Criar e implantar uma política do Windows Proteção de Informações no Configuration Manager

Observação

A partir de julho de 2022, a Microsoft está preterindo o Windows Proteção de Informações (WIP). A Microsoft continuará a dar suporte à WIP em versões com suporte do Windows. As novas versões do Windows não incluirão novos recursos para WIP e não serão compatíveis com versões futuras do Windows. Para obter mais informações, consulte Anunciando o pôr do sol do Windows Proteção de Informações.

Para suas necessidades de proteção de dados, a Microsoft recomenda que você use Proteção de Informações do Microsoft Purview e Prevenção Contra Perda de Dados do Microsoft Purview. O Purview simplifica a configuração e fornece um conjunto avançado de funcionalidades.

Aplica-se a:

• Windows 10
• Windows 11

O Microsoft Endpoint Configuration Manager ajuda você a criar e implantar sua política wip (Proteção de Informações windows). Você pode escolher seus aplicativos protegidos, seu modo de proteção contra WIP e como encontrar dados corporativos na rede.

Adicionar uma política WIP

Depois de instalar e configurar o Configuration Manager para sua organização, você deve criar um item de configuração para WIP, que, por sua vez, se tornará sua política wip.

Dica

Examine as limitações ao usar o artigo Proteção de Informações (WIP) do Windows antes de criar um novo item de configuração para evitar problemas comuns.

Para criar um item de configuração para a WIP

1. Abra o console Configuration Manager, selecione o nó Ativos e Conformidade, expanda o **** nó Visão geral, expanda o nó Configurações de Conformidade e, em seguida, expanda o nó Itens de Configuração.**** ****

   

2. Selecione o botão Criar Item de Configuração .

   O Assistente de Criação de Item de Configuração será iniciado.

   

3. Na tela Informações Gerais, digite um nome (obrigatório) e uma descrição opcional para sua política nas caixas Nome e Descrição.

4. Em Especificar o tipo de item de configuração que você deseja criar, escolha a opção que representa se você usa o Configuration Manager para gerenciamento de dispositivos e selecione Avançar.

   • Configurações para dispositivos gerenciados com o cliente do Configuration Manager: Windows 10

     -OU-

   • Configurações para dispositivos gerenciados sem o cliente do Configuration Manager: Windows 8.1 e Windows 10

5. Na tela Plataformas Com Suporte, selecione a Windows 10 e, em seguida, selecione Avançar.

   

6. Na tela Configurações do Dispositivo, selecione Windows Proteção de Informações e, em seguida, selecione Avançar.

   

A página Configurar a Proteção de Informações do Windows será exibida, onde você vai configurar a política da sua organização.

Adicionar regras do aplicativo à sua política

Durante o processo de criação de política no Configuration Manager, você pode escolher os aplicativos que deseja dar acesso aos dados corporativos por meio do Windows Proteção de Informações. Os aplicativos incluídos nessa lista podem proteger dados em nome da empresa e são proibidos de copiar ou mover dados empresariais para aplicativos sem proteção.

As etapas para adicionar suas regras de aplicativo são baseadas no tipo de modelo de regra que está sendo aplicado. Você pode adicionar um aplicativo da Microsoft Store (também conhecido como um aplicativo da Plataforma Universal do Windows (UWP)), um aplicativo da área de trabalho do Windows assinado ou um arquivo de política do AppLocker.

Importante

Os aplicativos habilitados devem impedir que os dados corporativos passem por locais de rede não protegidos e evitar a criptografia de dados pessoais. Por outro lado, os aplicativos sem reconhecimento de WIP podem não respeitar o limite de rede corporativa e criptografar todos os arquivos criados ou modificados por eles. Isso significa que eles podem criptografar dados pessoais e causar perda de dados durante o processo de revogação.

É necessário ter cuidado para obter uma declaração de suporte do provedor de software de que seu aplicativo está seguro com o Windows Proteção de Informações antes de adicioná-lo à sua lista de regras de aplicativo. Se você não receber essa instrução, é possível que você possa ter problemas de compatibilidade do aplicativo devido a um aplicativo perder a capacidade de acessar um arquivo necessário após a revogação.

Adicionar uma regra de aplicativo da Microsoft Store à sua política

Para este exemplo, vamos adicionar o Microsoft OneNote, um aplicativo da loja, à lista regras de aplicativo.

Para adicionar um aplicativo da Microsoft Store

1. Na área Regras de aplicativo , selecione Adicionar.

   A caixa Adicionar regra de aplicativo é exibida.

   

2. Adicione um nome amigável para o seu aplicativo na caixa Título. Neste exemplo, é o Microsoft OneNote.

3. Selecione Permitir na lista suspensa Proteção de Informações modo windows.

   Permitir ativa a WIP, ajudando a proteger os dados corporativos desse aplicativo por meio da imposição de restrições de WIP. Se você quiser isentar um aplicativo, poderá seguir as etapas da seção Isentar aplicativos das restrições de WIP.

4. Escolha Aplicativo da Microsoft Store na lista suspensa Modelo de regra.

   A caixa é alterada para mostrar as opções de regra do aplicativo da Microsoft Store.

5. Digite o nome do aplicativo e o nome de seu editor e selecione OK. Para este exemplo de aplicativo UWP, o Fornecedor é CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US e o Nome do produto é Microsoft.Office.OneNote.

Se você não souber o editor ou o nome do produto, poderá encontrá-los para ambos os dispositivos da área de trabalho seguindo estas etapas.

Para encontrar os valores Fornecedor e Nome do Produto de aplicativos da Microsoft Store sem instalá-los

1. Acesse o site da Microsoft Store para Empresas e localize seu aplicativo. Por exemplo, Microsoft OneNote.

   Observação

   Caso o aplicativo já esteja instalado em dispositivos de desktop, é possível usar o snap-in MMC da política de segurança local do AppLocker para coletar as informações para adicionar o aplicativo à lista de aplicativos protegidos. Para obter informações sobre como fazer isso, consulte as etapas em Adicionar um arquivo de política do AppLocker neste artigo.

2. Copie o valor de ID da URL do aplicativo. Por exemplo, a URL https://www.microsoft.com/store/apps/onenote/9wzdncrfhvjlda ID do Microsoft OneNote é e você copiaria o valor da ID. 9wzdncrfhvjl

3. Em um navegador, execute a API Web do portal da Microsoft Store para Empresas para retornar um arquivo JavaScript Object Notation (JSON) que inclua os valores de nome do produto e fornecedor. Por exemplo, execute https://bspmts.mp.microsoft.com/v1/public/catalog/Retail/Products/9wzdncrfhvjl/applockerdata, onde 9wzdncrfhvjl é substituído pelo valor da ID.

   A API é executada e abre um editor de texto com os detalhes do aplicativo.

   {
       "packageIdentityName": "Microsoft.Office.OneNote",
       "publisherCertificateName": "CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US"
   }
   

4. Copie o valor publisherCertificateName, cole na caixa Nome do Fornecedor e copie o valor packageIdentityName na caixa Nome do Produto do Intune.

   Importante

   O arquivo JSON também pode retornar um valor windowsPhoneLegacyId para as caixas Nome do Fornecedor e Nome do Produto. Isso significa que você tem um aplicativo que está usando um pacote XAP **** windowsPhoneLegacyIde que deve definir o Nome do Produto como e definir o Nome do **** Publicador como "CN=" windowsPhoneLegacyIdseguido pelo .

   Por exemplo:

   {
       "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
   }
   

Adicionar uma regra de aplicativo da área de trabalho à sua política

Para este exemplo, vamos adicionar o Internet Explorer, um aplicativo da área de trabalho, à lista regras de aplicativo.

Para adicionar um aplicativo da área de trabalho à sua política

1. Na área Regras de aplicativo , selecione Adicionar.

   A caixa Adicionar regra de aplicativo é exibida.

   

2. Adicione um nome amigável para o seu aplicativo na caixa Título. Neste exemplo, é o Internet Explorer.

3. Selecione Permitir na lista suspensa Proteção de Informações modo windows.

   Permitir ativa a WIP, ajudando a proteger os dados corporativos desse aplicativo por meio da imposição de restrições de WIP. Se você quiser isentar um aplicativo, poderá seguir as etapas da seção Isentar aplicativos das restrições de WIP.

4. Escolha Aplicativo de Desktop na lista suspensa Modelo de regra.

   A caixa é alterada para mostrar as opções de regra do aplicativo da área de trabalho.

5. Escolha as opções que você deseja incluir para a regra do aplicativo (consulte a tabela) e selecione OK.

   Opção	Gerencia
   Todos os campos deixados como "*"	Todos os arquivos assinados por um fornecedor. (Não recomendado.)
   Publicador selecionado	Todos os arquivos assinados pelo fornecedor identificado. Isso poderá ser útil se sua empresa for a fornecedora e a signatária dos aplicativos de linha de negócios internos.
   Editor e Nome do Produto selecionados	Todos os arquivos do produto especificado, assinados pelo fornecedor identificado.
   Publicador, Nome do Produto e Nome Binário selecionados	Qualquer versão do arquivo ou pacote nomeado do produto especificado, assinado pelo fornecedor identificado.
   Publicador, Nome do Produto, Nome binário e Versão do Arquivo, e acima, selecionado	Versão especificada ou versões mais recentes do arquivo ou pacote nomeado do produto especificado, assinada pelo fornecedor identificado. Essa opção é recomendada para aplicativos habilitados que não foram habilitados anteriormente.
   Publicador, Nome do Produto, Nome binário e Versão do Arquivo e abaixo selecionado	Versão especificada ou versões mais antigas do arquivo ou pacote nomeado do produto especificado, assinada pelo fornecedor identificado.
   Publicador, Nome do Produto, Nome binário e Versão do Arquivo, Exatamente selecionado	A versão especificada do arquivo ou pacote nomeado do produto especificado, assinada pelo fornecedor identificado.

Se você não tiver certeza sobre o que incluir para o editor, poderá executar este comando do PowerShell:

Get-AppLockerFileInformation -Path "<path of the exe>"

Onde "<path of the exe>" vai até o local do aplicativo no dispositivo. Por exemplo, Get-AppLockerFileInformation -Path "C:\Program Files\Internet Explorer\iexplore.exe".

Nesse exemplo, você obteria a seguinte informação:

Path                   Publisher
----                   ---------
%PROGRAMFILES%\INTERNET EXPLORER\IEXPLORE.EXE O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\INTERNET EXPLOR...

No texto, O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US é o nome do fornecedor a ser inserido na caixa Nome do Fornecedor.

Adicionar um arquivo de política do AppLocker

Para este exemplo, vamos adicionar um arquivo XML do AppLocker à lista de Regras de Aplicativo. Você usará essa opção se quiser adicionar vários aplicativos ao mesmo tempo. Para obter mais informações sobre o AppLocker, consulte o conteúdo AppLocker.

Para criar uma regra de aplicativo e um arquivo xml usando a ferramenta AppLocker

1. Abra o snap-in Política de Segurança Local (SecPol.msc).

2. No painel esquerdo, expanda Políticas de Controle de Aplicativo, expanda AppLocker e, em seguida, selecione Regras de Aplicativo Empacotado.

   

3. Clique com o botão direito do mouse no painel direito e selecione Criar Nova Regra.

   O assistente Criar Regras para Aplicativos Empacotados é exibido.

4. Na página Antes de Começar , selecione Avançar.

   

5. Na página Permissões, verifique se a Ação está definida como Permitir e **** se o Usuário **** ou grupo está definido como Todos e selecione Avançar.****

   

6. Na página Publicador , selecione Selecionar em Usar um aplicativo empacotado instalado como uma área de referência.

   

7. Na caixa Selecionar aplicativos , escolha o aplicativo que você deseja usar como referência para sua regra e, em seguida, selecione OK. Para este exemplo, estamos usando Fotos Microsoft.

   

8. Na página do Publicador atualizada, selecione Criar.

   

9. Revise o snap-in Política de Segurança Local para verificar se a regra está correta.

   

10. No painel esquerdo, clique com o botão direito do mouse no AppLocker e selecione Exportar política.

    A caixa Exportar política é aberta, permitindo que você exporte e salve a nova política como XML.

    

11. Na caixa Exportar política , navegue até onde a política deve ser armazenada, dê um nome à política e selecione Salvar.

    A política é salva e você verá uma mensagem informando que uma regra foi exportada da política.

    Arquivo XML de exemplo
    Este é o arquivo XML que o AppLocker cria para o Fotos Microsoft.

     <AppLockerPolicy Version="1">
        <RuleCollection Type="Exe" EnforcementMode="NotConfigured" />
        <RuleCollection Type ="Msi" EnforcementMode="NotConfigured" />
        <RuleCollection Type ="Script" EnforcementMode="NotConfigured" />
        <RuleCollection Type ="Dll" EnforcementMode="NotConfigured" />
        <RuleCollection Type ="Appx" EnforcementMode="NotConfigured">
            <FilePublisherRule Id="5e0c752b-5921-4f72-8146-80ad5f582110" Name="Microsoft.Windows.Photos, version 16.526.0.0 and above, from Microsoft Corporation" Description="" UserOrGroupSid="S-1-1-0" Action="Allow">
                <Conditions>
                    <FilePublisherCondition PublisherName="CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="Microsoft.Windows.Photos" BinaryName="*">
                        <BinaryVersionRange LowSection="16.526.0.0" HighSection="*" />
                    </FilePublisherCondition>
                </Conditions>
            </FilePublisherRule>
        </RuleCollection>
    </AppLockerPolicy>
    

12. Depois de criar o arquivo XML, você precisará importá-lo usando Configuration Manager.

Para importar sua regra de aplicativo de arquivo de política do Applocker usando Configuration Manager

1. Na área Regras de aplicativo , selecione Adicionar.

   A caixa Adicionar regra de aplicativo é exibida.

   

2. Adicione um nome amigável para o seu aplicativo na caixa Título. Neste exemplo, é a lista de aplicativos permitidos.

3. Selecione Permitir na lista suspensa Proteção de Informações modo windows.

   Permitir ativa a WIP, ajudando a proteger os dados corporativos desse aplicativo por meio da imposição de restrições de WIP. Se você quiser isentar um aplicativo, poderá seguir as etapas da seção Isentar aplicativos das restrições de WIP.

4. Escolha o Arquivo de política do AppLocker na lista suspensa Modelo de regra.

   A caixa é alterada para permitir que você importe o arquivo de política XML do AppLocker.

5. Selecione as reticências (...) para procurar o arquivo XML do AppLocker, selecione Abrir e, em seguida, selecione OK para fechar a caixa Adicionar regra de aplicativo.

   O arquivo é importado e os aplicativos são adicionados à sua lista Regras de aplicativo.

Aplicativos isentos das restrições de WIP

Se você estiver com problemas de compatibilidade em que seu aplicativo é incompatível com o Wip (Windows Proteção de Informações), mas ainda precisa ser usado com dados corporativos, você pode isentar o aplicativo das restrições de WIP. Isso significa que seus aplicativos não incluirão criptografia automática nem marcação e não respeitarão as restrições de rede. Isso também significa que você pode perder seus aplicativos isentos.

Para isentar um aplicativo da Microsoft Store, um aplicativo da área de trabalho ou uma regra de aplicativo do arquivo de política do AppLocker

1. Na área Regras de aplicativo , selecione Adicionar.

   A caixa Adicionar regra de aplicativo é exibida.

2. Adicione um nome amigável para o seu aplicativo à caixa Título. Neste exemplo, é a lista de aplicativos isentos.

3. Selecione Isentar na lista suspensa Proteção de Informações modo windows.

   Quando você isenta aplicativos, eles têm permissão para ignorar as restrições de WIP e acessar seus dados corporativos. Para permitir aplicativos, consulte Adicionar regras de aplicativo à sua política neste artigo.

4. Preencha o restante das informações da regra do aplicativo, com base no tipo de regra que você está adicionando:

   • Aplicativo da Microsoft Store. Siga as instruções de nome do Publicador e do Produto na seção Adicionar uma regra de aplicativo da loja à sua seção de política deste artigo.

   • Aplicativo da área de trabalho. Siga as instruções publisher, nome do produto**, nome** binário e **** versão na seção Adicionar um aplicativo da área de trabalho à seção de política deste artigo.

   • Arquivo da política do AppLocker. Siga as instruções de importação na seção Adicionar um arquivo de política do AppLocker deste artigo, usando uma lista de aplicativos isentos.

5. Clique em OK.

Gerenciar o nível de proteção de WIP dos dados empresariais

Depois de adicionar os aplicativos que deseja proteger com WIP, você precisará aplicar um modo de gerenciamento e proteção.

Recomendamos iniciar com Silencioso ou Substituir ao verificar, com um pequeno grupo, se você tem os aplicativos certos na sua lista de aplicativos protegidos. Feito isso, você pode alterar para sua política de imposição final, Substituir ou Bloquear.

Observação

Para obter informações sobre como coletar os arquivos de log de auditoria, consulte Como coletar logs de eventos de auditoria de Proteção de Informações do Windows (WIP).

Modo	Descrição
Bloqueio	A WIP procura práticas inadequadas de compartilhamento de dados e impede que o funcionário execute a ação. Isso pode incluir compartilhar informações em todos os aplicativos protegidos não corporativos, além de compartilhar dados empresariais entre outras pessoas e dispositivos fora da empresa.
Substituição	A WIP procura compartilhamento inadequado de dados, avisando os funcionários se eles fizerem algo considerado possivelmente inseguro. No entanto, esse modo de gerenciamento permite que o funcionário substitua a política e compartilhe os dados, registrando a ação no log de auditoria.
Silencioso	A WIP é executada silenciosamente, registrando em log o compartilhamento inadequado de dados, sem bloquear nada que tenha sido solicitado para interação do funcionário no modo de substituição. Ações não permitidas, como aplicativos tentando acessar de maneira inadequada um recurso de rede ou dados protegidos pela WIP, continuam sendo bloqueadas.
Desativada	A WIP permanece desativada e não ajuda a proteger nem auditar os dados. Depois de desativar a WIP, é feita uma tentativa de descriptografar todos os arquivos marcados pela WIP nas unidades conectadas localmente. As suas informações de descriptografia e política anteriores não serão reaplicadas automaticamente se você reativar a proteção WIP novamente. Para obter mais informações, consulte Como desabilitar o Windows Proteção de Informações.

Definir seus domínios de identidade empresarial gerenciada

A identidade corporativa, geralmente expressa como seu domínio primário da Internet (por exemplo, contoso.com), ajuda a identificar e marcar seus dados corporativos de aplicativos marcados como protegidos pela WIP. Por exemplo, emails usando contoso.com são identificados como sendo corporativos e são restringidos por suas políticas de Proteção de Informações do Windows.

Você pode especificar vários domínios pertencentes à sua empresa separando-os com o | caractere. Por exemplo, contoso.com|newcontoso.com. Com vários domínios, o primeiro é designado como sua identidade corporativa e todos os demais como pertencentes à primeira posição. É altamente recomendável que você inclua todos os domínios de endereço de email nessa lista.

Para adicionar sua identidade corporativa

• Digite o nome da sua identidade corporativa no campo Identidade corporativa. Por exemplo, contoso.com ou contoso.com|newcontoso.com.

  

Escolher o local onde os aplicativos podem acessar dados empresariais

Depois de adicionar um modo de proteção aos seus aplicativos, é necessário decidir onde esses aplicativos podem acessar dados empresariais em sua rede.

Não existem locais padrão incluídos com a WIP. Você deve adicionar cada um dos seus locais de rede. Essa área se aplica a qualquer dispositivo de ponto de extremidade de rede que obtém um endereço IP no intervalo da sua empresa e também está associada a um de seus domínios corporativos, incluindo compartilhamentos SMB. Os locais do sistema de arquivos locais devem apenas manter a criptografia (por exemplo, em NTFS, FAT e ExFAT locais).

Importante

Cada política WIP deve incluir uma política que defina seus locais de rede da empresa.
Não há suporte para Inter-Domain CIDR (roteamento de dados sem classe) para configurações de WIP.

Para definir onde seus aplicativos protegidos podem encontrar e enviar dados corporativos em sua rede

1. Adicione locais de rede adicionais que os aplicativos possam acessar clicando em Adicionar.

   A caixa Adicionar ou editar definições de rede corporativa é exibida.

2. Digite um nome para seu elemento de rede corporativa na caixa Nome e, em seguida, escolha qual é o tipo de elemento de rede, na caixa suspensa Elemento da rede. Isso pode incluir qualquer uma das opções na tabela a seguir.

   

   • Recursos de nuvem empresarial: especifique os recursos de nuvem a serem tratados como corporativos e protegidos pela WIP.

     Para cada recurso de nuvem, você também pode especificar opcionalmente um servidor proxy de sua lista de servidores proxy internos para rotear o tráfego para esse recurso de nuvem. Todo o tráfego roteado por meio de seus servidores proxy internos é considerado empresarial.

     Se você tiver vários recursos, deverá separá-los usando o | delimitador. Se você não usar servidores proxy, também deverá , incluir o delimitador logo antes de |. Por exemplo: URL <,proxy>|URL <,proxy>.

     Exemplos de formato:

     • Com proxy: contoso.sharepoint.com,contoso.internalproxy1.com|contoso.visualstudio.com,contoso.internalproxy2.com

     • Sem proxy: contoso.sharepoint.com|contoso.visualstudio.com

     Importante

     Em alguns casos, como quando um aplicativo se conecta diretamente a um recurso de nuvem por meio de um endereço IP, o Windows não consegue saber se está tentando se conectar a um recurso de nuvem empresarial ou a um site pessoal. Nesse caso, o Windows bloqueará a conexão por padrão. Para impedir o Windows de bloquear automaticamente essas conexões, você pode adicionar a cadeia de caracteres /AppCompat/ à configuração. Por exemplo: url <, proxy>| URL <,proxy>|/AppCompat/.

   • Nomes de domínio de rede corporativa (obrigatório): especifique os sufixos DNS usados em seu ambiente. Todo o tráfego para os domínios totalmente qualificados que aparecem nesta lista será protegido.

     Essa configuração funciona com as configurações de intervalos de IP para detectar se um ponto de extremidade de rede é empresarial ou pessoal em redes privadas.

     Se tiver vários recursos, você deverá separá-los com o delimitador ",".

     Exemplos de formato: corp.contoso.com,region.contoso.com

   • Servidores proxy: especifique os servidores proxy pelos quais seus dispositivos passarão para acessar seus recursos de nuvem. Usar esse tipo de servidor indica que os recursos de nuvem aos quais você está se conectando são recursos corporativos.

     Essa lista não deve incluir nenhum servidor listado em sua lista de servidores proxy internos. Servidores proxy internos devem ser usados somente para o tráfego protegido WIP (empresarial).

     Se tiver vários recursos, você deverá separá-los com o delimitador ";".

     Exemplos de formato: proxy.contoso.com:80;proxy2.contoso.com:443

   • Servidores proxy internos: especifique os servidores proxy internos pelos quais seus dispositivos passarão para acessar seus recursos de nuvem. Usar esse tipo de servidor indica que os recursos de nuvem aos quais você está se conectando são recursos corporativos.

     Essa lista não deve incluir nenhum servidor listado em sua lista de servidores Proxy. Servidores proxy devem ser usados somente para o tráfego protegido não-WIP (não-empresarial).

     Se tiver vários recursos, você deverá separá-los com o delimitador ";".

     Exemplos de formato: contoso.internalproxy1.com;contoso.internalproxy2.com

   • Intervalo IPv4 Corporativo (Obrigatório): especifique os endereços para um intervalo de valores IPv4 válido na intranet. Esses endereços, usados com seus Nomes de Domínio de Rede Empresarial, definem os limites da rede corporativa.

     Se tiver vários intervalos, você deve separa-los usando o delimitador ",".

     Exemplos de formato:

     • Iniciando o endereço IPv4: 3.4.0.1
     • Endereço IPv4 final: 3.4.255.254
     • URI personalizado: 3.4.0.1-3.4.255.254, 10.0.0.1-10.255.255.254

   • Intervalo IPv6 corporativo: especifique os endereços para um intervalo de valores IPv6 válido na intranet. Esses endereços, usados com seus Nomes de Domínio de Rede Empresarial, definem os limites da rede corporativa.

     Se tiver vários intervalos, você deve separa-los usando o delimitador ",".

     Exemplos de formato:

     • Iniciando o endereço IPv6: 2a01:110::
     • Endereço IPv6 final: 2a01:110:7fff:ffff:ffff:ffff:ffff:ffff
     • URI personalizado: 2a01:110:7fff:ffff:ffff:ffff:ffff:ffff,fd00::-fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

   • Recursos neutros: especifique seus pontos de extremidade de redirecionamento de autenticação para sua empresa. Esses locais são considerados empresariais ou pessoais, com base no contexto da conexão antes do redirecionamento.

     Se tiver vários recursos, você deverá separá-los com o delimitador ",".

     Exemplos de formato: sts.contoso.com,sts.contoso2.com

3. Adicione quantos locais você precisar e selecione OK.

   A caixa Adicionar ou editar definições de rede corporativa fecha.

4. Decida se você quer que o Windows procure outras configurações da rede e se quer mostrar o ícone da WIP em seus arquivos corporativos enquanto estiver no Explorador de Arquivos.

   

   • A lista de servidores proxy empresariais é autoritativa (não detecta automaticamente). Marque essa caixa se desejar que o Windows trate os servidores proxy especificados na definição de limite de rede como a lista completa de servidores proxy disponíveis em sua rede. Se você desmarcar essa caixa, o Windows irá procurar servidores proxy adicionais em sua rede imediatamente. Não configurado é a opção padrão.

   • A lista de intervalos de IP empresariais é autoritativa (não detectar automaticamente). Marque essa caixa se desejar que o Windows trate os intervalos de IP especificados na definição de limite de rede como a lista completa de intervalos de IP disponíveis em sua rede. Se você desmarcar essa caixa, o Windows vai procurar intervalos de IP adicionais em quaisquer dispositivos que ingressaram no domínio conectados à rede. Não configurado é a opção padrão.

   • Mostre a sobreposição do ícone da Proteção de Informações do Windows em seus aplicativos permitidos sem reconhecimento de WIP em arquivos corporativos no Explorador de Arquivos. Marque essa caixa se quiser que a sobreposição do ícone Proteção de Informações Windows apareça em arquivos corporativos nas exibições Salvar como e Explorador de Arquivos configuração. Além disso, para aplicativos não habilitados, mas permitidos, a sobreposição do ícone também será exibida no bloco dos aplicativos e com o texto Gerenciado no nome do aplicativo no menu Iniciar. Não configurado é a opção padrão.

5. No certificado De carregar um DRA (Agente de Recuperação de Dados) necessário para permitir a recuperação da caixa de **** dados criptografada, selecione Procurar para adicionar um certificado de recuperação de dados para sua política.

   

   Depois de criar e implantar sua política wip para seus funcionários, o Windows começará a criptografar seus dados corporativos na unidade de dispositivo local dos funcionários. Se, de alguma forma, as chaves de criptografia locais dos funcionários forem perdidas ou revogadas, os dados criptografados poderão se tornar irrecuperáveis. Vamos para ajudar a evitar essa possibilidade, o certificado de DRA permite que o Windows use uma chave pública incluída para criptografar os dados locais, enquanto você mantém a chave privada que pode descriptografar os dados.

   Para obter mais informações sobre como localizar e exportar seu certificado de recuperação de dados, consulte EFS (Data Recovery and Encrypting File System) (Sistema de Arquivos de Criptografia e Recuperação de Dados). Para obter mais informações sobre como criar e verificar seu certificado DRA do EFS, consulte Criar e verificar um certificado DRA (Encrypting File System) Data Recovery Agent (DRA).

Escolha as configurações opcionais relacionadas à WIP

Depois de decidir onde seus aplicativos protegidos podem acessar dados corporativos em sua rede, você será solicitado a decidir se deseja adicionar configurações opcionais de WIP.

Para definir as configurações opcionais

1. Escolha entre configurar uma ou todas as configurações opcionais:

   • Permitir que o Windows Search pesquise por dados corporativos criptografados e aplicativos da Microsoft Store. Determina se o Windows Search pode pesquisar e classificar dados corporativos criptografados e aplicativos da Microsoft Store. As opções são:

     • Sim. Permite que o Windows Search pesquise e classifique dados corporativos criptografados e aplicativos da Microsoft Store.

     • Não, ou não configurado (recomendado). Faz com que o Windows Search pare de fazer pesquisas e classificações de dados corporativos criptografados e aplicativos da Microsoft Store.

   • Revogar chaves de criptografia local durante o processo de cancelamento de registro. Determina se as chaves de criptografia local de um usuário devem ser revogadas de um dispositivo quando ele é cancelado do Windows Proteção de Informações. Se as chaves de criptografia estiverem revogadas, um usuário não tem mais acesso aos dados corporativos criptografados. As opções são:

     • Sim, ou não configurado (recomendado). Revoga as chaves de criptografia locais de um dispositivo durante o cancelamento de registro.

     • Não. Para as chaves de criptografia locais de serem revogadas de um dispositivo durante o cancelamento de registro. Por exemplo, se você estiver migrando entre soluções Gerenciamento de Dispositivos MDM (mobile Gerenciamento de Dispositivos).

   • Permitir o Azure RMS. Habilita o compartilhamento seguro de arquivos usando mídia removível, como unidades USB. Para obter mais informações sobre como o RMS funciona com a WIP, consulte Criar uma política wip usando Intune. Para confirmar quais modelos seu locatário tem, execute Get-AadrmTemplate no módulo do PowerShell do AADRM. Se você não especificar um modelo, a WIP usará uma chave de um modelo RMS padrão ao qual todos no locatário terão acesso.

2. Depois de escolher todas as configurações que deseja incluir, selecione Resumo.

Reveja suas opções de configuração na tela Resumo

Depois que terminou a configuração da política, você pode revisar todas as suas informações na tela Resumo.

Para exibir a tela Resumo

• Selecione o botão Resumo para examinar suas opções de política e, em seguida, selecione Avançar para concluir e salvar sua política.

  

  Uma barra de progresso será exibida, mostrando o progresso da sua política. Depois de terminar, selecione Fechar para retornar à página Itens de Configuração .

Implementar a política WIP

Depois de criar sua política wip, você precisará implantá-la nos dispositivos da sua organização. Para obter mais informações sobre suas opções de implantação, consulte os seguintes artigos:

• Criar linhas de base de configuração no Configuration Manager

• Como implantar linhas de base de configuração no Configuration Manager

Artigos relacionados

• Como coletar logs de eventos de auditoria de Proteção de Informações do Windows (WIP)

• Diretrizes gerais e práticas recomendadas para a Proteção de Informações do Windows (WIP)

• Limitações ao usar a Proteção de Informações do Windows (WIP)