Comentários

Limitações ao usar a Proteção de Informações do Windows (WIP)

  • Artigo
  • 9 minutos para ler

Aplica-se a:

  • Windows 10
  • Windows 11

Esta lista a seguir fornece informações sobre os problemas mais comuns que você pode encontrar ao executar o Windows Proteção de Informações em sua organização.

  • Limitação: os dados corporativos em unidades USB podem estar vinculados ao dispositivo no qual ele foi protegido, com base na configuração do Azure RMS.

    • Como ele aparece:

      • Se você estiver usando o Azure RMS: os usuários autenticados podem abrir dados corporativos em unidades USB, em computadores que executam o Windows 10, versão 1703.
      • Se você não estiver usando o Azure RMS: os dados no novo local permanecerão criptografados, mas se tornarão inacessíveis em outros dispositivos e para outros usuários. Por exemplo, o arquivo não será aberto ou o arquivo será aberto, mas não conterá texto legível.

    • Solução alternativa: compartilhe arquivos com colegas funcionários por meio de servidores de arquivos corporativos ou locais de nuvem empresarial. Se for necessário compartilhar os dados por meio de USB, os funcionários vão descriptografar arquivos protegidos, mas serão auditados.

      É altamente recomendável treinar os funcionários sobre como limitar ou eliminar a necessidade dessa descriptografia.

  • Limitação: o Acesso Direto é incompatível com o Windows Proteção de Informações.

    • Como ele aparece: o Acesso Direto pode ter problemas com a maneira como o Windows Proteção de Informações impõe o comportamento do aplicativo e a movimentação de dados devido a como a WIP determina o que é e não é um recurso de rede corporativa.

    • Solução alternativa: recomendamos que você use VPN para acesso do cliente aos recursos da intranet.

      Observação

      A VPN é opcional e não é exigida pelo Windows Proteção de Informações.

  • Limitação: a configuração Política de Grupo NetworkIsolation tem precedência sobre as configurações de Política de MDM.

    • Como ele aparece: a configuração networkIsolation Política de Grupo pode definir configurações de rede que também podem ser definidas usando o MDM. WIP depende dessas políticas configuradas corretamente.
    • Solução alternativa: se você usar o Política de Grupo e o MDM para definir as configurações de NetworkIsolation, verifique se essas mesmas configurações são implantadas em sua organização usando o Política de Grupo e o MDM.

  • Limitação: a Cortana pode permitir o vazamento de dados se estiver na lista de aplicativos permitidos.

    • Como é exibido: se a Cortana estiver na lista de permissões, alguns arquivos poderão ser criptografados inesperadamente depois que um funcionário executar uma pesquisa usando a Cortana. Seus funcionários ainda poderão usar a Cortana para pesquisar e fornecer resultados sobre documentos corporativos e locais, mas os resultados poderão ser enviados à Microsoft.

    • Solução alternativa: não recomendamos adicionar a Cortana à sua lista de aplicativos permitidos. No entanto, se você quiser usar a Cortana e não se importar se os resultados forem enviados à Microsoft, poderá transformar a Cortana em um aplicativo isento.

  • Limitação: o Windows Proteção de Informações foi projetado para uso por um único usuário por dispositivo.

    • Como ele aparece: um usuário secundário em um dispositivo pode ter problemas de compatibilidade do aplicativo quando aplicativos não habilitados começam a criptografar automaticamente para todos os usuários. Além disso, somente o conteúdo inicial do usuário registrado pode ser revogado durante o processo de cancelamento de registro.
    • Solução alternativa: ter apenas um usuário por dispositivo gerenciado.
    • Se esse cenário ocorrer, talvez seja possível atenuar. Depois que a proteção estiver desabilitada, um segundo usuário poderá remover a proteção alterando a propriedade do arquivo. Embora a proteção esteja em vigor, o arquivo permanece acessível ao usuário.

  • Limitação: os instaladores copiados de um compartilhamento de arquivos de rede corporativa podem não funcionar corretamente.

    • Como ele aparece: um aplicativo pode não ser instalado corretamente porque não pode ler uma configuração necessária ou um arquivo de dados, como um arquivo .cab ou .xml necessário para instalação, que foi protegido pela ação de cópia.
    • Solução alternativa: para corrigir isso, você pode:

      • Iniciar o instalador diretamente a partir do compartilhamento de arquivos.

        OU

      • Descriptografar os arquivos copiados localmente necessários pelo instalador.

        OU

      • Marque o compartilhamento de arquivos com a mídia de instalação como "pessoal". Para fazer isso, você precisará definir os intervalos de IP corporativos como Autoritativos e, em seguida, excluir o endereço IP do servidor de arquivos ou será necessário colocar o servidor de arquivos na lista do Servidor Proxy Empresarial.

  • Limitação: não há suporte para a alteração da identidade corporativa principal.

    • Como ele aparece: você pode experimentar várias instabilidades, incluindo, mas não se limitando a falhas de acesso de rede e arquivo e, potencialmente, concedendo acesso incorreto.
    • Solução alternativa: desative o Windows Proteção de Informações para todos os dispositivos antes de alterar a Identidade Corporativa primária (primeira entrada na lista), reiniciar e, por fim, reimplantar.

  • Limitação: pastas redirecionadas com Client-Side cache não são compatíveis com o Windows Proteção de Informações.

    • Como ele aparece: os aplicativos podem encontrar erros de acesso ao tentar ler um arquivo offline armazenado em cache.

    • Solução alternativa: migre para usar outro método de sincronização de arquivos, como Pastas de Trabalho ou OneDrive for Business.

      Observação

      Para obter mais informações sobre Pastas de Trabalho e Arquivos Offline, consulte o suporte a Pastas de Trabalho e Arquivos Offline para o blog do Windows Proteção de Informações. Se você estiver tendo problemas para abrir arquivos offline ao usar Arquivos Offline e Windows Proteção de Informações, consulte Não é possível abrir arquivos offline quando você usa Arquivos Offline e Windows Proteção de Informações.

  • Limitação: um dispositivo não gerenciado pode usar o protocolo RDP para se conectar a um dispositivo gerenciado pela WIP.

    • Como ele aparece:

      • Os dados copiados do dispositivo gerenciado pela WIP são marcados como Trabalho.
      • Os dados copiados para o dispositivo gerenciado pela WIP não são marcados como Trabalho.
      • Os dados de Trabalho Local copiados para o dispositivo gerenciado pela WIP permanecem dados de trabalho.
      • Os dados de trabalho copiados entre dois aplicativos na mesma sessão permanecem ** dados.

    • Solução alternativa: desabilite o RDP para impedir o acesso porque não há como restringir o acesso somente a dispositivos gerenciados pelo Windows Proteção de Informações. O RDP é desabilitado por padrão.

  • Limitação: não é possível carregar um arquivo empresarial em um local pessoal usando o Microsoft Edge ou o Internet Explorer.

    • Como ele aparece: uma mensagem é exibida informando que o conteúdo está **** marcado como Trabalho e o usuário não recebe uma opção para substituir personal.
    • Solução alternativa: abra Explorador de Arquivos e altere a propriedade do arquivo para Pessoal antes de carregar.

  • Limitação: os controles ActiveX devem ser usados com cuidado.

    • Como ele aparece: páginas da Web que usam controles ActiveX podem se comunicar potencialmente com outros processos externos que não estão protegidos usando o Windows Proteção de Informações.

    • Solução alternativa: recomendamos que você alterne para usar o Microsoft Edge, o navegador mais seguro e seguro que impede o uso de controles ActiveX. Também recomendamos que você limite o uso do Internet Explorer 11 a somente os aplicativos de linha de negócios que exigem a tecnologia herdada.

      Para obter mais informações, consulte Bloqueio de controles ActiveX desatualizados.

  • Limitação: no momento, não há suporte para o ReFS (Sistema de Arquivos Resiliente) com o Windows Proteção de Informações.

    • Como ele aparece: a tentativa de salvar ou transferir arquivos Proteção de Informações Windows para o ReFS falhará.
    • Solução alternativa: formate a unidade para NTFS ou use uma unidade diferente.

  • Limitação: Proteção de Informações Windows não será ativada se qualquer uma das seguintes pastas tiver a opção MakeFolderAvailableOfflineDisabled definida como False:

    • AppDataRoaming
    • Área de trabalho
    • StartMenu
    • Documentos
    • Imagens
    • Música
    • Vídeos
    • Favoritos
    • Contatos
    • Downloads
    • Links
    • Pesquisas
    • SavedGames

    • Como ele aparece: o Windows Proteção de Informações não está ativado para funcionários em sua organização. O código de 0x807c0008 resultará se o Windows Proteção de Informações for implantado usando o Microsoft Endpoint Configuration Manager.

    • Solução alternativa: não defina a opção MakeFolderAvailableOfflineDisabled como False para qualquer uma das pastas especificadas. Você pode configurar esse parâmetro, conforme descrito Desabilitar Arquivos Offline em pastas redirecionadas individuais.

      Se você usar pastas redirecionadas no momento, recomendamos migrar para uma solução de sincronização de arquivos que dê suporte ao Windows Proteção de Informações, como Pastas de Trabalho ou OneDrive for Business. Além disso, se você aplicar pastas redirecionadas depois que o Windows Proteção de Informações já estiver em vigor, talvez não seja possível abrir seus arquivos offline.

      Para mais informações sobre esses possíveis erros de acesso, consulte Não é possível abrir arquivos offline quando você usa Arquivos Offline e Proteção de Informações do Windows.

  • Limitação: somente aplicativos habilitados podem ser gerenciados sem registro de dispositivo

    • Como ele aparece: se um usuário registrar um dispositivo para o MAM (Gerenciamento de Aplicativo Móvel) sem registro de dispositivo, somente aplicativos habilitados serão gerenciados. Isso ocorre por design para impedir que arquivos pessoais sejam criptografados involutivamente por aplicativos não habilitados.

      Os aplicativos não habilitados que precisam acessar o trabalho usando o MAM precisam ser recomppilação como aplicativos LOB ou gerenciados usando o MDM com registro de dispositivo.

    • Solução alternativa: se todos os aplicativos precisam ser gerenciados, registre o dispositivo no MDM.

  • Limitação: por design, os arquivos no diretório do Windows (%windir% ou C:/Windows) não podem ser criptografados porque precisam ser acessados por qualquer usuário. Se um arquivo no diretório do Windows for criptografado por um usuário, outros usuários não poderão accessá-lo.

    • Como ele aparece: qualquer tentativa de criptografar um arquivo no diretório do Windows retornará um erro de acesso negado ao arquivo. Mas se você copiar ou arrastar e soltar um arquivo criptografado para o diretório do Windows, ele manterá a criptografia para respeitar a intenção do proprietário.
    • Solução alternativa: se você precisar salvar um arquivo criptografado no diretório do Windows, crie e criptografe o arquivo em um diretório diferente e copie-o.

  • Limitação: os blocos de anotações do OneNote OneDrive for Business devem ser configurados corretamente para funcionar com o Windows Proteção de Informações.

    • Como ele aparece: o OneNote pode encontrar erros ao sincronizar um bloco de anotações OneDrive for Business e sugerir a alteração da propriedade do arquivo para Pessoal. A tentativa de exibir o bloco de anotações no OneNote Online no navegador mostrará um erro e não será possível exibi-lo.

    • Solução alternativa: os blocos de anotações do OneNote recém-copiados para a pasta OneDrive for Business do Explorador de Arquivos devem ser corrigidos automaticamente. Para fazer isso, siga estas etapas:

      1. Feche o bloco de anotações no OneNote.
      2. Mova a pasta do notebook Explorador de Arquivos da pasta OneDrive for Business para outro local, como a Área de Trabalho.
      3. Copie a pasta do bloco de anotações e cole-a novamente na OneDrive for Business pasta.

      Aguarde alguns minutos para permitir que o OneDrive conclua a sincronização & atualizando o bloco de anotações e a pasta deverá ser convertida automaticamente em um Atalho da Internet. Abrir o atalho abrirá o bloco de anotações no navegador, que pode ser aberto no cliente do OneNote usando o botão "Abrir no aplicativo".

  • Limitação: os arquivos de dados offline do Microsoft Office Outlook (arquivos PST e OST) não são marcados como arquivos de trabalho e, portanto, não estão protegidos.

    • Como é exibido: se o Microsoft Office Outlook estiver definido para funcionar no modo armazenado em cache (configuração padrão) ou se alguns emails forem armazenados em um arquivo PST local, os dados serão desprotegidos.
    • Solução alternativa: é recomendável usar o Microsoft Office Outlook no modo Online ou usar a criptografia para proteger os arquivos OST e PST manualmente.

Observação

  • Quando os dados corporativos são gravados em disco, o Windows Proteção de Informações usa o EFS (Encrypting File System) fornecido pelo Windows para protegê-los e associá-los à sua identidade corporativa. Uma limitação a ter em mente é que o Painel de Visualização no Explorador de Arquivos não funcionará para arquivos criptografados.

  • Ajude a melhorar este tópico nos oferecendo edições, adições e comentários. Para obter informações sobre como contribuir para este tópico, consulte Contribuição para o nosso conteúdo.