Criar uma política de Proteção de Informações do Windows no Microsoft Intune

Observação

A partir de julho de 2022, a Microsoft está preterindo o Windows Proteção de Informações (WIP). A Microsoft continuará a dar suporte ao WIP em versões com suporte do Windows. Novas versões do Windows não incluirão novos recursos para WIP e não serão compatíveis em versões futuras do Windows. Para obter mais informações, consulte Anunciando o pôr do sol do Windows Proteção de Informações.

Para suas necessidades de proteção de dados, a Microsoft recomenda que você use Proteção de Informações do Microsoft Purview e Prevenção Contra Perda de Dados do Microsoft Purview. O Purview simplifica a configuração configuração e fornece um conjunto avançado de recursos.

Aplica-se a:

• Windows 10
• Windows 11

Microsoft Intune tem uma maneira fácil de criar e implantar uma política wip (windows Proteção de Informações). Você pode escolher quais aplicativos proteger, o nível de proteção e como encontrar dados corporativos na rede. Os dispositivos podem ser totalmente gerenciados pelo MDM (Mobile Gerenciamento de Dispositivos) ou gerenciados pelo MAM (Mobile Application Management), em que Intune gerencia apenas os aplicativos no dispositivo pessoal de um usuário.

Diferenças entre MDM e MAM para WIP

Você pode criar uma política de proteção de aplicativo no Intune com registro de dispositivo para MDM ou sem registro de dispositivo para MAM. O processo para criar qualquer política é semelhante, mas há diferenças importantes:

• O MAM tem mais configurações de acesso para Windows Hello para Empresas.
• O MAM pode apagar seletivamente os dados da empresa do dispositivo pessoal de um usuário.
• O MAM requer uma licença P1 ou P2 Microsoft Entra ID.
• Uma licença P1 ou P2 Microsoft Entra ID também é necessária para recuperação automática do WIP, onde um dispositivo pode registrar novamente e recuperar o acesso a dados protegidos. A recuperação automática do WIP depende de Microsoft Entra registro para fazer backup das chaves de criptografia, o que requer o registro automático do dispositivo com o MDM.
• O MAM dá suporte a apenas um usuário por dispositivo.
• O MAM só pode gerenciar aplicativos iluminados.
• Somente o MDM pode usar políticas de CSP do BitLocker .
• Se o mesmo usuário e dispositivo estiverem direcionados para MDM e MAM, a política MDM será aplicada a dispositivos ingressados no Microsoft Entra ID. Para dispositivos pessoais ingressados no local de trabalho (ou seja, adicionados usando Configurações>Email & contas>Adicionar uma conta corporativa ou de estudante), a política somente MAM será preferencial, mas é possível atualizar o gerenciamento de dispositivo para MDM em Configurações. A edição do Windows Home só dá suporte a WIP somente para MAM; A atualização para a política de MDM na edição home revogará o acesso a dados protegidos por WIP.

Pré-requisitos

Antes de criar uma política wip usando Intune, você precisa configurar um provedor MDM ou MAM no Microsoft Entra ID. O MAM requer uma licença P1 ou P2 Microsoft Entra ID. Uma licença P1 ou P2 Microsoft Entra ID também é necessária para recuperação automática do WIP, onde um dispositivo pode registrar novamente e recuperar o acesso a dados protegidos. A recuperação automática do WIP depende de Microsoft Entra registro para fazer backup das chaves de criptografia, o que requer o registro automático do dispositivo com o MDM.

Configurar o provedor MDM ou MAM

1. Entre no portal do Azure.

2. Selecione Microsoft Entra ID>Mobilidade (MDM e MAM)>Microsoft Intune.

3. Selecione Restaurar URLs Padrão ou insira as configurações do escopo do usuário MDM ou MAM e selecione Salvar:

   

Criar uma política wip

1. Entre no centro de administração Microsoft Intune.

2. Abra Microsoft Intune e selecione Aplicativos>Proteção de aplicativos políticas>Criar política.

   

3. Na tela Política de aplicativo, selecione Adicionar uma política e preencha os campos:

   • Nome. Digite um nome (obrigatório) para sua nova política.

   • Descrição. Digite uma descrição opcional.

   • Plataforma. Escolha Windows 10.

   • Estado do registro. Escolha Sem registro para MAM ou Com registro para MDM.

   

4. Selecione Aplicativos protegidos e selecione Adicionar aplicativos.

   

   Você pode adicionar esses tipos de aplicativos:

   • Aplicativos recomendados
   • Armazenar aplicativos
   • Apps da área de trabalho

Observação

Um aplicativo pode retornar erros negados de acesso depois de removê-lo da lista de aplicativos protegidos. Em vez de removê-lo da lista, desinstale e reinstale o aplicativo ou isenta-o da política WIP.

Adicionar aplicativos recomendados

Selecione Aplicativos recomendados e selecione cada aplicativo que você deseja acessar seus dados corporativos ou selecione todos eles e selecione OK.

Adicionar aplicativos da Loja

Selecione Armazenar aplicativos, digite o nome e o editor do produto do aplicativo e selecione OK. Por exemplo, para adicionar o aplicativo Power BI Mobile da Loja, digite o seguinte:

• Nome: Microsoft Power BI
• Publicador: CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
• Nome do produto: Microsoft.MicrosoftPowerBIForWindows

Para adicionar vários aplicativos da Loja, selecione as reticências ….

Se você não souber o editor de aplicativos da Loja ou o nome do produto, poderá encontrá-los seguindo estas etapas.

1. Acesse o site da Microsoft Store para Empresas e localize seu aplicativo. Por exemplo, Power BI Mobile App.

2. Copie o valor de ID da URL do aplicativo. Por exemplo, a URL de ID do aplicativo Power BI Mobile é https://www.microsoft.com/store/p/microsoft-power-bi/9nblgggzlxn1, e você copiaria o valor da ID, 9nblgggzlxn1.

3. Em um navegador, execute a API Web do portal da Microsoft Store para Empresas para retornar um arquivo JavaScript Object Notation (JSON) que inclua os valores de nome do produto e fornecedor. Por exemplo, execute https://bspmts.mp.microsoft.com/v1/public/catalog/Retail/Products/9nblgggzlxn1/applockerdata, em que 9nblgggzlxn1 é substituído pelo valor da ID.

   A API é executada e abre um editor de texto com os detalhes do aplicativo.

    {
    	"packageIdentityName": "Microsoft.MicrosoftPowerBIForWindows",
    	"publisherCertificateName": "CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US"
    }
   

4. Copie o valor publisherCertificateName para a caixa Fornecedor e o valor packageIdentityName para a caixa Nome do Intune.

   Importante

   O arquivo JSON também pode retornar um valor windowsPhoneLegacyId para as caixas Nome do Fornecedor e Nome do Produto. Isso significa que você tem um aplicativo que está usando um pacote XAP e que você deve definir o Nome do Produto como windowsPhoneLegacyIde definir o Nome do Editor conforme CN= seguido pelo .windowsPhoneLegacyId

   Por exemplo:

   {
       "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
   }
   

Adicionar aplicativos da área de trabalho

Para adicionar aplicativos da Área de Trabalho, conclua os campos a seguir, com base nos resultados que você deseja retornar.

Campo	Gerencia
Todos os campos marcados como *	Todos os arquivos assinados por um fornecedor. (Não recomendado e pode não funcionar)
Somente fornecedor	Se você preencher somente esse campo, obterá todos os arquivos assinados pelo editor nomeado. Isso poderá ser útil se sua empresa for a fornecedora e a signatária dos aplicativos de linha de negócios internos.
Apenas fornecedor e nome	Se você preencher apenas esses campos, obterá todos os arquivos do produto especificado, assinados pelo editor nomeado.
Apenas fornecedor, nome e arquivo	Se você preencher apenas esses campos, obterá qualquer versão do arquivo ou pacote nomeado para o produto especificado, assinado pelo editor nomeado.
Somente a versão de fornecedor, nome, arquivos e Mín	Se você preencher apenas esses campos, obterá a versão especificada ou versões mais recentes do arquivo ou pacote nomeado para o produto especificado, assinado pelo editor nomeado. Essa opção é recomendada para aplicativos habilitados que não foram habilitados anteriormente.
Somente a versão de fornecedor, nome, arquivos e Máx	Se você preencher apenas esses campos, obterá a versão especificada ou versões mais antigas do arquivo ou pacote nomeado para o produto especificado, assinado pelo editor nomeado.
Todos os campos concluídos	Se você preencher todos os campos, obterá a versão especificada do arquivo ou pacote nomeado para o produto especificado, assinado pelo editor nomeado.

Para adicionar outro aplicativo desktop, selecione as reticências …. Depois de inserir as informações nos campos, selecione OK.

Se você não tiver certeza sobre o que incluir para o editor, poderá executar este comando do PowerShell:

Get-AppLockerFileInformation -Path "<path_of_the_exe>"

Onde "<path_of_the_exe>" vai até o local do aplicativo no dispositivo. Por exemplo:

Get-AppLockerFileInformation -Path "C:\Program Files\Windows NT\Accessories\wordpad.exe"

Nesse exemplo, você obteria a seguinte informação:

Path                   Publisher
----                   ---------
%PROGRAMFILES%\WINDOWS NT\ACCESSORIES\WORDPAD.EXE O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US

Onde O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US está o nome do Editor e WORDPAD.EXE é o nome do arquivo .

Sobre como obter o Nome do Produto para os Aplicativos que você deseja adicionar, entre em contato com a Equipe de Suporte do Windows para solicitar as diretrizes

Importar uma lista de aplicativos

Esta seção aborda dois exemplos de uso de um arquivo XML do AppLocker para a lista de aplicativos protegidos . Você usará essa opção se quiser adicionar vários aplicativos ao mesmo tempo.

• Criar uma regra de aplicativo empacotado para aplicativos store
• Criar uma regra executável para aplicativos não assinados

Para obter mais informações sobre o AppLocker, consulte o conteúdo AppLocker.

Criar uma regra de aplicativo empacotado para aplicativos store

1. Abra o snap-in Política de Segurança Local (SecPol.msc).

2. Expanda Políticas de Controle de Aplicativo, expanda AppLocker e selecione Regras de Aplicativo Empacotadas.

   

3. Clique com o botão direito do mouse no lado direito e selecione Criar Nova Regra.

   O assistente Criar Regras para Aplicativos Empacotados é exibido.

4. Na página Antes de Começar , selecione Avançar.

   

5. Na página Permissões , verifique se a Ação está definida como Permitir e o Usuário ou grupo está definido como Todos e selecione Avançar.

   

6. Na página Publicador , escolha Selecionar na área Usar um aplicativo empacotado instalado como uma área de referência .

   

7. Na caixa Selecionar aplicativos , escolha o aplicativo que você deseja usar como referência para sua regra e selecione OK. Para este exemplo, estamos usando o Microsoft Dynamics 365.

   

8. Na página Do Publicador atualizada, selecione Criar.

   

9. Selecione Não na caixa de diálogo exibida, perguntando se você deseja criar as regras padrão. Não crie regras padrão para sua política wip.

   

10. Revise o snap-in Política de Segurança Local para verificar se a regra está correta.

    

11. À esquerda, clique com o botão direito do mouse no AppLocker e selecione Exportar política.

    A caixa Exportar política é aberta, permitindo que você exporte e salve a nova política como XML.

    

12. Na caixa Política de exportação , navegue até onde a política deve ser armazenada, dê um nome à política e selecione Salvar.

    A política é salva e você verá uma mensagem que diz que uma regra foi exportada da política.

    Arquivo XML de exemplo
    Este é o arquivo XML que o AppLocker cria para o Microsoft Dynamics 365.

    <?xml version="1.0"?>
    <AppLockerPolicy Version="1">
        <RuleCollection EnforcementMode="NotConfigured" Type="Appx">
            <FilePublisherRule Action="Allow" UserOrGroupSid="S-1-1-0" Description="" Name="Microsoft.MicrosoftDynamicsCRMforWindows10, version 3.2.0.0 and above, from Microsoft Corporation" Id="3da34ed9-aec6-4239-88ba-0afdce252ab4">
                <Conditions>
                    <FilePublisherCondition BinaryName="*" ProductName="Microsoft.MicrosoftDynamicsCRMforWindows10" PublisherName="CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US">
                        <BinaryVersionRange HighSection="*" LowSection="3.2.0.0"/>
                    </FilePublisherCondition>
                </Conditions>
            </FilePublisherRule>
        </RuleCollection>
        <RuleCollection EnforcementMode="NotConfigured" Type="Dll"/>
        <RuleCollection EnforcementMode="NotConfigured" Type="Exe"/>
        <RuleCollection EnforcementMode="NotConfigured" Type="Msi"/>
        <RuleCollection EnforcementMode="NotConfigured" Type="Script"/>
    </AppLockerPolicy>
    

13. Depois de criar seu arquivo XML, você precisará importá-lo usando Microsoft Intune.

Criar uma regra executável para aplicativos não assinados

A regra executável ajuda a criar uma regra AppLocker para assinar aplicativos não assinados. Ele permite adicionar o caminho do arquivo ou o editor de aplicativos contido na assinatura digital do arquivo necessária para que a política WIP seja aplicada.

1. Abra o snap-in Política de Segurança Local (SecPol.msc).

2. No painel esquerdo, selecione Políticas> de Controle de AplicativoAppLocker>Regras Executáveis.

3. Clique com o botão direito do mouse em Regras> ExecutáveisCriar Nova Regra.

   

4. Na página Antes de Começar , selecione Avançar.

5. Na página Permissões , verifique se a Ação está definida como Permitir e o Usuário ou grupo está definido como Todos e selecione Avançar.

6. Na página Condições , selecione Caminho e selecione Avançar.

   

7. Selecione Procurar Pastas... e selecione o caminho para os aplicativos não assinados. Para este exemplo, estamos usando "C:\Arquivos de Programa".

   

8. Na página Exceções , adicione quaisquer exceções e selecione Avançar.

9. Na página Nome , digite um nome e uma descrição para a regra e selecione Criar.

10. No painel esquerdo, clique com o botão direito do mouse napolítica de exportaçãodo AppLocker>.

11. Na caixa Política de exportação , navegue até onde a política deve ser armazenada, dê um nome à política e selecione Salvar.

    A política é salva e você verá uma mensagem que diz que uma regra foi exportada da política.

12. Depois de criar seu arquivo XML, você precisará importá-lo usando Microsoft Intune.

Para importar uma lista de aplicativos protegidos usando Microsoft Intune

1. Em Aplicativos protegidos, selecione Importar aplicativos.

   

   Em seguida, importe seu arquivo.

   

2. Navegue até o arquivo de política do AppLocker exportado e selecione Abrir.

   O arquivo importa e os aplicativos são adicionados à sua lista de aplicativos protegidos .

Isentar aplicativos de uma política wip

Se o aplicativo for incompatível com o WIP, mas ainda precisar ser usado com dados corporativos, você poderá isentar o aplicativo das restrições wip. Isso significa que seus aplicativos não incluirão criptografia automática nem marcação e não respeitarão as restrições de rede. Isso também significa que você pode perder seus aplicativos isentos.

1. Em Aplicativos cliente – Proteção de aplicativos políticas, selecione Aplicativos isentos.

   

2. Em Aplicativos isentos, selecione Adicionar aplicativos.

   Quando você isenta aplicativos, eles podem ignorar as restrições wip e acessar seus dados corporativos.

3. Preencha o restante das informações do aplicativo, com base no tipo de aplicativo que você está adicionando:

   • Adicionar aplicativos recomendados

   • Adicionar aplicativos da Loja

   • Adicionar aplicativos da área de trabalho

   • Importar aplicativos

4. Clique em OK.

Gerenciar o modo de proteção por WIP dos dados corporativos

Depois de adicionar os aplicativos que deseja proteger com WIP, você precisará aplicar um modo de gerenciamento e proteção.

É recomendável iniciar com Silencioso ou Permitir Substituições ao verificar, com um pequeno grupo, se você tem os aplicativos corretos na lista de aplicativos protegidos. Depois de terminar, você pode alterar para sua política de execução final, Bloquear.

1. Em Proteção de aplicativos política, selecione o nome da política e selecione Configurações necessárias.

   

   Modo	Descrição
   Bloqueio	A WIP procura práticas inadequadas de compartilhamento de dados e impede que o funcionário execute a ação. Isso pode incluir compartilhar informações em todos os aplicativos protegidos não corporativos, além de compartilhar dados empresariais entre outras pessoas e dispositivos fora da empresa.
   Permitir substituições	A WIP procura compartilhamento de dados inapropriados, avisando os funcionários se eles fizerem algo considerado potencialmente inseguro. No entanto, esse modo de gerenciamento permite que o funcionário substitua a política e compartilhe os dados, registrando a ação no log de auditoria. Para obter informações sobre como coletar os arquivos de log de auditoria, consulte Como coletar logs de eventos de auditoria de Proteção de Informações do Windows (WIP).
   Silencioso	O WIP é executado silenciosamente, registrando compartilhamento de dados inadequados, sem bloquear nada que teria sido solicitado para interação do funcionário enquanto estiver no modo Permitir Substituição. Ações não permitidas, como aplicativos tentando acessar de maneira inadequada um recurso de rede ou dados protegidos pela WIP, continuam sendo interrompidas.
   Desativada	A WIP permanece desativada e não ajuda a proteger nem auditar os dados. Depois de desativar a WIP, é feita uma tentativa de descriptografar todos os arquivos marcados pela WIP nas unidades conectadas localmente. As suas informações de descriptografia e política anteriores não serão reaplicadas automaticamente se você reativar a proteção WIP novamente. Para obter mais informações, consulte Como desabilitar o Windows Proteção de Informações.

2. Selecione Salvar.

Definir sua identidade corporativa gerenciada na empresa

A identidade corporativa, normalmente expressa como seu domínio primário da Internet (por exemplo, contoso.com), ajuda a identificar e marcar seus dados corporativos de aplicativos marcados como protegidos pelo WIP. Por exemplo, emails usando contoso.com são identificados como sendo corporativos e são restringidos por suas políticas de Proteção de Informações do Windows.

A partir do Windows 10, versão 1703, o Intune determina automaticamente sua identidade corporativa e a adiciona ao campo Identidade corporativa.

Para mudar sua identidade corporativa

1. Na política de aplicativo, selecione o nome da política e selecione Configurações necessárias.

2. Se a identidade definida automaticamente não estiver correta, você poderá alterar as informações no campo identidade corporativa .

   

3. Para adicionar domínios, tais como seus nomes de domínio de email, selecione Configurar configurações avançadas>Adicionar limite de rede e selecione Domínios protegidos.

   

Escolher o local onde os aplicativos podem acessar dados empresariais

Depois de adicionar um modo de proteção aos seus aplicativos, é necessário decidir onde esses aplicativos podem acessar dados empresariais em sua rede. Cada política wip deve incluir seus locais de rede empresarial.

Não existem locais padrão incluídos com a WIP. Você deve adicionar cada um dos seus locais de rede. Essa área se aplica a qualquer dispositivo de ponto de extremidade de rede que obtém um endereço IP no intervalo da sua empresa e também está associada a um de seus domínios corporativos, incluindo compartilhamentos SMB. Os locais do sistema de arquivos locais devem apenas manter a criptografia (por exemplo, em NTFS, FAT e ExFAT locais).

Para definir os limites de rede, selecione Política> de aplicativo o nome de sua política >Configurações avançadas>Adicionar limite de rede.

Selecione o tipo de limite de rede para adicionar a partir da caixa Tipo de limite. Digite um nome para o limite na caixa Nome , adicione seus valores à caixa Valor , com base nas opções abordadas nas subseções a seguir e selecione OK.

Recursos de nuvem

Especifique os recursos de nuvem para serem tratados como corporativos e protegidos pela WIP. Para cada recurso de nuvem, você também pode especificar um servidor proxy de sua lista de Servidores Proxy Internos Empresariais para rotear o tráfego para esse recurso de nuvem. Todo o tráfego roteado por meio de seus servidores proxy internos é considerado empresarial.

Separe vários recursos com o delimitador "|". Por exemplo:

URL <,proxy>|URL <,proxy>

Aplicativos pessoais podem acessar um recurso de nuvem que tenha um espaço em branco ou um caractere inválido, como um ponto à direita na URL.

Para adicionar um subdomínio para um recurso de nuvem, use um período (.) em vez de um asterisco (*). Por exemplo, para adicionar todos os subdomínios em Office.com, use ".office.com" (sem as aspas).

Em alguns casos, como quando um aplicativo se conecta diretamente a um recurso de nuvem por meio de um endereço IP, o Windows não pode dizer se está tentando se conectar a um recurso de nuvem empresarial ou a um site pessoal. Nesse caso, o Windows bloqueará a conexão por padrão. Para impedir que o Windows bloqueie automaticamente essas conexões, adicione a cadeia de caracteres /*AppCompat*/ à configuração. Por exemplo:

URL <,proxy>|URL <,proxy>|/*AppCompat*/

Ao usar essa cadeia de caracteres, recomendamos que você também ative Microsoft Entra Acesso Condicional, usando a opção Domínio ingressado ou marcado como compatível, o que impede que os aplicativos acessem todos os recursos de nuvem corporativos protegidos pelo acesso condicional.

Formato de valor com proxy:

contoso.sharepoint.com,contoso.internalproxy1.com|contoso.visualstudio.com,contoso.internalproxy2.com

Formato de valor sem proxy:

contoso.sharepoint.com|contoso.visualstudio.com|contoso.onedrive.com,

Domínios protegidos

Especifique os domínios usados para identidades em seu ambiente. Todo o tráfego para os domínios totalmente qualificados que aparecem nesta lista será protegido. Separe vários domínios com o delimitador "|".

exchange.contoso.com|contoso.com|region.contoso.com

Domínios de rede

Especifique os sufixos DNS usado em seu ambiente. Todo o tráfego para os domínios totalmente qualificados que aparecem nesta lista será protegido. Separe vários recursos com o delimitador "".

corp.contoso.com,region.contoso.com

Servidores de proxy

Especifique os servidores proxy pelos quais seus dispositivos passarão para atingir seus recursos de nuvem. O uso desse tipo de servidor indica que os recursos de nuvem aos quais você está se conectando são recursos corporativos.

Essa lista não deve incluir servidores listados em sua lista de servidores proxy internos. Servidores proxy devem ser usados somente para o tráfego protegido não-WIP (não-empresarial). Separe vários recursos com o delimitador ";".

proxy.contoso.com:80;proxy2.contoso.com:443

Servidores proxy internos

Especifique os servidores proxy internos pelos quais seus dispositivos passarão para atingir seus recursos de nuvem. O uso desse tipo de servidor indica que os recursos de nuvem aos quais você está se conectando são recursos corporativos.

Essa lista não deve incluir servidores listados em sua lista de servidores Proxy. Servidores proxy internos devem ser usados somente para o tráfego protegido WIP (empresarial). Separe vários recursos com o delimitador ";".

contoso.internalproxy1.com;contoso.internalproxy2.com

Intervalos IPv4

Especifique os endereços para um intervalo de valores IPv4 válidos na sua intranet. Esses endereços, usados com seus Nomes de Domínio de Rede, definem os limites da rede corporativa. Não há suporte para a notação cidr (roteamento de Inter-Domain sem classe).

Separe vários intervalos com o delimitador "".

A partir do endereço IPv4: 3.4.0.1
Encerrando endereço IPv4: 3.4.255.254
URI personalizada: 3.4.0.1-3.4.255.254,
10.0.0.1-10.255.255.254

Intervalos IPv6

A partir do Windows 10, versão 1703, esse campo é opcional.

Especifique os endereços para um intervalo de valores IPv6 válidos na sua intranet. Esses endereços, usados com seus nomes de domínio de rede, definem seus limites de rede corporativa. Não há suporte para a notação cidr (roteamento de Inter-Domain sem classe).

Separe vários intervalos com o delimitador "".

Endereço IPv6 inicial:2a01:110::
Endereço IPv6 final:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff
URI personalizado:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff,'<br>'fd00::-fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

Recursos neutros

Especifique seus pontos de extremidade de redirecionamento de autenticação para sua empresa. Esses locais são considerados empresariais ou pessoais, com base no contexto da conexão antes do redirecionamento. Separe vários recursos com o delimitador "".

sts.contoso.com,sts.contoso2.com

Decida se deseja que o Windows procure mais configurações de rede:

• A lista de servidores proxy empresariais é autoritativa (não detecta automaticamente). Ative se quiser que o Windows trate os servidores proxy especificados na definição de limite de rede como a lista completa de servidores proxy disponíveis em sua rede. Se você desativar isso, o Windows procurará mais servidores proxy em sua rede imediata.

• A lista de intervalos de IP empresariais é autoritativa (não detectar automaticamente). Ative se quiser que o Windows trate os intervalos de IP especificados na definição de limite de rede como a lista completa de intervalos de IP disponíveis em sua rede. Se você desativar isso, o Windows procurará mais intervalos de IP em qualquer dispositivo conectado ao domínio conectado à sua rede.

Carregar o certificado DRA (Agente de recuperação de dados)

Depois de criar e implantar sua política wip para seus funcionários, o Windows começa a criptografar seus dados corporativos na unidade de dispositivo local dos funcionários. Se de alguma forma as chaves de criptografia locais dos funcionários forem perdidas ou revogadas, os dados criptografados poderão se tornar irrecuperáveis. Para ajudar a evitar essa possibilidade, o certificado de agente de recuperação de dados (DRA) permite que o Windows use uma chave pública incluída para criptografar os dados locais, enquanto você mantém a chave privada que pode descriptografar os dados.

Importante

O uso de um certificado DRA não é obrigatório. No entanto, é altamente recomendável. Para obter mais informações sobre como localizar e exportar seu certificado de recuperação de dados, consulte EFS (Sistema de Arquivos de Recuperação de Dados e Criptografação). Para obter mais informações sobre como criar e verificar o certificado DRA do EFS, consulte Criar e verificar um certificado DRA (Agente de Recuperação de Dados) do EFS (Sistema de Arquivos Criptografados).

Para carregar seu certificado de DRA

1. Na política de aplicativo, selecione o nome da política e selecione Configurações avançadas no menu exibido.

   As configurações avançadas são mostradas .

2. No certificado Carregar um DRA (Agente de Recuperação de Dados) para permitir a recuperação da caixa de dados criptografada , selecione Procurar para adicionar um certificado de recuperação de dados para sua política.

   

Escolha as configurações opcionais relacionadas à WIP

Depois de decidir onde seus aplicativos protegidos podem acessar dados corporativos em sua rede, você pode escolher configurações opcionais.

Revogar as chaves de criptografia em cancelar registro. Determina se é necessário revogar as chaves de criptografia locais de um usuário de um dispositivo quando ele for não registrado do Windows Proteção de Informações. Se as chaves de criptografia estiverem revogadas, um usuário não tem mais acesso aos dados corporativos criptografados. As opções são:

• Ativado, ou não configurado (recomendado). Revoga as chaves de criptografia locais de um dispositivo durante o cancelamento de registro.

• Desativar. Para as chaves de criptografia locais de serem revogadas de um dispositivo durante o cancelamento de registro. Por exemplo, se você estiver migrando entre soluções de MDM (mobile Gerenciamento de Dispositivos).

Mostre o ícone de proteção de dados corporativos. Determina se a sobreposição do ícone da Proteção de Informações do Windows aparece em arquivos corporativos nas exibições Salvar Como e Explorador de Arquivos. As opções são:

• Ativado. Permite que a sobreposição do ícone da Proteção de Informações do Windows apareça em arquivos corporativos nas exibições Salvar Como e Explorador de Arquivos. Além disso, para aplicativos não iluminados, mas protegidos, a sobreposição de ícone também aparece no bloco do aplicativo e com texto gerenciado no nome do aplicativo no menu Iniciar .

• Desativado, ou não configurado (recomendado). Impede que a sobreposição do ícone do Windows Proteção de Informações apareça em arquivos corporativos ou sem iluminação, mas aplicativos protegidos. Não configurado é a opção padrão.

Use o Azure RMS para WIP. Determina se o WIP usa o Microsoft Azure Rights Management para aplicar criptografia EFS a arquivos copiados de Windows 10 para USB ou outras unidades removíveis para que possam ser compartilhados com segurança com os funcionários. Em outras palavras, o WIP usa o "machinery" do Azure Rights Management para aplicar a criptografia EFS aos arquivos quando eles são copiados para unidades removíveis. Você já deve ter o Azure Rights Management configurado. A chave de criptografia de arquivo EFS é protegida pela licença do modelo RMS. Somente usuários com permissão para esse modelo podem lê-lo na unidade removível. O WIP também pode se integrar ao Azure RMS usando o AllowAzureRMSForEDP e as configurações de MDM RMSTemplateIDForEDP no CSP EnterpriseDataProtection.

• Ativado. Protege arquivos copiados para uma unidade removível. Você pode inserir um GUID TemplateID para especificar quem pode acessar os arquivos protegidos do Azure Rights Management e por quanto tempo. O modelo RMS só é aplicado aos arquivos em mídia removível e é usado apenas para controle de acesso, mas não aplica o Azure Proteção de Informações aos arquivos.

  Se você não especificar um modelo RMS, é um arquivo EFS regular usando um modelo RMS padrão que todos os usuários podem acessar.

• Desativado, ou não configurado. Impede o WIP de criptografar arquivos do Azure Rights Management copiados para uma unidade removível.

  Observação

  Independentemente dessa configuração, todos os arquivos em OneDrive for Business serão criptografados, incluindo pastas conhecidas movidas.

Permitir que o Indexador de Pesquisa do Windows pesquise arquivos criptografados. Determina se o Indexador de Pesquisa do Windows deve indexar itens criptografados, como arquivos protegidos por WIP.

• Ativado. Inicia o Indexador de Pesquisa do Windows para indexar arquivos criptografados.

• Desativado, ou não configurado. Impede o Indexador de Pesquisa do Windows de indexar arquivos criptografados.

Extensões de arquivo criptografadas

Você pode restringir quais arquivos são protegidos pelo WIP quando eles são baixados de um compartilhamento SMB em suas localizações de rede corporativa. Se essa configuração estiver configurada, somente arquivos com as extensões na lista serão criptografados. Se essa configuração não for especificada, o comportamento de criptografia automática existente será aplicado.

Artigos relacionados

• Como coletar logs de eventos de auditoria de Proteção de Informações do Windows (WIP)

• Diretrizes gerais e práticas recomendadas para WIP (Proteção de informações Windows)

• O que é o Azure Rights Management?

• Criar uma política de proteção do Windows Proteção de Informações (WIP) usando Microsoft Intune

• Intune MAM sem registro

• Atualização de documentação do Azure RMS para maio de 2016