Creare e distribuire criteri di protezione delle app Windows Information Protection (WIP) con IntuneCreate and deploy Windows Information Protection (WIP) app protection policy with Intune

Si applica a: Intune nel Portale di AzureApplies to: Intune in the Azure portal
Serve documentazione su Intune nel portale classico?Looking for documentation about Intune in the classic portal? Fare clic qui.Go here.

A partire dalla versione 1704 di Intune, è possibile usare i criteri di protezione delle app con Windows 10 per proteggere le app senza registrare i dispositivi.Beginning with Intune 1704 release, you can use app protection policies with Windows 10 in to protect apps without device enrollment.

Prima di iniziareBefore you begin

Di seguito vengono presentati prima di tutto alcuni concetti fondamentali per l'aggiunta di criteri WIP.Let’s talk about a few concepts when adding a WIP policy.

Elenco delle app consentite ed escluseList of allowed and exempt apps

  • App consentite: si tratta delle app che devono essere conformi al criterio.Allowed apps: These are the apps that need to adhere to this policy.

  • App escluse: queste app sono escluse dal criterio e possono accedere ai dati aziendali senza restrizioni.Exempt apps: These apps are exempt from this policy and can access corporate data without restrictions.

Tipi di appTypes of apps

  • App consigliate: un elenco precompilato di app (principalmente Microsoft Office) che è possibile importare facilmente nei criteri.Recommended apps: a pre-populated list of (mostly Microsoft Office) apps that allow you easily import into policy.

  • App Store: è possibile aggiungere qualsiasi app da Windows Store al criterio.Store apps: You can add any app from the Windows store to the policy.

  • Windows desktop apps (App desktop di Windows): è possibile aggiungere qualsiasi app desktop di Windows tradizionale al criterio (ad esempio, exe e dll)Windows desktop apps: You can add any traditional Windows desktop apps to the policy (for example, .exe, .dll)

PrerequisitiPre-requisites

Configurare il provider MAM prima di creare un criterio di protezione dell'app di WIP.You must configure the MAM provider before you can create a WIP app protection policy. Altre informazioni su come configurare il provider MAM con Intune.Learn more about how to configure your MAM provider with Intune.

È inoltre necessario disporre di quanto segue:Additionally, you need to have the following:

Importante

WIP non supporta più identità e può essere presente una sola identità gestita alla volta.WIP does not support multi-identity, only one managed identity can exist at a time.

Per aggiungere criteri WIPTo add a WIP policy

Dopo aver configurato Intune nell'organizzazione, è possibile creare criteri specifici di WIP tramite il portale Azure.After you set up Intune in your organization, you can create a WIP-specific policy through the Azure portal.

  1. Passare al dashboard Gestione di applicazioni mobili di Intune, scegliere Tutte le impostazioni > Criteri per le app.Go to the Intune mobile application management dashboard, choose All settings, > App policy.

  2. Nel pannello Criteri per le app scegliere Aggiungi criteri e quindi immettere i valori seguenti:In the App policy blade, choose Add a policy, then enter the following values:

    a.a. Nome: digitare un nome (obbligatorio) per il nuovo criterio.Name: Type a name (required) for your new policy.

    b.b. Descrizione: digitare una descrizione facoltativa.Description: Type an optional description.

    c.c. Piattaforma: scegliere Windows 10 come piattaforma supportata per i criteri di protezione delle app.Platform: Choose Windows 10 as the supported platform for your app protection policy.

    d.d. Stato della registrazione: scegliere Senza registrazione come stato di registrazione per il criterio.Enrollment state: Choose Without enrollment as the enrollment state for your policy.

  3. Scegliere Crea.Choose Create. Il criterio viene creato e visualizzato nella tabella nel pannello Criteri per le app.The policy is created and appears in the table on the App Policy blade.

  1. Nel pannello Criteri per le app scegliere il nome del criterio e quindi scegliere App consentite nel pannello Aggiungi criteri.From the App policy blade, choose the name of your policy, then choose Allowed apps from the Add a policy blade. Verrà aperto il pannello App consentite che mostra tutte le app già incluse nell'elenco per i criteri di protezione delle app.The Allowed apps blade opens, showing you all apps that are already included in the list for this app protection policy.

  2. Nel pannello App consentite scegliere Aggiungi app.From the Allowed apps blade, choose Add apps. Verrà aperto il pannello Aggiungi app che mostra tutte le app che fanno parte di questo elenco.The Add apps blade opens, showing you all apps that are part of this list.

  3. Selezionare tutte le app a cui si vuole concedere l'accesso ai dati aziendali e quindi scegliere OK.Select each app you want to access your corporate data, and then choose OK. Il pannello App consentite verrà aggiornato con tutte le app selezionate.The Allowed apps blade gets updated showing you all selected apps.

Aggiungere un'app dello Store all'elenco delle app consentiteAdd a Store app to your allowed apps list

Per aggiungere un'app dello StoreTo add a Store app

  1. Nel pannello Criteri per le app scegliere il nome del criterio e quindi scegliere App consentite nel menu visualizzato che mostra tutte le app già incluse nell'elenco per questo criterio di protezione delle app.From the App policy blade, choose the name of your policy, then choose Allowed apps from the menu that appears showing all apps that are already included in the list for this app protection policy.

  2. Nel pannello App consentite scegliere Aggiungi app.From the Allowed apps blade, choose Add apps.

  3. Nel pannello Aggiungi app scegliere App Store nell'elenco a discesa.On the Add apps blade, choose Store apps from the dropdown list. Il pannello cambia per visualizzare le caselle per l'aggiunta di un editore e un nome per l'app.The blade changes to show boxes for you to add a publisher and app name.

  4. Digitare il nome dell'app e del relativo editore, quindi scegliere OK.Type the name of the app and the name of its publisher, and then choose OK.

    Suggerimento

    Ecco un esempio di app con Editore CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US e Nome prodotto Microsoft.MicrosoftAppForWindows.Here’s an app example, where the Publisher is CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US and the Product name is Microsoft.MicrosoftAppForWindows.

  5. Dopo aver immesso le informazioni nei campi, scegliere OK per aggiungere l'app all'elenco App consentite.After you’ve entered the info into the fields, choose OK to add the app to your Allowed apps list.

Nota

Per aggiungere più app dello Store contemporaneamente, è possibile fare clic sul menu (...) alla fine della riga dell'app e quindi continuare ad aggiungere altre app.To add multiple Store apps at the same time, you can click the menu (…) at the end of the app row, then continue to add more apps. Al termine dell'operazione scegliere OK.Once you’re done, choose OK.

Aggiungere un'app desktop all'elenco delle app consentiteAdd a desktop app to your allowed apps list

Per aggiungere un'app desktopTo add a desktop app

  1. Nel pannello Criteri per le app scegliere il nome del criterio e quindi scegliere App consentite.From the App policy blade, choose the name of your policy, and then choose Allowed apps. Verrà aperto il pannello App consentite che mostra tutte le app già incluse nell'elenco per i criteri di protezione delle app.The Allowed apps blade opens showing you all apps that are already included in the list for this app protection policy.

  2. Nel pannello App consentite scegliere Aggiungi app.From the Allowed apps blade, choose Add apps.

  3. Nel pannello Aggiungi app scegliere App desktop nell'elenco a discesa.On the Add apps blade, choose Desktop apps from the drop-down list.

  4. Dopo aver immesso le informazioni nei campi, scegliere OK per aggiungere l'app all'elenco App consentite.After you entered the info into the fields, choose OK to add the app to your Allowed apps list.

Nota

Per aggiungere più app desktop contemporaneamente, è possibile fare clic sul menu (...) alla fine della riga dell'app e quindi continuare ad aggiungere altre app.To add multiple desktop apps at the same time, you can click the menu (…) at the end of the app row, then continue to add more apps. Al termine dell'operazione scegliere OK.Once you’re done, choose OK.

Apprendimento WIPWIP Learning

Dopo aver aggiunto le app che si vuole proteggere con WIP, è necessario applicare una modalità di protezione usando Apprendimento WIP.After you add the apps you want to protect with WIP, you need to apply a protection mode by using WIP Learning.

Prima di iniziareBefore you begin

Apprendimento WIP è un report che consente di monitorare le app sconosciute WIP.WIP Learning is a report that allows you to monitor your WIP-unknown apps. Con app sconosciute si intendono quelle non distribuite dal reparto IT dell'organizzazione.The unknown apps are the ones not deployed by your organization’s IT department. È possibile esportare queste app dal report e quindi aggiungerle ai criteri WIP per evitare disservizi con effetti sulla produttività prima dell'applicazione di WIP in modalità "Blocca".You can export these apps from the report and add them to your WIP policies to avoid productivity disruption before they enforce WIP in “Block” mode.

È consigliabile iniziare con Invisibile all'utente o Consenti sostituzioni mentre si verifica con un piccolo gruppo di avere incluso le app appropriate nell'elenco delle app consentite.We recommend that you start with Silent or Allow Overrides while verifying with a small group that you have the right apps on your allowed apps list. Quando si è pronti, è possibile passare al criterio di applicazione finale, ovvero Blocca.After you're done, you can change to your final enforcement policy, Block.

Caratteristiche delle modalità di protezioneWhat are the protection modes?

BloccaBlock

WIP rileva eventuali procedure di condivisione dei dati non appropriate e impedisce all'utente di completare l'azione.WIP looks for inappropriate data sharing practices and stops the user from completing the action. Può trattarsi, ad esempio, della condivisione di informazioni tra app non protette dall'azienda e della condivisione di dati aziendali tra altri utenti e dispositivi all'esterno dell'organizzazione.This can include sharing info across non-corporate-protected apps, and sharing corporate data between other people and devices outside of your organization.

Consenti sostituzioniAllow Overrides

WIP rileva eventuali procedure di condivisione dei dati non appropriate e avvisa gli utenti nel caso eseguano operazioni considerate potenzialmente non sicure.WIP looks for inappropriate data sharing, warning users if they do something deemed potentially unsafe. Questa modalità consente tuttavia all'utente di ignorare il criterio e di condividere i dati, con registrazione dell'azione nel log di controllo.However, this mode lets the user override the policy and share the data, logging the action to your audit log.

Invisibile all'utenteSilent

WIP viene eseguito in modo invisibile all'utente e registra attività di condivisione dei dati non appropriate senza bloccare alcuna operazione che richiederebbe l'interazione con il dipendente in modalità Consenti sostituzioni.WIP runs silently, logging inappropriate data sharing, without blocking anything that would have been prompted for employee interaction while in Allow Override mode. Le azioni non consentite, ad esempio app che tentano l'accesso in modo non appropriato a una risorsa di rete o a dati protetti da WIP, vengono bloccate.Unallowed actions, like apps inappropriately trying to access a network resource or WIP-protected data, are still stopped.

WIP viene disattivato e non consente di proteggere oppure di controllare i dati.WIP is turned off and doesn't help to protect or audit your data.

Dopo la disattivazione di WIP, viene effettuato un tentativo di decrittografare gli eventuali file contrassegnati da WIP nei dischi collegati in locale.After you turn off WIP, an attempt is made to decrypt any WIP-tagged files on the locally attached drives. Tenere presente che le informazioni precedenti relative a decrittografia e criteri non vengono riapplicate automaticamente se si riattiva la protezione WIP.Be aware that previous decryption and policy info isn’t automatically reapplied if you turn WIP protection back on.

Aggiungere una modalità di protezioneAdd a protection mode

  1. Nel pannello Criteri per le app scegliere il nome del criterio e quindi scegliere Impostazioni obbligatorie.From the App policy blade, choose the name of your policy, then chose Required settings.

    Screenshot della modalità di protezione

  2. Scegliere Salva.Choose Save.

Usare Apprendimento WIPUse WIP Learning

  1. Aprire il portale di Azure.Open the Azure portal. Scegliere Altri servizi.Choose More services. Digitare Intune nel filtro della casella di testo.Type Intune in the text box filter.

  2. Scegliere Intune > App per dispositivi mobili.Choose Intune > Mobile Apps.

  3. Scegliere Stato di protezione dell'App > Report > Apprendimento Windows Information Protection.Choose App protection status > Reports > Windows Information Protection learning.

    Quando le app sono visualizzate nel report di registrazione di Apprendimento WIP, sarà possibile aggiungerle ai criteri di protezione delle app.Once you have the apps showing up in the WIP Learning logging report, you can add them to your app protection policies.

Distribuire i criteri di protezione delle app WIPDeploy your WIP app protection policy

Importante

Queste informazioni si applicano a WIP senza registrazione del dispositivo.This applies for WIP without device enrollment.

Dopo aver creato i criteri di protezione delle app WIP, è necessario distribuirli all'organizzazione tramite MAM.After you created your WIP app protection policy, you need to deploy it to your organization using MAM.

  1. Nel pannello Criteri per le app scegliere il nuovo criterio di protezione per le app, scegliereGruppi utenti > Aggiungi gruppo utenti.On the App policy blade, choose your newly created app protection policy, choose User groups > Add user group.

    Nel pannello Aggiungi un gruppo di utenti verrà visualizzato un elenco dei gruppi di utenti composto da tutti i gruppi di sicurezza in Azure Active Directory.A list of user groups, made up of all the security groups in your Azure Active Directory, opens in the Add user group blade.

  2. Scegliere il gruppo a cui si vuole applicare il criterio e quindi scegliere Seleziona per distribuire il criterio.Choose the group you want your policy to apply to, then choose Select to deploy the policy.