud resource, use a period (.) instead of an asterisk (*). Por ejemplo, para agregar todos los subdominios dentro de Office.com, use ". office.com" (sin las comillas).For example, to add all subdomains within Office.com, use ".office.com" (without the quotation marks).

En algunos casos, como cuando una app se conecta directamente a un recurso de nube mediante una dirección IP, Windows no puede saber si está intentando conectarse a un recurso de nube de empresa o a un sitio personal.In some cases, such as when an app connects directly to a cloud resource through an IP address, Windows can’t tell whether it’s attempting to connect to an enterprise cloud resource or to a personal site. En este caso, Windows bloquea la conexión de forma predeterminada.In this case, Windows blocks the connection by default. Para impedir que Windows bloquee estas conexiones automáticamente, puedes agregar la cadena /*AppCompat*/ a la configuración.To stop Windows from automatically blocking these connections, you can add the /*AppCompat*/ string to the setting. Por ejemplo:For example:

URL <,proxy>|URL <,proxy>/*AppCompat*/

Cuando use esta cadena, le recomendamos que también Active el acceso condicional de Azure Active Directory, con la opción de dominio Unido o marcado como compatible , que impide que las aplicaciones tengan acceso a los recursos de nube de empresa que están protegidos por el acceso condicional.When you use this string, we recommend that you also turn on Azure Active Directory Conditional Access, using the Domain joined or marked as compliant option, which blocks apps from accessing any enterprise cloud resources that are protected by conditional access.

Formato de valor con proxy:Value format with proxy:

contoso.sharepoint.com,contoso.internalproxy1.com|contoso.visualstudio.com,contoso.internalproxy2.com

Formato de valor sin proxy:Value format without proxy:

contoso.sharepoint.com,|contoso.visualstudio.com,|contoso.onedrive.com,

Dominios protegidosProtected domains

Especifique los dominios usados para las identidades de su entorno.Specify the domains used for identities in your environment. Se protegerá todo el tráfico de los dominios completos que aparezcan en esta lista.All traffic to the fully-qualified domains appearing in this list will be protected. Separe varios dominios con el delimitador "|".Separate multiple domains with the "|" delimiter.

exchange.contoso.com|contoso.com|region.contoso.com

Dominios de redNetwork domains

Especifica los sufijos DNS que se usan en el entorno.Specify the DNS suffixes used in your environment. Se protegerá todo el tráfico de los dominios completos que aparezcan en esta lista.All traffic to the fully-qualified domains appearing in this list will be protected. Separe varios recursos con el delimitador ",".Separate multiple resources with the "," delimiter.

corp.contoso.com,region.contoso.com

Servidores proxyProxy servers

Especifica los servidores proxy por los que pasarán los dispositivos para llegar a tus recursos de nube.Specify the proxy servers your devices will go through to reach your cloud resources. El uso de este tipo de servidor indica que los recursos de nube a los que te estás conectando son recursos de empresa.Using this server type indicates that the cloud resources you’re connecting to are enterprise resources.

Esta lista no debe incluir ninguno de los servidores que se muestran en tu lista de servidores proxy internos.This list shouldn’t include any servers listed in your Internal proxy servers list. Los servidores proxy internos deben usarse solo para el tráfico protegido con WIP (empresarial).Internal proxy servers must be used only for WIP-protected (enterprise) traffic. Separar varios recursos con el delimitador ";".Separate multiple resources with the ";" delimiter.

proxy.contoso.com:80;proxy2.contoso.com:443

Servidores proxy internosInternal proxy servers

Especifica los servidores proxy internos por los que pasarán los dispositivos para llegar a tus recursos de nube.Specify the internal proxy servers your devices will go through to reach your cloud resources. El uso de este tipo de servidor indica que los recursos de nube a los que te estás conectando son recursos de empresa.Using this server type indicates that the cloud resources you’re connecting to are enterprise resources.

Esta lista no debe incluir ninguno de los servidores que se muestra en tu lista de servidores proxy.This list shouldn’t include any servers listed in your Proxy servers list. Los servidores proxy deben usarse solo para el tráfico no protegido con WIP (no empresarial).Proxy servers must be used only for non-WIP-protected (non-enterprise) traffic. Separar varios recursos con el delimitador ";".Separate multiple resources with the ";" delimiter.

contoso.internalproxy1.com;contoso.internalproxy2.com

Intervalos IPv4IPv4 ranges

A partir de Windows 10, versión 1703, este campo es opcional.Starting with Windows 10, version 1703, this field is optional.

Especifica las direcciones de un intervalo de valores IPv4 válido dentro de la intranet.Specify the addresses for a valid IPv4 value range within your intranet. Estas direcciones, que se usan con los Nombres de dominio de red, definen los límites de tu red corporativa.These addresses, used with your Network domain names, define your corporate network boundaries. No se admite la notación de enrutamiento de Inter-Domain de clases (CIDR).Classless Inter-Domain Routing (CIDR) notation isn’t supported.

Separe varios rangos con el delimitador ",".Separate multiple ranges with the "," delimiter.

Dirección IPv4 de Inicio: 3.4.0.1 dirección IPv4 de finalización: 3.4.255.254 URI personalizado: 3.4.0.1-3.4.255.254,Starting IPv4 Address: 3.4.0.1 Ending IPv4 Address: 3.4.255.254 Custom URI: 3.4.0.1-3.4.255.254,
10.0.0.1-10.255.255.25410.0.0.1-10.255.255.254

Intervalos IPv6IPv6 ranges

A partir de Windows 10, versión 1703, este campo es opcional.Starting with Windows 10, version 1703, this field is optional.

Especifica las direcciones de un intervalo de valores IPv6 válido dentro de la intranet.Specify the addresses for a valid IPv6 value range within your intranet. Estas direcciones, que se usan con los nombres de dominio de red, definen los límites de la red corporativa.These addresses, used with your network domain names, define your corporate network boundaries. No se admite la notación de enrutamiento de Inter-Domain de clases (CIDR).Classless Inter-Domain Routing (CIDR) notation isn’t supported.

Separe varios rangos con el delimitador ",".Separate multiple ranges with the "," delimiter.

Dirección IPv6 de Inicio: 2a01:110:: finalización de la dirección IPv6: 2a01:110:7fff: ffff: ffff: ffff: ffff : ffff: su2a01: 110:7fff: ffff: ffff: ffff: ffff: ffff,Starting IPv6 Address: 2a01:110:: Ending IPv6 Address: 2a01:110:7fff:ffff:ffff:ffff:ffff:ffff Custom URI: 2a01:110:7fff:ffff:ffff:ffff:ffff:ffff,
fd00::-fdff:ffff:ffff:ffff:ffff:ffff:ffff:fffffd00::-fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

Recursos neutrosNeutral resources

Especifica los extremos de redirección de autenticación de tu empresa.Specify your authentication redirection endpoints for your company. Estas ubicaciones se consideran empresariales o personales en función del contexto de la conexión antes de la redirección.These locations are considered enterprise or personal, based on the context of the connection before the redirection. Separe varios recursos con el delimitador ",".Separate multiple resources with the "," delimiter.

sts.contoso.com,sts.contoso2.com

Decida si quiere que Windows busque otras opciones de configuración de red:Decide if you want Windows to look for additional network settings:

  • La lista Servidores proxy de la empresa es autoritativa (no usar detección automática).Enterprise Proxy Servers list is authoritative (do not auto-detect). Active esta opción si desea que Windows trate los servidores proxy que especificó en la definición de límite de red como la lista completa de servidores proxy disponibles en la red.Turn on if you want Windows to treat the proxy servers you specified in the network boundary definition as the complete list of proxy servers available on your network. Si desactiva esta opción, Windows buscará servidores proxy adicionales en su red inmediata.If you turn this off, Windows will search for additional proxy servers in your immediate network.

  • La lista Intervalos IP de la empresa es autoritativa (no usar detección automática).Enterprise IP Ranges list is authoritative (do not auto-detect). Active esta opción si desea que Windows trate los intervalos IP que especificó en la definición de límite de red como la lista completa de intervalos IP disponibles en la red.Turn on if you want Windows to treat the IP ranges you specified in the network boundary definition as the complete list of IP ranges available on your network. Si desactiva esta opción, Windows buscará intervalos IP adicionales en cualquier dispositivo unido a un dominio conectado a su red.If you turn this off, Windows will search for additional IP ranges on any domain-joined devices connected to your network.

Microsoft Intune, elegir si Windows debe buscar servidores proxy adicionales o intervalos IP en la empresa

Cargar tu certificado del Agente de recuperación de datos (DRA)Upload your Data Recovery Agent (DRA) certificate

Después de crear e implementar la directiva de WIP para los empleados, Windows comienza a cifrar los datos corporativos en la unidad del dispositivo local de los empleados.After you create and deploy your WIP policy to your employees, Windows begins to encrypt your corporate data on the employees’ local device drive. Si las claves de cifrado local de los empleados se pierden o revocan de algún modo, los datos cifrados podrían ser irrecuperables.If somehow the employees’ local encryption keys get lost or revoked, the encrypted data can become unrecoverable. Para evitar esta posibilidad, el certificado Agente de recuperación de datos (DRA) permite que Windows use una clave pública incluida para cifrar los datos locales mientras mantienes la clave privada que puede descifrar los datos.To help avoid this possibility, the Data Recovery Agent (DRA) certificate lets Windows use an included public key to encrypt the local data while you maintain the private key that can unencrypt the data.

Importante

El uso de un certificado DRA no es obligatorio.Using a DRA certificate isn’t mandatory. Sin embargo, es muy recomendable.However, we strongly recommend it. Para obtener más información sobre cómo buscar y exportar el certificado de recuperación de datos, consulta el tema Data Recovery and Encrypting File System (EFS) [Recuperación de datos y Sistema de cifrado de archivos (EFS)].For more info about how to find and export your data recovery certificate, see the Data Recovery and Encrypting File System (EFS) topic. Para obtener más información sobre cómo crear y comprobar el certificado DRA de EFS, consulta el tema Crear y comprobar un certificado del Agente de recuperación de datos (DRA) del Sistema de cifrado de archivos (EFS).For more info about creating and verifying your EFS DRA certificate, see the Create and verify an Encrypting File System (EFS) Data Recovery Agent (DRA) certificate topic.

Cargar su certificado DRATo upload your DRA certificate

  1. En la hoja Directiva de aplicaciones, haz clic en el nombre de la directiva y, a continuación, haz clic en Configuración avanzada en el menú que aparece.From the App policy blade, click the name of your policy, and then click Advanced settings from the menu that appears.

    Aparecerá la hoja Configuración avanzada.The Advanced settings blade appears.

  2. En el cuadro Cargue un certificado del Agente de recuperación de datos (DRA) para poder recuperar los datos cifrados, haz clic en Examinar para agregar un certificado de recuperación de datos para la directiva.In the Upload a Data Recovery Agent (DRA) certificate to allow recovery of encrypted data box, click Browse to add a data recovery certificate for your policy.

    Microsoft Intune, cargar el certificado del Agente de recuperación de datos (DRA)

Una vez que haya decidido dónde pueden acceder sus aplicaciones protegidas a datos empresariales de su red, puede elegir la configuración opcional.After you've decided where your protected apps can access enterprise data on your network, you can choose optional settings.

Configuración opcional avanzada

Impide el acceso a datos corporativos por parte de aplicaciones cuando el dispositivo esté bloqueado.Prevent corporate data from being accessed by apps when the device is locked. Solo se aplica a Windows 10 Mobile.Applies only to Windows 10 Mobile. Determina si se deben cifrar los datos empresariales con una clave protegida por el código PIN de un empleado en un dispositivo bloqueado.Determines whether to encrypt enterprise data using a key that's protected by an employee's PIN code on a locked device. Las aplicaciones no podrán leer datos corporativos si el dispositivo está bloqueado.Apps won't be able to read corporate data when the device is locked. Las opciones son:The options are:

  • Activado.On. Activa la característica y proporciona protección adicional.Turns on the feature and provides the additional protection.

  • Desactivado o no configurado.Off, or not configured. No habilita esta característica.Doesn't enable this feature.

Revocar claves de cifrado al anular la inscripción.Revoke encryption keys on unenroll. Determina si se deben revocar las claves de cifrado local de un usuario de un dispositivo al anular la inscripción de dicho dispositivo a Windows Information Protection.Determines whether to revoke a user’s local encryption keys from a device when it’s unenrolled from Windows Information Protection. En la hoja Directiva de aplicaciones, haz clic en el nombre de la directiva y, a continuación, haz clic en Configuración avanzada en el menú que aparece.Si se revocan las claves de cifrado, un usuario ya no podrá acceder a datos corporativos cifrados.If the encryption keys are revoked, a user no longer has access to encrypted corporate data. Las opciones son:The options are:

  • Activado o No configurado (recomendada).On, or not configured (recommended). Revoca las claves de cifrado local de un dispositivo durante la anulación de la inscripción.Revokes local encryption keys from a device during unenrollment.

  • Desactivado.Off. Las claves de cifrado local de un dispositivo dejan de revocarse durante la anulación de la inscripción.Stop local encryption keys from being revoked from a device during unenrollment. Por ejemplo, si realizas la migración entre soluciones de administración de dispositivos móviles (MDM).For example if you’re migrating between Mobile Device Management (MDM) solutions.

Mostrar el icono de protección de datos empresariales.Show the enterprise data protection icon. Determina si aparece la superposición de iconos de Windows Information Protection en archivos corporativos en las vistas Guardar como y Explorador de archivos.Determines whether the Windows Information Protection icon overlay appears on corporate files in the Save As and File Explorer views. Las opciones son:The options are:

  • Activar.On. Permite que la superposición de iconos de Windows Information Protection aparezca en archivos corporativos en las vistas Guardar como y Explorador de archivos.Allows the Windows Information Protection icon overlay to appear on corporate files in the Save As and File Explorer views. Además, en el caso de aplicaciones protegidas no habilitadas, la superposición de iconos también aparece en el mosaico de la aplicación y con el texto administrado en el nombre de la aplicación en el menú Inicio .Additionally, for unenlightened but protected apps, the icon overlay also appears on the app tile and with Managed text on the app name in the Start menu.

  • Desactivado o No configurado (recomendada).Off, or not configured (recommended). Detiene la superposición del icono de protección de la información de Windows en archivos corporativos o no habilitados, pero en aplicaciones protegidas.Stops the Windows Information Protection icon overlay from appearing on corporate files or unenlightened, but protected apps. La opción predeterminada es No configurado.Not configured is the default option.

Usa Azure RMS para WIP.Use Azure RMS for WIP. Determina si el trabajo en curso usa Microsoft Azure Rights Management para aplicar el cifrado EFS a los archivos que se copian de Windows 10 a USB o a otras unidades extraíbles, de modo que puedan ser compartidos de forma segura por los empleados.Determines whether WIP uses Microsoft Azure Rights Management to apply EFS encryption to files that are copied from Windows 10 to USB or other removable drives so they can be securely shared amongst employees. En otras palabras, WIP usa la "maquinaria" de Azure Rights Management para aplicar el cifrado de EFS a los archivos cuando se copian en unidades extraíbles.In other words, WIP uses Azure Rights Management "machinery" to apply EFS encryption to files when they are copied to removable drives. Debe tener configurada la administración de derechos de Azure.You must already have Azure Rights Management set up. La clave de cifrado de archivos EFS está protegida por la licencia de la plantilla RMS.The EFS file encryption key is protected by the RMS template’s license. Solo los usuarios con permisos para esa plantilla podrán leerla desde la unidad extraíble.Only users with permission to that template will be able to read it from the removable drive. El trabajo en curso también se puede integrar con Azure RMS con la configuración de AllowAzureRMSForEDP y RMSTEMPLATEIDFOREDP MDM del CSP de EnterpriseDataProtection.WIP can also integrate with Azure RMS by using the AllowAzureRMSForEDP and the RMSTemplateIDForEDP MDM settings in the EnterpriseDataProtection CSP.

  • Activado.On. Protege los archivos que se copian en una unidad extraíble.Protects files that are copied to a removable drive. Puede escribir un GUID de TemplateID para especificar quién puede acceder a los archivos protegidos de Azure Rights Management y durante cuánto tiempo.You can enter a TemplateID GUID to specify who can access the Azure Rights Management protected files, and for how long. La plantilla RMS solo se aplica a los archivos en medios extraíbles y solo se usa para el control de acceso: en realidad, no aplica Azure Information Protection a los archivos.The RMS template is only applied to the files on removable media, and is only used for access control—it doesn’t actually apply Azure Information Protection to the files.

    Si no especifica una plantilla RMS, se trata de un archivo EFS normal que usa una plantilla RMS predeterminada a la que todos los usuarios pueden tener acceso.If you don’t specify an RMS template, it’s a regular EFS file using a default RMS template that all users can access.

  • Desactivado o no configurado.Off, or not configured. Impide que WIP Cifre los archivos de Azure Rights Management que se copian en una unidad extraíble.Stops WIP from encrypting Azure Rights Management files that are copied to a removable drive.

    Nota

    Independientemente de esta configuración, todos los archivos de OneDrive para la empresa se cifrarán, incluidas las carpetas conocidas.Regardless of this setting, all files in OneDrive for Business will be encrypted, including moved Known Folders.

Permite que el indizador de Windows Search busque archivos cifrados.Allow Windows Search Indexer to search encrypted files. Determina si se permite al indizador de Windows Search indizar elementos cifrados, como archivos protegidos con el trabajo en curso.Determines whether to allow the Windows Search Indexer to index items that are encrypted, such as WIP protected files.

  • Activado.On. Inicia el indizador de Windows Search para indizar archivos cifrados.Starts Windows Search Indexer to index encrypted files.

  • Desactivado o no configurado.Off, or not configured. Detiene el indizador de Windows Search de la indización de archivos cifrados.Stops Windows Search Indexer from indexing encrypted files.

Extensiones de archivos cifradosEncrypted file extensions

Puede restringir qué archivos están protegidos por el trabajo en curso cuando se descargan desde un recurso compartido de SMB dentro de las ubicaciones de la red empresarial.You can restrict which files are protected by WIP when they are downloaded from an SMB share within your enterprise network locations. Si esta configuración está configurada, solo se cifrarán los archivos con las extensiones de la lista.If this setting is configured, only files with the extensions in the list will be encrypted. Si no se especifica esta configuración, se aplicará el comportamiento de cifrado automático existente.If this setting is not specified, the existing auto-encryption behavior is applied.

Extensiones de archivo cifrado WIP

Temas relacionadosRelated topics

Nota

Para ayudarnos a mejorar este tema, proporciónanos ediciones, adiciones y comentarios.Help to make this topic better by providing us with edits, additions, and feedback. Para obtener más información sobre cómo contribuir a este tema, consulte editar la documentación de Windows IT Professional.For info about how to contribute to this topic, see Editing Windows IT professional documentation.