Limitações ao usar a Proteção de Informações do Windows (WIP)

  • Artigo

Aplica-se a:

  • Windows 10
  • Windows 11

Esta lista a seguir fornece informações sobre os problemas mais comuns que você pode encontrar ao executar o Windows Proteção de Informações em sua organização.

  • Limitação: seus dados corporativos em unidades USB podem estar vinculados ao dispositivo no qual foram protegidos, com base na configuração do Azure RMS.

    • Como ele aparece:

      • Se você estiver usando o Azure RMS: usuários autenticados podem abrir dados corporativos em unidades USB, em computadores que executam Windows 10, versão 1703.
      • Se você não estiver usando o Azure RMS: os dados no novo local permanecerão criptografados, mas se tornarão inacessíveis em outros dispositivos e para outros usuários. Por exemplo, o arquivo não será aberto ou o arquivo será aberto, mas não conterá texto legível.

    • Solução alternativa: compartilhe arquivos com outros funcionários por meio de servidores de arquivos corporativos ou locais de nuvem corporativa. Se for necessário compartilhar os dados por meio de USB, os funcionários vão descriptografar arquivos protegidos, mas serão auditados.

      É altamente recomendável treinar os funcionários sobre como limitar ou eliminar a necessidade dessa descriptografia.

  • Limitação: o Acesso Direto é incompatível com o Windows Proteção de Informações.

    • Como ele aparece: o Acesso Direto pode ter problemas com a forma como o Windows Proteção de Informações impõe o comportamento do aplicativo e a movimentação de dados devido à forma como o WIP determina o que é e não é um recurso de rede corporativa.

    • Solução alternativa: recomendamos que você use VPN para acesso do cliente aos seus recursos de intranet.

      Observação

      A VPN é opcional e não é necessária pelo Windows Proteção de Informações.

  • Limitação: a configuração networkIsolation Política de Grupo tem precedência sobre as configurações da Política de MDM.

    • Como ele aparece: a configuração NetworkIsolation Política de Grupo pode configurar configurações de rede que também podem ser configuradas usando MDM. WIP depende dessas políticas configuradas corretamente.
    • Solução alternativa: se você usar Política de Grupo e MDM para configurar suas configurações de NetworkIsolation, verifique se essas mesmas configurações serão implantadas em sua organização usando Política de Grupo e MDM.

  • Limitação: a Cortana pode potencialmente permitir o vazamento de dados se estiver na lista de aplicativos permitidos.

    • Como ele aparece: se a Cortana estiver na lista permitida, alguns arquivos poderão ser criptografados inesperadamente depois que um funcionário realizar uma pesquisa usando a Cortana. Seus funcionários ainda poderão usar a Cortana para pesquisar e fornecer resultados sobre documentos corporativos e locais, mas os resultados poderão ser enviados à Microsoft.

    • Solução alternativa: não recomendamos adicionar a Cortana à sua lista de aplicativos permitidos. No entanto, se você quiser usar a Cortana e não se importar se os resultados forem enviados à Microsoft, poderá transformar a Cortana em um aplicativo isento.

  • Limitação: o Windows Proteção de Informações foi projetado para uso por um único usuário por dispositivo.

    • Como ele aparece: um usuário secundário em um dispositivo pode ter problemas de compatibilidade de aplicativo quando aplicativos não iluminados começam a criptografar automaticamente para todos os usuários. Além disso, somente o conteúdo inicial do usuário registrado pode ser revogado durante o processo de não registro.
    • Solução alternativa: tenha apenas um usuário por dispositivo gerenciado.
    • Se esse cenário ocorrer, talvez seja possível atenuar. Depois que a proteção é desabilitada, um segundo usuário pode remover a proteção alterando a propriedade do arquivo. Embora a proteção esteja em vigor, o arquivo permanece acessível ao usuário.

  • Limitação: instaladores copiados de um compartilhamento de arquivos de rede empresarial podem não funcionar corretamente.

    • Como ele aparece: um aplicativo pode não instalar corretamente porque não pode ler uma configuração ou arquivo de dados necessário, como um .cab ou .xml arquivo necessário para instalação, que foi protegido pela ação de cópia.
    • Solução alternativa: para corrigir isso, você pode:

      • Iniciar o instalador diretamente a partir do compartilhamento de arquivos.

        OU

      • Descriptografar os arquivos copiados localmente necessários pelo instalador.

        OU

      • Marque o compartilhamento de arquivos com a mídia de instalação como "pessoal". Para fazer isso, você precisará definir os intervalos de IP da Empresa como Autoritativo e excluir o endereço IP do servidor de arquivos ou você precisará colocar o servidor de arquivos na lista servidor proxy empresarial.

  • Limitação: não há suporte para alterar sua identidade corporativa primária.

    • Como ele aparece: você pode experimentar várias instabilidades, incluindo, mas não se limitando a falhas de acesso à rede e arquivos, e potencialmente conceder acesso incorreto.
    • Solução alternativa: desative o Windows Proteção de Informações para todos os dispositivos antes de alterar a identidade corporativa primária (primeira entrada na lista), reiniciar e, finalmente, reimplantar.

  • Limitação: as pastas redirecionadas com o cache Client-Side não são compatíveis com o Windows Proteção de Informações.

  • Limitação: um dispositivo não gerenciado pode usar o RDP (Protocolo de Área de Trabalho Remota) para se conectar a um dispositivo gerenciado por WIP.

    • Como ele aparece:

      • Os dados copiados do dispositivo gerenciado por WIP são marcados como Trabalho.
      • Os dados copiados para o dispositivo gerenciado por WIP não são marcados como Trabalho.
      • Os dados de trabalho locais copiados para o dispositivo gerenciado por WIP permanecem dados de trabalho.
      • Os dados de trabalho copiados entre dois aplicativos na mesma sessão permanecem ** dados.

    • Solução alternativa: desabilite o RDP para impedir o acesso porque não há como restringir o acesso apenas a dispositivos gerenciados pelo Windows Proteção de Informações. O RDP está desabilitado por padrão.

  • Limitação: você não pode carregar um arquivo corporativo em um local pessoal usando o Microsoft Edge ou o Internet Explorer.

    • Como ele aparece: uma mensagem aparece informando que o conteúdo está marcado como Trabalho e o usuário não tem a opção de substituir o Personal.
    • Solução alternativa: abra Explorador de Arquivos e altere a propriedade do arquivo para Personal antes de carregar.

  • Limitação: os controles ActiveX devem ser usados com cuidado.

    • Como ele aparece: páginas da Web que usam controles ActiveX podem potencialmente se comunicar com outros processos externos que não são protegidos usando o Windows Proteção de Informações.

    • Solução alternativa: recomendamos que você mude para o uso do Microsoft Edge, o navegador mais seguro e seguro que impede o uso de controles ActiveX. Também recomendamos que você limite o uso do Internet Explorer 11 a somente os aplicativos de linha de negócios que exigem a tecnologia herdada.

      Para obter mais informações, consulte Bloqueio de controles ActiveX desatualizados.

  • Limitação: o ReFS (Sistema de Arquivos Resiliente) não tem suporte no momento com o Windows Proteção de Informações.

    • Como ele aparece: a tentativa de salvar ou transferir arquivos do Windows Proteção de Informações para o ReFS falhará.
    • Solução alternativa: formate a unidade para NTFS ou use uma unidade diferente.

  • Limitação: o Windows Proteção de Informações não estiver ativado se alguma das pastas a seguir tiver a opção MakeFolderAvailableOfflineDisabled definida como False:

    • AppDataRoaming
    • Área de trabalho
    • StartMenu
    • Documentos
    • Imagens
    • Música
    • Vídeos
    • Favoritos
    • Contatos
    • Downloads
    • Links
    • Pesquisas
    • SavedGames

    • Como ele aparece: o Windows Proteção de Informações não está ativado para funcionários em sua organização. O 0x807c0008 de código de erro resultará se o Windows Proteção de Informações for implantado usando Microsoft Configuration Manager.

    • Solução alternativa: não defina a opção MakeFolderAvailableOfflineDisabled como False para qualquer uma das pastas especificadas. Você pode configurar esse parâmetro, conforme descrito Desabilitar Arquivos Offline em pastas redirecionadas individuais.

      Se você usar pastas redirecionadas no momento, recomendamos migrar para uma solução de sincronização de arquivos compatível com o Windows Proteção de Informações, como Pastas de Trabalho ou OneDrive for Business. Além disso, se você aplicar pastas redirecionadas após o Windows Proteção de Informações já estiver em vigor, talvez não seja possível abrir seus arquivos offline.

      Para mais informações sobre esses possíveis erros de acesso, consulte Não é possível abrir arquivos offline quando você usa Arquivos Offline e Proteção de Informações do Windows.

  • Limitação: somente aplicativos esclarecidos podem ser gerenciados sem o registro do dispositivo

    • Como ele aparece: se um usuário registrar um dispositivo para MAM (Gerenciamento de Aplicativos Móveis) sem registro de dispositivo, somente aplicativos iluminados serão gerenciados. Isso é por design para evitar que arquivos pessoais sejam criptografados involuntariamente por aplicativos não iluminados.

      Aplicativos não iluminados que precisam acessar o trabalho usando o MAM precisam ser compilados novamente como aplicativos LOB ou gerenciados usando MDM com registro de dispositivo.

    • Solução alternativa: se todos os aplicativos precisarem ser gerenciados, registre o dispositivo para MDM.

  • Limitação: Por design, os arquivos no diretório do Windows (%windir% ou C:/Windows) não podem ser criptografados porque precisam ser acessados por qualquer usuário. Se um arquivo no diretório do Windows for criptografado por um usuário, outros usuários não poderão acessá-lo.

    • Como ele aparece: qualquer tentativa de criptografar um arquivo no diretório do Windows retornará um erro negado ao acesso ao arquivo. Mas se você copiar ou arrastar e soltar um arquivo criptografado para o diretório do Windows, ele manterá a criptografia para honrar a intenção do proprietário.
    • Solução alternativa: se você precisar salvar um arquivo criptografado no diretório do Windows, crie e criptografe o arquivo em um diretório diferente e copie-o.

  • Limitação: os notebooks do OneNote no OneDrive for Business devem estar configurados corretamente para funcionar com o Windows Proteção de Informações.

    • Como ele aparece: o OneNote pode encontrar erros ao sincronizar um notebook OneDrive for Business e sugerir a alteração da propriedade do arquivo para Pessoal. Tentar exibir o notebook no OneNote Online no navegador mostrará um erro e não poderá exibi-lo.

    • Solução alternativa: os notebooks do OneNote que são copiados recentemente na pasta OneDrive for Business de Explorador de Arquivos devem ser corrigidos automaticamente. Para fazer isso, siga estas etapas:

      1. Feche o bloco de anotações no OneNote.
      2. Mova a pasta notebook por meio de Explorador de Arquivos da pasta OneDrive for Business para outro local, como a Área de Trabalho.
      3. Copie a pasta notebook e cole-a novamente na pasta OneDrive for Business.

      Aguarde alguns minutos para permitir que o OneDrive conclua a sincronização & atualizar o notebook e a pasta deve converter automaticamente em um Atalho da Internet. Abrir o atalho abrirá o notebook no navegador, que pode ser aberto no cliente do OneNote usando o botão "Abrir no aplicativo".

  • Limitação: os arquivos de dados offline do Microsoft Office Outlook (arquivos PST e OST) não são marcados como arquivos de trabalho e, portanto, não são protegidos.

    • Como ele aparece: se o Microsoft Office Outlook estiver definido para funcionar no modo armazenado em cache (configuração padrão) ou se alguns emails forem armazenados em um arquivo PST local, os dados serão desprotegidos.
    • Solução alternativa: é recomendável usar o Microsoft Office Outlook no modo Online ou usar a criptografia para proteger arquivos OST e PST manualmente.

Observação

  • Quando os dados corporativos são gravados em disco, o Windows Proteção de Informações usa o EFS (Sistema de Arquivos criptografados fornecido pelo Windows) para protegê-los e associá-los à sua identidade corporativa. Uma ressalva a ter em mente é que o Painel de Visualização no Explorador de Arquivos não funcionará para arquivos criptografados.

  • Ajude a melhorar este tópico nos oferecendo edições, adições e comentários. Para obter informações sobre como contribuir para este tópico, consulte Contribuição para o nosso conteúdo.