Creare e distribuire criteri di protezione delle app Windows Information Protection (WIP) con IntuneCreate and deploy Windows Information Protection (WIP) app protection policy with Intune

È possibile usare i criteri di protezione delle app con app Windows 10 per proteggere le app senza registrare i dispositivi.You can use app protection policies with Windows 10 apps to protect apps without device enrollment.

Prima di iniziareBefore you begin

È necessario conoscere alcuni concetti fondamentali per l'aggiunta di criteri WIP:You must understand a few concepts when adding a WIP policy:

Elenco delle app consentite ed escluseList of allowed and exempt apps

  • App protette: si tratta delle app che devono essere conformi al criterio.Protected apps: These apps are the apps that need to adhere to this policy.

  • App escluse: queste app sono escluse dal criterio e possono accedere ai dati aziendali senza restrizioni.Exempt apps: These apps are exempt from this policy and can access corporate data without restrictions.

Tipi di appTypes of apps

  • App consigliate: elenco precompilato di app (principalmente Microsoft Office) che è possibile importare facilmente nei criteri.Recommended apps: A pre-populated list of (mostly Microsoft Office) apps that allow you easily import into policy.
  • App Store: è possibile aggiungere qualsiasi app da Windows Store al criterio.Store apps: You can add any app from the Windows store to the policy.
  • Windows desktop apps (App desktop di Windows): è possibile aggiungere qualsiasi app desktop di Windows tradizionale al criterio (ad esempio, exe e dll)Windows desktop apps: You can add any traditional Windows desktop apps to the policy (for example, .exe, .dll)

PrerequisitiPrerequisites

Configurare il provider MAM prima di creare un criterio di protezione dell'app di WIP.You must configure the MAM provider before you can create a WIP app protection policy. Altre informazioni su come configurare il provider MAM con Intune.Learn more about how to configure your MAM provider with Intune.

È inoltre necessario avere la licenza e l'aggiornamento seguenti:Additionally, you need to have the following license and update:

Importante

WIP non supporta più identità e può essere presente una sola identità gestita alla volta.WIP does not support multi-identity, only one managed identity can exist at a time.

Per aggiungere criteri di protezione delle app WIPTo add a WIP app protection policy

Dopo aver configurato Intune nell'organizzazione, è possibile creare criteri specifici di WIP.After you set up Intune in your organization, you can create a WIP-specific policy.

  1. Accedere al portale di Azure.Sign in to the Azure portal.
  2. Scegliere Tutti i servizi > Intune.Choose All Services > Intune.
  3. Selezionare App per dispositivi mobili nel pannello Microsoft Intune.Select Mobile apps on the Microsoft Intune blade.
  4. Selezionare Criteri di protezione delle app nel pannello App per dispositivi mobili.Select App protection policies on the Mobile apps blade.
  5. Selezionare Aggiungi criteri per visualizzare il pannello Aggiungi criteri.Select Add a policy to display the Add a policy blade.
  6. Aggiungere i valori seguenti:Add the following values:
    • Nome: digitare un nome (obbligatorio) per il nuovo criterio.Name: Type a name (required) for your new policy.
    • Descrizione: (facoltativo) digitare una descrizione.Description: (Optional) Type a description.
    • Piattaforma: scegliere Windows 10 come piattaforma supportata per i criteri di protezione delle app.Platform: Choose Windows 10 as the supported platform for your app protection policy.
    • Stato della registrazione: scegliere Senza registrazione come stato di registrazione per il criterio.Enrollment state: Choose Without enrollment as the enrollment state for your policy.
  7. Scegliere Crea.Choose Create. I criteri vengono creati e visualizzati nella tabella nel pannello Criteri di protezione delle app.The policy is created and appears in the table on the App protection policies blade.
  1. Selezionare App per dispositivi mobili nel pannello Microsoft Intune.Select Mobile apps on the Microsoft Intune blade.
  2. Selezionare Criteri di protezione delle app nel pannello App per dispositivi mobili.Select App protection policies on the Mobile apps blade.
  3. Nel pannello Criteri di protezione delle app scegliere i criteri che si vuole modificare.On the App protection policies blade, choose the policy you want to modify. Viene visualizzato il pannello Protezione app di Intune.The Intune App Protection blade is displayed.
  4. Scegliere App protette nel pannello Protezione app di Intune.Choose Protected apps from the Intune App Protection blade. Verrà aperto il pannello App protette che mostra tutte le app già incluse nell'elenco per i criteri di protezione delle app.The Protected apps blade opens showing you all apps that are already included in the list for this app protection policy.
  5. Selezionare Aggiungi app.Select Add apps. Le informazioni per Aggiungi app mostrano un elenco filtrato di app.The Add apps information shows you a filtered list of apps. L'elenco nella parte superiore del pannello consente di modificare il filtro dell'elenco.The list at the top of the blade allows you to change the list filter.
  6. Selezionare tutte le app a cui si vuole concedere l'accesso ai dati aziendali.Select each app that you want to allow access your corporate data.
  7. Fare clic su OK.Click OK. Il pannello App protette viene aggiornato per visualizzare tutte le app selezionate.The Protected apps blade is updated showing all selected apps.
  8. Fare clic su Save.Click Save.

Aggiungere un'app dello Store all'elenco delle app protetteAdd a Store app to your protected apps list

Per aggiungere un'app dello StoreTo add a Store app

  1. Selezionare App per dispositivi mobili nel pannello Microsoft Intune.Select Mobile apps on the Microsoft Intune blade.
  2. Selezionare Criteri di protezione delle app nel pannello App per dispositivi mobili.Select App protection policies on the Mobile apps blade.
  3. Nel pannello Criteri di protezione delle app scegliere i criteri che si vuole modificare.On the App protection policies blade, choose the policy you want to modify. Viene visualizzato il pannello Protezione app di Intune.The Intune App Protection blade is displayed.
  4. Scegliere App protette nel pannello Protezione app di Intune.Choose Protected apps from the Intune App Protection blade. Verrà aperto il pannello App protette che mostra tutte le app già incluse nell'elenco per i criteri di protezione delle app.The Protected apps blade opens showing you all apps that are already included in the list for this app protection policy.
  5. Selezionare Aggiungi app.Select Add apps. Le informazioni per Aggiungi app mostrano un elenco filtrato di app.The Add apps information shows you a filtered list of apps. L'elenco nella parte superiore del pannello consente di modificare il filtro dell'elenco.The list at the top of the blade allows you to change the list filter.
  6. Nell'elenco selezionare App Store.From the list, select Store apps.
  7. Immettere i valori per Nome, Editore, Nome prodotto e Azione.Enter values for Name, Pubisher, Product Name, and Action. Assicurarsi di impostare il valore di Azione su Consenti, in modo che l'app possa accedere ai dati aziendali.Be sure to set the Action value to Allow, so that the app will have access to your corporate data.
  8. Fare clic su OK.Click OK. Il pannello App protette viene aggiornato per visualizzare tutte le app selezionate.The Protected apps blade is updated showing all selected apps.
  9. Fare clic su Save.Click Save.

Aggiungere un'app desktop all'elenco delle app protetteAdd a desktop app to your protected apps list

Per aggiungere un'app desktopTo add a desktop app

  1. Selezionare App per dispositivi mobili nel pannello Microsoft Intune.Select Mobile apps on the Microsoft Intune blade.
  2. Selezionare Criteri di protezione delle app nel pannello App per dispositivi mobili.Select App protection policies on the Mobile apps blade.
  3. Nel pannello Criteri di protezione delle app scegliere i criteri che si vuole modificare.On the App protection policies blade, choose the policy you want to modify. Viene visualizzato il pannello Protezione app di Intune.The Intune App Protection blade is displayed.
  4. Scegliere App protette nel pannello Protezione app di Intune.Choose Protected apps from the Intune App Protection blade. Verrà aperto il pannello App protette che mostra tutte le app già incluse nell'elenco per i criteri di protezione delle app.The Protected apps blade opens showing you all apps that are already included in the list for this app protection policy.
  5. Selezionare Aggiungi app.Select Add apps. Le informazioni per Aggiungi app mostrano un elenco filtrato di app.The Add apps information shows you a filtered list of apps. L'elenco nella parte superiore del pannello consente di modificare il filtro dell'elenco.The list at the top of the blade allows you to change the list filter.
  6. Nell'elenco selezionare App desktop.From the list, select Desktop apps.
  7. Immettere i valori per Nome, Editore, Nome prodotto, File, Versione minima, Versione massima e Azione.Enter values for Name, Pubisher, Product Name, File, Min Version, Max Version, and Action. Assicurarsi di impostare il valore di Azione su Consenti, in modo che l'app possa accedere ai dati aziendali.Be sure to set the Action value to Allow, so that the app will have access to your corporate data.
  8. Fare clic su OK.Click OK. Il pannello App protette viene aggiornato per visualizzare tutte le app selezionate.The Protected apps blade is updated showing all selected apps.
  9. Fare clic su Save.Click Save.

Apprendimento WIPWIP Learning

Dopo aver aggiunto le app che si vuole proteggere con WIP, è necessario applicare una modalità di protezione usando Apprendimento WIP.After you add the apps you want to protect with WIP, you need to apply a protection mode by using WIP Learning.

Prima di iniziareBefore you begin

Apprendimento WIP è un report che consente di monitorare le app abilitate per WIP e le app sconosciute WIP.WIP Learning is a report that allows you to monitor your WIP-enabled apps and WIP-unknown apps. Con app sconosciute si intendono quelle non distribuite dal reparto IT dell'organizzazione.The unknown apps are the ones not deployed by your organization’s IT department. È possibile esportare queste app dal report e quindi aggiungerle ai criteri WIP per evitare disservizi con effetti sulla produttività prima dell'applicazione di WIP in modalità "Blocca".You can export these apps from the report and add them to your WIP policies to avoid productivity disruption before they enforce WIP in “Block” mode.

Oltre a visualizzare informazioni sulle app abilitate per WIP, è possibile visualizzare un riepilogo dei dispositivi che hanno condiviso dati di lavoro con siti Web.In addition to viewing information about WIP-enabled apps, you can view a summary of the devices that have shared work data with websites. Con queste informazioni, è possibile determinare quali siti Web devono essere aggiunti ai criteri WIP per gruppi e utenti.With this information, you can determine which websites should be added to group and user WIP policies. Il riepilogo mostra gli URL di siti Web a cui hanno accesso le app abilitate per WIP.The summary shows which website URLs are accessed by WIP-enabled apps.

Quando si usano app abilitate per WIP e app sconosciute WIP, è consigliabile iniziare con Invisibile all'utente o Consenti sostituzioni e verificare con un piccolo gruppo di avere incluso le app appropriate nell'elenco delle app protette.When working with WIP-enabled apps and WIP-unknown apps, we recommend that you start with Silent or Allow Overrides while verifying with a small group that you have the right apps on your protected apps list. Quando si è pronti, è possibile passare al criterio di applicazione finale, ovvero Blocca.After you're done, you can change to your final enforcement policy, Block.

Caratteristiche delle modalità di protezioneWhat are the protection modes?

BloccaBlock

WIP rileva eventuali procedure di condivisione dei dati non appropriate e impedisce all'utente di completare l'azione.WIP looks for inappropriate data sharing practices and stops the user from completing the action. Può trattarsi, ad esempio, della condivisione di informazioni tra app non protette dall'azienda e della condivisione di dati aziendali tra altri utenti e dispositivi all'esterno dell'organizzazione.This can include sharing info across non-corporate-protected apps, and sharing corporate data between other people and devices outside of your organization.

Consenti sostituzioniAllow Overrides

WIP rileva eventuali procedure di condivisione dei dati non appropriate e avvisa gli utenti quando eseguono operazioni considerate potenzialmente non sicure.WIP looks for inappropriate data sharing, warning users when they do something deemed potentially unsafe. Questa modalità consente tuttavia all'utente di ignorare il criterio e di condividere i dati, con registrazione dell'azione nel log di controllo.However, this mode lets the user override the policy and share the data, logging the action to your audit log.

Invisibile all'utenteSilent

WIP viene eseguito in modo invisibile all'utente e registra attività di condivisione dei dati non appropriate senza bloccare alcuna operazione che richiederebbe l'interazione con il dipendente in modalità Consenti sostituzioni.WIP runs silently, logging inappropriate data sharing, without blocking anything that would have been prompted for employee interaction while in Allow Override mode. Le azioni non consentite, ad esempio app che tentano l'accesso in modo non appropriato a una risorsa di rete o a dati protetti da WIP, vengono bloccate.Unallowed actions, like apps inappropriately trying to access a network resource or WIP-protected data, are still stopped.

WIP viene disattivato e non consente di proteggere oppure di controllare i dati.WIP is turned off and doesn't help to protect or audit your data.

Dopo la disattivazione di WIP, viene effettuato un tentativo di decrittografare gli eventuali file contrassegnati da WIP nei dischi collegati in locale.After you turn off WIP, an attempt is made to decrypt any WIP-tagged files on the locally attached drives. Si noti che le informazioni precedenti relative a decrittografia e criteri non vengono riapplicate automaticamente se si riattiva la protezione WIP.Note that previous decryption and policy info isn’t automatically reapplied if you turn WIP protection back on.

Aggiungere una modalità di protezioneAdd a protection mode

  1. Nel pannello Criteri per le app scegliere il nome del criterio e quindi scegliere Impostazioni obbligatorie.From the App policy blade, choose the name of your policy, then choose Required settings.

    Screenshot della modalità di protezione

  2. Selezionare un'impostazione e quindi scegliere Salva.Select a setting and then choose Save.

Usare Apprendimento WIPUse WIP Learning

  1. Aprire il portale di Azure.Open the Azure portal. Scegliere Tutti i servizi.Choose All services. Digitare Intune nel filtro della casella di testo.Type Intune in the text box filter.

  2. Scegliere Intune > App per dispositivi mobili.Choose Intune > Mobile Apps.

  3. Scegliere Stato di protezione dell'App > Report > Apprendimento Windows Information Protection.Choose App protection status > Reports > Windows Information Protection learning.

    Quando le app sono visualizzate nel report di registrazione di Apprendimento WIP, sarà possibile aggiungerle ai criteri di protezione delle app.Once you have the apps showing up in the WIP Learning logging report, you can add them to your app protection policies.

Consentire all'indicizzatore di Ricerca di Windows di cercare elementi crittografatiAllow Windows Search Indexer to search encrypted items

Consente o impedisce l'indicizzazione di elementi.Allows or disallows the indexing of items. Questa opzione è per l'indicizzatore di Ricerca di Windows, che stabilisce se deve essere eseguita l'indicizzazione degli elementi che vengono crittografati, ad esempio i file protetti di Windows Information Protection (WIP).This switch is for the Windows Search Indexer, which controls whether it indexes items that are encrypted, such as the Windows Information Protection (WIP) protected files.

Questa opzione dei criteri di protezione dell'app si trova nelle impostazioni avanzate dei criteri di Windows Information Protection.This app protection policy option is in the Advanced settings of the Windows Information Protection policy. I criteri di protezione dell'app devono essere impostati sulla piattaforma Windows 10 e lo stato di registrazione dei criteri dell'app deve essere impostato su Con registrazione.The app protection policy must be set to the Windows 10 platform and the app policy Enrollment state must be set to With enrollment.

Quando i criteri sono abilitati, gli elementi protetti da WIP vengono indicizzati e i relativi metadati vengono archiviati in un percorso non crittografato.When the policy is enabled, WIP protected items are indexed and the metadata about them are stored in an unencrypted location. I metadati includono elementi come percorso del file e data di modifica.The metadata includes things like file path and date modified.

Quando i criteri sono disabilitati, gli elementi protetti da WIP non vengono indicizzati e non appaiono nei risultati di Cortana o Esplora file.When the policy is disabled, the WIP protected items are not indexed and do not show up in the results in Cortana or file explorer. Si può inoltre avere un impatto sulle prestazioni delle app Foto e Groove se nel dispositivo sono presenti molti file multimediali protetti con WIP.There may also be a performance impact on photos and Groove apps if there are many WIP protected media files on the device.

Aggiungere estensioni di file crittografatiAdd encrypted file extensions

Oltre a impostare l'opzione che consente all'indicizzatore di ricerca di Windows di cercare gli elementi crittografati, è possibile specificare un elenco di estensioni di file.In addition to setting the Allow Windows Search Indexer to search encrypted items option, you can specify a list of file extensions. I file con queste estensioni vengono crittografati durante la copia da una condivisione di Server Message Block (SMB) all'interno dell'azienda, come definito nell'elenco dei percorsi di rete.Files with these extensions are encrypted when copying from a Server Message Block (SMB) share within the corporate boundary as defined in the network location list. Quando questo criterio non viene specificato, viene applicato il comportamento di crittografia automatica esistente.When this policy is not specified, the existing auto-encryption behavior is applied. Quando il criterio è configurato, vengono crittografati solo i file con le estensioni indicate nell'elenco.When this policy is configured, only files with the extensions in the list will be encrypted.

Distribuire i criteri di protezione delle app WIPDeploy your WIP app protection policy

Importante

Queste informazioni si applicano a WIP senza registrazione del dispositivo.This information applies for WIP without device enrollment.

Dopo aver creato i criteri di protezione delle app WIP, è necessario distribuirli all'organizzazione tramite MAM.After you created your WIP app protection policy, you need to deploy it to your organization using MAM.

  1. Nel pannello Criteri per le app scegliere il nuovo criterio di protezione per le app, scegliereGruppi utenti > Aggiungi gruppo utenti.On the App policy blade, choose your newly created app protection policy, choose User groups > Add user group.

    Nel pannello Aggiungi un gruppo di utenti verrà visualizzato un elenco dei gruppi di utenti composto da tutti i gruppi di sicurezza in Azure Active Directory.A list of user groups, made up of all the security groups in your Azure Active Directory, opens in the Add user group blade.

  2. Scegliere il gruppo a cui si vuole applicare il criterio e quindi scegliere Seleziona per distribuire il criterio.Choose the group you want your policy to apply to, then choose Select to deploy the policy.

Passaggi successiviNext steps

Per maggiori dettagli su Windows Information Protection, vedere Proteggere i dati aziendali con Windows Information Protection (WIP).Learn more about Windows Information Protection, see Protect your enterprise data using Windows Information Protection (WIP).