Windows Information Protection (WIP)

Nota La directiva de Windows Information Protection (WIP) se puede aplicar a Windows 10, versión 1607 o posterior.

WIP protege los datos que pertenecen a una organización aplicando directivas definidas por la organización. Si la aplicación está incluida en esas directivas, todos los datos generados por la aplicación están sujetos a restricciones de directiva. Este tema le ayuda a crear aplicaciones que apliquen estas directivas de forma más correcta sin tener ningún impacto en los datos personales del usuario.

En primer lugar, ¿qué es WIP?

WIP es un conjunto de características en equipos de escritorio, portátiles, tabletas y teléfonos que admiten el sistema mobile Administración de dispositivos (MDM) y administración de aplicaciones móviles (MAM) de la organización.

WIP junto con MDM proporciona a la organización un mayor control sobre cómo se administran sus datos en los dispositivos que administra la organización. A veces, los usuarios llevan dispositivos al trabajo y no los inscriben en la MDM de la organización. En esos casos, las organizaciones pueden usar MAM para lograr un mayor control sobre cómo se controlan sus datos en aplicaciones de línea de negocio específicas que los usuarios instalan en su dispositivo.

mediante MDM o MAM, los administradores pueden identificar qué aplicaciones pueden acceder a los archivos que pertenecen a la organización y si los usuarios pueden copiar datos de esos archivos y, a continuación, pegar esos datos en documentos personales.

Aquí le mostramos cómo funciona: Los usuarios inscriben sus dispositivos en el sistema de administración de dispositivos móviles (MDM) de la organización. Un administrador de la organización de administración usa Microsoft Intune o System Center Configuration Manager (SCCM) para definir y, a continuación, implementar una directiva en los dispositivos inscritos.

Si los usuarios no tienen que inscribir sus dispositivos, los administradores usarán su sistema MAM para definir e implementar una directiva que se aplique a aplicaciones específicas. Cuando los usuarios instalen cualquiera de esas aplicaciones, recibirán la directiva asociada.

Esa directiva identifica las aplicaciones que pueden acceder a los datos empresariales (denominada lista de permitidos de la directiva). Estas aplicaciones pueden acceder a archivos protegidos por la empresa, redes privadas virtuales (VPN) y datos empresariales en el Portapapeles o a través de un contrato de recurso compartido. La directiva también define las reglas que rigen los datos. Por ejemplo, si los datos se pueden copiar de archivos propiedad de la empresa y, a continuación, pegarlos en archivos que no son propiedad de la empresa.

Si los usuarios anulan la inscripción de su dispositivo desde el sistema MDM de la organización o desinstalan las aplicaciones identificadas por el sistema MAM de las organizaciones, los administradores pueden borrar de forma remota los datos empresariales del dispositivo.

Más información sobre WIP

• Introducción a Windows Information Protection
• Protege los datos de tu empresa con Windows Information Protection (WIP)

Si la aplicación está en la lista de permitidos, todos los datos generados por la aplicación están sujetos a restricciones de directiva. Esto significa que si los administradores revocan el acceso del usuario a los datos empresariales, esos usuarios pierden el acceso a todos los datos generados por la aplicación.

Esto es correcto si la aplicación está diseñada solo para uso empresarial. Pero si la aplicación crea datos que los usuarios consideran personales, querrás habilitar la aplicación para distinguir de forma inteligente entre los datos empresariales y personales. Llamamos a este tipo de aplicación habilitada para la empresa porque puede aplicar correctamente la directiva de empresa al tiempo que conserva la integridad de los datos personales del usuario.

Creación de una aplicación habilitada para empresas

Use las API de WIP para habilitar la aplicación y, a continuación, declare la aplicación como habilitada para la empresa.

Habilitar la aplicación si se usará con fines personales y organizativos.

Habilita la aplicación si quieres controlar correctamente la aplicación de los elementos de directiva.

Por ejemplo, si la directiva permite a los usuarios pegar datos empresariales en un documento personal, puede impedir que los usuarios tengan que responder a un cuadro de diálogo de consentimiento antes de pegar los datos. Del mismo modo, puede presentar cuadros de diálogo informativos personalizados en respuesta a este tipo de eventos.

Si está listo para habilitar la aplicación, consulte una de estas guías:

Para aplicaciones de Plataforma universal de Windows (UWP) que compilas con C#

Guía para desarrolladores de Windows Information Protection (WIP).

Para las aplicaciones de escritorio que se compilan mediante C++

Guía para desarrolladores de Windows Information Protection (WIP) (C++).

Creación de una aplicación empresarial no habilitada

Si va a crear una aplicación de línea de negocio (LOB) que no está pensada para su uso personal, es posible que no tenga que habilitarla.

Aplicaciones de escritorio de Windows

No es necesario habilitar una aplicación de escritorio de Windows, pero debe probar la aplicación para asegurarse de que funciona correctamente en la directiva. Por ejemplo, inicie la aplicación, úsela y anule la inscripción del dispositivo desde MDM. A continuación, asegúrese de que la aplicación pueda iniciarse de nuevo. Si los archivos críticos para el funcionamiento de la aplicación están cifrados, es posible que la aplicación no se inicie. Además, revise los archivos con los que interactúa la aplicación para asegurarse de que la aplicación no cifrará accidentalmente los archivos que son personales para el usuario. Esto puede incluir archivos de metadatos, imágenes y otras cosas.

Después de probar la aplicación, agregue esta marca al archivo de recursos o al proyecto y vuelva a compilar la aplicación.

MICROSOFTEDPAUTOPROTECTIONALLOWEDAPPINFO EDPAUTOPROTECTIONALLOWEDAPPINFOID
BEGIN
    0x0001
END

Aunque las directivas mdm no requieren la marca , las directivas mam sí.

Aplicaciones para UWP

Si esperas que la aplicación se incluya en una directiva mam, debes habilitarla. Las directivas implementadas en dispositivos en MDM no lo requerirán, pero si distribuye la aplicación a los consumidores de la organización, es difícil si no es imposible determinar qué tipo de sistema de administración de directivas usarán. Para asegurarse de que la aplicación funcionará en ambos tipos de sistemas de administración de directivas (MDM y MAM), debe habilitar la aplicación.