Criar uma política Proteção de Informações Windows no Microsoft Intune

Observação

A partir de julho de 2022, a Microsoft está preterindo o Windows Proteção de Informações (WIP). A Microsoft continuará a dar suporte à WIP em versões com suporte do Windows. As novas versões do Windows não incluirão novos recursos para WIP e não serão compatíveis com versões futuras do Windows. Para obter mais informações, consulte Anunciando o pôr do sol do Windows Proteção de Informações.

Para suas necessidades de proteção de dados, a Microsoft recomenda que você use Proteção de Informações do Microsoft Purview e Prevenção Contra Perda de Dados do Microsoft Purview. O Purview simplifica a configuração e fornece um conjunto avançado de funcionalidades.

Aplica-se a:

• Windows 10
• Windows 11

Microsoft Intune tem uma maneira fácil de criar e implantar uma política wip (Proteção de Informações windows). Você pode escolher quais aplicativos proteger, o nível de proteção e como encontrar dados corporativos na rede. Os dispositivos podem ser totalmente gerenciados pelo MDM (Mobile Gerenciamento de Dispositivos) ou gerenciados pelo MAM (Gerenciamento de Aplicativo Móvel), em que o Intune gerencia apenas os aplicativos no dispositivo pessoal de um usuário.

Diferenças entre MDM e MAM para WIP

Você pode criar uma política de proteção de aplicativo Intune registro de dispositivo para MDM ou sem registro de dispositivo para MAM. O processo para criar uma das políticas é semelhante, mas há diferenças importantes:

• O MAM tem mais configurações de Acesso para Windows Hello para Empresas.
• O MAM pode apagar seletivamente os dados da empresa do dispositivo pessoal de um usuário.
• O MAM requer uma licença Premium do Azure Active Directory (Azure AD).
• Uma Azure AD Premium também é necessária para a recuperação automática da WIP, em que um dispositivo pode registrar novamente e recuperar o acesso aos dados protegidos. A recuperação automática da WIP depende Azure AD registro para fazer backup das chaves de criptografia, o que exige o registro automático do dispositivo com o MDM.
• O MAM dá suporte a apenas um usuário por dispositivo.
• O MAM só pode gerenciar aplicativos habilitados.
• Somente o MDM pode usar políticas de CSP do BitLocker .
• Se o mesmo usuário e dispositivo forem direcionados para MDM e MAM, a política de MDM será aplicada aos dispositivos ingressados no Azure AD. Para dispositivos pessoais que ingressaram no local de trabalho (ou seja, adicionados > usando Configurações Email & contas Adicionar uma conta corporativa ou deestudante), a > política somente MAM será preferencial, mas é possível atualizar o gerenciamento de dispositivos para o MDM em Configurações. O Windows Home Edition só dá suporte à WIP somente para MAM; atualizar para a política de MDM na Home Edition revogará o acesso a dados protegidos pela WIP.

Pré-requisitos

Antes de criar uma política wip usando Intune, você precisa configurar um provedor MDM ou MAM no Azure Active Directory (Azure AD). O MAM requer uma licença Premium do Azure Active Directory (Azure AD). Uma Azure AD Premium também é necessária para a recuperação automática da WIP, em que um dispositivo pode registrar novamente e recuperar o acesso aos dados protegidos. A recuperação automática da WIP depende Azure AD registro para fazer backup das chaves de criptografia, o que exige o registro automático do dispositivo com o MDM.

Configurar o provedor MDM ou MAM

1. Entre no portal do Azure.

2. Selecione Azure Active Directory > Mobility (MDM e MAM) > Microsoft Intune.

3. Selecione Restaurar URLs Padrão ou insira as configurações para o escopo de usuário MDM ou MAM e selecione Salvar:

   

Criar uma política wip

1. Entre no Microsoft Endpoint Manager.

2. Abra Microsoft Intune e selecione Aplicativos > Proteção de aplicativos criar > política.

   

3. Na tela Política de aplicativo, selecione Adicionar uma política e preencha os campos:

   • Nome. Digite um nome (obrigatório) para sua nova política.

   • Descrição. Digite uma descrição opcional.

   • Plataforma. Escolha Windows 10.

   • Estado do registro. Escolha Sem registro para MAM ou Com registro para MDM.

   

4. Selecione Aplicativos Protegidos e, em seguida, selecione Adicionar aplicativos.

   

   Você pode adicionar estes tipos de aplicativos:

   • Aplicativos recomendados
   • Aplicativos da Loja
   • Apps da área de trabalho

Observação

Um aplicativo pode retornar erros de acesso negado depois de removê-lo da lista de aplicativos protegidos. Em vez de removê-lo da lista, desinstale e reinstale o aplicativo ou isen-o da política wip.

Adicionar aplicativos recomendados

Selecione aplicativos recomendados e selecione cada aplicativo que você deseja acessar seus dados corporativos ou selecione todos eles e selecione OK.

Adicionar aplicativos da Loja

Selecione aplicativos da Loja, digite o nome e o editor do produto do aplicativo e selecione OK. Por exemplo, para adicionar o Power BI Mobile aplicativo da Loja, digite o seguinte:

• Nome: Microsoft Power BI
• Publicador: CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
• Nome do Produto: Microsoft.MicrosoftPowerBIForWindows

Para adicionar vários aplicativos da Store, selecione as reticências ….

Se você não souber o editor de aplicativos da Store ou o nome do produto, poderá encontrá-los seguindo estas etapas.

1. Acesse o site da Microsoft Store para Empresas e localize seu aplicativo. Por exemplo, Power BI Mobile App.

2. Copie o valor de ID da URL do aplicativo. Por exemplo, a Power BI Mobile URL https://www.microsoft.com/store/p/microsoft-power-bi/9nblgggzlxn1da ID do Aplicativo é e você copiaria o valor da ID. 9nblgggzlxn1

3. Em um navegador, execute a API Web do portal da Microsoft Store para Empresas para retornar um arquivo JavaScript Object Notation (JSON) que inclua os valores de nome do produto e fornecedor. Por exemplo, execute https://bspmts.mp.microsoft.com/v1/public/catalog/Retail/Products/9nblgggzlxn1/applockerdata, onde 9nblgggzlxn1 é substituído pelo valor da ID.

   A API é executada e abre um editor de texto com os detalhes do aplicativo.

   {
       "packageIdentityName": "Microsoft.MicrosoftPowerBIForWindows",
       "publisherCertificateName": "CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US"
   }
   

4. Copie o valor publisherCertificateName para a caixa Fornecedor e o valor packageIdentityName para a caixa Nome do Intune.

   Importante

   O arquivo JSON também pode retornar um valor windowsPhoneLegacyId para as caixas Nome do Fornecedor e Nome do Produto. Isso significa que você tem um aplicativo que está usando um pacote XAP **** windowsPhoneLegacyIde que deve definir o Nome do Produto como e **** CN= definir o Nome do Publicador como seguido pelo .windowsPhoneLegacyId

   Por exemplo:

   {
       "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
   }
   

Adicionar aplicativos da área de trabalho

Para adicionar aplicativos da área de trabalho, preencha os campos a seguir, com base nos resultados que você deseja retornar.

Campo	Gerencia
Todos os campos marcados como *	Todos os arquivos assinados por um fornecedor. (Não recomendado e pode não funcionar)
Somente fornecedor	Se você preencher apenas esse campo, obterá todos os arquivos assinados pelo publicador nomeado. Isso poderá ser útil se sua empresa for a fornecedora e a signatária dos aplicativos de linha de negócios internos.
Apenas fornecedor e nome	Se você preencher apenas esses campos, obterá todos os arquivos do produto especificado, assinados pelo editor nomeado.
Apenas fornecedor, nome e arquivo	Se você preencher apenas esses campos, obterá qualquer versão do arquivo ou pacote nomeado para o produto especificado, assinado pelo editor nomeado.
Somente a versão de fornecedor, nome, arquivos e Mín	Se você preencher apenas esses campos, obterá a versão especificada ou as versões mais recentes do arquivo ou pacote nomeado para o produto especificado, assinado pelo editor nomeado. Essa opção é recomendada para aplicativos habilitados que não foram habilitados anteriormente.
Somente a versão de fornecedor, nome, arquivos e Máx	Se você preencher apenas esses campos, obterá a versão especificada ou as versões mais antigas do arquivo ou pacote nomeado para o produto especificado, assinado pelo editor nomeado.
Todos os campos concluídos	Se você preencher todos os campos, obterá a versão especificada do arquivo ou pacote nomeado para o produto especificado, assinado pelo editor nomeado.

Para adicionar outro aplicativo da Área de Trabalho, selecione as reticências …. Depois de inserir as informações nos campos, selecione OK.

Se você não tiver certeza sobre o que incluir para o editor, poderá executar este comando do PowerShell:

Get-AppLockerFileInformation -Path "<path_of_the_exe>"

Onde "<path_of_the_exe>" vai até o local do aplicativo no dispositivo. Por exemplo:

Get-AppLockerFileInformation -Path "C:\Program Files\Windows NT\Accessories\wordpad.exe"

Nesse exemplo, você obteria a seguinte informação:

Path                   Publisher
----                   ---------
%PROGRAMFILES%\WINDOWS NT\ACCESSORIES\WORDPAD.EXE O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US

Onde O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US está o nome do Publicador e WORDPAD.EXE o nome do arquivo.

Em relação a como obter o Nome do Produto para os Aplicativos que você deseja adicionar, entre em contato com a Equipe de Suporte do Windows para solicitar as diretrizes

Importar uma lista de aplicativos

Esta seção aborda dois exemplos de como usar um arquivo XML appLocker para a lista de aplicativos protegidos . Você usará essa opção se quiser adicionar vários aplicativos ao mesmo tempo.

• Criar uma regra de aplicativo empacotado para aplicativos da Store
• Criar uma regra executável para aplicativos não assinados

Para obter mais informações sobre o AppLocker, consulte o conteúdo AppLocker.

Criar uma regra de aplicativo empacotado para aplicativos da Store

1. Abra o snap-in Política de Segurança Local (SecPol.msc).

2. Expanda Políticas de Controle de Aplicativo, expanda AppLocker e selecione Regras de Aplicativo Empacotado.

   

3. Clique com o botão direito do mouse no lado direito e selecione Criar Nova Regra.

   O assistente Criar Regras para Aplicativos Empacotados é exibido.

4. Na página Antes de Começar , selecione Avançar.

   

5. Na página Permissões, verifique se a Ação está definida como Permitir e **** se o Usuário **** ou grupo está definido como Todos e selecione Avançar.****

   

6. Na página Publicador , escolha Selecionar em Usar um aplicativo empacotado instalado como uma área de referência.

   

7. Na caixa Selecionar aplicativos , escolha o aplicativo que você deseja usar como referência para sua regra e, em seguida, selecione OK. Neste exemplo, estamos usando o Microsoft Dynamics 365.

   

8. Na página do Publicador atualizada, selecione Criar.

   

9. Selecione Não na caixa de diálogo exibida, perguntando se você deseja criar as regras padrão. Não crie regras padrão para sua política wip.

   

10. Revise o snap-in Política de Segurança Local para verificar se a regra está correta.

    

11. À esquerda, clique com o botão direito do mouse no AppLocker e selecione Exportar política.

    A caixa Exportar política é aberta, permitindo que você exporte e salve a nova política como XML.

    

12. Na caixa Exportar política , navegue até onde a política deve ser armazenada, dê um nome à política e selecione Salvar.

    A política é salva e você verá uma mensagem informando que uma regra foi exportada da política.

    Arquivo XML de exemplo
    Este é o arquivo XML que o AppLocker cria para o Microsoft Dynamics 365.

    <?xml version="1.0"?>
    <AppLockerPolicy Version="1">
        <RuleCollection EnforcementMode="NotConfigured" Type="Appx">
            <FilePublisherRule Action="Allow" UserOrGroupSid="S-1-1-0" Description="" Name="Microsoft.MicrosoftDynamicsCRMforWindows10, version 3.2.0.0 and above, from Microsoft Corporation" Id="3da34ed9-aec6-4239-88ba-0afdce252ab4">
                <Conditions>
                    <FilePublisherCondition BinaryName="*" ProductName="Microsoft.MicrosoftDynamicsCRMforWindows10" PublisherName="CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US">
                        <BinaryVersionRange HighSection="*" LowSection="3.2.0.0"/>
                    </FilePublisherCondition>
                </Conditions>
            </FilePublisherRule>
        </RuleCollection>
        <RuleCollection EnforcementMode="NotConfigured" Type="Dll"/>
        <RuleCollection EnforcementMode="NotConfigured" Type="Exe"/>
        <RuleCollection EnforcementMode="NotConfigured" Type="Msi"/>
        <RuleCollection EnforcementMode="NotConfigured" Type="Script"/>
    </AppLockerPolicy>
    

13. Depois de criar o arquivo XML, você precisará importá-lo usando Microsoft Intune.

Criar uma regra executável para aplicativos não assinados

A regra executável ajuda a criar uma regra do AppLocker para assinar todos os aplicativos não assinados. Ele permite adicionar o caminho do arquivo ou o editor de aplicativos contido na assinatura digital do arquivo necessária para que a política wip seja aplicada.

1. Abra o snap-in Política de Segurança Local (SecPol.msc).

2. No painel esquerdo, selecione Regras **** > Executáveis doAppLocker > de Políticas de Controle deAplicativo.

3. Clique com o botão direito do mouse em Regras Executáveis > para Criar Nova Regra.

   

4. Na página Antes de Começar , selecione Avançar.

5. Na página Permissões, verifique se a Ação está definida como Permitir e **** se o Usuário **** ou grupo está definido como Todos e selecione Avançar.****

6. Na página Condições , selecione Caminho e, em seguida, selecione Avançar.

   

7. Selecione Procurar Pastas... e selecione o caminho para os aplicativos não assinados. Para este exemplo, estamos usando "C:\Arquivos de Programas".

   

8. Na página Exceções , adicione todas as exceções e selecione Avançar.

9. Na página Nome , digite um nome e uma descrição para a regra e selecione Criar.

10. No painel esquerdo, clique com o botão direito do mouse na política de Exportação do AppLocker > .****

11. Na caixa Exportar política , navegue até onde a política deve ser armazenada, dê um nome à política e selecione Salvar.

    A política é salva e você verá uma mensagem informando que uma regra foi exportada da política.

12. Depois de criar o arquivo XML, você precisará importá-lo usando Microsoft Intune.

Para importar uma lista de aplicativos protegidos usando Microsoft Intune

1. Em aplicativos protegidos, selecione Importar aplicativos.

   

   Em seguida, importe o arquivo.

   

2. Navegue até o arquivo de política do AppLocker exportado e selecione Abrir.

   As importações de arquivo e os aplicativos são adicionados à sua lista de aplicativos protegidos .

Isentar aplicativos de uma política wip

Se seu aplicativo for incompatível com a WIP, mas ainda precisar ser usado com dados corporativos, você poderá isentar o aplicativo das restrições de WIP. Isso significa que seus aplicativos não incluirão criptografia automática nem marcação e não respeitarão as restrições de rede. Isso também significa que você pode perder seus aplicativos isentos.

1. Em Aplicativos cliente – Proteção de aplicativos políticas, selecione Aplicativos isentos.

   

2. Em aplicativos isentos, selecione Adicionar aplicativos.

   Quando você isenta aplicativos, eles têm permissão para ignorar as restrições de WIP e acessar seus dados corporativos.

3. Preencha o restante das informações do aplicativo, com base no tipo de aplicativo que você está adicionando:

   • Adicionar aplicativos recomendados

   • Adicionar aplicativos da Loja

   • Adicionar aplicativos da área de trabalho

   • Importar aplicativos

4. Clique em OK.

Gerenciar o modo de proteção por WIP dos dados corporativos

Depois de adicionar os aplicativos que deseja proteger com WIP, você precisará aplicar um modo de gerenciamento e proteção.

É recomendável iniciar com Silencioso ou Permitir Substituições ao verificar, com um pequeno grupo, se você tem os aplicativos corretos na lista de aplicativos protegidos. Depois de terminar, você poderá alterar para sua política de imposição final, Block.

1. Na Proteção de aplicativos política, selecione o nome da política e, em seguida, selecione Configurações necessárias.

   

   Modo	Descrição
   Bloqueio	A WIP procura práticas inadequadas de compartilhamento de dados e impede que o funcionário execute a ação. Isso pode incluir compartilhar informações em todos os aplicativos protegidos não corporativos, além de compartilhar dados empresariais entre outras pessoas e dispositivos fora da empresa.
   Permitir substituições	A WIP procura compartilhamento de dados inapropriados, avisando os funcionários se eles fizerem algo considerado potencialmente inseguro. No entanto, esse modo de gerenciamento permite que o funcionário substitua a política e compartilhe os dados, registrando a ação no log de auditoria. Para obter informações sobre como coletar os arquivos de log de auditoria, consulte Como coletar logs de eventos de auditoria de Proteção de Informações do Windows (WIP).
   Silencioso	A WIP é executada silenciosamente, registrando em log o compartilhamento inadequado de dados, sem bloquear nada que tenha sido solicitado para interação do funcionário no modo Permitir Substituição. Ações não permitidas, como aplicativos tentando acessar de maneira inadequada um recurso de rede ou dados protegidos pela WIP, continuam sendo interrompidas.
   Desativada	A WIP permanece desativada e não ajuda a proteger nem auditar os dados. Depois de desativar a WIP, é feita uma tentativa de descriptografar todos os arquivos marcados pela WIP nas unidades conectadas localmente. As suas informações de descriptografia e política anteriores não serão reaplicadas automaticamente se você reativar a proteção WIP novamente. Para obter mais informações, consulte Como desabilitar o Windows Proteção de Informações.

2. Selecione Salvar.

Definir sua identidade corporativa gerenciada na empresa

A identidade corporativa, normalmente expressa como seu domínio primário da Internet (por exemplo, contoso.com), ajuda a identificar e marcar seus dados corporativos de aplicativos marcados como protegidos pela WIP. Por exemplo, emails usando contoso.com são identificados como sendo corporativos e são restringidos por suas políticas de Proteção de Informações do Windows.

A partir do Windows 10, versão 1703, o Intune determina automaticamente sua identidade corporativa e a adiciona ao campo Identidade corporativa.

Para mudar sua identidade corporativa

1. Na política de aplicativo, selecione o nome da política e, em seguida, selecione Configurações necessárias.

2. Se a identidade definida automaticamente não estiver correta, você poderá alterar as informações no campo Identidade corporativa .

   

3. Para adicionar domínios, como seus nomes de domínio de email, selecione Definir Configurações Avançadas > Adicionar limite derede e selecione Domínios protegidos.

   

Escolher o local onde os aplicativos podem acessar dados empresariais

Depois de adicionar um modo de proteção aos seus aplicativos, é necessário decidir onde esses aplicativos podem acessar dados empresariais em sua rede. Cada política wip deve incluir seus locais de rede empresarial.

Não existem locais padrão incluídos com a WIP. Você deve adicionar cada um dos seus locais de rede. Essa área se aplica a qualquer dispositivo de ponto de extremidade de rede que obtém um endereço IP no intervalo da sua empresa e também está associada a um de seus domínios corporativos, incluindo compartilhamentos SMB. Os locais do sistema de arquivos locais devem apenas manter a criptografia (por exemplo, em NTFS, FAT e ExFAT locais).

Para definir os limites de rede, selecione Política de aplicativo > o nome da política > Configurações avançadas > Adicionar limite de rede.

Selecione o tipo de limite de rede para adicionar a partir da caixa Tipo de limite. Digite um nome para o limite na caixa Nome****, adicione seus valores à caixa Valor, **** com base nas opções abordadas nas subseções a seguir e selecione OK.

Recursos de nuvem

Especifique os recursos de nuvem para serem tratados como corporativos e protegidos pela WIP. Para cada recurso de nuvem, você também pode especificar um servidor proxy de sua lista de Servidores Proxy Internos Empresariais para rotear o tráfego para esse recurso de nuvem. Todo o tráfego roteado por meio de seus servidores proxy internos é considerado empresarial.

Separe vários recursos com o delimitador "|". Por exemplo:

URL <,proxy>|URL <,proxy>

Aplicativos pessoais podem acessar um recurso de nuvem que tem um espaço em branco ou um caractere inválido, como um ponto à direita na URL.

Para adicionar um subdomínio a um recurso de nuvem, use um ponto (.) em vez de um asterisco (*). Por exemplo, para adicionar todos os subdomínios Office.com, use ".office.com" (sem aspas).

Em alguns casos, como quando um aplicativo se conecta diretamente a um recurso de nuvem por meio de um endereço IP, o Windows não consegue saber se está tentando se conectar a um recurso de nuvem empresarial ou a um site pessoal. Nesse caso, o Windows bloqueará a conexão por padrão. Para impedir que o Windows bloqueie automaticamente essas conexões, adicione a cadeia de caracteres /*AppCompat*/ à configuração. Por exemplo:

URL <,proxy>|URL <,proxy>|/*AppCompat*/

Ao usar essa cadeia de caracteres, recomendamos que você também ative o Acesso Condicional do Azure Active Directory, usando a opção Domínio ingressado ou marcado como compatível, o que impede que os aplicativos acessem todos os recursos de nuvem corporativos protegidos pelo acesso condicional.****

Formato de valor com proxy:

contoso.sharepoint.com,contoso.internalproxy1.com|contoso.visualstudio.com,contoso.internalproxy2.com

Formato de valor sem proxy:

contoso.sharepoint.com|contoso.visualstudio.com|contoso.onedrive.com,

Domínios protegidos

Especifique os domínios usados para identidades em seu ambiente. Todo o tráfego para os domínios totalmente qualificados que aparecem nesta lista será protegido. Separe vários domínios com o delimitador "|".

exchange.contoso.com|contoso.com|region.contoso.com

Domínios de rede

Especifique os sufixos DNS usado em seu ambiente. Todo o tráfego para os domínios totalmente qualificados que aparecem nesta lista será protegido. Separe vários recursos com o delimitador ",".

corp.contoso.com,region.contoso.com

Servidores de proxy

Especifique os servidores proxy pelos quais seus dispositivos passarão para atingir seus recursos de nuvem. Usar esse tipo de servidor indica que os recursos de nuvem aos quais você está se conectando são recursos corporativos.

Essa lista não deve incluir nenhum servidor listado em sua lista de servidores proxy internos. Servidores proxy devem ser usados somente para o tráfego protegido não-WIP (não-empresarial). Separe vários recursos com o delimitador ";".

proxy.contoso.com:80;proxy2.contoso.com:443

Servidores proxy internos

Especifique os servidores proxy internos pelos quais seus dispositivos passarão para atingir seus recursos de nuvem. Usar esse tipo de servidor indica que os recursos de nuvem aos quais você está se conectando são recursos corporativos.

Essa lista não deve incluir nenhum servidor listado em sua lista de servidores Proxy. Servidores proxy internos devem ser usados somente para o tráfego protegido WIP (empresarial). Separe vários recursos com o delimitador ";".

contoso.internalproxy1.com;contoso.internalproxy2.com

Intervalos IPv4

Especifique os endereços para um intervalo de valores IPv4 válidos na sua intranet. Esses endereços, usados com seus Nomes de Domínio de Rede, definem os limites da rede corporativa. Não há suporte Inter-Domain cidr (roteamento de Inter-Domain classe).

Separe vários intervalos com o delimitador ",".

A partir do endereço IPv4: 3.4.0.1
Encerrando endereço IPv4: 3.4.255.254
URI personalizada: 3.4.0.1-3.4.255.254,
10.0.0.1-10.255.255.254

Intervalos IPv6

A partir do Windows 10, versão 1703, esse campo é opcional.

Especifique os endereços para um intervalo de valores IPv6 válidos na sua intranet. Esses endereços, usados com seus nomes de domínio de rede, definem seus limites de rede corporativa. Não há suporte Inter-Domain cidr (roteamento de Inter-Domain classe).

Separe vários intervalos com o delimitador ",".

Iniciando o endereço IPv6: 2a01:110::
Endereço IPv6 final: 2a01:110:7fff:ffff:ffff:ffff:ffff:ffff
URI personalizado: 2a01:110:7fff:ffff:ffff:ffff:ffff:ffff,'<br>'fd00::-fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

Recursos neutros

Especifique seus pontos de extremidade de redirecionamento de autenticação para sua empresa. Esses locais são considerados empresariais ou pessoais, com base no contexto da conexão antes do redirecionamento. Separe vários recursos com o delimitador ",".

sts.contoso.com,sts.contoso2.com

Decida se você deseja que o Windows procure mais configurações de rede:

• A lista de servidores proxy empresariais é autoritativa (não detecta automaticamente). Ative se quiser que o Windows trate os servidores proxy especificados na definição de limite de rede como a lista completa de servidores proxy disponíveis em sua rede. Se você desativar isso, o Windows procurará mais servidores proxy em sua rede imediata.

• A lista de intervalos de IP empresariais é autoritativa (não detectar automaticamente). Ative se quiser que o Windows trate os intervalos de IP especificados na definição de limite de rede como a lista completa de intervalos de IP disponíveis em sua rede. Se você desativar isso, o Windows procurará mais intervalos de IP em todos os dispositivos ingressados no domínio conectados à sua rede.

Carregar o certificado DRA (Agente de recuperação de dados)

Depois de criar e implantar sua política wip para seus funcionários, o Windows começa a criptografar seus dados corporativos na unidade de dispositivo local dos funcionários. Se, de alguma forma, as chaves de criptografia locais dos funcionários forem perdidas ou revogadas, os dados criptografados poderão se tornar irrecuperáveis. Para ajudar a evitar essa possibilidade, o certificado de agente de recuperação de dados (DRA) permite que o Windows use uma chave pública incluída para criptografar os dados locais, enquanto você mantém a chave privada que pode descriptografar os dados.

Importante

Usar um certificado DRA não é obrigatório. No entanto, é altamente recomendável. Para obter mais informações sobre como localizar e exportar seu certificado de recuperação de dados, consulte EFS (Data Recovery and Encrypting File System) (Sistema de Arquivos de Criptografia e Recuperação de Dados). Para obter mais informações sobre como criar e verificar seu certificado DRA do EFS, consulte Criar e verificar um certificado DRA (Encrypting File System) Data Recovery Agent (DRA).

Para carregar seu certificado de DRA

1. Na política de aplicativo, selecione o nome da política e, em seguida, selecione Configurações avançadas no menu exibido.

   As configurações avançadas são mostradas .

2. No certificado Carregar um AGENTE de Recuperação de Dados (DRA) para permitir a recuperação da caixa de **** dados criptografada, selecione Procurar para adicionar um certificado de recuperação de dados para sua política.

   

Escolha as configurações opcionais relacionadas à WIP

Depois de decidir onde seus aplicativos protegidos podem acessar dados corporativos em sua rede, você pode escolher configurações opcionais.

Revogar as chaves de criptografia em cancelar registro. Determina se as chaves de criptografia local de um usuário devem ser revogadas de um dispositivo quando ele é cancelado do Windows Proteção de Informações. Se as chaves de criptografia estiverem revogadas, um usuário não tem mais acesso aos dados corporativos criptografados. As opções são:

• Ativado, ou não configurado (recomendado). Revoga as chaves de criptografia locais de um dispositivo durante o cancelamento de registro.

• Desativar. Para as chaves de criptografia locais de serem revogadas de um dispositivo durante o cancelamento de registro. Por exemplo, se você estiver migrando entre soluções Gerenciamento de Dispositivos MDM (mobile Gerenciamento de Dispositivos).

Mostre o ícone de proteção de dados corporativos. Determina se a sobreposição do ícone da Proteção de Informações do Windows aparece em arquivos corporativos nas exibições Salvar Como e Explorador de Arquivos. As opções são:

• Ativado. Permite que a sobreposição do ícone da Proteção de Informações do Windows apareça em arquivos corporativos nas exibições Salvar Como e Explorador de Arquivos. Além disso, para aplicativos não habilitados, mas protegidos, a sobreposição de ícone também aparece no bloco do aplicativo e com texto gerenciado no nome do aplicativo no menu Iniciar .

• Desativado, ou não configurado (recomendado). Impede que a sobreposição Proteção de Informações ícone do Windows apareça em arquivos corporativos ou aplicativos não habilitados, mas protegidos. Não configurado é a opção padrão.

Use o Azure RMS para WIP. Determina se a WIP usa o Microsoft Azure Rights Management para aplicar a criptografia do EFS a arquivos copiados do Windows 10 para USB ou outras unidades removíveis para que possam ser compartilhados com segurança com os funcionários. Em outras palavras, a WIP usa a "máquina" do Azure Rights Management para aplicar a criptografia do EFS aos arquivos quando eles são copiados para unidades removíveis. Você já deve ter o Azure Rights Management configurado. A chave de criptografia de arquivo do EFS é protegida pela licença do modelo RMS. Somente usuários com permissão para esse modelo podem lê-lo da unidade removível. A WIP também pode se integrar ao Azure RMS usando as configurações de MDM AllowAzureRMSForEDP e RMSTemplateIDForEDP no CSP EnterpriseDataProtection.

• Ativado. Protege os arquivos copiados para uma unidade removível. Você pode inserir um GUID de TemplateID para especificar quem pode acessar os arquivos protegidos do Azure Rights Management e por quanto tempo. O modelo RMS só é aplicado aos arquivos em mídia removível e só é usado para controle de acesso. Ele não aplica o Azure Proteção de Informações aos arquivos.

  Se você não especificar um modelo RMS, ele será um arquivo EFS normal usando um modelo RMS padrão que todos os usuários podem acessar.

• Desativado, ou não configurado. Impede que a WIP criptografe arquivos do Azure Rights Management que são copiados para uma unidade removível.

  Observação

  Independentemente dessa configuração, todos os arquivos OneDrive for Business serão criptografados, incluindo pastas conhecidas movidas.

Permitir que o Indexador de Pesquisa do Windows pesquise arquivos criptografados. Determina se o Indexador do Windows Search deve indexar itens criptografados, como arquivos protegidos por WIP.

• Ativado. Inicia o Indexador de Pesquisa do Windows para indexar arquivos criptografados.

• Desativado, ou não configurado. Impede que o Windows Search Indexer indexe arquivos criptografados.

Extensões de arquivo criptografado

Você pode restringir quais arquivos são protegidos pela WIP quando eles são baixados de um compartilhamento SMB em seus locais de rede empresarial. Se essa configuração estiver definida, somente os arquivos com as extensões na lista serão criptografados. Se essa configuração não for especificada, o comportamento de criptografia automática existente será aplicado.

Artigos relacionados

• Como coletar logs de eventos de auditoria de Proteção de Informações do Windows (WIP)

• Diretrizes gerais e práticas recomendadas para WIP (Proteção de informações Windows)

• O que é o Azure Rights Management?

• Criar uma política de Proteção de Informações (WIP) do Windows usando Microsoft Intune

• Intune MAM sem registro

• Atualização de documentação do Azure RMS para maio de 2016