Criar e implantar uma política de Proteção de Informações do Windows em Configuration Manager

Observação

A partir de julho de 2022, a Microsoft está preterindo o Windows Proteção de Informações (WIP). A Microsoft continuará a dar suporte ao WIP em versões com suporte do Windows. Novas versões do Windows não incluirão novos recursos para WIP e não serão compatíveis em versões futuras do Windows. Para obter mais informações, consulte Anunciando o pôr do sol do Windows Proteção de Informações.

Para suas necessidades de proteção de dados, a Microsoft recomenda que você use Proteção de Informações do Microsoft Purview e Prevenção Contra Perda de Dados do Microsoft Purview. O Purview simplifica a configuração configuração e fornece um conjunto avançado de recursos.

Aplica-se a:

• Windows 10
• Windows 11

Microsoft Configuration Manager ajuda você a criar e implantar sua política de WIP (windows Proteção de Informações). Você pode escolher seus aplicativos protegidos, seu modo de proteção wip e como encontrar dados corporativos na rede.

Adicionar uma política WIP

Depois de instalar e configurar Configuration Manager para sua organização, você deve criar um item de configuração para WIP, que por sua vez se torna sua política wip.

Dica

Examine as Limitações ao usar o artigo WIP (Windows Proteção de Informações) antes de criar um novo item de configuração para evitar problemas comuns.

Para criar um item de configuração para a WIP

1. Abra o console Configuration Manager, selecione o nó Ativos e Conformidade, expanda o nó Visão geral, expanda o nó Configurações de Conformidade e expanda o nó Itens de Configuração.

   

2. Selecione o botão Criar Item de Configuração .

   O Assistente de Criação de Item de Configuração será iniciado.

   

3. Na tela Informações Gerais, digite um nome (obrigatório) e uma descrição opcional para sua política nas caixas Nome e Descrição.

4. No item Especificar o tipo de configuração que você deseja criar, escolha a opção que representa se você usa Configuration Manager para o gerenciamento de dispositivos e selecione Avançar.

   • Configurações para dispositivos gerenciados com o cliente do Configuration Manager: Windows 10

     -OU-

   • Configurações para dispositivos gerenciados sem o cliente do Configuration Manager: Windows 8.1 e Windows 10

5. Na tela Plataformas Compatíveis, selecione a caixa Windows 10 e selecione Avançar.

   

6. Na tela Configurações do Dispositivo, selecione Windows Proteção de Informações e selecione Avançar.

   

A página Configurar a Proteção de Informações do Windows será exibida, onde você vai configurar a política da sua organização.

Adicionar regras do aplicativo à sua política

Durante o processo de criação de políticas no Configuration Manager, você pode escolher os aplicativos que deseja dar acesso aos seus dados corporativos por meio do Windows Proteção de Informações. Os aplicativos incluídos nessa lista podem proteger dados em nome da empresa e são proibidos de copiar ou mover dados empresariais para aplicativos sem proteção.

As etapas para adicionar suas regras de aplicativo são baseadas no tipo de modelo de regra que está sendo aplicado. Você pode adicionar um aplicativo da Microsoft Store (também conhecido como um aplicativo da Plataforma Universal do Windows (UWP)), um aplicativo da área de trabalho do Windows assinado ou um arquivo de política do AppLocker.

Importante

Os aplicativos habilitados devem impedir que os dados corporativos passem por locais de rede não protegidos e evitar a criptografia de dados pessoais. Por outro lado, os aplicativos sem reconhecimento de WIP podem não respeitar o limite de rede corporativa e criptografar todos os arquivos criados ou modificados por eles. Isso significa que eles podem criptografar dados pessoais e causar perda de dados durante o processo de revogação.

É necessário ter cuidado para obter uma instrução de suporte do provedor de software de que seu aplicativo está seguro com o Windows Proteção de Informações antes de adicioná-lo à sua lista de regras de aplicativo. Se você não receber essa instrução, é possível que você possa enfrentar problemas de compatibilidade de aplicativo devido a um aplicativo perder a capacidade de acessar um arquivo necessário após a revogação.

Adicionar uma regra de aplicativo da Microsoft Store à sua política

Para este exemplo, vamos adicionar o Microsoft OneNote, um aplicativo de loja, à lista Regras de Aplicativo .

Para adicionar um aplicativo de loja

1. Na área Regras do aplicativo, selecione Adicionar.

   A caixa Adicionar regra de aplicativo é exibida.

   

2. Adicione um nome amigável para o seu aplicativo na caixa Título. Neste exemplo, é o Microsoft OneNote.

3. Selecione Permitir na lista suspensa modo Proteção de Informações do Windows.

   Permitir ativa o WIP, ajudando a proteger os dados corporativos desse aplicativo por meio da aplicação de restrições wip. Se você quiser isentar um aplicativo, poderá seguir as etapas da seção Isentar aplicativos das restrições de WIP.

4. Escolha Aplicativo da Microsoft Store na lista suspensa Modelo de regra.

   A caixa é alterada para mostrar as opções de regra do aplicativo da Microsoft Store.

5. Digite o nome do aplicativo e o nome de seu editor e selecione OK. Para este exemplo de aplicativo UWP, o Fornecedor é CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US e o Nome do produto é Microsoft.Office.OneNote.

Se você não souber o nome do editor ou do produto, poderá localizá-los para ambos os dispositivos de área de trabalho seguindo estas etapas.

Para localizar os valores publisher e nome do produto para aplicativos store sem instalá-los

1. Acesse o site da Microsoft Store e localize seu aplicativo. Por exemplo, Microsoft OneNote.

   Observação

   Caso o aplicativo já esteja instalado em dispositivos de desktop, é possível usar o snap-in MMC da política de segurança local do AppLocker para coletar as informações para adicionar o aplicativo à lista de aplicativos protegidos. Para obter informações sobre como fazer isso, consulte as etapas em Adicionar um arquivo de política appLocker neste artigo.

2. Copie o valor de ID da URL do aplicativo. Por exemplo, a URL de ID do Microsoft OneNote é https://www.microsoft.com/store/apps/onenote/9wzdncrfhvjl, e você copiaria o valor da ID, 9wzdncrfhvjl.

3. Em um navegador, execute a API Web do portal da Microsoft Store para Empresas para retornar um arquivo JavaScript Object Notation (JSON) que inclua os valores de nome do produto e fornecedor. Por exemplo, execute https://bspmts.mp.microsoft.com/v1/public/catalog/Retail/Products/9wzdncrfhvjl/applockerdata, em que 9wzdncrfhvjl é substituído pelo valor da ID.

   A API é executada e abre um editor de texto com os detalhes do aplicativo.

   {
       "packageIdentityName": "Microsoft.Office.OneNote",
       "publisherCertificateName": "CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US"
   }
   

4. Copie o valor publisherCertificateName, cole na caixa Nome do Fornecedor e copie o valor packageIdentityName na caixa Nome do Produto do Intune.

   Importante

   O arquivo JSON também pode retornar um valor windowsPhoneLegacyId para as caixas Nome do Fornecedor e Nome do Produto. Isso significa que você tem um aplicativo que está usando um pacote XAP e que você deve definir o Nome do Produto como windowsPhoneLegacyIde definir o Nome do Editor como "CN=" seguido pelo .windowsPhoneLegacyId

   Por exemplo:

   {
       "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
   }
   

Adicionar uma regra de aplicativo da área de trabalho à sua política

Para este exemplo, vamos adicionar o Internet Explorer, um aplicativo de área de trabalho, à lista Regras de Aplicativo.

Para adicionar um aplicativo da área de trabalho à sua política

1. Na área Regras do aplicativo, selecione Adicionar.

   A caixa Adicionar regra de aplicativo é exibida.

   

2. Adicione um nome amigável para o seu aplicativo na caixa Título. Neste exemplo, é a Internet Explorer.

3. Selecione Permitir na lista suspensa modo Proteção de Informações do Windows.

   Permitir ativa o WIP, ajudando a proteger os dados corporativos desse aplicativo por meio da aplicação de restrições wip. Se você quiser isentar um aplicativo, poderá seguir as etapas da seção Isentar aplicativos das restrições de WIP.

4. Escolha Aplicativo de Desktop na lista suspensa Modelo de regra.

   A caixa é alterada para mostrar as opções de regra do aplicativo da área de trabalho.

5. Escolha as opções que você deseja incluir para a regra do aplicativo (consulte tabela) e selecione OK.

   Opção	Gerencia
   Todos os campos deixados como "*"	Todos os arquivos assinados por um fornecedor. (Não recomendado.)
   Publicador selecionado	Todos os arquivos assinados pelo fornecedor identificado. Isso poderá ser útil se sua empresa for a fornecedora e a signatária dos aplicativos de linha de negócios internos.
   Publicador e Nome do Produto selecionados	Todos os arquivos do produto especificado, assinados pelo fornecedor identificado.
   Publicador, Nome do Produto e nome binário selecionados	Qualquer versão do arquivo ou pacote nomeado do produto especificado, assinado pelo fornecedor identificado.
   Publicador, Nome do Produto, Nome Binário e Versão do Arquivo e, acima, selecionado	Versão especificada ou versões mais recentes do arquivo ou pacote nomeado do produto especificado, assinada pelo fornecedor identificado. Essa opção é recomendada para aplicativos habilitados que não foram habilitados anteriormente.
   Publicador, nome do produto, nome binário e versão do arquivo e, abaixo, selecionado	Versão especificada ou versões mais antigas do arquivo ou pacote nomeado do produto especificado, assinada pelo fornecedor identificado.
   Publicador, nome do produto, nome binário e versão do arquivo, exatamente selecionado	A versão especificada do arquivo ou pacote nomeado do produto especificado, assinada pelo fornecedor identificado.

Se você não tiver certeza sobre o que incluir para o editor, poderá executar este comando do PowerShell:

Get-AppLockerFileInformation -Path "<path of the exe>"

Onde "<path of the exe>" vai até o local do aplicativo no dispositivo. Por exemplo, Get-AppLockerFileInformation -Path "C:\Program Files\Internet Explorer\iexplore.exe".

Nesse exemplo, você obteria a seguinte informação:

Path                   Publisher
----                   ---------
%PROGRAMFILES%\INTERNET EXPLORER\IEXPLORE.EXE O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\INTERNET EXPLOR...

No texto, O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US é o nome do fornecedor a ser inserido na caixa Nome do Fornecedor.

Adicionar um arquivo de política do AppLocker

Para este exemplo, vamos adicionar um arquivo XML do AppLocker à lista Regras de Aplicativo . Você usará essa opção se quiser adicionar vários aplicativos ao mesmo tempo. Para obter mais informações sobre o AppLocker, consulte o conteúdo AppLocker.

Para criar uma regra de aplicativo e um arquivo xml usando a ferramenta AppLocker

1. Abra o snap-in Política de Segurança Local (SecPol.msc).

2. No painel esquerdo, expanda Políticas de Controle de Aplicativo, expanda AppLocker e selecione Regras de Aplicativo Empacotadas.

   

3. Clique com o botão direito do mouse no painel direito e selecione Criar Nova Regra.

   O assistente Criar Regras para Aplicativos Empacotados é exibido.

4. Na página Antes de Começar , selecione Avançar.

   

5. Na página Permissões , verifique se a Ação está definida como Permitir e o Usuário ou grupo está definido como Todos e selecione Avançar.

   

6. Na página Publicador , selecione Selecionar na área Usar um aplicativo empacotado instalado como uma área de referência .

   

7. Na caixa Selecionar aplicativos , escolha o aplicativo que você deseja usar como referência para sua regra e selecione OK. Para este exemplo, estamos usando Fotos Microsoft.

   

8. Na página Do Publicador atualizada, selecione Criar.

   

9. Revise o snap-in Política de Segurança Local para verificar se a regra está correta.

   

10. No painel esquerdo, clique com o botão direito do mouse no AppLocker e selecione Exportar política.

    A caixa Exportar política é aberta, permitindo que você exporte e salve a nova política como XML.

    

11. Na caixa Política de exportação , navegue até onde a política deve ser armazenada, dê um nome à política e selecione Salvar.

    A política é salva e você verá uma mensagem que diz que uma regra foi exportada da política.

    Arquivo XML de exemplo
    Este é o arquivo XML que o AppLocker cria para o Fotos Microsoft.

     <AppLockerPolicy Version="1">
        <RuleCollection Type="Exe" EnforcementMode="NotConfigured" />
        <RuleCollection Type ="Msi" EnforcementMode="NotConfigured" />
        <RuleCollection Type ="Script" EnforcementMode="NotConfigured" />
        <RuleCollection Type ="Dll" EnforcementMode="NotConfigured" />
        <RuleCollection Type ="Appx" EnforcementMode="NotConfigured">
            <FilePublisherRule Id="5e0c752b-5921-4f72-8146-80ad5f582110" Name="Microsoft.Windows.Photos, version 16.526.0.0 and above, from Microsoft Corporation" Description="" UserOrGroupSid="S-1-1-0" Action="Allow">
                <Conditions>
                    <FilePublisherCondition PublisherName="CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="Microsoft.Windows.Photos" BinaryName="*">
                        <BinaryVersionRange LowSection="16.526.0.0" HighSection="*" />
                    </FilePublisherCondition>
                </Conditions>
            </FilePublisherRule>
        </RuleCollection>
    </AppLockerPolicy>
    

12. Depois de criar seu arquivo XML, você precisará importá-lo usando Configuration Manager.

Para importar sua regra do aplicativo de arquivo de política applocker usando Configuration Manager

1. Na área Regras do aplicativo, selecione Adicionar.

   A caixa Adicionar regra de aplicativo é exibida.

   

2. Adicione um nome amigável para o seu aplicativo na caixa Título. Neste exemplo, é a lista de aplicativos permitidos.

3. Selecione Permitir na lista suspensa modo Proteção de Informações do Windows.

   Permitir ativa o WIP, ajudando a proteger os dados corporativos desse aplicativo por meio da aplicação de restrições wip. Se você quiser isentar um aplicativo, poderá seguir as etapas da seção Isentar aplicativos das restrições de WIP.

4. Escolha o Arquivo de política do AppLocker na lista suspensa Modelo de regra.

   A caixa é alterada para permitir que você importe o arquivo de política XML do AppLocker.

5. Selecione as reticências (...) para procurar o arquivo XML do AppLocker, selecione Abrir e selecione OK para fechar a caixa Adicionar regra do aplicativo .

   O arquivo é importado e os aplicativos são adicionados à sua lista Regras de aplicativo.

Aplicativos isentos das restrições de WIP

Se você estiver encontrando problemas de compatibilidade em que seu aplicativo é incompatível com o Windows Proteção de Informações (WIP), mas ainda precisa ser usado com dados corporativos, poderá isentar o aplicativo das restrições wip. Isso significa que seus aplicativos não incluirão criptografia automática nem marcação e não respeitarão as restrições de rede. Isso também significa que você pode perder seus aplicativos isentos.

Para isentar um aplicativo da Microsoft Store, um aplicativo da área de trabalho ou uma regra de aplicativo do arquivo de política do AppLocker

1. Na área Regras do aplicativo, selecione Adicionar.

   A caixa Adicionar regra de aplicativo é exibida.

2. Adicione um nome amigável para o seu aplicativo à caixa Título. Neste exemplo, é lista de aplicativos isentos.

3. Selecione Isenção na lista suspensa modo Proteção de Informações do Windows.

   Quando você isenta aplicativos, eles podem ignorar as restrições wip e acessar seus dados corporativos. Para permitir aplicativos, consulte Adicionar regras de aplicativo à sua política neste artigo.

4. Preencha o restante das informações de regra do aplicativo, com base no tipo de regra que você está adicionando:

   • Aplicativo da Microsoft Store. Siga as instruções Nome do editor e do produto na seção Adicionar uma regra de aplicativo de loja à sua política deste artigo.

   • Aplicativo da área de trabalho. Siga as instruções Publisher, Product name, Binary e Version na seção Adicionar um aplicativo de área de trabalho à sua política deste artigo.

   • Arquivo da política do AppLocker. Siga as instruções Importar na seção Adicionar um arquivo de política AppLocker deste artigo, usando uma lista de aplicativos isentos.

5. Clique em OK.

Gerenciar o nível de proteção de WIP dos dados empresariais

Depois de adicionar os aplicativos que deseja proteger com WIP, você precisará aplicar um modo de gerenciamento e proteção.

Recomendamos iniciar com Silencioso ou Substituir ao verificar, com um pequeno grupo, se você tem os aplicativos certos na sua lista de aplicativos protegidos. Feito isso, você pode alterar para sua política de imposição final, Substituir ou Bloquear.

Observação

Para obter informações sobre como coletar os arquivos de log de auditoria, consulte Como coletar logs de eventos de auditoria de Proteção de Informações do Windows (WIP).

Modo	Descrição
Bloqueio	A WIP procura práticas inadequadas de compartilhamento de dados e impede que o funcionário execute a ação. Isso pode incluir compartilhar informações em todos os aplicativos protegidos não corporativos, além de compartilhar dados empresariais entre outras pessoas e dispositivos fora da empresa.
Substituição	A WIP procura compartilhamento inadequado de dados, avisando os funcionários se eles fizerem algo considerado possivelmente inseguro. No entanto, esse modo de gerenciamento permite que o funcionário substitua a política e compartilhe os dados, registrando a ação no log de auditoria.
Silencioso	O WIP é executado silenciosamente, registrando compartilhamento de dados inadequados, sem bloquear nada que teria sido solicitado para interação do funcionário enquanto estiver no modo de substituição. Ações não permitidas, como aplicativos tentando acessar de maneira inadequada um recurso de rede ou dados protegidos pela WIP, continuam sendo bloqueadas.
Desativada	A WIP permanece desativada e não ajuda a proteger nem auditar os dados. Depois de desativar a WIP, é feita uma tentativa de descriptografar todos os arquivos marcados pela WIP nas unidades conectadas localmente. As suas informações de descriptografia e política anteriores não serão reaplicadas automaticamente se você reativar a proteção WIP novamente. Para obter mais informações, consulte Como desabilitar o Windows Proteção de Informações.

Definir seus domínios de identidade empresarial gerenciada

A identidade corporativa, geralmente expressa como seu domínio primário da Internet (por exemplo, contoso.com), ajuda a identificar e marcar seus dados corporativos de aplicativos que você marcou como protegidos pelo WIP. Por exemplo, emails usando contoso.com são identificados como sendo corporativos e são restringidos por suas políticas de Proteção de Informações do Windows.

Você pode especificar vários domínios pertencentes à sua empresa separando-os com o | caractere. Por exemplo, contoso.com|newcontoso.com. Com vários domínios, o primeiro é designado como sua identidade corporativa e todos os demais como pertencentes à primeira posição. É altamente recomendável que você inclua todos os domínios de endereço de email nessa lista.

Para adicionar sua identidade corporativa

• Digite o nome da sua identidade corporativa no campo Identidade corporativa. Por exemplo, contoso.com ou contoso.com|newcontoso.com.

  

Escolher o local onde os aplicativos podem acessar dados empresariais

Depois de adicionar um modo de proteção aos seus aplicativos, é necessário decidir onde esses aplicativos podem acessar dados empresariais em sua rede.

Não existem locais padrão incluídos com a WIP. Você deve adicionar cada um dos seus locais de rede. Essa área se aplica a qualquer dispositivo de ponto de extremidade de rede que obtém um endereço IP no intervalo da sua empresa e também está associada a um de seus domínios corporativos, incluindo compartilhamentos SMB. Os locais do sistema de arquivos locais devem apenas manter a criptografia (por exemplo, em NTFS, FAT e ExFAT locais).

Importante

Cada política WIP deve incluir uma política que defina seus locais de rede da empresa.
Não há suporte para a notação cidr (roteamento de Inter-Domain sem classe) para configurações wip.

Para definir onde seus aplicativos protegidos podem encontrar e enviar dados corporativos em sua rede

1. Adicione locais de rede adicionais que os aplicativos possam acessar clicando em Adicionar.

   A caixa Adicionar ou editar definições de rede corporativa é exibida.

2. Digite um nome para seu elemento de rede corporativa na caixa Nome e, em seguida, escolha qual é o tipo de elemento de rede, na caixa suspensa Elemento da rede. Isso pode incluir qualquer uma das opções na tabela a seguir.

   

   • Enterprise Cloud Resources: especifique os recursos de nuvem a serem tratados como corporativos e protegidos pela WIP.

     Para cada recurso de nuvem, você também pode especificar opcionalmente um servidor proxy de sua lista de servidores proxy internos para rotear o tráfego para esse recurso de nuvem. Todo o tráfego roteado por meio de seus servidores proxy internos é considerado empresarial.

     Se você tiver vários recursos, deverá separá-los usando o | delimitador. Se você não usar servidores proxy, também deve incluir o , delimitador pouco antes do |. Por exemplo: URL <,proxy>|URL <,proxy>.

     Formatar exemplos:

     • Com proxy: contoso.sharepoint.com,contoso.internalproxy1.com|contoso.visualstudio.com,contoso.internalproxy2.com

     • Sem proxy: contoso.sharepoint.com|contoso.visualstudio.com

     Importante

     Em alguns casos, como quando um aplicativo se conecta diretamente a um recurso de nuvem por meio de um endereço IP, o Windows não pode dizer se está tentando se conectar a um recurso de nuvem empresarial ou a um site pessoal. Nesse caso, o Windows bloqueará a conexão por padrão. Para impedir que o Windows bloqueie automaticamente essas conexões, você pode adicionar a cadeia de caracteres /AppCompat/à configuração. Por exemplo: URL <,proxy>|URL <,proxy>|/AppCompat/.

   • Nomes de domínio de rede empresarial (obrigatórios): especifique os sufixos DNS usados em seu ambiente. Todo o tráfego para os domínios totalmente qualificados que aparecem nesta lista será protegido.

     Essa configuração funciona com as configurações de intervalos de IP para detectar se um ponto de extremidade de rede é empresarial ou pessoal em redes privadas.

     Se tiver vários recursos, você deverá separá-los com o delimitador ",".

     Formatar exemplos: corp.contoso.com,region.contoso.com

   • Servidores proxy: especifique os servidores proxy pelos quais seus dispositivos passarão para alcançar seus recursos de nuvem. O uso desse tipo de servidor indica que os recursos de nuvem aos quais você está se conectando são recursos corporativos.

     Essa lista não deve incluir servidores listados em sua lista de servidores proxy internos. Servidores proxy internos devem ser usados somente para o tráfego protegido WIP (empresarial).

     Se tiver vários recursos, você deverá separá-los com o delimitador ";".

     Formatar exemplos: proxy.contoso.com:80;proxy2.contoso.com:443

   • Servidores proxy internos: especifique os servidores proxy internos pelos quais seus dispositivos passarão para alcançar seus recursos de nuvem. O uso desse tipo de servidor indica que os recursos de nuvem aos quais você está se conectando são recursos corporativos.

     Essa lista não deve incluir servidores listados em sua lista de servidores Proxy. Servidores proxy devem ser usados somente para o tráfego protegido não-WIP (não-empresarial).

     Se tiver vários recursos, você deverá separá-los com o delimitador ";".

     Formatar exemplos: contoso.internalproxy1.com;contoso.internalproxy2.com

   • Intervalo IPv4 da Empresa (Obrigatório): especifique os endereços para um intervalo de valor IPv4 válido em sua intranet. Esses endereços, usados com seus Nomes de Domínio de Rede Empresarial, definem os limites da rede corporativa.

     Se tiver vários intervalos, você deve separa-los usando o delimitador ",".

     Formatar exemplos:

     • Endereço IPv4 inicial:3.4.0.1
     • Endereço IPv4 final:3.4.255.254
     • URI personalizado:3.4.0.1-3.4.255.254, 10.0.0.1-10.255.255.254

   • Intervalo IPv6 da Empresa: especifique os endereços para um intervalo de valor IPv6 válido em sua intranet. Esses endereços, usados com seus Nomes de Domínio de Rede Empresarial, definem os limites da rede corporativa.

     Se tiver vários intervalos, você deve separa-los usando o delimitador ",".

     Formatar exemplos:

     • Endereço IPv6 inicial:2a01:110::
     • Endereço IPv6 final:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff
     • URI personalizado:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff,fd00::-fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

   • Recursos neutros: especifique os pontos de extremidade de redirecionamento de autenticação para sua empresa. Esses locais são considerados empresariais ou pessoais, com base no contexto da conexão antes do redirecionamento.

     Se tiver vários recursos, você deverá separá-los com o delimitador ",".

     Formatar exemplos: sts.contoso.com,sts.contoso2.com

3. Adicione quantos locais você precisar e selecione OK.

   A caixa Adicionar ou editar definições de rede corporativa fecha.

4. Decida se você quer que o Windows procure outras configurações da rede e se quer mostrar o ícone da WIP em seus arquivos corporativos enquanto estiver no Explorador de Arquivos.

   

   • A lista de servidores proxy empresariais é autoritativa (não detecta automaticamente). Selecione esta caixa se quiser que o Windows trate os servidores proxy especificados na definição de limite de rede como a lista completa de servidores proxy disponíveis em sua rede. Se você desmarcar essa caixa, o Windows irá procurar servidores proxy adicionais em sua rede imediatamente. Não configurado é a opção padrão.

   • A lista de intervalos de IP empresariais é autoritativa (não detectar automaticamente). Selecione esta caixa se desejar que o Windows trate os intervalos de IP especificados na definição de limite de rede como a lista completa de intervalos de IP disponíveis em sua rede. Se você desmarcar essa caixa, o Windows vai procurar intervalos de IP adicionais em quaisquer dispositivos que ingressaram no domínio conectados à rede. Não configurado é a opção padrão.

   • Mostre a sobreposição do ícone da Proteção de Informações do Windows em seus aplicativos permitidos sem reconhecimento de WIP em arquivos corporativos no Explorador de Arquivos. Selecione esta caixa se desejar que a sobreposição do ícone do Windows Proteção de Informações apareça em arquivos corporativos nas exibições Salvar como e Explorador de Arquivos. Além disso, para aplicativos não habilitados, mas permitidos, a sobreposição do ícone também será exibida no bloco dos aplicativos e com o texto Gerenciado no nome do aplicativo no menu Iniciar. Não configurado é a opção padrão.

5. No certificado DRA (Agente de Recuperação de Dados) necessário para permitir a recuperação da caixa de dados criptografada , selecione Procurar para adicionar um certificado de recuperação de dados para sua política.

   

   Depois de criar e implantar sua política wip para seus funcionários, o Windows começará a criptografar seus dados corporativos na unidade de dispositivo local dos funcionários. Se de alguma forma as chaves de criptografia locais dos funcionários forem perdidas ou revogadas, os dados criptografados poderão se tornar irrecuperáveis. Vamos para ajudar a evitar essa possibilidade, o certificado de DRA permite que o Windows use uma chave pública incluída para criptografar os dados locais, enquanto você mantém a chave privada que pode descriptografar os dados.

   Para obter mais informações sobre como localizar e exportar seu certificado de recuperação de dados, consulte EFS (Sistema de Arquivos de Recuperação de Dados e Criptografação). Para obter mais informações sobre como criar e verificar o certificado DRA do EFS, consulte Criar e verificar um certificado DRA (Agente de Recuperação de Dados) do EFS (Sistema de Arquivos Criptografados).

Escolha as configurações opcionais relacionadas à WIP

Depois de decidir onde seus aplicativos protegidos podem acessar dados corporativos em sua rede, você será solicitado a decidir se deseja adicionar quaisquer configurações opcionais de WIP.

Para definir as configurações opcionais

1. Escolha entre configurar uma ou todas as configurações opcionais:

   • Permitir que o Windows Search pesquise por dados corporativos criptografados e aplicativos da Microsoft Store. Determina se o Windows Search pode pesquisar e classificar dados corporativos criptografados e aplicativos da Microsoft Store. As opções são:

     • Sim. Permite que o Windows Search pesquise e classifique dados corporativos criptografados e aplicativos da Microsoft Store.

     • Não, ou não configurado (recomendado). Faz com que o Windows Search pare de fazer pesquisas e classificações de dados corporativos criptografados e aplicativos da Microsoft Store.

   • Revogue as chaves de criptografia locais durante o processo de desativação. Determina se é necessário revogar as chaves de criptografia locais de um usuário de um dispositivo quando ele for não registrado do Windows Proteção de Informações. Se as chaves de criptografia estiverem revogadas, um usuário não tem mais acesso aos dados corporativos criptografados. As opções são:

     • Sim, ou não configurado (recomendado). Revoga as chaves de criptografia locais de um dispositivo durante o cancelamento de registro.

     • Não. Para as chaves de criptografia locais de serem revogadas de um dispositivo durante o cancelamento de registro. Por exemplo, se você estiver migrando entre soluções de MDM (mobile Gerenciamento de Dispositivos).

   • Permitir o Azure RMS. Habilita o compartilhamento seguro de arquivos usando mídias removíveis, como unidades USB. Para obter mais informações sobre como o RMS funciona com WIP, consulte Criar uma política wip usando Intune. Para confirmar quais modelos seu locatário tem, execute Get-AadrmTemplate no módulo do AADRM PowerShell. Se você não especificar um modelo, o WIP usará uma chave de um modelo RMS padrão ao qual todos no locatário terão acesso.

2. Depois de escolher todas as configurações que deseja incluir, selecione Resumo.

Reveja suas opções de configuração na tela Resumo

Depois que terminou a configuração da política, você pode revisar todas as suas informações na tela Resumo.

Para exibir a tela Resumo

• Selecione o botão Resumo para revisar suas escolhas de política e selecione Avançar para concluir e salvar sua política.

  

  Uma barra de progresso será exibida, mostrando o progresso da sua política. Depois de terminar, selecione Fechar para retornar à página Itens de Configuração .

Implementar a política WIP

Depois de criar sua política wip, você precisará implantá-la nos dispositivos da sua organização. Para obter mais informações sobre suas opções de implantação, confira os seguintes artigos:

• Criar linhas de base de configuração no Configuration Manager

• Como implantar linhas de base de configuração no Configuration Manager

Artigos relacionados

• Como coletar logs de eventos de auditoria de Proteção de Informações do Windows (WIP)

• Diretrizes gerais e práticas recomendadas para WIP (Proteção de informações Windows)

• Limitações ao usar a Proteção de Informações do Windows (WIP)