Usare WIP e Intune per proteggere i dati aziendali contenuti nei documenti che usano i componenti aggiuntivi per OfficeUse WIP and Intune to protect enterprise data in documents running Office Add-ins

Quando gli utenti di un'organizzazione usano i componenti aggiuntivi per Office per interagire con i dati dell'organizzazione viene introdotto un potenziale rischio di perdita di alcuni dati. È possibile usare Windows Information Protection (WIP) e Microsoft Intune per proteggere i dati aziendali quando gli utenti usano i componenti aggiuntivi per Office.When users in an organization use Office Add-ins to interact with organizational data, this introduces a potential risk that some data might be leaked. You can use Windows Information Protection (WIP) and Microsoft Intune to protect enterprise data when users are running Office Add-ins.

WIP, in precedenza noto come Protezione dei dati aziendali, consente alle aziende di proteggere la proprietà intellettuale e i dati aziendali. WIP consente di proteggere le app e i dati aziendali da perdite di dati accidentali, sia sui dispositivi di proprietà dell'azienda, sia su quelli personali che i dipendenti portano al lavoro, senza richiedere modifiche all'ambiente o altre app.WIP, previously known as enterprise data protection (EDP), enables enterprises to protect intellectual property and corporate data. WIP helps protect enterprise apps and data against accidental data leaks, on both enterprise-owned devices and personal devices that employees bring to work, without requiring changes to the environment or other apps.

Intune offre un ampio set di strumenti per gestire ambienti per dispositivi mobili complessi. La combinazione di opzioni di gestione di applicazioni mobili e gestione dei dispositivi di Intune offre ad amministratori IT e utenti finali la flessibilità necessaria per gestire e proteggere la produttività dei dispositivi mobili.Intune provides a diverse set of tools for managing your complex mobile environment. Intune’s combination of mobile application management and device management options gives IT administrators and end users the flexibility to manage and secure mobile productivity.

È possibile usare Intune per creare e distribuire criteri WIP. Con Intune è possibile scegliere le app protette e il livello di protezione WIP, nonché trovare i dati aziendali nella rete.You can use Intune to create and deploy your WIP policy. With Intune, you can choose your protected apps and your WIP protection level, and find enterprise data on the network.

Con WIP e Intune:With WIP and Intune:

  • Le aziende possono assicurarsi che i criteri vengano applicati in modo adeguato ai dati aziendali, anche quando questi vengono scaricati sui dispositivi personali.Enterprises can provide reasonable corporate data policy enforcement, even when data is downloaded to personal devices.

  • Le aziende possono usare una formazione contestuale sui criteri per informare gli utenti sulle modalità di protezione dalla divulgazione accidentale dei dati a servizi e app non gestiti.Enterprises can use contextual policy education to inform users about how to protect against inadvertent data disclosure to unmanaged apps and services.

  • Gli utenti finali possono mantenere la conformità ai criteri relativi ai dati aziendali senza interrompere il normale flusso di lavoro.End users can comply with corporate data policies without disrupting their typical workflow.

  • Gli utenti finali possono passare facilmente dagli strumenti di lavoro a quelli per la produttività personale e viceversa.End users can seamlessly transition between work and personal productivity.

WIP e Intune vengono eseguiti in background e sono praticamente invisibili quando gli utenti non mescolano contenuto personale e aziendale.WIP and Intune run silently in the background and are virtually invisible when users don’t mix personal and enterprise content.

I componenti aggiuntivi per Office si basano su tecnologie Web. Arricchiscono le applicazioni di Office con la potenza e le informazioni del Web. I componenti aggiuntivi interagiscono con il contenuto in un'applicazione di Office tramite le API disponibili in Office.js. I principi fondamentali su cui si basano i componenti aggiuntivi per Office includono:Office Add-ins are built on web technologies. They bring the power and information from the web to Office applications. Add-ins interact with the content in an Office application via the APIs available in Office.js. Core tenets of Office Add-ins include:

  • Sicurezza: l'architettura della piattaforma JavaScript di Office assicura che il codice del componente aggiuntivo sia in modalità sandbox e venga eseguito in un processo distinto rispetto all'applicazione host di Office. Ciò consente alla piattaforma di intraprendere un'azione correttiva quando un componente aggiuntivo non soddisfa gli standard di prestazioni o è potenzialmente dannoso inviando una notifica all'utente e, in alcuni casi, disabilitando il componente aggiuntivo. Questa architettura funziona su tutte le piattaforme che supportano i componenti aggiuntivi per Office.Security: The Office JavaScript platform architecture ensures that the add-in code is sandboxed and runs in a separate process with respect to the host Office application. This enables the platform to take corrective action when an add-in does not meet performance standards or is potentially malicious by notifying the user, and in some cases, disabling the add-in. This architecture works on all platforms that support Office Add-ins.

  • Resilienza: la natura "out-of-process" della piattaforma dei componenti aggiuntivi assicura che il componente aggiuntivo non influisca sulle prestazioni o sull'esperienza utente dell'applicazione host di Office. Questo è fondamentale per mantenere Office veloce e reattivo alle azioni dell'utente.Resiliency: The “out-of-process” nature of the add-in platform ensures that the add-in itself does not affect the performance or user experience of the host Office application. This is critical to keeping Office fast and responsive to user actions.

  • Multipiattaforma: i componenti aggiuntivi possono essere eseguiti su tutte le piattaforme in cui viene eseguito Office. Sono attualmente supportati in Windows, Office Online, Mac e iPad. Presto sarà disponibile il supporto per i componenti aggiuntivi sulle piattaforme Android e Universal.Cross-platform: Write once, run everywhere Office runs. Add-ins are currently supported on Windows, Office Online, Mac, and iPad. Support for add-ins on Android and Universal platform will be available soon.

È possibile usare i componenti aggiuntivi per Office con contenuto aziendale e potenzialmente sensibile all'interno di un documento. In base ai principi di estendibilità dell'applicazione, i componenti aggiuntivi ereditano l'accesso dai criteri dell'applicazione host. Ad esempio, se le impostazioni di WIP impediscono a Word di accedere al contenuto aziendale, i componenti aggiuntivi non potranno accedere a questo tipo di contenuto in un documento di Word.Office Add-ins can work with enterprise and potentially sensitive content within a document. As part of the application extensibility, add-ins inherit their access from the host application policy. For example, if WIP settings prevent Word from accessing enterprise content, add-ins won’t be able to access enterprise content in a Word document.

Uno degli obiettivi per i componenti aggiuntivi è l'eliminazione dei problemi gravi per gli utenti finali consentendo allo stesso tempo agli amministratori dell'organizzazione di bloccare i componenti aggiuntivi se necessario. I principi fondamentali per i componenti aggiuntivi per Office relativamente all'abilitazione della protezione dei dati includono:One of the goals for add-ins is to remove any blocking issues for end users while also ensuring that enterprise administrators can block add-ins if necessary. The main principles for Office Add-ins regarding enabling data protection include:

  • Offrire agli amministratori IT un modo per bloccare il caricamento dei componenti aggiuntivi.Provide a way for IT administrators to block add-ins from loading.

  • Ridurre o eliminare il lavoro degli amministratori per preparare i componenti aggiuntivi per l'uso in azienda.Minimize or eliminate work required by administrators to make add-ins enterprise ready.

  • Ridurre al minimo richieste di conferma e messaggi per gli utenti finali durante l'uso del componente aggiuntivo.Minimize the prompts and messages for end users during add-in usage.

  • Eliminare le richieste di conferma da parte degli utenti finali quando il documento e il componente aggiuntivo hanno lo stesso contesto.Eliminate prompts for end users when the document and the add-in have the same context.

Componenti aggiuntivi e WIPAdd-ins and WIP

Quando si abilita WIP nel proprio ambiente, è possibile abilitare gli scenari seguenti per i componenti aggiuntivi per Office:When you enable WIP in your environment, you can enable the following scenarios for your Office Add-ins:

  • I componenti aggiuntivi per Office vengono attivati usando il contesto del documento. Per Outlook il contesto per il componente aggiuntivo si basa sulla cassetta postale attiva corrente. Le autorizzazioni per il componente aggiuntivo sono chiaramente definite nella richiesta di conferma dell'attendibilità prima che il componente aggiuntivo venga attivato. L'utente decide se il componente aggiuntivo è appropriato in un documento specifico e se consentirne o meno l'esecuzione.Office Add-ins are activated using the document context. For Outlook, the context for the add-in is based on the current active mailbox. Add-in permissions are clearly defined in the Trust prompt before the add-in is activated. The user decides whether the add-in is appropriate in a specific document, and whether to allow the add-in to run.

  • Gli amministratori possono usare i criteri di gruppo per bloccare tutti i componenti aggiuntivi di Office Store o tutti i componenti aggiuntivi per Office. In questo modo, gli utenti potranno attivare solo i componenti aggiuntivi attendibili contenuti in un catalogo aziendale SharePoint o Office 365.Administrators can use group policy to block all Office Store add-ins or all Office Add-ins. This means that users can activate only trusted add-ins from a SharePoint or Office 365 corporate catalog.

  • Gli amministratori possono bloccare i componenti aggiuntivi a livello di firewall mediante la gestione di dispositivi mobili (MDM). Si noti che ciò non funziona in scenari con dispositivi mobili o Bring Your Own Device (BYOD).Administrators can block add-ins at the firewall level using mobile device management (MDM). Note that this does not work for mobile or bring your own device (BYOD) scenarios.

  • I componenti aggiuntivi applicano l'operazione di copia e incolla tra contesti aziendali e personali. Ad esempio, quando un utente copia dal componente aggiuntivo di un contesto aziendale e incolla in un documento personale, viene visualizzata la richiesta di conferma predefinita dell'operazione di copia e incolla tra contesti.Add-ins apply the copy-paste operation between enterprise and personal contexts. For example, when a user copies from an enterprise context add-in and pastes into a personal document, the default copy-paste across contexts prompt is displayed.

La tabella seguente illustra il comportamento previsto del componente aggiuntivo in contesti e documenti aziendali e personali quando WIP è abilitato.The following table lists the expected add-in behavior in enterprise and personal contexts and documents when WIP is enabled.

Nota

  • Le operazioni taglia, copia e incolla all'interno e all'esterno dell'applicazione host funzionano come previsto in tutti gli scenari.Cut, copy, and paste operations within and outside of the host application work as expected in all scenarios.
  • Il trasferimento dei dati ai servizi del componente aggiuntivo non è protetto in tutti gli scenari.Data transfer to add-in services is not protected in all scenarios.
Tipo di documento o cassetta postaleDocument or mailbox type Componente aggiuntivo in contesto personaleAdd-in in personal context Componente aggiuntivo in contesto aziendaleAdd-in in enterprise context
PersonalePersonal Il componente aggiuntivo viene caricato nel contesto personale.Add-in loads in personal context.

L'accesso agli URL aziendali non è consentito (anche se nel dominio della propria app).Navigation to enterprise URLs is not allowed (even if in its own app domain).

L'accesso agli URL personali è consentitoNavigation to personal URLS is allowed
Il caricamento o l'attivazione del componente aggiuntivo non riesce.Add-in fails to load or activate.

Se il contesto del documento è elevato (ad esempio, tramite il salvataggio in un percorso aziendale):If the document’s context is elevated (for example: by saving it to an enterprise location):

- L'accesso agli URL aziendali è consentito.- Navigation to enterprise URLs is allowed.

- L'accesso agli URL personali è consentito.- Navigation to personal URLs is allowed.
AziendaleEnterprise Il componente aggiuntivo viene caricato nel contesto aziendale.Add-in loads in enterprise context.

L'accesso agli URL aziendali è consentito.Navigation to enterprise URLs is allowed.

L'accesso agli URL personali è consentito.Navigation to personal URLs is allowed.
Il componente aggiuntivo viene caricato nel contesto aziendale.Add-in loads in enterprise context.

L'accesso agli URL aziendali è consentito.Navigation to enterprise URLs is allowed.

L'accesso agli URL personali è consentito.Navigation to personal URLs is allowed.
Non salvatoUnsaved Il componente aggiuntivo viene caricato nel contesto personale.Add-in loads in personal context.

L'accesso agli URL aziendali non è consentito (anche se nel dominio della propria app).Navigation to enterprise URLs is not allowed (even if in its own app domain).

L'accesso agli URL personali è consentito.Navigation to personal URLs is allowed.
Il componente aggiuntivo viene caricato nel contesto aziendale e il documento viene automaticamente convertito al contesto aziendale. Ciò significa che il documento deve essere salvato in un percorso aziendale.Add-in loads in enterprise context, and the document is silently converted to enterprise context. This means the document must be saved to an enterprise location.

L'accesso agli URL aziendali è consentito. L'accesso agli URL personali è consentito.Navigation to enterprise URLs is allowed.Navigation to personal URLs is allowed.

Componenti aggiuntivi e IntuneAdd-ins and Intune

In Office per iPad i componenti aggiuntivi per Office sono attualmente supportati per Word, Excel e PowerPoint. Outlook attualmente supporta i componenti aggiuntivi in iOS (iPad e iPhone). Gli amministratori di Outlook possono disattivare i componenti aggiuntivi per impostazione predefinita, inclusi quelli installati dagli sviluppatori, e abilitare solo i componenti aggiuntivi specifici approvati dall'organizzazione. La tabella seguente descrive il supporto per gli scenari di protezione dei dati per i componenti aggiuntivi in esecuzione in Office per i dispositivi iOS che usano gli strumenti di Protezione app di Intune.On Office for iPad, Office Add-ins are currently supported for Word, Excel, and PowerPoint. Outlook currently supports add-ins on iOS (iPad and iPhone). Outlook administrators can turn off the add-ins by default, including developer installed add-ins, and only enable the specific add-ins approved by their organization. The following table outlines support for data protection scenarios for add-ins running on Office for iOS devices that use the Intune app protection tools.

Nota

Per informazioni sui componenti aggiuntivi di Outlook in esecuzione su dispositivi Android e iOS, vedere Gestire l'accesso utente ai componenti aggiuntivi per Outlook e Componenti aggiuntivi per Outlook.For information about Outlook add-ins running on Android and iOS devices, see Manage user access to add-ins for Outlook and Add-ins for Outlook.

Tipo di documento o cassetta postaleDocument or mailbox type Componenti aggiuntivi in contesto personale per iOS con Protezione app di Intune*Add-ins in personal context for iOS with Intune App Protection* Componenti aggiuntivi in contesto aziendale per iOS con Protezione app di Intune*Add-ins in enterprise context for iOS with Intune App Protection*
PersonalePersonal La presenza di Protezione app di Intune nei documenti personali non influisce sull'uso dei componenti aggiuntivi.Add-ins usage is unaffected by Intune app protection in personal documents. La presenza di Protezione app di Intune nei documenti personali non influisce sull'uso dei componenti aggiuntivi.Add-ins usage is unaffected by Intune app protection in personal documents.
AziendaleEnterprise L'attivazione dei componenti aggiuntivi personali è consentita.Personal add-ins are allowed to activate.

I criteri di Protezione app di Intune sono in grado di proteggere le operazioni taglia, copia, incolla e gli scenari di trasferimento dei dati tra il componente aggiuntivo e le altre applicazioni presenti sul dispositivo.Intune app protection policies can protect cut, copy, paste, and data transfer scenarios between the add-in and other applications on the device.

Il trasferimento dei dati ai servizi del componente aggiuntivo non è protetto.Data transfer to add-in services is not protected.
L'attivazione dei componenti aggiuntivi aziendali è consentita. Gli amministratori possono controllare quali componenti aggiuntivi vengono pubblicati tramite gli strumenti di gestione di Office (Distribuzione centralizzata di Office 365).Enterprise add-ins are allowed to activate. Administrators can control which add-ins are published via Office management tools (Office 365 centralized deployment).

I criteri di Protezione app di Intune sono in grado di proteggere le operazioni taglia, copia, incolla e gli scenari di trasferimento dei dati tra il componente aggiuntivo e le altre applicazioni presenti sul dispositivo.Intune app protection policies can protect cut, copy, paste, and data transfer scenarios between the add-in and other applications on the device.

Il trasferimento dei dati ai servizi del componente aggiuntivo non è protetto.Data transfer to add-in services is not protected.

* Gli amministratori possono usare la Distribuzione centralizzata di Office 365 per distribuire i componenti aggiuntivi di Word, Excel e PowerPoint a singoli utenti, gruppi o a un'organizzazione direttamente dall'interfaccia di amministrazione di Office 365 o usando gli script di PowerShell. Quando l'utente apre un'applicazione di Office in Windows, Mac o in Office Online, il componente aggiuntivo viene automaticamente installato sulla barra multifunzione.* Administrators can use Office 365 Centralized deployment to deploy Word, Excel, and PowerPoint add-ins to individual users, groups, or an organization directly from the Office 365 admin center or using PowerShell scripts. When users open an Office application on Windows, Mac, or Office Online, the add-in is automatically installed on their ribbon.

RiepilogoSummary

Visti i principi su cui si basano i componenti aggiuntivi per Office, WIP e Intune consentono agli amministratori di gestire i dati aziendali e offrono agli utenti finali gli strumenti necessari per svolgere il proprio lavoro. Ciò crea un potenziale rischio di divulgazione dei dati aziendali all'esterno dell'organizzazione. Le API JavaScript di Office attualmente non offrono agli sviluppatori il modo di riconoscere il tipo di dati trasmesso tra il documento di Office e il componente aggiuntivo. Gli sviluppatori sono quindi costretti a presentare all'utente molteplici richieste di conferma e in alcuni casi i file personali vengono erroneamente contrassegnati come file aziendali determinando effetti negativi sull'esperienza utente e il mancato allineamento ai principi relativi alla protezione dei dati.Given the principles with respect to Office Add-ins, WIP and Intune enable administrators to manage enterprise data and provide the tools that end users need to accomplish their work. This creates the potential for enterprise data to leak outside the organization’s boundaries. The Office JavaScript APIs do not currently provide a way for developers to recognize the type of data being transmitted between the Office document and the add-in. This requires developers to surface multiple prompts to the user and in some cases erroneously mark personal files as enterprise files, which can have a negative effect on the user experience, and does not align with data protection principles.

Microsoft si impegna a proteggere i dati dei clienti e continuerà a investire per migliorare le tecnologie e l'esperienza d'uso di Intune e WIP per i clienti.Microsoft is committed to protecting customer data and will continue to invest in making the Intune and WIP technologies and experience better for customers.

Altre informazioniLearn more