Creare un criterio Windows Information Protection (WIP) usando il portale di Azure per Microsoft Intune

Si applica a:

  • Windows10 versione 1607 e successive
  • Windows10 mobile, versione 1607 e successive (ad eccezione di Microsoft Azure Rights Management, disponibile solo sul desktop)

Microsoft Intune offre un modo semplice per creare e distribuire criteri di Windows Information Protection (WIP). È possibile scegliere le app da proteggere, il livello di protezione e come trovare i dati aziendali nella rete. I dispositivi possono essere completamente gestiti da gestione di dispositivi mobili (MDM) o gestiti da gestione di applicazioni mobili (MAM), dove Intune gestisce solo le app nel dispositivo personale di un utente.

Differenze tra MDM e MAM per WIP

Puoi creare un criterio di protezione delle app in Intune con la registrazione del dispositivo per MDM o senza registrazione del dispositivo per MAM. Il processo per creare uno dei due criteri è simile, ma sono presenti differenze importanti:

  • MAM include altre impostazioni di accesso per Windows Hello for business.
  • MAM può cancellare selettivamente i dati aziendali dal dispositivo personale di un utente.
  • MAM richiede una licenza Premium di Azure Active firme (Azure ad).
  • È necessaria anche una licenza Premium di Azure AD per il ripristino automatico WIP, in cui un dispositivo può eseguire nuovamente la registrazione e riottenere l'accesso ai dati protetti. Il ripristino automatico WIP dipende dalla registrazione di Azure AD per eseguire il backup delle chiavi di crittografia, che richiede l'iscrizione automatica del dispositivo con MDM.
  • MAM supporta un solo utente per dispositivo.
  • MAM può gestire solo app illuminate.
  • Solo MDM può usare i criteri CSP di BitLocker .
  • Se gli stessi utenti e dispositivi sono destinati sia a MDM che a MAM, il criterio MDM verrà applicato ai dispositivi Uniti ad Azure AD. Per i dispositivi personali che sono collegati al luogo di lavoro, ovvero aggiunti tramite le impostazioni > diposta elettronica & account > aggiungere un account aziendale o dell'Istituto di istruzione), il criterio solo Mam sarà preferito, ma è possibile aggiornare il dispositivo gestione di MDM in Impostazioni. Windows Home Edition supporta solo WIP per MAM-only; l'aggiornamento ai criteri di MDM in Home Edition revocherà l'accesso ai dati protetto da WIP.

Prerequisiti

Prima di poter creare un criterio WIP tramite Intune, è necessario configurare un provider MDM o MAM in Azure Active Directory (Azure AD). MAM richiede una licenza Premium di Azure Active firme (Azure ad). È necessaria anche una licenza Premium di Azure AD per il ripristino automatico WIP, in cui un dispositivo può eseguire nuovamente la registrazione e riottenere l'accesso ai dati protetti. Il ripristino automatico WIP si basa sulla registrazione di Azure AD per eseguire il backup delle chiavi di crittografia, che richiede l'iscrizione automatica del dispositivo con MDM.

Configurare il provider MDM o MAM

  1. Accedere a Azure Portal.
  2. Fare clic su Azure Active Directory > Mobility (MDM e MAM) > Microsoft Intune.
  3. Fare clic su Ripristina URL predefiniti oppure immettere le impostazioni per l'ambito utente MDM o MAM e fare clic su Salva:

    Configurare il provider MDM o MAM

Creare un criterio WIP

  1. Accedere a Azure Portal.

  2. Aprire Microsoft Intune e fare clic su criteri diprotezione > delle app client Apps > percreare criteri.

    Aprire app client

  3. Nella schermata Criteri app fai clic su Aggiungi un criterioe quindi compila i campi:

    • Nome. Digita un nome (obbligatorio) per il nuovo criterio.

    • Descrizione. Digita una descrizione facoltativa.

    • Piattaforma. Scegliere Windows 10.

    • Stato registrazione. Scegliere senza registrazione per mam o con l' iscrizione per MDM.

    Aggiungere un criterio per l'app per dispositivi mobili

  4. Fare clic su app protette e quindi su Aggiungi app.

    Aggiungere app protette

    Puoi aggiungere questi tipi di app:

Nota

Un'applicazione potrebbe restituire gli errori di accesso negato dopo averlo rimosso dall'elenco delle app protette. Anziché rimuoverlo dall'elenco, disinstallare e reinstallare l'applicazione o esentarla dai criteri WIP.

Aggiungere app consigliate

Selezionare app consigliate e selezionare tutte le app a cui si vuole accedere ai dati aziendali oppure selezionarle tutte, quindi fare clic su OK.

Microsoft Intune Management Console: app consigliate

Aggiungere app di Windows Store

Selezionare Archivia app, digitare il nome del prodotto e l'editore dell'app e fare clic su OK. Ad esempio, per aggiungere l'app Power BI per dispositivi mobili dallo Store, digitare quanto segue:

  • Nome: Microsoft Power bi
  • Publisher: CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
  • Nome prodotto: Microsoft.MicrosoftPowerBIForWindows

Aggiungere un'app Store

Per aggiungere più app dello Store, fare clic sui puntini di sospensione ....

Se non si conosce lo Store App Publisher o il nome del prodotto, è possibile trovarli seguendo questa procedura.

  1. Vai al sito Web Microsoft Store per le aziende e trova l'app. Ad esempio, l' app Power BI per dispositivi mobili.

  2. Copia il valore ID dall'URL dell'app. Ad esempio, l'URL dell'ID app per dispositivi mobili https://www.microsoft.com/store/p/microsoft-power-bi/9nblgggzlxn1Power bi è e devi copiare il valore ID 9nblgggzlxn1.

  3. In un browser esegui l'API Web del portale dello Store per le aziende per restituire un file JSON (JavaScript Object Notation) che include i valori per il nome dell'autore e del prodotto. Ad esempio, Esegui https://bspmts.mp.microsoft.com/v1/public/catalog/Retail/Products/9nblgggzlxn1/applockerdata, dove 9nblgggzlxn1 viene sostituito con il valore ID.

    L'API viene eseguita e apre un editor di testo con i dettagli dell'app.

        {
            "packageIdentityName": "Microsoft.MicrosoftPowerBIForWindows",
            "publisherCertificateName": "CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US"
        }
    
  4. Copia il valore publisherCertificateName nella casella Autore e il valore packageIdentityName nella casella Nome di Intune.

    Importante

    Il file JSON potrebbe anche restituire un valore windowsPhoneLegacyId per le caselle Nome autore e Nome prodotto. Questo significa che la tua app usa un pacchetto XAP e che devi impostare il valore Nome prodotto su windowsPhoneLegacyId e il valore Nome autore su CN= seguito da windowsPhoneLegacyId.

    Ad esempio:
    {
    "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
    }

Se è necessario aggiungere app di Windows 10 per dispositivi mobili non distribuite tramite lo Store per le aziende, è necessario usare la funzionalità Windows Device Portal .

Nota
Il PC e il telefono devono essere connessi alla stessa rete wireless.

  1. In Windows Phone passa a Impostazioni, scegli Aggiornamento e sicurezza, quindi Per sviluppatori.

  2. Nella schermata Per sviluppatori attiva Modalità sviluppatore, Individuazione dispositivi e quindi Device Portal.

  3. Copia l'URL nell'area Portale dispositivi del browser del dispositivo e quindi accetta il certificato SSL.

  4. Nell'area Individuazione dispositivi premi Abbina e quindi inserisci il PIN nel sito Web dal passaggio precedente.

  5. Nella scheda App del sito Web puoi visualizzare i dettagli per le app in esecuzione, inclusi il nome autore e il nome prodotto.

  6. Avvia l'app per cui stai cercando i valori dei nomi dell'autore e del prodotto.

  7. Copia il valore publisherCertificateName e incollalo nella casella Nome autore e il valore packageIdentityName nella casella Nome prodotto di Intune.

    Importante

    Il file JSON potrebbe anche restituire un valore windowsPhoneLegacyId per le caselle Nome autore e Nome prodotto. Questo significa che la tua app usa un pacchetto XAP e che devi impostare il valore Nome prodotto su windowsPhoneLegacyId e il valore Nome autore su CN= seguito da windowsPhoneLegacyId.

    Ad esempio:
    {
    "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
    }

Aggiungere app desktop

Per aggiungere app desktop, completare i campi seguenti in base ai risultati desiderati restituiti.

Campo Gestisce
Tutti i campi contrassegnati come "*" Tutti i file firmati da un autore. (Scelta non consigliata)
Solo autore Se si compila solo questo campo, riceverai tutti i file firmati dall'autore indicato.

Può essere utile se la società è l'autore e il firmatario di app line-of-business interne.
Solo autore e nome Se compili solo questi campi, riceverai tutti i file per il prodotto specificato, firmati dall'autore indicato.
Solo autore, nome e file Se compili solo questi campi, riceverai una qualsiasi versione del pacchetto o del file specificato per il prodotto specificato, firmati dall'autore indicato.
Solo autore, nome, file e versione minima Se compili solo questi campi, riceverai la versione specificata o le versioni successive del pacchetto o del file specificato per il prodotto specificato, firmate dall'autore indicato.

Questa opzione è consigliata per app con riconoscimento dei dati aziendali che in precedenza erano senza riconoscimento dei dati aziendali.
Solo autore, nome, file e versione massima Se compili solo questi campi, riceverai la versione specificata o le versioni precedenti del pacchetto o del file specificato per il prodotto specificato, firmate dall'autore indicato.
Tutti i campi completati Se compili tutti i campi, riceverai la versione specifica del pacchetto o del file specificato per il prodotto specificato, firmati dall'autore indicato.

Per aggiungere un'altra app desktop, fare clic sui puntini di sospensione . Dopo aver immesso le informazioni nei campi, fare clic su OK.

Console di gestione di Microsoft Intune: aggiungere informazioni sull'app desktop

In caso di dubbi su cosa includere per l'autore, puoi eseguire questo comando di Windows PowerShell:

Get-AppLockerFileInformation -Path "<path_of_the_exe>"

Dove "<path_of_the_exe>" rappresenta il percorso dell'app nel dispositivo. Ad esempio:

Get-AppLockerFileInformation -Path "C:\Program Files\Windows NT\Accessories\wordpad.exe"

Per questo esempio otterrai le seguenti informazioni:

Path                   Publisher
----                   ---------
%PROGRAMFILES%\WINDOWS NT\ACCESSORIES\WORDPAD.EXE O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US

Dove O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US si trova **** il nome dell' WORDPAD.EXE editore ed è il nome del file .

Importare un elenco di app

In questa sezione vengono illustrati due esempi dell'uso di un file XML di AppLocker nell'elenco delle app protette . Potrai usare questa opzione se vuoi aggiungere più app contemporaneamente.

Per altre info su AppLocker, vedi i contenuti su AppLocker.

Creare una regola dell'app con pacchetto per le app Store

  1. Apri lo snap-in Criteri di sicurezza locali (SecPol.msc).

  2. Nel pannello sinistro espandi Criteri di controllo delle applicazioni, espandi AppLocker , quindi fai clic su Regole app in pacchetto.

    Visualizzazione dell'opzione Regole app in pacchetto (snap-in Criteri di sicurezza locali)

  3. Fai clic con il pulsante destro del mouse nel pannello a destra e quindi scegli Crea nuova regola.

    Viene visualizzata la procedura guidata di creazione delle regole delle app in pacchetto.

  4. Nella pagina Prima di iniziare fai clic su Avanti.

    Visualizzazione della pagina Prima di iniziare (procedura guidata di creazione delle regole delle app in pacchetto)

  5. Nella pagina Autorizzazioni assicurati che Azione sia impostato su Consenti e che Utente o gruppo sia impostato su Everyone e quindi fai clic su Avanti.

    Visualizzazione della pagina Prima di iniziare (procedura guidata di creazione delle regole delle app in pacchetto)

  6. In Autore fai clic su Seleziona nell'area Usa app in pacchetto installata come riferimento.

    Visualizzazione dell'autore (procedura guidata di creazione delle regole delle app in pacchetto)

  7. Nella finestra Selezione applicazioni seleziona l'app che vuoi usare come riferimento per la regola e quindi fai clic su OK. Per questo esempio, useremo Microsoft Dynamics 365.

    Visualizzazione della pagina Selezione applicazioni (procedura guidata di creazione delle regole delle app in pacchetto)

  8. Nella pagina Autore aggiornata fai clic su Crea.

    Visualizzazione di Microsoft Dynamics 365 nella pagina Autore (procedura guidata di creazione delle regole delle app in pacchetto)

  9. Fai clic su No nella finestra di dialogo visualizzata, in cui viene chiesto se si desidera creare le regole predefinite. Non si devono creare regole predefinite per i criteri WIP.

    Visualizzazione di Microsoft Dynamics 365 nella pagina Autore (procedura guidata di creazione delle regole delle app in pacchetto)

  10. Esamina lo snap-in Criteri di sicurezza locali per assicurarti che la regola sia corretta.

    Visualizzazione della nuova regola (snap-in Criteri di sicurezza locali)

  11. Nel pannello sinistro fai clic con il pulsante destro del mouse su AppLocker e quindi scegli Esporta criterio.

    Viene visualizzata la finestra Esporta criterio, che ti permette di esportare e salvare il nuovo criterio come file XML.

    Opzione Esporta criterio (snap-in Criteri di sicurezza locali)

  12. Nella finestra Esporta criterio passa al percorso in cui deve essere archiviato il criterio, assegna un nome al criterio e quindi fai clic su Salva.

    Il criterio viene salvato e viene visualizzato un messaggio che indica che è stata esportata una regola del criterio.

    File di esempio XML
    Questo è il file XML creato da AppLocker per Microsoft Dynamics 365.

        <?xml version="1.0"?>
        <AppLockerPolicy Version="1">
            <RuleCollection EnforcementMode="NotConfigured" Type="Appx">
                <FilePublisherRule Action="Allow" UserOrGroupSid="S-1-1-0" Description="" Name="Microsoft.MicrosoftDynamicsCRMforWindows10, version 3.2.0.0 and above, from Microsoft Corporation" Id="3da34ed9-aec6-4239-88ba-0afdce252ab4">
                    <Conditions>
                        <FilePublisherCondition BinaryName="*" ProductName="Microsoft.MicrosoftDynamicsCRMforWindows10" PublisherName="CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US">
                            <BinaryVersionRange HighSection="*" LowSection="3.2.0.0"/>
                        </FilePublisherCondition>
                    </Conditions>
                </FilePublisherRule>
            </RuleCollection>
            <RuleCollection EnforcementMode="NotConfigured" Type="Dll"/>
            <RuleCollection EnforcementMode="NotConfigured" Type="Exe"/>
            <RuleCollection EnforcementMode="NotConfigured" Type="Msi"/>
            <RuleCollection EnforcementMode="NotConfigured" Type="Script"/>
        </AppLockerPolicy>
    
  13. Dopo aver creato il file XML, devi importarlo usando Microsoft Intune.

Creare una regola eseguibile per le app non firmate

  1. Apri lo snap-in Criteri di sicurezza locali (SecPol.msc).

  2. Nel riquadro sinistro fare clic suregole eseguibilidiAppLocker > per i criteri > di controllo applicazione.

  3. Fare clic con il pulsante destro del mouse su regole > eseguibiliCrea nuova regola.

    Snap-in sicurezza locale che mostra le regole eseguibili

  4. Nella pagina Prima di iniziare fai clic su Avanti.

  5. Nella pagina Autorizzazioni assicurati che Azione sia impostato su Consenti e che Utente o gruppo sia impostato su Everyone e quindi fai clic su Avanti.

  6. Nella pagina condizioni fare clic su percorso e quindi su Avanti.

    Visualizzazione dell'autore (procedura guidata di creazione delle regole delle app in pacchetto)

  7. Fare clic su Sfoglia cartelle. .. e selezionare il percorso per le app non firmate. Per questo esempio, stiamo usando "C:\Programmi".

    Visualizzazione della pagina Selezione applicazioni (procedura guidata di creazione delle regole delle app in pacchetto)

  8. Nella pagina eccezioni aggiungere eventuali eccezioni e quindi fare clic su Avanti.

  9. Nella pagina nome Digitare un nome e una descrizione per la regola e quindi fare clic su Crea.

  10. Nel riquadro sinistro fare clic con il pulsante destro del mouse sucriteri di esportazionedi AppLocker > .

  11. Nella finestra Esporta criterio passa al percorso in cui deve essere archiviato il criterio, assegna un nome al criterio e quindi fai clic su Salva.

    Il criterio viene salvato e viene visualizzato un messaggio che indica che è stata esportata una regola del criterio.

  12. Dopo aver creato il file XML, devi importarlo usando Microsoft Intune.

Per importare un elenco di app protette con Microsoft Intune

  1. In app protettefai clic su Importa app.

    Importare app protette

    Quindi importa il file.

    Microsoft Intune: importazione del file dei criteri di AppLocker usando Intune

  2. Individuare il file di criteri di AppLocker esportato, quindi fare clic su Apri.

    I file importati e le app vengono aggiunti all'elenco delle app protette .

Esonerare le app da un criterio WIP

Se l'app non è compatibile con WIP, ma deve comunque essere usata con i dati aziendali, puoi esentare l'app dalle restrizioni WIP. Questo significa che le tue app non includeranno crittografia automatica o aggiunta di tag e non rispetteranno le restrizioni di rete. Significa anche che le app escluse potrebbero provocare la perdita di dati.

  1. Nelle app client-criteri di protezione delle app, fai clic su app esenti.

    App esenti

  2. In app esentifare clic su Aggiungi app.

    Ricorda che quando escludi un'app, all'app viene consentito di ignorare le restrizioni di Windows Information Protection e di accedere ai tuoi dati aziendali.

  3. Immetti le altre informazioni sull'app, in base al tipo di app che stai aggiungendo:

  4. Fai clic su OK.

Gestire la modalità di protezione di Windows Information Protection per i dati aziendali

Dopo avere aggiunto le app che vuoi proteggere con Windows Information Protection, devi applicare una modalità di gestione e protezione.

Ti consigliamo di iniziare con Invisibile all'utente o Consenti sostituzioni verificando con un piccolo gruppo per cui sono state inserite le app corrette nell'elenco delle app protette. Al termine, è possibile modificare il bloccodei criteri di applicazione definitivi.

  1. Nella barra dei criteri di protezione delle app fare clic sul nome del criterio e quindi fare clic su Impostazioni obbligatorie.

    Microsoft Intune, il pannello Impostazioni necessarie che mostra la modalità Windows Information Protection

    Modalità Descrizione
    Blocca Windows Information Protection controlla se vengono eseguite operazioni di condivisione dei dati non appropriate e impedisce al dipendente di completare l'azione. Questo può includere la condivisione di informazioni tra app senza protezione aziendale, oltre alla condivisione di dati aziendali tra altri utenti e dispositivi all'esterno dell'azienda.
    Consenti sostituzioni Windows Information Protection controlla se vengono eseguite operazioni di condivisione dei dati non appropriate e segnala ai dipendenti l'esecuzione di operazioni potenzialmente non sicure. Tuttavia, questa modalità di gestione permette al dipendente di ignorare i criteri e condividere comunque i dati, registrando l'azione nel log di controllo. Per informazioni su come raccogliere i file di registro di controllo, vedi Come raccogliere i registri eventi di controllo di Windows Information Protection (WIP).
    Invisibile all'utente Windows Information Protection viene eseguito in modo invisibile all'utente, registrando le attività di condivisione dei dati inappropriate, senza bloccare alcuna attività per cui verrebbe chiesta l'interazione del dipendente in modalità Consenti sostituzioni. Le azioni non consentite, come quella di un'app che prova in modo non appropriato ad accedere a una risorsa di rete o a dati protetti da Windows Information Protection, continuano a essere arrestate.
    Disattivato (scelta non consigliata) Windows Information Protection è disattivato e non esegue alcuna attività di controllo o protezione dei dati.

    Dopo aver disattivato Windows Information Protection, viene eseguito il tentativo di decrittografare qualsiasi file con tag di Windows Information Protection nelle unità collegate localmente. Tieni presente che le precedenti informazioni di decrittografia e sui criteri non vengono riapplicate automaticamente se riattivi Windows Information Protection.
  2. Fai clic su Salva.

Definire l'identità aziendale gestita dall'organizzazione

L'identità aziendale, espressa in genere come dominio Internet primario, ad esempio contoso.com, aiuta a identificare e contrassegnare con tag i dati aziendali dalle app specificate come protette in Windows Information Protection. Ad esempio, gli indirizzi e-mail che usano contoso.com vengono identificati come aziendali e soggetti a restrizioni dai criteri di Windows Information Protection.

A partire da Windows 10, versione 1703, Intune stabilisce automaticamente l'identità aziendale e la aggiunge al campo Identità aziendale.

Per modificare l'identità aziendale

  1. Nella Blade policy dell'app fare clic sul nome del criterio e quindi fare clic su Impostazioni obbligatorie.

  2. Se l'identità definita automaticamente non è corretta, puoi modificare le informazioni incluse nel campo Identità aziendale.

    Microsoft Intune, impostazione dell'identità aziendale dell'organizzazione

  3. Per aggiungere domini, ad esempio i nomi di dominio di posta elettronica, fare clic su Configura impostazioni > avanzateAggiungi limite di rete e selezionare domini protetti.

    Aggiungere domini protetti

Scegliere i percorsi in cui le app possono accedere ai dati aziendali

Dopo avere aggiunto una modalità di protezione alle app, dovrai decidere il percorso di rete in cui le app possono accedere ai dati aziendali. Ogni criterio WIP deve includere i percorsi di rete aziendale.

Windows Information Protection non include percorsi predefiniti e devi aggiungere personalmente ogni percorso di rete. Questa area si applica a qualsiasi dispositivo endpoint di rete che ottiene un indirizzo IP nell'intervallo dell'organizzazione ed è anche associato a uno dei domini aziendali, incluse le condivisioni SMB. I percorsi di file system locali devono mantenere solo la crittografia, ad esempio in NTFS, FAT e ExFAT locali.

Per definire i confini della rete, fare clic su criteri app > il nome del criterio > Impostazioni > avanzateAggiungi limite di rete.

Microsoft Intune, impostazione del punto in cui le app possono accedere ai dati aziendali presenti sulla rete

Selezionare il tipo di limite di rete da aggiungere dalla casella Tipo di limite. Digitare un nome per il contorno nella casella nome , aggiungere i valori alla casella valore , in base alle opzioni descritte nelle sottosezioni seguenti e quindi fare clic su OK.

Risorse cloud

Specifica le risorse cloud da considerare aziendali e protette da Windows Information Protection. Per ogni risorsa cloud puoi anche specificare un server proxy dell'elenco di server proxy interni per indirizzare il traffico per questa risorsa cloud. Tieni presente che tutto il traffico indirizzato attraverso i server proxy interni è considerato aziendale.

Separare più risorse con il delimitatore "|". Se non usi server proxy, devi anche includere il delimitatore "," subito prima di "|". Ad esempio:

URL <,proxy>|URL <,proxy>

Le applicazioni personali saranno in grado di accedere a una risorsa cloud con uno spazio vuoto o un carattere non valido, ad esempio un punto finale nell'URL.

Per aggiungere un sottodominio per una risorsa cloud, usa un punto (.) invece di un asterisco (*). Ad esempio, per aggiungere tutti i sottodomini in Office.com, USA ". office.com" (senza virgolette).

In alcuni casi, ad esempio quando un'app si connette direttamente a una risorsa cloud tramite un indirizzo IP, Windows non è in grado di indicare se sta tentando di connettersi a una risorsa cloud dell'organizzazione o a un sito personale. In questo caso, Windows blocca la connessione per impostazione predefinita. Per impedire a Windows di bloccare automaticamente queste connessioni, puoi aggiungere la stringa /*AppCompat*/ all'impostazione. Ad esempio:

URL <,proxy>|URL <,proxy>/*AppCompat*/

Quando si usa questa stringa, è consigliabile attivare anche l' accesso condizionale di Azure Active Directory, usando l'opzione domain joined o contrassegnato come conforme , che blocca le app dall'accesso a qualsiasi risorsa cloud aziendale protetta da accesso condizionale.

Formato valore con proxy:

contoso.sharepoint.com,contoso.internalproxy1.com|contoso.visualstudio.com,contoso.internalproxy2.com

Formato valore senza proxy:

contoso.sharepoint.com|contoso.visualstudio.com

Domini protetti

Specifica i domini usati per le identità nell'ambiente. Verrà protetto tutto il traffico ai domini completi visualizzati in questo elenco. Separare più domini con il delimitatore ",".

exchange.contoso.com,contoso.com,region.contoso.com

Domini di rete

Specifica il suffisso DNS usato nell'ambiente. Verrà protetto tutto il traffico ai domini completi visualizzati in questo elenco. Separare più risorse con il delimitatore ",".

corp.contoso.com,region.contoso.com

Server proxy

Specifica i server proxy attraverso cui devono passare i dispositivi per raggiungere le risorse cloud. L'uso di questo tipo di server indica che le risorse cloud alle quali ti connetti sono risorse aziendali.

Questo elenco non deve includere server elencati nell'elenco server proxy interni. I server proxy interni devono essere utilizzati solo per il traffico protetto da Windows Information Protection (enterprise). Separare più risorse con il delimitatore ";".

proxy.contoso.com:80;proxy2.contoso.com:443

Server proxy interni

Specifica i server proxy interni attraverso cui devono passare i dispositivi per raggiungere le risorse cloud. L'uso di questo tipo di server indica che le risorse cloud alle quali ti connetti sono risorse aziendali.

Questo elenco non deve includere server elencati nell'elenco server proxy interni. I server proxy interni devono essere utilizzati solo per il traffico non protetto da Windows Information Protection (non enterprise). Separare più risorse con il delimitatore ";".

contoso.internalproxy1.com;contoso.internalproxy2.com

Intervalli IPv4

A partire da Windows 10 versione 1703, questo campo è facoltativo.

Specifica gli indirizzi per un intervallo di valori IPv4 valido all'interno della Intranet. Questi indirizzi, usati con i nomi di dominio di rete, definiscono i limiti della rete aziendale. La notazione CIDR (Inter-Domain Routing) non è supportata.

Separare più intervalli con il delimitatore ",".

Indirizzo IPv4 iniziale: 3.4.0.1 termina l'indirizzo IPv4: 3.4.255.254 URI personalizzato: 3.4.0.1-3.4.255.254,
10.0.0.1-10.255.255.254

Intervalli IPv6

A partire da Windows 10 versione 1703, questo campo è facoltativo.

Specifica gli indirizzi per un intervallo di valori IPv6 valido all'interno della Intranet. Questi indirizzi, usati con i nomi di dominio della rete, definiscono i confini della rete aziendale. La notazione CIDR (Inter-Domain Routing) non è supportata.

Separare più intervalli con il delimitatore ",".

Indirizzo IPv6 iniziale: 2a01:110:: indirizzo IPv6 finale: 2a01:110:7FFF: ffff: ffff: ffff: ffff: ffff Custom URI: 2a01:110:7FFF: ffff: ffff: ffff: ffff: ffff
fd00::-fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

Risorse neutre

Specifica gli endpoint di reindirizzamento dell'autenticazione per la società. Questi percorsi sono considerati aziendali o personali, in base al contesto della connessione prima del reindirizzamento. Separare più risorse con il delimitatore ",".

sts.contoso.com,sts.contoso2.com

Decidere se si vuole che Windows cerchi altre impostazioni di rete:

  • L'elenco di server proxy aziendali è autorevole (non rilevare automaticamente). Attivare se si vuole che Windows curi i server proxy specificati nella definizione di limite di rete come elenco completo dei server proxy disponibili nella rete. Se si disattiva questa opzione, Windows cercherà altri server proxy nella rete immediata.

  • L'elenco di intervalli IP aziendali è autorevole (non rilevare automaticamente). Attivare se si vuole che Windows tratti gli intervalli IP specificati nella definizione di limite di rete come elenco completo degli intervalli di indirizzi IP disponibili nella rete. Se si disattiva questa opzione, Windows cercherà altri intervalli di indirizzi IP in tutti i dispositivi collegati al dominio connessi alla rete.

Microsoft Intune: impostazioni che permettono di specificare se Windows deve cercare server proxy o intervalli IP aggiuntivi nell'organizzazione

Carica il certificato dell'agente di recupero dati

Dopo aver creato e distribuito i criteri di Windows Information Protection per i tuoi dipendenti, Windows inizia a crittografare i dati nell'unità del dispositivo locale dei dipendenti. Se le chiavi di crittografia locale dei dipendenti vengono smarrite o revocate per qualche motivo, i dati crittografati possono non essere più recuperabili. Per evitare questa possibilità, il certificato dell'agente di ripristino dati permette a Windows di usare una chiave pubblica inclusa per crittografare i dati locali, mantenendo la chiave privata che può decrittografare i dati.

Importante

Non è obbligatorio utilizzare un certificato DRA. Tuttavia, è fortemente consigliato. Per altre info su come trovare ed esportare il certificato di ripristino dati, vedi l'argomento Ripristino dei dati ed Encrypting File System (EFS). Per altre info sulla creazione e sulla verifica del certificato dell'agente di ripristino dati EFS, consulta l'argomento Creare e verificare un certificato dell'agente recupero dati EFS (Encrypting File System).

Per caricare un certificato DRA

  1. Nel pannello Criteri app fai clic sul nome dei criteri, quindi su Impostazioni avanzate dal menu visualizzato.

    Viene visualizzato il pannello Impostazioni avanzate.

  2. Nella casella Caricare un certificato dell'agente di recupero dati per consentire il recupero dei dati crittografati fai clic su Sfoglia per aggiungere un certificato di ripristino dati ai criteri.

    Microsoft Intune: caricamento del certificato dell'agente di ripristino dati

Scegliere le impostazioni facoltative correlate a Windows Information Protection

Dopo aver deciso dove le app protette possono accedere ai dati aziendali in rete, è possibile scegliere impostazioni facoltative.

Impostazioni facoltative avanzate

Impedire che le app abbiano accesso ai dati aziendali quando il dispositivo è bloccato. Si applica solo a Windows 10 Mobile. Determina se crittografare dati aziendali usando una chiave protetta dal codice PIN di un dipendente in un dispositivo bloccato. Le app non saranno in grado di leggere dati aziendali quando il dispositivo è bloccato. Le opzioni sono:

  • Attivata. Attiva la funzionalità e fornisce la protezione aggiuntiva.

  • Disattivata o non configurata. Non abilita la funzionalità.

Revoca le chiavi di crittografia all'annullamento della registrazione. Determina se revocare le chiavi di crittografia locali di un utente da un dispositivo quando viene annullata la registrazione del dispositivo da Windows Information Protection. Se le chiavi di crittografia vengono revocate, un utente non ha più accesso ai dati aziendali crittografati. Le opzioni sono:

  • Attivata o non configurata (scelta consigliata). Revoca le chiavi di crittografia locali da un dispositivo durante l'annullamento della registrazione.

  • Disattivata. Impedisce la revoca delle chiavi di crittografia locali da un dispositivo durante l'annullamento della registrazione, ad esempio se stai eseguendo la migrazione tra soluzioni di gestione dei dispositivi mobili.

Mostra l'icona di Protezione dei dati aziendali. Determina se l'immagine sovrapposta all'icona Windows Information Protection viene visualizzata nei file aziendali nelle visualizzazioni Salva con nome ed Esplora file. Le opzioni sono:

  • Attivata. Consente la visualizzazione dell'immagine sovrapposta all'icona Windows Information Protection nei file aziendali nelle visualizzazioni Salva con nome ed Esplora file. Inoltre, per le app non illuminate ma protette, la sovrapposizione di icone viene visualizzata anche nel riquadro dell'app e con il testo gestito nel nome dell'app nel menu Start .

  • Disattivata o non configurata (scelta consigliata). Interrompe l'overlay della sovrapposizione delle icone di Windows Information Protection nei file aziendali o nelle app non illuminate, ma protette. L'opzione predefinita è Non configurato.

Usare Azure RMS per Windows Information Protection. Determina se WIP USA Microsoft Azure Rights Management per applicare la crittografia EFS ai file copiati da Windows 10 in USB o da altre unità rimovibili in modo che possano essere condivisi con sicurezza tra i dipendenti. In altre parole, WIP USA Azure Rights Management "Machinery" per applicare la crittografia EFS ai file quando vengono copiati in unità rimovibili. È necessario avere già configurato Azure Rights Management. La chiave di crittografia file EFS è protetta dalla licenza del modello RMS. Solo gli utenti con l'autorizzazione per il modello saranno in grado di leggerlo dall'unità rimovibile. Il WIP può anche essere integrato con Azure RMS usando le impostazioni AllowAzureRMSForEDP e MDM di RMSTemplateIDForEDP nel CSP di EnterpriseDataProtection.

  • Attivata. Protegge i file copiati in un'unità rimovibile. È possibile immettere un GUID di TemplateID per specificare chi può accedere ai file protetti di Azure Rights Management e per quanto tempo. Il modello RMS viene applicato solo ai file su elementi multimediali rimovibili e viene usato solo per il controllo di Access, ma non applica effettivamente la protezione delle informazioni di Azure ai file. Le parentesi graffe {} sono necessarie intorno all'ID del modello RMS, ma vengono rimosse dopo il salvataggio dei criteri.

    Se non specifichi un modello RMS, è un normale file EFS che usa un modello RMS predefinito a cui tutti gli utenti possono accedere.

  • Disattivata o non configurata. Interrompe WIP da crittografare i file di Azure Rights Management copiati in un'unità rimovibile.

Nota

Indipendentemente da questa impostazione, tutti i file in OneDrive for business verranno crittografati, incluse le cartelle note spostate.

Consenti all'indicizzatore ricerca di Windows di cercare file crittografati. Determina se consentire all'indicizzatore di Windows Search di indicizzare gli elementi crittografati, ad esempio i file protetti WIP.

  • Attivata. Avvia l'indicizzatore ricerca di Windows per indicizzare i file crittografati.

  • Disattivata o non configurata. Interrompe l'indicizzatore ricerca di Windows dall'indicizzazione di file crittografati.

Estensioni di file crittografate

È possibile limitare i file protetti da WIP quando vengono scaricati da una condivisione SMB all'interno delle posizioni di rete dell'organizzazione. Se questa impostazione è configurata, verranno crittografati solo i file con le estensioni nell'elenco. Se questa impostazione non è specificata, viene applicato il comportamento di crittografia automatica esistente.

Estensioni di file crittografate WIP

Argomenti correlati

Nota

Aiutaci a migliorare questo argomento fornendoci modifiche, aggiunte e feedback. Per informazioni su come contribuire a questo argomento, vedere modifica della documentazione di Windows IT Professional.