Crear una directiva de Windows Information Protection en Microsoft Intune

Nota

A partir de julio de 2022, Microsoft está desusando Windows Information Protection (WIP). Microsoft seguirá admitiendo WIP en las versiones compatibles de Windows. Las nuevas versiones de Windows no incluirán nuevas funcionalidades para WIP y no se admitirán en versiones futuras de Windows. Para obtener más información, vea Anuncio de la puesta del sol de Windows Information Protection.

Para sus necesidades de protección de datos, Microsoft recomienda usar Microsoft Purview Information Protection y Prevención de pérdida de datos de Microsoft Purview. Purview simplifica la configuración y proporciona un conjunto avanzado de funcionalidades.

Se aplica a:

• Windows 10
• Windows 11

Microsoft Intune tiene una manera sencilla de crear e implementar una directiva de Windows Information Protection (WIP). Puede elegir qué aplicaciones proteger, el nivel de protección y cómo buscar datos empresariales en la red. Los dispositivos se pueden administrar completamente mediante Mobile Administración de dispositivos (MDM) o mediante Mobile Application Management (MAM), donde Intune solo administra las aplicaciones en el dispositivo personal de un usuario.

Diferencias entre MDM y MAM para WIP

Puede crear una directiva de protección de aplicaciones en Intune con la inscripción de dispositivos para MDM o sin la inscripción de dispositivos para MAM. El proceso para crear cualquiera de las directivas es similar, pero hay diferencias importantes:

• MAM tiene más configuración de acceso para Windows Hello para empresas.
• MAM puede borrar selectivamente los datos de la empresa del dispositivo personal de un usuario.
• MAM requiere una licencia Microsoft Entra ID P1 o P2.
• También se requiere una licencia Microsoft Entra ID P1 o P2 para la recuperación automática de WIP, donde un dispositivo puede volver a inscribirse y recuperar el acceso a los datos protegidos. La recuperación automática de WIP depende de Microsoft Entra registro para realizar una copia de seguridad de las claves de cifrado, lo que requiere la inscripción automática del dispositivo con MDM.
• MAM solo admite un usuario por dispositivo.
• MAM solo puede administrar aplicaciones habilitadas.
• Solo MDM puede usar directivas de CSP de BitLocker .
• Si el mismo usuario y dispositivo están destinados a MDM y MAM, la directiva MDM se aplicará a los dispositivos unidos a Microsoft Entra ID. En el caso de los dispositivos personales unidos al área de trabajo (es decir, que se agregan mediante Configuración>Email & cuentas>Agregar una cuenta profesional o educativa), se prefiere la directiva solo MAM, pero es posible actualizar la administración de dispositivos a MDM en Configuración. Windows Home edition solo admite WIP solo para MAM; La actualización a la directiva MDM en home edition revocará el acceso a datos protegidos por WIP.

Requisitos previos

Para poder crear una directiva WIP mediante Intune, debe configurar un proveedor de MDM o MAM en Microsoft Entra ID. MAM requiere una licencia Microsoft Entra ID P1 o P2. También se requiere una licencia Microsoft Entra ID P1 o P2 para la recuperación automática de WIP, donde un dispositivo puede volver a inscribirse y recuperar el acceso a los datos protegidos. La recuperación automática de WIP se basa en Microsoft Entra registro para realizar una copia de seguridad de las claves de cifrado, lo que requiere la inscripción automática del dispositivo con MDM.

Configuración del proveedor de MDM o MAM

1. Inicie sesión en el Azure Portal.

2. Seleccione Microsoft Entra ID>Mobility (MDM y MAM)>Microsoft Intune.

3. Seleccione Restaurar direcciones URL predeterminadas o escriba la configuración del ámbito de usuario MDM o MAM y seleccione Guardar:

   

Creación de una directiva wip

1. Inicie sesión en el centro de administración de Microsoft Intune.

2. Abra Microsoft Intune y seleccione Aplicaciones>Protección de aplicaciones directivas>Crear directiva.

   

3. En la pantalla Directiva de aplicación, seleccione Agregar una directiva y rellene los campos:

   • Nombre. Escriba un nombre (obligatorio) para tu nueva directiva.

   • Descripción. Escribe una descripción opcional.

   • Plataforma. Elija Windows 10.

   • Estado de inscripción. Elija Sin inscripción para MAM o Con inscripción para MDM.

   

4. Seleccione Aplicaciones protegidas y, después, Agregar aplicaciones.

   

   Puede agregar estos tipos de aplicaciones:

   • Aplicaciones recomendadas
   • Tienda de aplicaciones
   • Aplicaciones de escritorio

Nota

Una aplicación podría devolver errores de acceso denegado después de quitarlo de la lista de aplicaciones protegidas. En lugar de quitarla de la lista, desinstale y vuelva a instalar la aplicación o eximirla de la directiva WIP.

Incorporación de aplicaciones recomendadas

Seleccione Aplicaciones recomendadas y seleccione cada aplicación a la que quiera acceder a los datos de la empresa o selecciónelas todas y seleccione Aceptar.

Agregar aplicaciones de la Tienda

Seleccione Aplicaciones de la Tienda, escriba el nombre y el publicador del producto de la aplicación y seleccione Aceptar. Por ejemplo, para agregar la aplicación Power BI Mobile desde la Tienda, escriba lo siguiente:

• Nombre: Microsoft Power BI
• Publicador: CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
• Nombre del producto: Microsoft.MicrosoftPowerBIForWindows

Para agregar varias aplicaciones de la Tienda, seleccione los puntos suspensivos ….

Si no conoce el publicador de aplicaciones de la Tienda o el nombre del producto, puede encontrarlos siguiendo estos pasos.

1. Ve al sitio web de Microsoft Store para Empresas y busca la aplicación. Por ejemplo, Power BI Mobile Aplicación.

2. Copia el valor de identificador de la dirección URL de la aplicación. Por ejemplo, la dirección URL del identificador de aplicación de Power BI Mobile es https://www.microsoft.com/store/p/microsoft-power-bi/9nblgggzlxn1y copiaría el valor del identificador, 9nblgggzlxn1.

3. En un explorador, ejecuta la API web del portal de Store para empresas para devolver un archivo de notación de objetos JavaScript (JSON) que incluya los valores de nombre del editor y del producto. Por ejemplo, ejecute https://bspmts.mp.microsoft.com/v1/public/catalog/Retail/Products/9nblgggzlxn1/applockerdata, donde 9nblgggzlxn1 se reemplaza por el valor de identificador.

   La API se ejecuta y abre un editor de texto con los detalles de la aplicación.

    {
    	"packageIdentityName": "Microsoft.MicrosoftPowerBIForWindows",
    	"publisherCertificateName": "CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US"
    }
   

4. Copia el valor publisherCertificateName en el cuadro Editor y el valor packageIdentityName en el cuadro Nombre de Intune.

   Importante

   El archivo JSON también puede devolver un valor windowsPhoneLegacyId para ambos cuadros, Nombre del editor y Nombre del producto. Esto significa que tiene una aplicación que usa un paquete XAP y que debe establecer el nombre del producto como windowsPhoneLegacyIdy establecer el nombre del publicador como CN= seguido de .windowsPhoneLegacyId

   Por ejemplo:

   {
       "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
   }
   

Agregar aplicaciones de escritorio

Para agregar aplicaciones de escritorio, complete los campos siguientes, en función de los resultados que quiera devolver.

Campo	Administra
Todos los campos marcados como *	Todos los archivos firmados por cualquier editor. (No se recomienda y es posible que no funcione)
Solo editor	Si solo rellena este campo, obtendrá todos los archivos firmados por el publicador con nombre. Esto puede ser útil si tu empresa es el editor y el firmante de las aplicaciones de línea de negocio internas.
Publisher and Name only	Si solo rellena estos campos, obtendrá todos los archivos del producto especificado, firmados por el publicador con nombre.
Publisher, Name, and File only	Si solo rellena estos campos, obtendrá cualquier versión del archivo o paquete con nombre para el producto especificado, firmado por el publicador con nombre.
Publisher, Name, File, and Min version only	Si solo rellena estos campos, obtendrá la versión especificada o las versiones más recientes del archivo o paquete con nombre para el producto especificado, firmado por el publicador con nombre. Se recomienda esta opción para las aplicaciones habilitadas que no estaban habilitadas anteriormente.
Publisher, Name, File, and Max version only	Si solo rellena estos campos, obtendrá la versión especificada o versiones anteriores del archivo o paquete con nombre para el producto especificado, firmado por el publicador con nombre.
All fields completed	Si rellena todos los campos, obtendrá la versión especificada del archivo o paquete con nombre para el producto especificado, firmado por el publicador con nombre.

Para agregar otra aplicación de escritorio, seleccione los puntos suspensivos …. Después de escribir la información en los campos, seleccione Aceptar.

Si no está seguro de qué incluir para el publicador, puede ejecutar este comando de PowerShell:

Get-AppLockerFileInformation -Path "<path_of_the_exe>"

En el que "<path_of_the_exe>" va a la ubicación de la aplicación en el dispositivo. Por ejemplo:

Get-AppLockerFileInformation -Path "C:\Program Files\Windows NT\Accessories\wordpad.exe"

En este ejemplo, obtendrías la información siguiente:

Path                   Publisher
----                   ---------
%PROGRAMFILES%\WINDOWS NT\ACCESSORIES\WORDPAD.EXE O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US

Donde O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US es el nombre del publicador y WORDPAD.EXE es el nombre de archivo .

Con respecto a cómo obtener el nombre del producto para las aplicaciones que desea agregar, póngase en contacto con el equipo de soporte técnico de Windows para solicitar las directrices.

Importación de una lista de aplicaciones

En esta sección se tratan dos ejemplos de uso de un archivo XML de AppLocker en la lista Aplicaciones protegidas . Usará esta opción si desea agregar varias aplicaciones al mismo tiempo.

• Creación de una regla de aplicación empaquetada para aplicaciones de la Tienda
• Creación de una regla ejecutable para aplicaciones sin signo

Para obtener más información sobre AppLocker, consulta el contenido de AppLocker.

Creación de una regla de aplicación empaquetada para aplicaciones de la Tienda

1. Abre el complemento Directiva de seguridad local (SecPol.msc).

2. Expanda Directivas de control de aplicaciones, expanda AppLocker y, a continuación, seleccione Reglas de aplicación empaquetadas.

   

3. Haga clic con el botón derecho en el lado derecho y, a continuación, seleccione Crear nueva regla.

   Se muestra el asistente Create Packaged app Rules.

4. En la página Antes de comenzar , seleccione Siguiente.

   

5. En la página Permisos , asegúrese de que acción está establecida en Permitir y el usuario o grupo está establecido en Todos y, a continuación, seleccione Siguiente.

   

6. En la página Publicador , elija Seleccionar en el área Usar una aplicación empaquetada instalada como referencia .

   

7. En el cuadro Seleccionar aplicaciones , elija la aplicación que desea usar como referencia para la regla y, a continuación, seleccione Aceptar. En este ejemplo, se usa Microsoft Dynamics 365.

   

8. En la página publicador actualizada, seleccione Crear.

   

9. Seleccione No en el cuadro de diálogo que aparece y pregunte si desea crear las reglas predeterminadas. No cree reglas predeterminadas para la directiva WIP.

   

10. Revisa el complemento Directiva de seguridad Local para asegurarte de que la regla sea correcta.

    

11. A la izquierda, haga clic con el botón derecho en AppLocker y seleccione Exportar directiva.

    Se abre el cuadro Exportar directiva, que permite exportar y guardar la nueva directiva como XML.

    

12. En el cuadro Exportar directiva , vaya a donde se debe almacenar la directiva, asigne un nombre a la directiva y, a continuación, seleccione Guardar.

    La directiva se guarda y verá un mensaje que indica que se exportó una regla de la directiva.

    Archivo XML de ejemplo
    Este es el archivo XML que AppLocker crea para Microsoft Dynamics 365.

    <?xml version="1.0"?>
    <AppLockerPolicy Version="1">
        <RuleCollection EnforcementMode="NotConfigured" Type="Appx">
            <FilePublisherRule Action="Allow" UserOrGroupSid="S-1-1-0" Description="" Name="Microsoft.MicrosoftDynamicsCRMforWindows10, version 3.2.0.0 and above, from Microsoft Corporation" Id="3da34ed9-aec6-4239-88ba-0afdce252ab4">
                <Conditions>
                    <FilePublisherCondition BinaryName="*" ProductName="Microsoft.MicrosoftDynamicsCRMforWindows10" PublisherName="CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US">
                        <BinaryVersionRange HighSection="*" LowSection="3.2.0.0"/>
                    </FilePublisherCondition>
                </Conditions>
            </FilePublisherRule>
        </RuleCollection>
        <RuleCollection EnforcementMode="NotConfigured" Type="Dll"/>
        <RuleCollection EnforcementMode="NotConfigured" Type="Exe"/>
        <RuleCollection EnforcementMode="NotConfigured" Type="Msi"/>
        <RuleCollection EnforcementMode="NotConfigured" Type="Script"/>
    </AppLockerPolicy>
    

13. Después de crear el archivo XML, debe importarlo mediante Microsoft Intune.

Creación de una regla ejecutable para aplicaciones sin signo

La regla ejecutable ayuda a crear una regla de AppLocker para firmar las aplicaciones sin firmar. Permite agregar la ruta de acceso del archivo o el publicador de la aplicación contenido en la firma digital del archivo necesaria para que se aplique la directiva WIP.

1. Abre el complemento Directiva de seguridad local (SecPol.msc).

2. En el panel izquierdo, seleccione Directivas >de control de aplicacionesReglas ejecutablesde AppLocker>.

3. Haga clic con el botón derecho en Reglas >ejecutablesCrear nueva regla.

   

4. En la página Antes de comenzar , seleccione Siguiente.

5. En la página Permisos , asegúrese de que acción está establecida en Permitir y el usuario o grupo está establecido en Todos y, a continuación, seleccione Siguiente.

6. En la página Condiciones , seleccione Ruta de acceso y, a continuación, seleccione Siguiente.

   

7. Seleccione Examinar carpetas... y seleccione la ruta de acceso de las aplicaciones sin firmar. En este ejemplo, se usa "C:\Archivos de programa".

   

8. En la página Excepciones , agregue las excepciones y, a continuación, seleccione Siguiente.

9. En la página Nombre , escriba un nombre y una descripción para la regla y, a continuación, seleccione Crear.

10. En el panel izquierdo, haga clic con el botón derecho en Directivade exportación de AppLocker>.

11. En el cuadro Exportar directiva , vaya a donde se debe almacenar la directiva, asigne un nombre a la directiva y, a continuación, seleccione Guardar.

    La directiva se guarda y verá un mensaje que indica que se exportó una regla de la directiva.

12. Después de crear el archivo XML, debe importarlo mediante Microsoft Intune.

Para importar una lista de aplicaciones protegidas mediante Microsoft Intune

1. En Aplicaciones protegidas, seleccione Importar aplicaciones.

   

   A continuación, importe el archivo.

   

2. Vaya al archivo de directiva de AppLocker exportado y seleccione Abrir.

   Las importaciones de archivos y las aplicaciones se agregan a la lista aplicaciones protegidas .

Exención de aplicaciones de una directiva WIP

Si la aplicación no es compatible con WIP, pero aún debe usarse con datos empresariales, puede excluir la aplicación de las restricciones de WIP. Esto significa que las aplicaciones no incluirán cifrado automático ni etiquetado, y que no respetarán las restricciones de la red. Esto también significa que las aplicaciones exentas podrían sufrir fugas.

1. En Aplicaciones cliente: directivas de Protección de aplicaciones, seleccione Aplicaciones exentas.

   

2. En Aplicaciones exentas, seleccione Agregar aplicaciones.

   Al excluir aplicaciones, se les permite omitir las restricciones de WIP y acceder a los datos corporativos.

3. Rellene el resto de la información de la aplicación, en función del tipo de aplicación que va a agregar:

   • Agregar aplicaciones recomendadas

   • Agregar aplicaciones de la Tienda

   • Agregar aplicaciones de escritorio

   • Importación de aplicaciones

4. Seleccione Aceptar.

Administrar el modo de protección de WIP de los datos empresariales

Después de agregar las aplicaciones que quieres proteger con WIP, deberás aplicar un modo de administración y protección.

Se recomienda comenzar con Silencio o Permitir invalidaciones al comprobar con un grupo reducido que tienes las aplicaciones correctas en la lista de aplicaciones protegidas. Una vez que haya terminado, puede cambiar a la directiva de cumplimiento final, Bloquear.

1. En Protección de aplicaciones directiva, seleccione el nombre de la directiva y, a continuación, seleccione Configuración necesaria.

   

   Modo	Descripción
   Bloquear	WIP busca prácticas de uso compartido inapropiado de datos e impide que el empleado complete la acción. Esto puede incluir compartir información entre aplicaciones no protegidas por la empresa, además de compartir datos de la empresa con otros contactos y dispositivos fuera de la empresa.
   Permitir invalidaciones	WIP busca usos compartidos inapropiados de datos y advierte a los empleados si realizan acciones potencialmente no seguras. Sin embargo, este modo de administración permite a los empleados invalidar la directiva y compartir los datos, registrando la acción en el registro de auditoría. Para obtener información sobre cómo recopilar los archivos de registro de auditoría, consulta Cómo recopilar registros de eventos de auditoría de Windows Information Protection (WIP).
   Silencio	WIP se ejecuta de forma silenciosa, registrando el uso compartido de datos inadecuado, sin bloquear nada que se hubiera pedido para la interacción de los empleados mientras se encuentra en el modo Permitir invalidación. Las acciones no autorizadas siguen detenidas, como, por ejemplo, el intento de acceso inapropiado de aplicaciones a un recurso de red o datos protegidos por WIP.
   Desactivado	WIP está desactivo y no ayuda a proteger ni auditar los datos. Tras desactivar WIP, se intentan descifrar los archivos etiquetados de WIP en las unidades conectadas localmente. Tenga en cuenta que la información previa de directiva y descifrado no se vuelve a aplicar automáticamente si vuelve a activar la protección WIP. Para obtener más información, consulta Cómo deshabilitar Windows Information Protection.

2. Selecciona Guardar.

Definir la identidad corporativa administrada por la empresa

La identidad corporativa, que normalmente se expresa como dominio principal de Internet (por ejemplo, contoso.com), ayuda a identificar y etiquetar los datos corporativos de las aplicaciones que ha marcado como protegidas por WIP. Por ejemplo, los correos electrónicos que usan contoso.com se identifican como corporativos y están restringidos por las directivas de Windows Information Protection.

A partir de Windows 10, versión 1703, Intune determina automáticamente tu identidad corporativa y la agrega al campo Identidad corporativa.

Para cambiar la identidad corporativa

1. En Directiva de aplicación, seleccione el nombre de la directiva y, a continuación, seleccione Configuración necesaria.

2. Si la identidad definida automáticamente no es correcta, puede cambiar la información en el campo Identidad corporativa .

   

3. Para agregar dominios, como los nombres de dominio de correo electrónico, seleccione Configurar opciones> avanzadasAgregar límite de red y seleccione Dominios protegidos.

   

Elegir cuándo las aplicaciones pueden obtener acceso a los datos empresariales

Una vez que hayas agregado un modo de protección a las aplicaciones, deberás decidir el lugar de la red donde estas aplicaciones pueden acceder a los datos empresariales. Todas las directivas de WIP deben incluir las ubicaciones de red empresariales.

No existen ubicaciones predeterminadas incluidas con WIP, debes agregar cada una de las ubicaciones de red. Esta área se aplica a cualquier dispositivo de punto de conexión de red que obtenga una dirección IP en el intervalo de la empresa y que también esté enlazado a uno de los dominios empresariales, incluidos los recursos compartidos SMB. Las ubicaciones del sistema de archivos local solo deberían mantener el cifrado (por ejemplo, en FAT, ExFAT y NTFS local).

Para definir los límites de red, seleccione Directiva de aplicación> el nombre de la directiva >Configuración> avanzadaAgregar límite de red.

Selecciona el tipo de límite de red que se agregará en el cuadro Tipo de límite. Escriba un nombre para el límite en el cuadro Nombre , agregue los valores al cuadro Valor , en función de las opciones que se describen en las subsecciones siguientes y, a continuación, seleccione Aceptar.

Recursos en la nube

Especifica los recursos de nube que deben tratarse como corporativos y protegidos por WIP. Para cada recurso de nube, también puedes especificar un servidor proxy desde la lista de servidores proxy internos que redirija el tráfico para este recurso de nube. Todo el tráfico enrutado a través de los servidores proxy internos se considera empresarial.

Separe varios recursos con el delimitador "|". Por ejemplo:

URL <,proxy>|URL <,proxy>

Las aplicaciones personales pueden acceder a un recurso en la nube que tenga un espacio en blanco o un carácter no válido, como un punto final en la dirección URL.

Para agregar un subdominio para un recurso en la nube, use un punto (.) en lugar de un asterisco (*). Por ejemplo, para agregar todos los subdominios dentro de Office.com, use ".office.com" (sin comillas).

En algunos casos, como cuando una aplicación se conecta directamente a un recurso en la nube a través de una dirección IP, Windows no puede saber si intenta conectarse a un recurso de nube empresarial o a un sitio personal. En este caso, Windows bloquea la conexión de forma predeterminada. Para impedir que Windows bloquee estas conexiones automáticamente, puedes agregar la cadena /*AppCompat*/ a la configuración. Por ejemplo:

URL <,proxy>|URL <,proxy>|/*AppCompat*/

Cuando se usa esta cadena, se recomienda activar también Microsoft Entra acceso condicional, mediante la opción Unido a dominio o marcada como compatible, que impide que las aplicaciones accedan a los recursos de nube empresarial protegidos por el acceso condicional.

Formato de valor con proxy:

contoso.sharepoint.com,contoso.internalproxy1.com|contoso.visualstudio.com,contoso.internalproxy2.com

Formato de valor sin proxy:

contoso.sharepoint.com|contoso.visualstudio.com|contoso.onedrive.com,

Dominios protegidos

Especifique los dominios usados para las identidades del entorno. Todo el tráfico a los dominios completos que aparecen en esta lista se protegerá. Separe varios dominios con el delimitador "|".

exchange.contoso.com|contoso.com|region.contoso.com

Dominios de red

Especifica los sufijos DNS que se usan en el entorno. Todo el tráfico a los dominios completos que aparecen en esta lista se protegerá. Separe varios recursos con el delimitador "".

corp.contoso.com,region.contoso.com

Servidores proxy

Especifica los servidores proxy por los que pasarán los dispositivos para llegar a tus recursos de nube. El uso de este tipo de servidor indica que los recursos en la nube a los que se va a conectar son recursos empresariales.

Esta lista no debe incluir ningún servidor que aparezca en la lista Servidores proxy internos. Los servidores proxy deben usarse solo para el tráfico no protegido con WIP (no empresarial). Separe varios recursos con el delimitador ";".

proxy.contoso.com:80;proxy2.contoso.com:443

Servidores proxy internos

Especifica los servidores proxy internos por los que pasarán los dispositivos para llegar a tus recursos de nube. El uso de este tipo de servidor indica que los recursos en la nube a los que se va a conectar son recursos empresariales.

Esta lista no debe incluir ningún servidor que aparezca en la lista servidores proxy. Los servidores proxy internos deben usarse solo para el tráfico protegido con WIP (empresarial). Separe varios recursos con el delimitador ";".

contoso.internalproxy1.com;contoso.internalproxy2.com

Intervalos IPv4

Especifica las direcciones de un intervalo de valores IPv4 válido dentro de la intranet. Estas direcciones, que se usan con los Nombres de dominio de red, definen los límites de tu red corporativa. No se admite la notación de enrutamiento de Inter-Domain sin clase (CIDR).

Separe varios intervalos con el delimitador ",".

Dirección IPv4 inicial: 3.4.0.1
Dirección IPv4 final: 3.4.255.254
URI personalizado: 3.4.0.1-3.4.255.254,
10.0.0.1-10.255.255.254

Intervalos IPv6

A partir de Windows 10, versión 1703, este campo es opcional.

Especifica las direcciones de un intervalo de valores IPv6 válido dentro de la intranet. Estas direcciones, que se usan con los nombres de dominio de red, definen los límites de la red corporativa. No se admite la notación de enrutamiento de Inter-Domain sin clase (CIDR).

Separe varios intervalos con el delimitador ",".

Dirección IPv6 inicial:2a01:110::
Dirección IPv6 final:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff
URI personalizado:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff,'<br>'fd00::-fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

Recursos neutros

Especifica los extremos de redirección de autenticación de tu empresa. Estas ubicaciones se consideran empresariales o personales en función del contexto de la conexión antes de la redirección. Separe varios recursos con el delimitador "".

sts.contoso.com,sts.contoso2.com

Decida si quiere que Windows busque más configuración de red:

• La lista Servidores proxy de la empresa es autoritativa (no usar detección automática). Active esta opción si desea que Windows trate los servidores proxy especificados en la definición de límites de red como la lista completa de servidores proxy disponibles en la red. Si lo desactiva, Windows buscará más servidores proxy en la red inmediata.

• La lista Intervalos IP de la empresa es autoritativa (no usar detección automática). Active esta opción si desea que Windows trate los intervalos IP especificados en la definición de límites de red como la lista completa de intervalos IP disponibles en la red. Si desactiva esta opción, Windows buscará más intervalos IP en cualquier dispositivo unido a un dominio conectado a la red.

Cargar tu certificado del Agente de recuperación de datos (DRA)

Después de crear e implementar la directiva wip en los empleados, Windows comienza a cifrar los datos corporativos en la unidad de dispositivo local de los empleados. Si de alguna manera las claves de cifrado local de los empleados se pierden o revocan, los datos cifrados pueden volverse irrecuperables. Para evitar esta posibilidad, el certificado Agente de recuperación de datos (DRA) permite que Windows use una clave pública incluida para cifrar los datos locales mientras mantienes la clave privada que puede descifrar los datos.

Importante

El uso de un certificado DRA no es obligatorio. Sin embargo, es muy recomendable. Para obtener más información sobre cómo buscar y exportar el certificado de recuperación de datos, consulte Data Recovery and Encrypting File System (EFS). Para obtener más información sobre cómo crear y comprobar el certificado DE EFS DRA, consulte Creación y comprobación de un certificado del Agente de recuperación de datos (DRA) del sistema de archivos de cifrado (EFS).

Para cargar tu certificado DRA

1. En Directiva de aplicación, seleccione el nombre de la directiva y, a continuación, seleccione Configuración avanzada en el menú que aparece.

   Se muestra la configuración avanzada .

2. En el cuadro Cargar un certificado de Agente de recuperación de datos (DRA) para permitir la recuperación de datos cifrados , seleccione Examinar para agregar un certificado de recuperación de datos para la directiva.

   

Elegir la configuración opcional relacionada con WIP

Después de decidir dónde pueden acceder las aplicaciones protegidas a los datos empresariales de la red, puede elegir la configuración opcional.

Revocar claves de cifrado al anular la inscripción. Determina si se revocan las claves de cifrado local de un usuario de un dispositivo cuando se anula la inscripción de Windows Information Protection. En la hoja Directiva de aplicaciones, haz clic en el nombre de la directiva y, a continuación, haz clic en Configuración avanzada en el menú que aparece.Si se revocan las claves de cifrado, un usuario ya no podrá acceder a datos corporativos cifrados. Las opciones son:

• Activado o No configurado (recomendada). Revoca las claves de cifrado local de un dispositivo durante la anulación de la inscripción.

• Desactivado. Las claves de cifrado local de un dispositivo dejan de revocarse durante la anulación de la inscripción. Por ejemplo, si va a migrar entre soluciones de Mobile Administración de dispositivos (MDM).

Mostrar el icono de protección de datos empresariales. Determina si aparece la superposición de iconos de Windows Information Protection en archivos corporativos en las vistas Guardar como y Explorador de archivos. Las opciones son:

• Activar. Permite que la superposición de iconos de Windows Information Protection aparezca en archivos corporativos en las vistas Guardar como y Explorador de archivos. Además, para aplicaciones no habilitadas pero protegidas, la superposición de iconos también aparece en el icono de la aplicación y con texto administrado en el nombre de la aplicación en el menú Inicio .

• Desactivado o No configurado (recomendada). Impide que la superposición de iconos de windows Information Protection aparezca en archivos corporativos o aplicaciones no habilitadas, pero protegidas. La opción predeterminada es No configurado.

Usa Azure RMS para WIP. Determina si WIP usa Microsoft Azure Rights Management para aplicar el cifrado EFS a los archivos que se copian de Windows 10 a USB u otras unidades extraíbles para que se puedan compartir de forma segura con los empleados. En otras palabras, WIP usa Azure Rights Management "maquinaria" para aplicar el cifrado EFS a los archivos cuando se copian en unidades extraíbles. Ya debe tener Azure Rights Management configurado. La clave de cifrado de archivos EFS está protegida por la licencia de la plantilla rms. Solo los usuarios con permiso para esa plantilla pueden leerla desde la unidad extraíble. WIP también se puede integrar con Azure RMS mediante la configuración de MDM AllowAzureRMSForEDP y RMSTemplateIDForEDP en enterpriseDataProtection CSP.

• Activado. Protege los archivos que se copian en una unidad extraíble. Puede escribir un GUID de TemplateID para especificar quién puede acceder a los archivos protegidos Azure Rights Management y durante cuánto tiempo. La plantilla RMS solo se aplica a los archivos en medios extraíbles y solo se usa para el control de acceso; en realidad, no aplica azure Information Protection a los archivos.

  Si no especifica una plantilla rms, es un archivo EFS normal mediante una plantilla rms predeterminada a la que todos los usuarios pueden acceder.

• Desactivado o no configurado. Impide que WIP cifre Azure Rights Management archivos que se copian en una unidad extraíble.

  Nota

  Independientemente de esta configuración, todos los archivos de OneDrive para la Empresa se cifrarán, incluidas las carpetas conocidas movidas.

Permitir que Windows Search Indexer busque archivos cifrados. Determina si se va a permitir que el indexador de Windows Search indexe los elementos cifrados, como los archivos protegidos por WIP.

• Activado. Inicia Windows Search Indexer para indexar archivos cifrados.

• Desactivado o no configurado. Impide que el indexador de Búsqueda de Windows indexe archivos cifrados.

Extensiones de archivo cifradas

Puede restringir qué archivos están protegidos por WIP cuando se descargan desde un recurso compartido SMB dentro de las ubicaciones de red de la empresa. Si esta configuración está configurada, solo se cifrarán los archivos con las extensiones de la lista. Si no se especifica esta configuración, se aplica el comportamiento de cifrado automático existente.

Artículos relacionados

• Cómo recopilar registros de eventos de auditoría de Windows Information Protection (WIP)

• Instrucciones generales y procedimientos recomendados para Windows Information Protection (WIP)

• ¿Qué es Azure Rights Management?

• Creación de una directiva de protección de Windows Information Protection (WIP) mediante Microsoft Intune

• MAM de Intune sin inscripción

• Actualización de la documentación de Azure RMS para mayo de 2016