Windows Information Protection (WIP)Windows Information Protection (WIP)

Nota I criteri Windows Information Protection (WIP) possono essere applicati a Windows 10, versione 1607.Note Windows Information Protection (WIP) policy can be applied to Windows 10, version 1607.

WIP protegge i dati appartenenti a un'organizzazione applicando i criteri definiti dall'organizzazione.WIP protects data that belongs to an organization by enforcing policies that are defined by the organization. Se la tua app è inclusa in questi criteri, tutti i dati generati dall'app sono soggetti alle restrizioni dei criteri.If your app is included in those polices, all data produced by your app is subject to policy restrictions. Questo argomento illustra come compilare app che applicano i criteri in modo più semplice senza alcun impatto sui dati personali dell'utente.This topic helps you to build apps that more gracefully enforce these policies without having any impact on the user's personal data.

Prima di tutto, cos'è WIP?First, what is WIP?

WIP è un set di funzionalità che supportano il sistema di gestione di dispositivi mobili (MDM, Mobile Device Management) e di gestione delle applicazioni per dispositivi mobili (MAM, Mobile Application Management) per desktop, portatili, tablet e telefoni.WIP is a set of features on desktops, laptops, tablets, and phones that support the organization's Mobile Device Management (MDM) and Mobile Application Management (MAM) system.

WIP, unitamente a MDM, offre all'organizzazione un maggiore controllo sul trattamento dei dispositivi gestiti dall'organizzazione stessa.WIP together with MDM gives the organization greater control over how its data is handled on devices that the organization manages. A volte gli utenti portano i dispositivi al lavoro e non li registrano nel sistema MDM dell'organizzazione.Sometimes users bring devices to work and do not enroll them in the organization's MDM. In tali casi, le organizzazioni possono utilizzare MAM per ottenere un controllo maggiore sulle modalità di gestione dei dati su app line-of-business specifiche che gli utenti installano sui propri dispositivi.In those cases, organizations can use MAM to achieve greater control over how their data is handled on specific line of business apps that users install on their device.

Usando MDM o MAM, gli amministratori possono identificare le app autorizzate ad accedere ai file appartenenti all'organizzazione e stabilire se gli utenti possono copiare i dati da questi file e poi incollarli nei documenti personali.using MDM or MAM, administrators can identify which apps are allowed to access files that belong to the organization and whether users can copy data from those files and then paste that data into personal documents.

Ecco come funziona.Here's how it works. Gli utenti registrano i propri dispositivi nel sistema di gestione di dispositivi mobili (MDM) dell'organizzazione.Users enroll their devices into the organization's mobile device management (MDM) system. Un amministratore per la gestione dell'organizzazione usa Microsoft Intune o System Center Configuration Manager (SCCM) per definire e quindi distribuire un criterio nei dispositivi registrati.An administrator in the managing organization uses Microsoft Intune or System Center Configuration Manager (SCCM) to define and then deploy a policy to the enrolled devices.

Se gli utenti non devono registrare i propri dispositivi, gli amministratori utilizzeranno il loro sistema MAM per definire e distribuire un criterio applicabile ad app specifiche.If users aren't required to enroll their devices, administrators will use their MAM system to define and deploy a policy that applies to specific apps. Quando gli utenti installano una di tali app, riceveranno il criterio associato.When users install any of those apps, they'll receive the associated policy.

Il criterio identifica le app che possono accedere ai dati aziendali (chiamate app autorizzate del criterio).That policy identifies the apps that can access enterprise data (called the policy's allowed list). Queste app possono accedere ai file protetti aziendali, alle reti privati virtuali (VPN) e ai dati aziendali presenti negli Appunti oppure tramite un contratto Condivisione.These apps can access enterprise protected files, Virtual Private Networks (VPN) and enterprise data on the clipboard or through a share contract. Il criterio definisce anche le regole che gestiscono i dati,The policy also defines the rules that govern the data. ad esempio se i dati possono essere copiati dai file di proprietà dell'azienda e quindi incollati in file non di proprietà dell'azienda.For example, whether data can be copied from enterprise-owned files and then pasted into non enterprise-owned files.

Se gli utenti annullano la registrazione dei dispositivi al sistema MDM o disinstallano le app identificate dal sistema MAM dell'organizzazione, gli amministratori possono cancellare da remoto i dati aziendali dal dispositivo.If users unenroll their device from the organization's MDM system, or uninstall apps identified by the organizations MAM system, administrators can remotely wipe enterprise data from the device.

Ciclo di vita di WIP

Per ulteriori informazioni su WIPRead more about WIP

Se la tua app è inclusa nell'elenco delle app autorizzate, tutti i dati generati dall'app sono soggetti alle restrizioni dei criteri.If your app is on the allowed list, all data produced by your app is subject to policy restrictions. Se quindi gli amministratori revocano l'accesso di un utente ai dati aziendali, l'utente non ha più accesso a nessuno dei dati generati dalla tua app.That means that if administrators revoke the user's access to enterprise data, those users lose access to all of the data that your app produced.

Questo non è un problema se l'app è progettata solo per uso aziendale,This is fine if your app is designed only for enterprise use. ma, se l'app crea dati che gli utenti considerano personali, dovrai informare l'app perché possa distinguere in modo intelligente i dati aziendali da quelli personali.But if your app creates data that users consider personal to them, you'll want to enlighten your app to intelligently discern between enterprise and personal data. In questo caso parliamo di app con riconoscimento dei dati aziendali perché può applicare facilmente i criteri aziendali, preservando tuttavia l'integrità dei dati personali dell'utente.We call this type of an app enterprise-enlightened because it can gracefully enforce enterprise policy while preserving the integrity of the user's personal data.

Creare un'app con riconoscimento dei dati aziendaliCreate an enterprise-enlightened app

Usa le API WIP per comunicare le informazioni alla tua app e quindi dichiarala app con riconoscimento dei dati aziendali.Use WIP APIs to enlighten your app, and then declare your app as enterprise-enlightened.

Configura l'app con il riconoscimento dei dati aziendali se verrà usata per scopi sia aziendali che personali.Enlighten your app if it'll be used for both organizational and personal purposes.

Configura l'app con il riconoscimento dei dati aziendali se vuoi gestire facilmente l'imposizione degli elementi dei criteri.Enlighten your app if you want to gracefully handle the enforcement of policy elements.

Ad esempio, se il criterio consente agli utenti di incollare i dati aziendali in un documento personale, puoi evitare che gli utenti debbano rispondere a una finestra di dialogo di consenso prima di incollare i dati.For example, if policy allows users to paste enterprise data into a personal document, you can prevent users from having to respond to a consent dialog before they paste the data. Allo stesso modo, puoi presentare finestre di dialogo informative personalizzate in risposta a questi tipi di eventi.Similarly, you can present custom informational dialog boxes in response to these sorts of events.

Se sei pronto a configurare l'app con il riconoscimento dei dati aziendali, vedi una di queste guide:If you're ready to enlighten your app, see one of these guides:

Per le app Universal Windows Platform (UWP) che si compila usandoC#For Universal Windows Platform (UWP) apps that you build by using C#

Guida per gli sviluppatori di Windows Information Protection (WIP).Windows Information Protection (WIP) developer guide.

Per le app Desktop che si compila con C++For Desktop apps that you build by using C++

Guida per gli sviluppatori di Windows Information Protection (WIP) (C++).Windows Information Protection (WIP) developer guide (C++).

Creare un'app senza riconoscimento dei dati aziendaliCreate non-enlightened enterprise app

Se stai creando un'app Line of Business (LOB) non destinata per uso personale, potrebbe non essere necessario configurarla per il riconoscimento dei dati aziendali.if you're creating an Line of Business (LOB) app that is not intended for personal use, you might not have to enlighten it.

App desktop di WindowsWindows desktop apps

Non è necessario configurare un'app desktop di Windows per il riconoscimento dei dati aziendali, ma è necessario testare l'app che verificare che funzioni correttamente in conformità al criterio.You don't need to enlighten a Windows desktop app but you should test your app to ensure that it functions properly under policy. Ad esempio, avvia l'app, utilizzala, quindi annulla la registrazione del dispositivo dal sistema MDM.For example, start your app, use it, then unenroll the device from MDM. Quindi, assicurati che l'app possa essere riavviata.Then, make sure the app can start again. Se file critici per il funzionamento dell'app sono crittografati, l'app potrebbe non avviarsi.If files critical to the operation of the app are encrypted, the app might not start. Rivedi inoltre i file con cui interagisce l'app per assicurarti che l'app non crittografi inavvertitamente file personali dell'utente.Also, review the files that your app interacts with to ensure that your app won't inadvertently encrypt files that are personal to the user. Questi potrebbero includere file di metadati, immagini e altro.This might include metadata files, images and other things.

Dopo aver testato l'app, aggiungi questo flag al file delle risorse o al progetto e ricompila l'app.After you've tested your app, add this flag to the resource file or your project, and then recompile the app.

MICROSOFTEDPAUTOPROTECTIONALLOWEDAPPINFO EDPAUTOPROTECTIONALLOWEDAPPINFOID
BEGIN
    0x0001
END

I criteri MDM non richiedono il flag, al contrario dei criteri MAM.While MDM policies don't require the flag, MAM policies do.

App UWPUWP apps

Se prevedi che l'app venga inclusa in un criterio MAM, devi configurarla per riconoscere i dati aziendali.If you expect your app to be included in a MAM policy, you should enlighten it. I criteri sviluppati su dispositivi in conformità a MDM non lo richiedono, ma se distribuisci l'app a utenti consumer dell'organizzazione, è difficile se non impossibile determinare quale sistema di gestione dei criteri utilizzeranno.Policies deployed to devices under MDM won't require it, but if you distribute your app to organizational consumers, it's difficult if not impossible to determine what type of policy management system they'll use. Per assicurarti che l'app funzioni in entrambi i tipi di sistemi di gestione dei criteri (MDM e MAM), devi configurarla per il riconoscimento dei dati aziendali.To ensure that your app will work in both types of policy management systems (MDM and MAM), you should enlighten your app.