Creare e distribuire criteri di protezione delle app Windows Information Protection (WIP) con IntuneCreate and deploy Windows Information Protection (WIP) app protection policy with Intune

Si applica a: Intune in AzureApplies to: Intune on Azure
Serve documentazione su Intune nella console classica?Looking for documentation about Intune in the classic console? Fare clic qui.Go to here.

A partire dalla versione 1704 di Intune, è possibile usare i criteri di protezione delle app con Windows 10 in scenari di gestione di applicazioni mobili (MAM) senza registrazione.Beginning with Intune 1704 release, you can use app protection policies with Windows 10 in the mobile application management (MAM) without enrollment scenario.

Prima di iniziareBefore you begin

Di seguito vengono presentati prima di tutto alcuni concetti fondamentali per l'aggiunta di criteri WIP.Let’s talk about a few concepts when adding a WIP policy.

Elenco delle app consentite ed escluseList of Allowed and Exempt apps

  • App consentite: si tratta delle app che devono essere conformi al criterio.Allowed apps: These are the apps that need to adhere to this policy.

  • App escluse: queste app sono escluse dal criterio e possono accedere ai dati aziendali senza restrizioni.Exempt apps: These apps are exempt from this policy and can access corporate data without restrictions.

Tipi di appTypes of apps

  • App consigliate: un elenco precompilato di app (principalmente Microsoft Office) che gli amministratori possono importare facilmente nei criteri.Recommended apps: a pre-populated list of (mostly Microsoft Office) apps that allow admins easily import into policy.

  • Store apps (App dello Store): l'amministratore può aggiungere qualsiasi app da Windows Store al criterio.Store apps: Admin can add any app from the Windows store to policy.

  • Windows desktop apps (App desktop di Windows): l'amministratore può aggiungere qualsiasi app desktop di Windows tradizionale al criterio (ad esempio, exe, dll e così via).Windows desktop apps: Admin can add any traditional Windows desktop apps to the policy (e.g. exe, dll, etc.)

PrerequisitiPre-requisites

È necessario configurare il provider MAM prima di poter creare un criterio di protezione delle app WIP.You need to configure the MAM provider before you can create a WIP app protection policy.

È inoltre necessario disporre di quanto segue:Additionally, you need to have the following:

Importante

WIP non supporta più identità e può essere presente una sola identità gestita alla volta.WIP does not support multi-identity, only one managed identity can exist at a time.

Per aggiungere criteri WIPTo add a WIP policy

Dopo aver configurato Intune nell'organizzazione, è possibile creare criteri specifici di WIP tramite il portale Azure.After you set up Intune in your organization, you can create a WIP-specific policy through the Azure portal.

  1. Passare al dashboard Gestione di applicazioni mobili di Intune, scegliere Tutte le impostazioni e quindi scegliere Criteri per le app.Go to the Intune mobile application management dashboard, choose All settings, and then choose App policy.

  2. Nel pannello Criteri per le app scegliere Aggiungi criteri e quindi immettere i valori seguenti:In the App policy blade, choose Add a policy, then enter the following values:

    a.a. Nome: digitare un nome (obbligatorio) per il nuovo criterio.Name: Type a name (required) for your new policy.

    b.b. Descrizione: digitare una descrizione facoltativa.Description: Type an optional description.

    c.c. Piattaforma: scegliere Windows 10 come piattaforma supportata per i criteri di protezione delle app.Platform: Choose Windows 10 as the supported platform for your app protection policy.

    d.d. Stato della registrazione: scegliere Senza registrazione come stato di registrazione per il criterio.Enrollment state: Choose Without enrollment as the enrollment state for your policy.

  3. Scegliere Crea.Choose Create. Il criterio viene creato e visualizzato nella tabella nel pannello Criteri per le app.The policy is created and appears in the table on the App Policy blade.

  1. Nel pannello Criteri per le app scegliere il nome del criterio e quindi scegliere App consentite nel pannello Aggiungi criteri.From the App policy blade, choose the name of your policy, then choose Allowed apps from the Add a policy blade. Verrà aperto il pannello App consentite che mostra tutte le app già incluse nell'elenco per i criteri di protezione delle app.The Allowed apps blade opens, showing you all apps that are already included in the list for this app protection policy.

  2. Nel pannello App consentite scegliere Aggiungi app.From the Allowed apps blade, choose Add apps. Verrà aperto il pannello Aggiungi app che mostra tutte le app che fanno parte di questo elenco.The Add apps blade opens, showing you all apps that are part of this list.

  3. Selezionare tutte le app a cui si vuole concedere l'accesso ai dati aziendali e quindi scegliere OK.Select each app you want to access your corporate data, and then choose OK. Il pannello App consentite verrà aggiornato con tutte le app selezionate.The Allowed apps blade gets updated showing you all selected apps.

Aggiungere un'app dello Store all'elenco App consentiteAdd a Store app to your Allowed apps list

Per aggiungere un'app dello StoreTo add a Store app

  1. Nel pannello Criteri per le app scegliere il nome del criterio e quindi scegliere App consentite nel menu visualizzato che mostra tutte le app già incluse nell'elenco per questo criterio di protezione delle app.From the App policy blade, choose the name of your policy, then choose Allowed apps from the menu that appears showing all apps that are already included in the list for this app protection policy.

  2. Nel pannello App consentite scegliere Aggiungi app.From the Allowed apps blade, choose Add apps.

  3. Nel pannello Aggiungi app scegliere App Store nell'elenco a discesa.On the Add apps blade, choose Store apps from the dropdown list. Il pannello cambia per visualizzare le caselle per l'aggiunta di un editore e un nome per l'app.The blade changes to show boxes for you to add a publisher and app name.

  4. Digitare il nome dell'app e del relativo editore, quindi scegliere OK.Type the name of the app and the name of its publisher, and then choose OK.

    Suggerimento

    Ecco un esempio di app con Editore CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US e Nome prodotto Microsoft.MicrosoftAppForWindows.Here’s an app example, where the Publisher is CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US and the Product name is Microsoft.MicrosoftAppForWindows.

  5. Dopo aver immesso le informazioni nei campi, scegliere OK per aggiungere l'app all'elenco App consentite.After you’ve entered the info into the fields, choose OK to add the app to your Allowed apps list.

Nota

Per aggiungere più app dello Store contemporaneamente, è possibile fare clic sul menu (...) alla fine della riga dell'app e quindi continuare ad aggiungere altre app.To add multiple Store apps at the same time, you can click the menu (…) at the end of the app row, then continue to add more apps. Al termine dell'operazione scegliere OK.Once you’re done, choose OK.

Aggiungere un'app desktop all'elenco App consentiteAdd a Desktop app to your Allowed apps list

Per aggiungere un'app desktopTo add a Desktop app

  1. Nel pannello Criteri per le app scegliere il nome del criterio e quindi scegliere App consentite.From the App policy blade, choose the name of your policy, and then choose Allowed apps. Verrà aperto il pannello App consentite che mostra tutte le app già incluse nell'elenco per i criteri di protezione delle app.The Allowed apps blade opens showing you all apps that are already included in the list for this app protection policy.

  2. Nel pannello App consentite scegliere Aggiungi app.From the Allowed apps blade, choose Add apps.

  3. Nel pannello Aggiungi app scegliere App desktop nell'elenco a discesa.On the Add apps blade, choose Desktop apps from the drop-down list.

  4. Dopo aver immesso le informazioni nei campi, scegliere OK per aggiungere l'app all'elenco App consentite.After you entered the info into the fields, choose OK to add the app to your Allowed apps list.

Nota

Per aggiungere più app desktop contemporaneamente, è possibile fare clic sul menu (...) alla fine della riga dell'app e quindi continuare ad aggiungere altre app.To add multiple Desktop apps at the same time, you can click the menu (…) at the end of the app row, then continue to add more apps. Al termine dell'operazione scegliere OK.Once you’re done, choose OK.

Apprendimento WIP (Windows Information Protection)Windows Information Protection (WIP) Learning

Dopo aver aggiunto le app che si vuole proteggere con WIP, è necessario applicare una modalità di protezione usando Apprendimento WIP.After you add the apps you want to protect with WIP, you need to apply a protection mode by using WIP Learning.

Prima di iniziareBefore you begin

Apprendimento WIP (Windows Information Protection) è un report che consente agli amministratori di monitorare le app sconosciute WIP.Windows Information Protection (WIP) Learning is a report that allows admins to monitor their WIP unknown apps. Con app sconosciute si intendono quelle non distribuite dal reparto IT dell'organizzazione.The unknown apps are the ones not deployed by your organization’s IT department. L'amministratore può esportare queste app dal report e quindi aggiungerle ai criteri WIP per evitare disservizi con effetti sulla produttività prima dell'applicazione di WIP in modalità "Nascondi sostituzioni".The admin can export these apps from the report and add them to their WIP policies to avoid productivity disruption before they enforce WIP in “Hide Override” mode.

È consigliabile iniziare con Invisibile all'utente o Consenti sostituzioni mentre si verifica con un piccolo gruppo di avere incluso le app appropriate nell'elenco delle app consentite.We recommend that you start with Silent or Allow Overrides while verifying with a small group that you have the right apps on your allowed apps list. Quando si è pronti, è possibile passare al criterio di applicazione finale, ovvero Nascondi sostituzioni.After you're done, you can change to your final enforcement policy, Hide Overrides.

Caratteristiche delle modalità di protezioneWhat the protection modes are?

  • Nascondi sostituzioni:Hide Overrides:

    • WIP rileva eventuali procedure di condivisione dei dati non appropriate e impedisce all'utente di completare l'azione.WIP looks for inappropriate data sharing practices and stops the user from completing the action.
    • Può trattarsi, ad esempio, della condivisione di informazioni tra app non protette dall'azienda e della condivisione di dati aziendali tra altri utenti e dispositivi all'esterno dell'organizzazione.This can include sharing info across non-corporate-protected apps, and sharing corporate data between other people and devices outside of your organization.
  • Consenti sostituzioni:Allow Overrides:

    • WIP rileva eventuali procedure di condivisione dei dati non appropriate e avvisa gli utenti nel caso eseguano operazioni considerate potenzialmente non sicure.WIP looks for inappropriate data sharing, warning users if they do something deemed potentially unsafe.
    • Questa modalità consente tuttavia all'utente di ignorare il criterio e di condividere i dati, con registrazione dell'azione nel log di controllo.However, this mode lets the user override the policy and share the data, logging the action to your audit log.
  • Invisibile all'utente:Silent:
    • WIP viene eseguito in modo invisibile all'utente e registra attività di condivisione dei dati non appropriate senza bloccare alcuna operazione che richiederebbe l'interazione con il dipendente in modalità Consenti sostituzioni.WIP runs silently, logging inappropriate data sharing, without blocking anything that would’ve been prompted for employee interaction while in Allow Override mode.
    • Le azioni non consentite, ad esempio app che tentano l'accesso in modo non appropriato a una risorsa di rete o a dati protetti da WIP, vengono bloccate.Unallowed actions, like apps inappropriately trying to access a network resource or WIP-protected data, are still stopped.
  • Disattivato (scelta non consigliata):Off (not recommended):
    • WIP viene disattivato e non consente di proteggere oppure di controllare i dati.WIP is turned off and doesn't help to protect or audit your data.
    • Dopo la disattivazione di WIP, viene effettuato un tentativo di decrittografare gli eventuali file contrassegnati da WIP nei dischi collegati in locale.After you turn off WIP, an attempt is made to decrypt any WIP-tagged files on the locally attached drives. Tenere presente che le informazioni precedenti relative a decrittografia e criteri non vengono riapplicate automaticamente se si riattiva la protezione WIP.Be aware that your previous decryption and policy info isn’t automatically reapplied if you turn WIP protection back on.

Per aggiungere una modalità di protezioneTo add a protection mode

  1. Nel pannello Criteri per le app scegliere il nome del criterio e quindi scegliere Impostazioni obbligatorie nel pannello Aggiungi criteri.From the App policy blade, choose the name of your policy, then click Required settings from the Add Policy blade.

    Screenshot della modalità di protezione

  2. Scegliere Salva.Choose Save.

Per usare Apprendimento WIPTo use WIP Learning

  1. Passare al dashboard di Azure.Go to the Azure Dashboard.

  2. Scegliere Altri servizi dal menu a sinistra e quindi digitare Intune nel filtro della casella di testo.Choose More services from the left menu, then type Intune in the text box filter.

  3. Scegliere Intune. Verrà aperto il dashboard di Intune. Scegliere App per dispositivi mobili.Choose Intune, the Intune dashboard opens, choose Mobile Apps.

  4. Scegliere Apprendimento WIP nella sezione Monitoraggio.Choose WIP Learning under Monitor section. Verranno visualizzate le app sconosciute registrate da Apprendimento WIP.You see the unknown apps logged by the WIP Learning.

Importante

Quando le app sono visualizzate nel report di registrazione di Apprendimento WIP, sarà possibile aggiungerle ai criteri di protezione delle app.Once you have the apps showing up in the WIP Learning logging report, you can them into your app protection policies.

Per distribuire i criteri di protezione delle app WIPTo deploy your WIP app protection policy

Importante

Questa procedura è valida per lo scenario WIP con gestione di applicazioni mobili (MAM) senza registrazione.This applies for WIP with mobile application management (MAM) without enrollment scenario.

Dopo aver creato i criteri di protezione delle app WIP, è necessario distribuirli all'organizzazione tramite MAM.After you created your WIP app protection policy, you need to deploy it to your organization using MAM.

  1. Nel pannello Criteri per le app scegliere il nuovo criterio di protezione per le app, scegliere Gruppi di utenti e quindi scegliere Aggiungi un gruppo di utenti.On the App policy blade, choose your newly-created app protection policy, choose User groups, then choose Add user group.

    Nel pannello Aggiungi un gruppo di utenti verrà visualizzato un elenco dei gruppi di utenti composto da tutti i gruppi di sicurezza in Azure Active Directory.A list of user groups, made up of all the security groups in your Azure Active Directory, opens in the Add user group blade.

  2. Scegliere il gruppo a cui si vuole applicare il criterio e quindi fare clic su Seleziona per distribuire il criterio.Choose the group you want your policy to apply to, then click Select to deploy the policy.

Per inviare commenti e suggerimenti sul prodotto, visita la pagina Intune Feedback