Activación del servicio de protección desde Azure Information Protection

En este artículo se describe cómo los administradores pueden activar el servicio de protección de Azure Rights Management para Azure Information Protection (AIP). Cuando se activa el servicio de protección para su organización, los administradores y los usuarios pueden empezar a proteger datos importantes mediante aplicaciones y servicios que admiten esta solución de protección de la información. Los administradores también pueden administrar y supervisar los correos electrónicos y documentos protegidos que tiene su organización.

Esta información de configuración de este artículo es para los administradores responsables de un servicio que se aplica a todos los usuarios de una organización. Si busca ayuda e información para usar la funcionalidad de Rights Management con una aplicación específica o cómo abrir un archivo o un correo electrónico protegido por derechos, use la ayuda y las instrucciones que se incluyen con la aplicación.

Para obtener soporte técnico y consultar otras cuestiones sobre el servicio, vea la información sobre Opciones de soporte y recursos de la comunidad.

Activación automática para Azure Rights Management

Cuando tenga un plan de servicio que incluya Azure Rights Management, es posible que no tenga que activar el servicio:

  • Si la suscripción que incluye Azure Rights Management o Azure Information Protection se obtuvo a finales de febrero de 2018 o posterior: el servicio se activa automáticamente automáticamente. No es necesario activar el servicio a menos que usted u otro administrador global de su organización haya desactivado Azure Rights Management.

  • Si la suscripción que incluye Azure Rights Management o Azure Information Protection se obtuvo antes o durante febrero de 2018: Microsoft activa el servicio Azure Rights Management para estas suscripciones si el inquilino usa Exchange Online. Para estas suscripciones, el servicio se activará automáticamente a menos que vea que AutomaticServiceUpdateEnabled está establecido en false al ejecutar Get-IRMConfiguration.

Si ninguno de los escenarios enumerados se aplica a usted, debe activar manualmente el servicio de protección.

Activación o confirmación del estado del servicio de protección

Importante

No active el servicio de protección si tiene Active Directory Rights Management Services (AD RMS) implementado para su organización. Más información

Para activar el servicio de protección, su organización debe tener un plan de servicio que incluya el servicio de Azure Rights Management de Azure Information Protection. Para obtener más información, vea Guía de licencias de Microsoft 365 para el cumplimiento de seguridad&.

Cuando se activa el servicio de protección, todos los usuarios de su organización pueden aplicar protección de la información a sus documentos y correos electrónicos, y todos los usuarios pueden abrir (consumir) documentos y correos electrónicos protegidos por este servicio. Sin embargo, si lo prefiere, puede usar controles de incorporación para restringir quién puede aplicar la protección de la información, a fin de realizar una implementación por fases. Para más información, consulte la sección Configuración de controles de incorporación para una implementación por fases de este artículo.

Activación de la protección mediante PowerShell

Debe usar PowerShell para activar el servicio de protección rights Management (Azure RMS). Ya no puede activar ni desactivar este servicio desde el Azure Portal.

  1. Instale el módulo AIPService para configurar y administrar el servicio de protección. Para obtener instrucciones, consulte Instalación del módulo de PowerShell AIPService.

  2. En una sesión de PowerShell, ejecute Connect-AipService y, cuando se le solicite, proporcione los detalles de la cuenta de administrador global para el inquilino de Azure Information Protection.

  3. Ejecute Get-AipService para confirmar si el servicio de protección está activado. El estado Habilitado confirma la activación, mientras que Deshabilitado indica que el servicio está desactivado.

  4. Para activar el servicio, ejecute Enable-AipService.

Configuración de controles de incorporación para una implementación por fases

Si no desea que todos los usuarios puedan proteger documentos y correos electrónicos inmediatamente mediante Azure Information Protection, puede configurar controles de incorporación de usuarios mediante el comando Set-AipServiceOnboardingControlPolicy de PowerShell. Puede ejecutar este comando antes o después de activar el servicio Azure Rights Management.

Por ejemplo, si en principio desea que solo los administradores del grupo "Departamento de TI" (con un identificador de objeto de fbb99ded-32a0-45f1-b038-38b519009503) puedan proteger el contenido con fines de prueba, use el comando siguiente:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fbb99ded-32a0-45f1-b038-38b519009503"

Tenga en cuenta que para esta opción de configuración, debe especificar un grupo; no puede especificar usuarios individuales. Para obtener el id. de objeto del grupo, puede usar Azure AD PowerShell. Por ejemplo, para la versión 1.0 del módulo, use el comando Get-MsolGroup. También puede copiar el valor Id. de objeto del grupo de Azure Portal.

O bien, si quiere asegurarse de que solo los usuarios con licencias adecuadas para usar Azure Information Protection puedan proteger el contenido:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True

Cuando ya no necesite usar los controles de incorporación, tanto si ha usado la opción de licencias o de grupo, ejecute:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False

Para obtener más información sobre este cmdlet y ejemplos adicionales, consulte la ayuda Set-AipServiceOnboardingControlPolicy .

Al usar estos controles de incorporación, todos los usuarios de la organización podrán consumir siempre el contenido protegido por el subconjunto de usuarios, pero no podrán aplicar la protección de la información ellos mismos desde aplicaciones cliente. Las aplicaciones del lado servidor, como Exchange, pueden implementar sus propios controles por usuario para lograr el mismo resultado. Por ejemplo, para impedir que los usuarios puedan proteger los correos electrónicos en Outlook en la Web, use Set-OwaMailboxPolicy para establecer el parámetro IRMEnabled en $false.

Pasos siguientes

Ahora que el servicio de protección está activado para su organización, las aplicaciones y los servicios pueden aplicar cifrado para ayudar a proteger los datos. Una de las formas más fáciles de aplicar el cifrado es usar etiquetas de confidencialidad de Microsoft Purview Information Protection.