Creare un criterio Windows Information Protection (WIP) usando il portale di Azure per Microsoft IntuneCreate a Windows Information Protection (WIP) policy using the Azure portal for Microsoft Intune

Si applica a:Applies to:

  • Windows10 versione 1607 e successiveWindows10, version 1607 and later
  • Windows10 mobile, versione 1607 e successive (ad eccezione di Microsoft Azure Rights Management, disponibile solo sul desktop)Windows10 Mobile, version 1607 and later (except Microsoft Azure Rights Management, which is only available on the desktop)

Microsoft Intune offre un modo semplice per creare e distribuire criteri di Windows Information Protection (WIP).Microsoft Intune has an easy way to create and deploy a Windows Information Protection (WIP) policy. È possibile scegliere le app da proteggere, il livello di protezione e come trovare i dati aziendali nella rete.You can choose which apps to protect, the level of protection, and how to find enterprise data on the network. I dispositivi possono essere completamente gestiti da gestione di dispositivi mobili (MDM) o gestiti da gestione di applicazioni mobili (MAM), dove Intune gestisce solo le app nel dispositivo personale di un utente.The devices can be fully managed by Mobile Device Management (MDM), or managed by Mobile Application Management (MAM), where Intune manages only the apps on a user's personal device.

Differenze tra MDM e MAM per WIPDifferences between MDM and MAM for WIP

Puoi creare un criterio di protezione delle app in Intune con la registrazione del dispositivo per MDM o senza registrazione del dispositivo per MAM.You can create an app protection policy in Intune either with device enrollment for MDM or without device enrollment for MAM. Il processo per creare uno dei due criteri è simile, ma sono presenti differenze importanti:The process to create either policy is similar, but there are important differences:

  • MAM include altre impostazioni di accesso per Windows Hello for business.MAM has additional Access settings for Windows Hello for Business.
  • MAM può cancellare selettivamente i dati aziendali dal dispositivo personale di un utente.MAM can selectively wipe company data from a user's personal device.
  • MAM richiede una licenza Premium di Azure Active Directory (Azure ad).MAM requires an Azure Active Directory (Azure AD) Premium license.
  • È necessaria anche una licenza Premium di Azure AD per il ripristino automatico WIP, in cui un dispositivo può eseguire nuovamente la registrazione e riottenere l'accesso ai dati protetti.An Azure AD Premium license is also required for WIP auto-recovery, where a device can re-enroll and re-gain access to protected data. Il ripristino automatico WIP dipende dalla registrazione di Azure AD per eseguire il backup delle chiavi di crittografia, che richiede l'iscrizione automatica del dispositivo con MDM.WIP auto-recovery depends on Azure AD registration to back up the encryption keys, which requires device auto-enrollment with MDM.
  • MAM supporta un solo utente per dispositivo.MAM supports only one user per device.
  • MAM può gestire solo app illuminate.MAM can only manage enlightened apps.
  • Solo MDM può usare i criteri CSP di BitLocker .Only MDM can use BitLocker CSP policies.
  • Se gli stessi utenti e dispositivi sono destinati sia a MDM che a MAM, il criterio MDM verrà applicato ai dispositivi Uniti ad Azure AD.If the same user and device are targeted for both MDM and MAM, the MDM policy will be applied to devices joined to Azure AD. Per i dispositivi personali che sono collegati al luogo di lavoro, ovvero aggiunti tramite le impostazioni > diposta elettronica & account > aggiungere un account aziendale o dell'Istituto di istruzione), i criteri di solo Mam saranno preferiti, ma è possibile aggiornare la gestione dei dispositivi in MDM nelle Impostazioni.For personal devices that are workplace-joined (that is, added by using Settings > Email & accounts > Add a work or school account), the MAM-only policy will be preferred but it's possible to upgrade the device management to MDM in Settings. Windows Home Edition supporta solo WIP per MAM-only; l'aggiornamento ai criteri di MDM in Home Edition revocherà l'accesso ai dati protetto da WIP.Windows Home edition only supports WIP for MAM-only; upgrading to MDM policy on Home edition will revoke WIP-protected data access.

PrerequisitiPrerequisites

Prima di poter creare un criterio WIP tramite Intune, è necessario configurare un provider MDM o MAM in Azure Active Directory (Azure AD).Before you can create a WIP policy using Intune, you need to configure an MDM or MAM provider in Azure Active Directory (Azure AD). MAM richiede una licenza Premium di Azure Active Directory (Azure ad).MAM requires an Azure Active Directory (Azure AD) Premium license. È necessaria anche una licenza Premium di Azure AD per il ripristino automatico WIP, in cui un dispositivo può eseguire nuovamente la registrazione e riottenere l'accesso ai dati protetti.An Azure AD Premium license is also required for WIP auto-recovery, where a device can re-enroll and re-gain access to protected data. Il ripristino automatico WIP si basa sulla registrazione di Azure AD per eseguire il backup delle chiavi di crittografia, che richiede l'iscrizione automatica del dispositivo con MDM.WIP auto-recovery relies on Azure AD registration to back up the encryption keys, which requires device auto-enrollment with MDM.

Configurare il provider MDM o MAMConfigure the MDM or MAM provider

  1. Accedere a Azure Portal.Sign in to the Azure portal.

  2. Fare clic su Azure Active Directory > Mobility (MDM e MAM) > Microsoft Intune.Click Azure Active Directory > Mobility (MDM and MAM) > Microsoft Intune.

  3. Fare clic su Ripristina URL predefiniti oppure immettere le impostazioni per l'ambito utente MDM o MAM e fare clic su Salva:Click Restore Default URLs or enter the settings for MDM or MAM user scope and click Save:

    Configurare il provider MDM o MAM

Creare un criterio WIPCreate a WIP policy

  1. Accedere a Azure Portal.Sign in to the Azure portal.

  2. Aprire Microsoft Intune e fare clic su criteri diprotezione > delle app client Apps > percreare criteri.Open Microsoft Intune and click Client apps > App protection policies > Create policy.

    Aprire app client

  3. Nella schermata Criteri app fai clic su Aggiungi un criterioe quindi compila i campi:In the App policy screen, click Add a policy, and then fill out the fields:

    • Nome.Name. Digita un nome (obbligatorio) per il nuovo criterio.Type a name (required) for your new policy.

    • Descrizione.Description. Digita una descrizione facoltativa.Type an optional description.

    • Piattaforma.Platform. Scegliere Windows 10.Choose Windows 10.

    • Stato registrazione.Enrollment state. Scegliere senza registrazione per mam o con l' iscrizione per MDM.Choose Without enrollment for MAM or With enrollment for MDM.

    Aggiungere un criterio per l'app per dispositivi mobili

  4. Fare clic su app protette e quindi su Aggiungi app.Click Protected apps and then click Add apps.

    Aggiungere app protette

    Puoi aggiungere questi tipi di app:You can add these types of apps:

Nota

Un'applicazione potrebbe restituire gli errori di accesso negato dopo averlo rimosso dall'elenco delle app protette.An application might return access denied errors after removing it from the list of protected apps. Anziché rimuoverlo dall'elenco, disinstallare e reinstallare l'applicazione o esentarla dai criteri WIP.Rather than remove it from the list, uninstall and reinstall the application or exempt it from WIP policy.

Selezionare app consigliate e selezionare tutte le app a cui si vuole accedere ai dati aziendali oppure selezionarle tutte, quindi fare clic su OK.Select Recommended apps and select each app you want to access your enterprise data or select them all, and click OK.

Microsoft Intune Management Console: app consigliate

Aggiungere app di Windows StoreAdd Store apps

Selezionare Archivia app, digitare il nome del prodotto e l'editore dell'app e fare clic su OK.Select Store apps, type the app product name and publisher, and click OK. Ad esempio, per aggiungere l'app Power BI per dispositivi mobili dallo Store, digitare quanto segue:For example, to add the Power BI Mobile App from the Store, type the following:

  • Nome: Microsoft Power biName: Microsoft Power BI
  • Publisher:Publisher: CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
  • Nome prodotto:Product Name: Microsoft.MicrosoftPowerBIForWindows

Aggiungere un'app Store

Per aggiungere più app dello Store, fare clic sui puntini di sospensione ....To add multiple Store apps, click the ellipsis .

Se non si conosce lo Store App Publisher o il nome del prodotto, è possibile trovarli seguendo questa procedura.If you don't know the Store app publisher or product name, you can find them by following these steps.

  1. Vai al sito Web Microsoft Store per le aziende e trova l'app.Go to the Microsoft Store for Business website, and find your app. Ad esempio, l' app Power BI per dispositivi mobili.For example, Power BI Mobile App.

  2. Copia il valore ID dall'URL dell'app.Copy the ID value from the app URL. Ad esempio, l'URL dell'ID app per dispositivi mobili https://www.microsoft.com/store/p/microsoft-power-bi/9nblgggzlxn1Power bi è e devi copiare il valore ID 9nblgggzlxn1.For example, the Power BI Mobile App ID URL is https://www.microsoft.com/store/p/microsoft-power-bi/9nblgggzlxn1, and you'd copy the ID value, 9nblgggzlxn1.

  3. In un browser esegui l'API Web del portale dello Store per le aziende per restituire un file JSON (JavaScript Object Notation) che include i valori per il nome dell'autore e del prodotto.In a browser, run the Store for Business portal web API, to return a JavaScript Object Notation (JSON) file that includes the publisher and product name values. Ad esempio, Esegui https://bspmts.mp.microsoft.com/v1/public/catalog/Retail/Products/9nblgggzlxn1/applockerdata, dove 9nblgggzlxn1 viene sostituito con il valore ID.For example, run https://bspmts.mp.microsoft.com/v1/public/catalog/Retail/Products/9nblgggzlxn1/applockerdata, where 9nblgggzlxn1 is replaced with your ID value.

    L'API viene eseguita e apre un editor di testo con i dettagli dell'app.The API runs and opens a text editor with the app details.

        {
            "packageIdentityName": "Microsoft.MicrosoftPowerBIForWindows",
            "publisherCertificateName": "CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US"
        }
    
  4. Copia il valore publisherCertificateName nella casella Autore e il valore packageIdentityName nella casella Nome di Intune.Copy the publisherCertificateName value into the Publisher box and copy the packageIdentityName value into the Name box of Intune.

    Importante

    Il file JSON potrebbe anche restituire un valore windowsPhoneLegacyId per le caselle Nome autore e Nome prodotto.The JSON file might also return a windowsPhoneLegacyId value for both the Publisher Name and Product Name boxes. Questo significa che la tua app usa un pacchetto XAP e che devi impostare il valore Nome prodotto su windowsPhoneLegacyId e il valore Nome autore su CN= seguito da windowsPhoneLegacyId.This means that you have an app that’s using a XAP package and that you must set the Product Name as windowsPhoneLegacyId, and set the Publisher Name as CN= followed by the windowsPhoneLegacyId.

    Ad esempio:For example:
    {
    "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
    }

Se è necessario aggiungere app di Windows 10 per dispositivi mobili non distribuite tramite lo Store per le aziende, è necessario usare la funzionalità Windows Device Portal .If you need to add Windows 10 mobile apps that aren't distributed through the Store for Business, you must use the Windows Device Portal feature.

NotaNote
Il PC e il telefono devono essere connessi alla stessa rete wireless.Your PC and phone must be on the same wireless network.

  1. In Windows Phone passa a Impostazioni, scegli Aggiornamento e sicurezza, quindi Per sviluppatori.On the Windows Phone, go to Settings, choose Update & security, and then choose For developers.

  2. Nella schermata Per sviluppatori attiva Modalità sviluppatore, Individuazione dispositivi e quindi Device Portal.In the For developers screen, turn on Developer mode, turn on Device Discovery, and then turn on Device Portal.

  3. Copia l'URL nell'area Portale dispositivi del browser del dispositivo e quindi accetta il certificato SSL.Copy the URL in the Device Portal area into your device's browser, and then accept the SSL certificate.

  4. Nell'area Individuazione dispositivi premi Abbina e quindi inserisci il PIN nel sito Web dal passaggio precedente.In the Device discovery area, press Pair, and then enter the PIN into the website from the previous step.

  5. Nella scheda App del sito Web puoi visualizzare i dettagli per le app in esecuzione, inclusi il nome autore e il nome prodotto.On the Apps tab of the website, you can see details for the running apps, including the publisher and product names.

  6. Avvia l'app per cui stai cercando i valori dei nomi dell'autore e del prodotto.Start the app for which you're looking for the publisher and product name values.

  7. Copia il valore publisherCertificateName e incollalo nella casella Nome autore e il valore packageIdentityName nella casella Nome prodotto di Intune.Copy the publisherCertificateName value and paste it into the Publisher Name box and the packageIdentityName value into the Product Name box of Intune.

    Importante

    Il file JSON potrebbe anche restituire un valore windowsPhoneLegacyId per le caselle Nome autore e Nome prodotto.The JSON file might also return a windowsPhoneLegacyId value for both the Publisher Name and Product Name boxes. Questo significa che la tua app usa un pacchetto XAP e che devi impostare il valore Nome prodotto su windowsPhoneLegacyId e il valore Nome autore su CN= seguito da windowsPhoneLegacyId.This means that you have an app that’s using a XAP package and that you must set the Product Name as windowsPhoneLegacyId, and set the Publisher Name as CN= followed by the windowsPhoneLegacyId.

    Ad esempio:For example:
    {
    "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
    }

Aggiungere app desktopAdd Desktop apps

Per aggiungere app desktop, completare i campi seguenti in base ai risultati desiderati restituiti.To add Desktop apps, complete the following fields, based on what results you want returned.

CampoField GestisceManages
Tutti i campi contrassegnati come "\*"All fields marked as “\*” Tutti i file firmati da un autore.All files signed by any publisher. (Non consigliato e potrebbe non funzionare)(Not recommended and may not work)
Solo autorePublisher only Se si compila solo questo campo, riceverai tutti i file firmati dall'autore indicato.If you only fill out this field, you’ll get all files signed by the named publisher.

Può essere utile se la società è l'autore e il firmatario di app line-of-business interne.This might be useful if your company is the publisher and signer of internal line-of-business apps.
Solo autore e nomePublisher and Name only Se compili solo questi campi, riceverai tutti i file per il prodotto specificato, firmati dall'autore indicato.If you only fill out these fields, you’ll get all files for the specified product, signed by the named publisher.
Solo autore, nome e filePublisher, Name, and File only Se compili solo questi campi, riceverai una qualsiasi versione del pacchetto o del file specificato per il prodotto specificato, firmati dall'autore indicato.If you only fill out these fields, you’ll get any version of the named file or package for the specified product, signed by the named publisher.
Solo autore, nome, file e versione minimaPublisher, Name, File, and Min version only Se compili solo questi campi, riceverai la versione specificata o le versioni successive del pacchetto o del file specificato per il prodotto specificato, firmate dall'autore indicato.If you only fill out these fields, you’ll get the specified version or newer releases of the named file or package for the specified product, signed by the named publisher.

Questa opzione è consigliata per app con riconoscimento dei dati aziendali che in precedenza erano senza riconoscimento dei dati aziendali.This option is recommended for enlightened apps that weren't previously enlightened.
Solo autore, nome, file e versione massimaPublisher, Name, File, and Max version only Se compili solo questi campi, riceverai la versione specificata o le versioni precedenti del pacchetto o del file specificato per il prodotto specificato, firmate dall'autore indicato.If you only fill out these fields, you’ll get the specified version or older releases of the named file or package for the specified product, signed by the named publisher.
Tutti i campi completatiAll fields completed Se compili tutti i campi, riceverai la versione specifica del pacchetto o del file specificato per il prodotto specificato, firmati dall'autore indicato.If you fill out all fields, you’ll get the specified version of the named file or package for the specified product, signed by the named publisher.

Per aggiungere un'altra app desktop, fare clic sui puntini di sospensione .To add another Desktop app, click the ellipsis . Dopo aver immesso le informazioni nei campi, fare clic su OK.After you’ve entered the info into the fields, click OK.

Console di gestione di Microsoft Intune: aggiungere informazioni sull'app desktop

In caso di dubbi su cosa includere per l'autore, puoi eseguire questo comando di Windows PowerShell:If you’re unsure about what to include for the publisher, you can run this PowerShell command:

Get-AppLockerFileInformation -Path "<path_of_the_exe>"

Dove "<path_of_the_exe>" rappresenta il percorso dell'app nel dispositivo.Where "<path_of_the_exe>" goes to the location of the app on the device. Ad esempio:For example:

Get-AppLockerFileInformation -Path "C:\Program Files\Windows NT\Accessories\wordpad.exe"

Per questo esempio otterrai le seguenti informazioni:In this example, you'd get the following info:

Path                   Publisher
----                   ---------
%PROGRAMFILES%\WINDOWS NT\ACCESSORIES\WORDPAD.EXE O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US

Dove O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US si trova **** il nome dell' WORDPAD.EXE editore ed è il nome del file .Where O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US is the Publisher name and WORDPAD.EXE is the File name.

Importare un elenco di appImport a list of apps

In questa sezione vengono illustrati due esempi dell'uso di un file XML di AppLocker nell'elenco delle app protette .This section covers two examples of using an AppLocker XML file to the Protected apps list. Potrai usare questa opzione se vuoi aggiungere più app contemporaneamente.You’ll use this option if you want to add multiple apps at the same time.

Per altre info su AppLocker, vedi i contenuti su AppLocker.For more info about AppLocker, see the AppLocker content.

Creare una regola dell'app con pacchetto per le app StoreCreate a Packaged App rule for Store apps

  1. Apri lo snap-in Criteri di sicurezza locali (SecPol.msc).Open the Local Security Policy snap-in (SecPol.msc).

  2. Nel pannello sinistro espandi Criteri di controllo delle applicazioni, espandi AppLocker , quindi fai clic su Regole app in pacchetto.In the left blade, expand Application Control Policies, expand AppLocker, and then click Packaged App Rules.

    Visualizzazione dell'opzione Regole app in pacchetto (snap-in Criteri di sicurezza locali)

  3. Fai clic con il pulsante destro del mouse nel pannello a destra e quindi scegli Crea nuova regola.Right-click in the right-hand blade, and then click Create New Rule.

    Viene visualizzata la procedura guidata di creazione delle regole delle app in pacchetto.The Create Packaged app Rules wizard appears.

  4. Nella pagina Prima di iniziare fai clic su Avanti.On the Before You Begin page, click Next.

    Visualizzazione della pagina Prima di iniziare (procedura guidata di creazione delle regole delle app in pacchetto)

  5. Nella pagina Autorizzazioni assicurati che Azione sia impostato su Consenti e che Utente o gruppo sia impostato su Everyone e quindi fai clic su Avanti.On the Permissions page, make sure the Action is set to Allow and the User or group is set to Everyone, and then click Next.

    Visualizzazione della pagina Prima di iniziare (procedura guidata di creazione delle regole delle app in pacchetto)

  6. In Autore fai clic su Seleziona nell'area Usa app in pacchetto installata come riferimento.On the Publisher page, click Select from the Use an installed packaged app as a reference area.

    Visualizzazione dell'autore (procedura guidata di creazione delle regole delle app in pacchetto)

  7. Nella finestra Selezione applicazioni seleziona l'app che vuoi usare come riferimento per la regola e quindi fai clic su OK.In the Select applications box, pick the app that you want to use as the reference for your rule, and then click OK. Per questo esempio, useremo Microsoft Dynamics 365.For this example, we’re using Microsoft Dynamics 365.

    Visualizzazione della pagina Selezione applicazioni (procedura guidata di creazione delle regole delle app in pacchetto)

  8. Nella pagina Autore aggiornata fai clic su Crea.On the updated Publisher page, click Create.

    Visualizzazione di Microsoft Dynamics 365 nella pagina Autore (procedura guidata di creazione delle regole delle app in pacchetto)

  9. Fai clic su No nella finestra di dialogo visualizzata, in cui viene chiesto se si desidera creare le regole predefinite.Click No in the dialog box that appears, asking if you want to create the default rules. Non si devono creare regole predefinite per i criteri WIP.You must not create default rules for your WIP policy.

    Visualizzazione di Microsoft Dynamics 365 nella pagina Autore (procedura guidata di creazione delle regole delle app in pacchetto)

  10. Esamina lo snap-in Criteri di sicurezza locali per assicurarti che la regola sia corretta.Review the Local Security Policy snap-in to make sure your rule is correct.

    Visualizzazione della nuova regola (snap-in Criteri di sicurezza locali)

  11. Nel pannello sinistro fai clic con il pulsante destro del mouse su AppLocker e quindi scegli Esporta criterio.In the left blade, right-click on AppLocker, and then click Export policy.

    Viene visualizzata la finestra Esporta criterio, che ti permette di esportare e salvare il nuovo criterio come file XML.The Export policy box opens, letting you export and save your new policy as XML.

    Opzione Esporta criterio (snap-in Criteri di sicurezza locali)

  12. Nella finestra Esporta criterio passa al percorso in cui deve essere archiviato il criterio, assegna un nome al criterio e quindi fai clic su Salva.In the Export policy box, browse to where the policy should be stored, give the policy a name, and then click Save.

    Il criterio viene salvato e viene visualizzato un messaggio che indica che è stata esportata una regola del criterio.The policy is saved and you’ll see a message that says 1 rule was exported from the policy.

    File di esempio XMLExample XML file
    Questo è il file XML creato da AppLocker per Microsoft Dynamics 365.This is the XML file that AppLocker creates for Microsoft Dynamics 365.

        <?xml version="1.0"?>
        <AppLockerPolicy Version="1">
            <RuleCollection EnforcementMode="NotConfigured" Type="Appx">
                <FilePublisherRule Action="Allow" UserOrGroupSid="S-1-1-0" Description="" Name="Microsoft.MicrosoftDynamicsCRMforWindows10, version 3.2.0.0 and above, from Microsoft Corporation" Id="3da34ed9-aec6-4239-88ba-0afdce252ab4">
                    <Conditions>
                        <FilePublisherCondition BinaryName="*" ProductName="Microsoft.MicrosoftDynamicsCRMforWindows10" PublisherName="CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US">
                            <BinaryVersionRange HighSection="*" LowSection="3.2.0.0"/>
                        </FilePublisherCondition>
                    </Conditions>
                </FilePublisherRule>
            </RuleCollection>
            <RuleCollection EnforcementMode="NotConfigured" Type="Dll"/>
            <RuleCollection EnforcementMode="NotConfigured" Type="Exe"/>
            <RuleCollection EnforcementMode="NotConfigured" Type="Msi"/>
            <RuleCollection EnforcementMode="NotConfigured" Type="Script"/>
        </AppLockerPolicy>
    
  13. Dopo aver creato il file XML, devi importarlo usando Microsoft Intune.After you’ve created your XML file, you need to import it by using Microsoft Intune.

Creare una regola eseguibile per le app non firmateCreate an Executable rule for unsigned apps

La regola eseguibile consente di creare una regola di AppLocker per firmare le app non firmate.The executable rule helps to create an AppLocker rule to sign any unsigned apps. Consente di aggiungere il percorso del file o l'app Publisher contenuta nella firma digitale del file necessaria per applicare i criteri WIP.It enables adding the file path or the app publisher contained in the file's digital signature needed for the WIP policy to be applied.

  1. Apri lo snap-in Criteri di sicurezza locali (SecPol.msc).Open the Local Security Policy snap-in (SecPol.msc).

  2. Nel riquadro sinistro fare clic su > regole eseguibilidi > AppLockerper i criteri di controllo applicazione.In the left pane, click Application Control Policies > AppLocker > Executable Rules.

  3. Fare clic con il pulsante destro del mouse su > regole eseguibili****Crea nuova regola.Right-click Executable Rules > Create New Rule.

    Snap-in sicurezza locale che mostra le regole eseguibili

  4. Nella pagina Prima di iniziare fai clic su Avanti.On the Before You Begin page, click Next.

  5. Nella pagina Autorizzazioni assicurati che Azione sia impostato su Consenti e che Utente o gruppo sia impostato su Everyone e quindi fai clic su Avanti.On the Permissions page, make sure the Action is set to Allow and the User or group is set to Everyone, and then click Next.

  6. Nella pagina condizioni fare clic su percorso e quindi su Avanti.On the Conditions page, click Path and then click Next.

    Visualizzazione dell'autore (procedura guidata di creazione delle regole delle app in pacchetto)

  7. Fare clic su Sfoglia cartelle. .. e selezionare il percorso per le app non firmate.Click Browse Folders... and select the path for the unsigned apps. Per questo esempio, stiamo usando "C:\Programmi".For this example, we’re using "C:\Program Files".

    Visualizzazione della pagina Selezione applicazioni (procedura guidata di creazione delle regole delle app in pacchetto)

  8. Nella pagina eccezioni aggiungere eventuali eccezioni e quindi fare clic su Avanti.On the Exceptions page, add any exceptions and then click Next.

  9. Nella pagina nome Digitare un nome e una descrizione per la regola e quindi fare clic su Crea.On the Name page, type a name and description for the rule and then click Create.

  10. Nel riquadro sinistro fare clic con il pulsante destro del mouse sucriteri di esportazionedi AppLocker > .In the left pane, right-click AppLocker > Export policy.

  11. Nella finestra Esporta criterio passa al percorso in cui deve essere archiviato il criterio, assegna un nome al criterio e quindi fai clic su Salva.In the Export policy box, browse to where the policy should be stored, give the policy a name, and then click Save.

    Il criterio viene salvato e viene visualizzato un messaggio che indica che è stata esportata una regola del criterio.The policy is saved and you’ll see a message that says 1 rule was exported from the policy.

  12. Dopo aver creato il file XML, devi importarlo usando Microsoft Intune.After you’ve created your XML file, you need to import it by using Microsoft Intune.

Per importare un elenco di app protette con Microsoft IntuneTo import a list of protected apps using Microsoft Intune

  1. In app protettefai clic su Importa app.In Protected apps, click Import apps.

    Importare app protette

    Quindi importa il file.Then import your file.

    Microsoft Intune: importazione del file dei criteri di AppLocker usando Intune

  2. Individuare il file di criteri di AppLocker esportato, quindi fare clic su Apri.Browse to your exported AppLocker policy file, and then click Open.

    I file importati e le app vengono aggiunti all'elenco delle app protette .The file imports and the apps are added to your Protected apps list.

Esonerare le app da un criterio WIPExempt apps from a WIP policy

Se l'app non è compatibile con WIP, ma deve comunque essere usata con i dati aziendali, puoi esentare l'app dalle restrizioni WIP.If your app is incompatible with WIP, but still needs to be used with enterprise data, you can exempt the app from the WIP restrictions. Questo significa che le tue app non includeranno crittografia automatica o aggiunta di tag e non rispetteranno le restrizioni di rete.This means that your apps won't include auto-encryption or tagging and won't honor your network restrictions. Significa anche che le app escluse potrebbero provocare la perdita di dati.It also means that your exempted apps might leak.

  1. Nelle app client-criteri di protezione delle app, fai clic su app esenti.In Client apps - App protection policies, click Exempt apps.

    App esenti

  2. In app esentifare clic su Aggiungi app.In Exempt apps, click Add apps.

    Ricorda che quando escludi un'app, all'app viene consentito di ignorare le restrizioni di Windows Information Protection e di accedere ai tuoi dati aziendali.Be aware that when you exempt apps, they’re allowed to bypass the WIP restrictions and access your corporate data.

  3. Immetti le altre informazioni sull'app, in base al tipo di app che stai aggiungendo:Fill out the rest of the app info, based on the type of app you’re adding:

  4. Fai clic su OK.Click OK.

Gestire la modalità di protezione di Windows Information Protection per i dati aziendaliManage the WIP protection mode for your enterprise data

Dopo avere aggiunto le app che vuoi proteggere con Windows Information Protection, devi applicare una modalità di gestione e protezione.After you've added the apps you want to protect with WIP, you'll need to apply a management and protection mode.

Ti consigliamo di iniziare con Invisibile all'utente o Consenti sostituzioni verificando con un piccolo gruppo per cui sono state inserite le app corrette nell'elenco delle app protette.We recommend that you start with Silent or Allow Overrides while verifying with a small group that you have the right apps on your protected apps list. Al termine, è possibile modificare il bloccodei criteri di applicazione definitivi.After you're done, you can change to your final enforcement policy, Block.

  1. Nella barra dei criteri di protezione delle app fare clic sul nome del criterio e quindi fare clic su Impostazioni obbligatorie.From the App protection policy blade, click the name of your policy, and then click Required settings.

    Microsoft Intune, il pannello Impostazioni necessarie che mostra la modalità Windows Information Protection

    ModalitàMode DescrizioneDescription
    BloccaBlock Windows Information Protection controlla se vengono eseguite operazioni di condivisione dei dati non appropriate e impedisce al dipendente di completare l'azione.WIP looks for inappropriate data sharing practices and stops the employee from completing the action. Questo può includere la condivisione di informazioni tra app senza protezione aziendale, oltre alla condivisione di dati aziendali tra altri utenti e dispositivi all'esterno dell'azienda.This can include sharing info across non-enterprise-protected apps in addition to sharing enterprise data between other people and devices outside of your enterprise.
    Consenti sostituzioniAllow Overrides Windows Information Protection controlla se vengono eseguite operazioni di condivisione dei dati non appropriate e segnala ai dipendenti l'esecuzione di operazioni potenzialmente non sicure.WIP looks for inappropriate data sharing, warning employees if they do something deemed potentially unsafe. Tuttavia, questa modalità di gestione permette al dipendente di ignorare i criteri e condividere comunque i dati, registrando l'azione nel log di controllo.However, this management mode lets the employee override the policy and share the data, logging the action to your audit log. Per informazioni su come raccogliere i file di registro di controllo, vedi Come raccogliere i registri eventi di controllo di Windows Information Protection (WIP).For info about how to collect your audit log files, see How to collect Windows Information Protection (WIP) audit event logs.
    Invisibile all'utenteSilent Windows Information Protection viene eseguito in modo invisibile all'utente, registrando le attività di condivisione dei dati inappropriate, senza bloccare alcuna attività per cui verrebbe chiesta l'interazione del dipendente in modalità Consenti sostituzioni.WIP runs silently, logging inappropriate data sharing, without blocking anything that would’ve been prompted for employee interaction while in Allow Override mode. Le azioni non consentite, come quella di un'app che prova in modo non appropriato ad accedere a una risorsa di rete o a dati protetti da Windows Information Protection, continuano a essere arrestate.Unallowed actions, like apps inappropriately trying to access a network resource or WIP-protected data, are still stopped.
    Disattivato (scelta non consigliata)Off (not recommended) Windows Information Protection è disattivato e non esegue alcuna attività di controllo o protezione dei dati.WIP is turned off and doesn't help to protect or audit your data.

    Dopo aver disattivato Windows Information Protection, viene eseguito il tentativo di decrittografare qualsiasi file con tag di Windows Information Protection nelle unità collegate localmente.After you turn off WIP, an attempt is made to decrypt any WIP-tagged files on the locally attached drives. Tieni presente che le precedenti informazioni di decrittografia e sui criteri non vengono riapplicate automaticamente se riattivi Windows Information Protection.Be aware that your previous decryption and policy info isn’t automatically reapplied if you turn WIP protection back on.
  2. Fai clic su Salva.Click Save.

Definire l'identità aziendale gestita dall'organizzazioneDefine your enterprise-managed corporate identity

L'identità aziendale, espressa in genere come dominio Internet primario, ad esempio contoso.com, aiuta a identificare e contrassegnare con tag i dati aziendali dalle app specificate come protette in Windows Information Protection.Corporate identity, usually expressed as your primary Internet domain (for example, contoso.com), helps to identify and tag your corporate data from apps you’ve marked as protected by WIP. Ad esempio, gli indirizzi e-mail che usano contoso.com vengono identificati come aziendali e soggetti a restrizioni dai criteri di Windows Information Protection.For example, emails using contoso.com are identified as being corporate and are restricted by your Windows Information Protection policies.

A partire da Windows 10, versione 1703, Intune stabilisce automaticamente l'identità aziendale e la aggiunge al campo Identità aziendale.Starting with Windows 10, version 1703, Intune automatically determines your corporate identity and adds it to the Corporate identity field.

Per modificare l'identità aziendaleTo change your corporate identity

  1. Nella Blade policy dell'app fare clic sul nome del criterio e quindi fare clic su Impostazioni obbligatorie.From the App policy blade, click the name of your policy, and then click Required settings.

  2. Se l'identità definita automaticamente non è corretta, puoi modificare le informazioni incluse nel campo Identità aziendale.If the auto-defined identity isn’t correct, you can change the info in the Corporate identity field.

    Microsoft Intune, impostazione dell'identità aziendale dell'organizzazione

  3. Per aggiungere domini, ad esempio i nomi di dominio di posta elettronica, fare clic su Configura impostazioni > avanzateAggiungi limite di rete e selezionare domini protetti.To add domains, such your email domain names, click Configure Advanced settings > Add network boundary and select Protected domains.

    Aggiungere domini protetti

Scegliere i percorsi in cui le app possono accedere ai dati aziendaliChoose where apps can access enterprise data

Dopo avere aggiunto una modalità di protezione alle app, dovrai decidere il percorso di rete in cui le app possono accedere ai dati aziendali.After you've added a protection mode to your apps, you'll need to decide where those apps can access enterprise data on your network. Ogni criterio WIP deve includere i percorsi di rete aziendale.Every WIP policy should include your enterprise network locations.

Windows Information Protection non include percorsi predefiniti e devi aggiungere personalmente ogni percorso di rete.There are no default locations included with WIP, you must add each of your network locations. Questa area si applica a qualsiasi dispositivo endpoint di rete che ottiene un indirizzo IP nell'intervallo dell'organizzazione ed è anche associato a uno dei domini aziendali, incluse le condivisioni SMB.This area applies to any network endpoint device that gets an IP address in your enterprise’s range and is also bound to one of your enterprise domains, including SMB shares. I percorsi di file system locali devono mantenere solo la crittografia, ad esempio in NTFS, FAT e ExFAT locali.Local file system locations should just maintain encryption (for example, on local NTFS, FAT, ExFAT).

Per definire i confini della rete, fare clic su criteri app > il nome del criterio > Impostazioni > avanzateAggiungi limite di rete.To define the network boundaries, click App policy > the name of your policy > Advanced settings > Add network boundary.

Microsoft Intune, impostazione del punto in cui le app possono accedere ai dati aziendali presenti sulla rete

Selezionare il tipo di limite di rete da aggiungere dalla casella Tipo di limite.Select the type of network boundary to add from the Boundary type box. Digitare un nome per il contorno nella casella nome , aggiungere i valori alla casella valore , in base alle opzioni descritte nelle sottosezioni seguenti e quindi fare clic su OK.Type a name for your boundary into the Name box, add your values to the Value box, based on the options covered in the following subsections, and then click OK.

Risorse cloudCloud resources

Specifica le risorse cloud da considerare aziendali e protette da Windows Information Protection.Specify the cloud resources to be treated as corporate and protected by WIP. Per ogni risorsa cloud puoi anche specificare un server proxy dell'elenco di server proxy interni per indirizzare il traffico per questa risorsa cloud.For each cloud resource, you may also optionally specify a proxy server from your Internal proxy servers list to route traffic for this cloud resource. Tieni presente che tutto il traffico indirizzato attraverso i server proxy interni è considerato aziendale.Be aware that all traffic routed through your Internal proxy servers is considered enterprise.

Separare più risorse con il delimitatore "|".Separate multiple resources with the "|" delimiter. Se non usi server proxy, devi anche includere il delimitatore "," subito prima di "|".If you don’t use proxy servers, you must also include the "," delimiter just before the "|". Ad esempio:For example:

URL <,proxy>|URL <,proxy>

Le applicazioni personali saranno in grado di accedere a una risorsa cloud con uno spazio vuoto o un carattere non valido, ad esempio un punto finale nell'URL.Personal applications will be able to access a cloud resource that has a blank space or an invalid character, such as a trailing dot in the URL.

Per aggiungere un sottodominio per una risorsa cloud, usa un punto (.) invece di un asterisco (*).To add a subdomain for a cloud resource, use a period (.) instead of an asterisk (*). Ad esempio, per aggiungere tutti i sottodomini in Office.com, USA ". office.com" (senza virgolette).For example, to add all subdomains within Office.com, use ".office.com" (without the quotation marks).

In alcuni casi, ad esempio quando un'app si connette direttamente a una risorsa cloud tramite un indirizzo IP, Windows non è in grado di indicare se sta tentando di connettersi a una risorsa cloud dell'organizzazione o a un sito personale.In some cases, such as when an app connects directly to a cloud resource through an IP address, Windows can’t tell whether it’s attempting to connect to an enterprise cloud resource or to a personal site. In questo caso, Windows blocca la connessione per impostazione predefinita.In this case, Windows blocks the connection by default. Per impedire a Windows di bloccare automaticamente queste connessioni, puoi aggiungere la stringa /*AppCompat*/ all'impostazione.To stop Windows from automatically blocking these connections, you can add the /*AppCompat*/ string to the setting. Ad esempio:For example:

URL <,proxy>|URL <,proxy>/*AppCompat*/

Quando si usa questa stringa, è consigliabile attivare l' accesso condizionale di Azure Active Directory, usando l'opzione domain joined o contrassegnato come conforme , che blocca le app dall'accesso a tutte le risorse del cloud aziendale protette da accessi condizionali.When you use this string, we recommend that you also turn on Azure Active Directory Conditional Access, using the Domain joined or marked as compliant option, which blocks apps from accessing any enterprise cloud resources that are protected by conditional access.

Formato valore con proxy:Value format with proxy:

contoso.sharepoint.com,contoso.internalproxy1.com|contoso.visualstudio.com,contoso.internalproxy2.com

Formato valore senza proxy:Value format without proxy:

contoso.sharepoint.com|contoso.visualstudio.com

Domini protettiProtected domains

Specifica i domini usati per le identità nell'ambiente.Specify the domains used for identities in your environment. Verrà protetto tutto il traffico ai domini completi visualizzati in questo elenco.All traffic to the fully-qualified domains appearing in this list will be protected. Separare più domini con il delimitatore ",".Separate multiple domains with the "," delimiter.

exchange.contoso.com,contoso.com,region.contoso.com

Domini di reteNetwork domains

Specifica il suffisso DNS usato nell'ambiente.Specify the DNS suffixes used in your environment. Verrà protetto tutto il traffico ai domini completi visualizzati in questo elenco.All traffic to the fully-qualified domains appearing in this list will be protected. Separare più risorse con il delimitatore ",".Separate multiple resources with the "," delimiter.

corp.contoso.com,region.contoso.com

Server proxyProxy servers

Specifica i server proxy attraverso cui devono passare i dispositivi per raggiungere le risorse cloud.Specify the proxy servers your devices will go through to reach your cloud resources. L'uso di questo tipo di server indica che le risorse cloud alle quali ti connetti sono risorse aziendali.Using this server type indicates that the cloud resources you’re connecting to are enterprise resources.

Questo elenco non deve includere server elencati nell'elenco server proxy interni.This list shouldn’t include any servers listed in your Internal proxy servers list. I server proxy interni devono essere utilizzati solo per il traffico protetto da Windows Information Protection (enterprise).Internal proxy servers must be used only for WIP-protected (enterprise) traffic. Separare più risorse con il delimitatore ";".Separate multiple resources with the ";" delimiter.

proxy.contoso.com:80;proxy2.contoso.com:443

Server proxy interniInternal proxy servers

Specifica i server proxy interni attraverso cui devono passare i dispositivi per raggiungere le risorse cloud.Specify the internal proxy servers your devices will go through to reach your cloud resources. L'uso di questo tipo di server indica che le risorse cloud alle quali ti connetti sono risorse aziendali.Using this server type indicates that the cloud resources you’re connecting to are enterprise resources.

Questo elenco non deve includere server elencati nell'elenco server proxy interni.This list shouldn’t include any servers listed in your Proxy servers list. I server proxy interni devono essere utilizzati solo per il traffico non protetto da Windows Information Protection (non enterprise).Proxy servers must be used only for non-WIP-protected (non-enterprise) traffic. Separare più risorse con il delimitatore ";".Separate multiple resources with the ";" delimiter.

contoso.internalproxy1.com;contoso.internalproxy2.com

Intervalli IPv4IPv4 ranges

A partire da Windows 10 versione 1703, questo campo è facoltativo.Starting with Windows 10, version 1703, this field is optional.

Specifica gli indirizzi per un intervallo di valori IPv4 valido all'interno della Intranet.Specify the addresses for a valid IPv4 value range within your intranet. Questi indirizzi, usati con i nomi di dominio di rete, definiscono i limiti della rete aziendale.These addresses, used with your Network domain names, define your corporate network boundaries. La notazione CIDR (Inter-Domain Routing) non è supportata.Classless Inter-Domain Routing (CIDR) notation isn’t supported.

Separare più intervalli con il delimitatore ",".Separate multiple ranges with the "," delimiter.

Indirizzo IPv4 iniziale: 3.4.0.1 termina l'indirizzo IPv4: 3.4.255.254 URI personalizzato: 3.4.0.1-3.4.255.254,Starting IPv4 Address: 3.4.0.1 Ending IPv4 Address: 3.4.255.254 Custom URI: 3.4.0.1-3.4.255.254,
10.0.0.1-10.255.255.25410.0.0.1-10.255.255.254

Intervalli IPv6IPv6 ranges

A partire da Windows 10 versione 1703, questo campo è facoltativo.Starting with Windows 10, version 1703, this field is optional.

Specifica gli indirizzi per un intervallo di valori IPv6 valido all'interno della Intranet.Specify the addresses for a valid IPv6 value range within your intranet. Questi indirizzi, usati con i nomi di dominio della rete, definiscono i confini della rete aziendale.These addresses, used with your network domain names, define your corporate network boundaries. La notazione CIDR (Inter-Domain Routing) non è supportata.Classless Inter-Domain Routing (CIDR) notation isn’t supported.

Separare più intervalli con il delimitatore ",".Separate multiple ranges with the "," delimiter.

Indirizzo IPv6 iniziale: 2a01:110:: indirizzo IPv6 finale: 2a01:110:7FFF: ffff: ffff: ffff: ffff: ffff Custom URI: 2a01:110:7FFF: ffff: ffff: ffff: ffff: ffffStarting IPv6 Address: 2a01:110:: Ending IPv6 Address: 2a01:110:7fff:ffff:ffff:ffff:ffff:ffff Custom URI: 2a01:110:7fff:ffff:ffff:ffff:ffff:ffff,
fd00::-fdff:ffff:ffff:ffff:ffff:ffff:ffff:fffffd00::-fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

Risorse neutreNeutral resources

Specifica gli endpoint di reindirizzamento dell'autenticazione per la società.Specify your authentication redirection endpoints for your company. Questi percorsi sono considerati aziendali o personali, in base al contesto della connessione prima del reindirizzamento.These locations are considered enterprise or personal, based on the context of the connection before the redirection. Separare più risorse con il delimitatore ",".Separate multiple resources with the "," delimiter.

sts.contoso.com,sts.contoso2.com

Decidere se si vuole che Windows cerchi altre impostazioni di rete:Decide if you want Windows to look for additional network settings:

  • L'elenco di server proxy aziendali è autorevole (non rilevare automaticamente).Enterprise Proxy Servers list is authoritative (do not auto-detect). Attivare se si vuole che Windows curi i server proxy specificati nella definizione di limite di rete come elenco completo dei server proxy disponibili nella rete.Turn on if you want Windows to treat the proxy servers you specified in the network boundary definition as the complete list of proxy servers available on your network. Se si disattiva questa opzione, Windows cercherà altri server proxy nella rete immediata.If you turn this off, Windows will search for additional proxy servers in your immediate network.

  • L'elenco di intervalli IP aziendali è autorevole (non rilevare automaticamente).Enterprise IP Ranges list is authoritative (do not auto-detect). Attivare se si vuole che Windows tratti gli intervalli IP specificati nella definizione di limite di rete come elenco completo degli intervalli di indirizzi IP disponibili nella rete.Turn on if you want Windows to treat the IP ranges you specified in the network boundary definition as the complete list of IP ranges available on your network. Se si disattiva questa opzione, Windows cercherà altri intervalli di indirizzi IP in tutti i dispositivi collegati al dominio connessi alla rete.If you turn this off, Windows will search for additional IP ranges on any domain-joined devices connected to your network.

Microsoft Intune: impostazioni che permettono di specificare se Windows deve cercare server proxy o intervalli IP aggiuntivi nell'organizzazione

Carica il certificato dell'agente di recupero datiUpload your Data Recovery Agent (DRA) certificate

Dopo aver creato e distribuito i criteri di Windows Information Protection per i tuoi dipendenti, Windows inizia a crittografare i dati nell'unità del dispositivo locale dei dipendenti.After you create and deploy your WIP policy to your employees, Windows begins to encrypt your corporate data on the employees’ local device drive. Se le chiavi di crittografia locale dei dipendenti vengono smarrite o revocate per qualche motivo, i dati crittografati possono non essere più recuperabili.If somehow the employees’ local encryption keys get lost or revoked, the encrypted data can become unrecoverable. Per evitare questa possibilità, il certificato dell'agente di ripristino dati permette a Windows di usare una chiave pubblica inclusa per crittografare i dati locali, mantenendo la chiave privata che può decrittografare i dati.To help avoid this possibility, the Data Recovery Agent (DRA) certificate lets Windows use an included public key to encrypt the local data while you maintain the private key that can unencrypt the data.

Importante

Non è obbligatorio utilizzare un certificato DRA.Using a DRA certificate isn’t mandatory. Tuttavia, è fortemente consigliato.However, we strongly recommend it. Per altre info su come trovare ed esportare il certificato di ripristino dati, vedi l'argomento Ripristino dei dati ed Encrypting File System (EFS).For more info about how to find and export your data recovery certificate, see the Data Recovery and Encrypting File System (EFS) topic. Per altre info sulla creazione e sulla verifica del certificato dell'agente di ripristino dati EFS, consulta l'argomento Creare e verificare un certificato dell'agente recupero dati EFS (Encrypting File System).For more info about creating and verifying your EFS DRA certificate, see the Create and verify an Encrypting File System (EFS) Data Recovery Agent (DRA) certificate topic.

Per caricare un certificato DRATo upload your DRA certificate

  1. Nel pannello Criteri app fai clic sul nome dei criteri, quindi su Impostazioni avanzate dal menu visualizzato.From the App policy blade, click the name of your policy, and then click Advanced settings from the menu that appears.

    Viene visualizzato il pannello Impostazioni avanzate.The Advanced settings blade appears.

  2. Nella casella Caricare un certificato dell'agente di recupero dati per consentire il recupero dei dati crittografati fai clic su Sfoglia per aggiungere un certificato di ripristino dati ai criteri.In the Upload a Data Recovery Agent (DRA) certificate to allow recovery of encrypted data box, click Browse to add a data recovery certificate for your policy.

    Microsoft Intune: caricamento del certificato dell'agente di ripristino dati

Dopo aver deciso dove le app protette possono accedere ai dati aziendali in rete, è possibile scegliere impostazioni facoltative.After you've decided where your protected apps can access enterprise data on your network, you can choose optional settings.

Impostazioni facoltative avanzate

Impedire che le app abbiano accesso ai dati aziendali quando il dispositivo è bloccato.Prevent corporate data from being accessed by apps when the device is locked. Si applica solo a Windows 10 Mobile.Applies only to Windows 10 Mobile. Determina se crittografare dati aziendali usando una chiave protetta dal codice PIN di un dipendente in un dispositivo bloccato.Determines whether to encrypt enterprise data using a key that's protected by an employee's PIN code on a locked device. Le app non saranno in grado di leggere dati aziendali quando il dispositivo è bloccato.Apps won't be able to read corporate data when the device is locked. Le opzioni sono:The options are:

  • Attivata.On. Attiva la funzionalità e fornisce la protezione aggiuntiva.Turns on the feature and provides the additional protection.

  • Disattivata o non configurata.Off, or not configured. Non abilita la funzionalità.Doesn't enable this feature.

Revoca le chiavi di crittografia all'annullamento della registrazione.Revoke encryption keys on unenroll. Determina se revocare le chiavi di crittografia locali di un utente da un dispositivo quando viene annullata la registrazione del dispositivo da Windows Information Protection.Determines whether to revoke a user’s local encryption keys from a device when it’s unenrolled from Windows Information Protection. Se le chiavi di crittografia vengono revocate, un utente non ha più accesso ai dati aziendali crittografati.If the encryption keys are revoked, a user no longer has access to encrypted corporate data. Le opzioni sono:The options are:

  • Attivata o non configurata (scelta consigliata).On, or not configured (recommended). Revoca le chiavi di crittografia locali da un dispositivo durante l'annullamento della registrazione.Revokes local encryption keys from a device during unenrollment.

  • Disattivata.Off. Impedisce la revoca delle chiavi di crittografia locali da un dispositivo durante l'annullamento della registrazione,Stop local encryption keys from being revoked from a device during unenrollment. ad esempio se stai eseguendo la migrazione tra soluzioni di gestione dei dispositivi mobili.For example if you’re migrating between Mobile Device Management (MDM) solutions.

Mostra l'icona di Protezione dei dati aziendali.Show the enterprise data protection icon. Determina se l'immagine sovrapposta all'icona Windows Information Protection viene visualizzata nei file aziendali nelle visualizzazioni Salva con nome ed Esplora file.Determines whether the Windows Information Protection icon overlay appears on corporate files in the Save As and File Explorer views. Le opzioni sono:The options are:

  • Attivata.On. Consente la visualizzazione dell'immagine sovrapposta all'icona Windows Information Protection nei file aziendali nelle visualizzazioni Salva con nome ed Esplora file.Allows the Windows Information Protection icon overlay to appear on corporate files in the Save As and File Explorer views. Inoltre, per le app non illuminate ma protette, la sovrapposizione di icone viene visualizzata anche nel riquadro dell'app e con il testo gestito nel nome dell'app nel menu Start .Additionally, for unenlightened but protected apps, the icon overlay also appears on the app tile and with Managed text on the app name in the Start menu.

  • Disattivata o non configurata (scelta consigliata).Off, or not configured (recommended). Interrompe l'overlay della sovrapposizione delle icone di Windows Information Protection nei file aziendali o nelle app non illuminate, ma protette.Stops the Windows Information Protection icon overlay from appearing on corporate files or unenlightened, but protected apps. L'opzione predefinita è Non configurato.Not configured is the default option.

Usare Azure RMS per Windows Information Protection.Use Azure RMS for WIP. Determina se WIP USA Microsoft Azure Rights Management per applicare la crittografia EFS ai file copiati da Windows 10 in USB o da altre unità rimovibili in modo che possano essere condivisi con sicurezza tra i dipendenti.Determines whether WIP uses Microsoft Azure Rights Management to apply EFS encryption to files that are copied from Windows 10 to USB or other removable drives so they can be securely shared amongst employees. In altre parole, WIP USA Azure Rights Management "Machinery" per applicare la crittografia EFS ai file quando vengono copiati in unità rimovibili.In other words, WIP uses Azure Rights Management "machinery" to apply EFS encryption to files when they are copied to removable drives. È necessario avere già configurato Azure Rights Management.You must already have Azure Rights Management set up. La chiave di crittografia file EFS è protetta dalla licenza del modello RMS.The EFS file encryption key is protected by the RMS template’s license. Solo gli utenti con l'autorizzazione per il modello saranno in grado di leggerlo dall'unità rimovibile.Only users with permission to that template will be able to read it from the removable drive. Il WIP può anche essere integrato con Azure RMS usando le impostazioni AllowAzureRMSForEDP e MDM di RMSTemplateIDForEDP nel CSP di EnterpriseDataProtection.WIP can also integrate with Azure RMS by using the AllowAzureRMSForEDP and the RMSTemplateIDForEDP MDM settings in the EnterpriseDataProtection CSP.

  • Attivata.On. Protegge i file copiati in un'unità rimovibile.Protects files that are copied to a removable drive. È possibile immettere un GUID di TemplateID per specificare chi può accedere ai file protetti di Azure Rights Management e per quanto tempo.You can enter a TemplateID GUID to specify who can access the Azure Rights Management protected files, and for how long. Il modello RMS viene applicato solo ai file su elementi multimediali rimovibili e viene usato solo per il controllo di Access, ma non applica effettivamente la protezione delle informazioni di Azure ai file.The RMS template is only applied to the files on removable media, and is only used for access control—it doesn’t actually apply Azure Information Protection to the files. Le parentesi graffe {} sono necessarie intorno all'ID del modello RMS, ma vengono rimosse dopo il salvataggio dei criteri.Curly braces {} are required around the RMS Template ID, but they are removed after you save the policy.

    Se non specifichi un modello RMS, è un normale file EFS che usa un modello RMS predefinito a cui tutti gli utenti possono accedere.If you don’t specify an RMS template, it’s a regular EFS file using a default RMS template that all users can access.

  • Disattivata o non configurata.Off, or not configured. Interrompe WIP da crittografare i file di Azure Rights Management copiati in un'unità rimovibile.Stops WIP from encrypting Azure Rights Management files that are copied to a removable drive.

Nota

Indipendentemente da questa impostazione, tutti i file in OneDrive for business verranno crittografati, incluse le cartelle note spostate.Regardless of this setting, all files in OneDrive for Business will be encrypted, including moved Known Folders.

Consenti all'indicizzatore ricerca di Windows di cercare file crittografati.Allow Windows Search Indexer to search encrypted files. Determina se consentire all'indicizzatore di Windows Search di indicizzare gli elementi crittografati, ad esempio i file protetti WIP.Determines whether to allow the Windows Search Indexer to index items that are encrypted, such as WIP protected files.

  • Attivata.On. Avvia l'indicizzatore ricerca di Windows per indicizzare i file crittografati.Starts Windows Search Indexer to index encrypted files.

  • Disattivata o non configurata.Off, or not configured. Interrompe l'indicizzatore ricerca di Windows dall'indicizzazione di file crittografati.Stops Windows Search Indexer from indexing encrypted files.

Estensioni di file crittografateEncrypted file extensions

È possibile limitare i file protetti da WIP quando vengono scaricati da una condivisione SMB all'interno delle posizioni di rete dell'organizzazione.You can restrict which files are protected by WIP when they are downloaded from an SMB share within your enterprise network locations. Se questa impostazione è configurata, verranno crittografati solo i file con le estensioni nell'elenco.If this setting is configured, only files with the extensions in the list will be encrypted. Se questa impostazione non è specificata, viene applicato il comportamento di crittografia automatica esistente.If this setting is not specified, the existing auto-encryption behavior is applied.

Estensioni di file crittografate WIP

Argomenti correlatiRelated topics

Nota

Aiutaci a migliorare questo argomento fornendoci modifiche, aggiunte e feedback.Help to make this topic better by providing us with edits, additions, and feedback. Per informazioni su come contribuire a questo argomento, vedere modifica della documentazione di Windows IT Professional.For info about how to contribute to this topic, see Editing Windows IT professional documentation.