Mapa de ruta de implementación de AIP para la clasificación, el etiquetado y la protección

Nota

¿Buscas Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?

Azure Information Protection cliente de etiquetado unificado está ahora en modo de mantenimiento. Se recomienda usar etiquetas integradas en las aplicaciones y servicios de Office 365. Aprende más

Siga estos pasos como recomendaciones para ayudarle a prepararse, implementar y administrar Azure Information Protection para su organización, cuando quiera clasificar, etiquetar y proteger los datos.

Este mapa de ruta se recomienda para cualquier cliente con una suscripción de soporte técnico. Entre las funcionalidades adicionales se incluyen detectar información confidencial y etiquetar documentos y correos electrónicos para la clasificación.

Las etiquetas también pueden aplicar protección, lo que simplifica este paso para los usuarios.

Proceso de implementación

Lleve a cabo los siguiente pasos:

  1. Confirmar la suscripción y asignar licencias de usuario
  2. Preparar el inquilino para usar Azure Information Protection
  3. Configurar e implementar la clasificación y el etiquetado
  4. Preparación de la protección de datos
  5. Configuración de etiquetas y opciones, aplicaciones y servicios para la protección de datos
  6. Usar y supervisar las soluciones de protección de datos
  7. Administrar el servicio de protección para la cuenta de inquilino según sea necesario

Sugerencia

¿Ya está usando la funcionalidad de protección de Azure Information Protection? Puede omitir muchos de estos pasos y centrarse en los pasos 3 y 5.1.

Confirmar la suscripción y asignar licencias de usuario

Confirme que su organización tiene una suscripción que incluye la funcionalidad y las características que espera. Para obtener más información, consulte la página guía de licencias de Microsoft 365 para el cumplimiento de seguridad&.

Después, asigne licencias de esta suscripción a todos los usuarios de la organización que vayan a clasificar, etiquetar y proteger documentos y correos electrónicos.

Importante

No asigne manualmente licencias de usuario de la suscripción gratuita de RMS para individuos y no use esta licencia para administrar el servicio Azure Rights Management para su organización.

Estas licencias se muestran como Rights Management Adhoc en el Centro de administración de Microsoft 365 y como RIGHTSMANAGEMENT_ADHOC al ejecutar el cmdlet de Azure AD PowerShell, Get-MsolAccountSku.

Para más información, consulte RMS para individuos y Azure Information Protection.

Preparar el inquilino para usar Azure Information Protection

Antes de empezar a usar Azure Information Protection, asegúrese de que tiene cuentas de usuario y grupos en Microsoft 365 o Azure Active Directory que AIP puede usar para autenticar y autorizar a los usuarios.

Si es necesario, cree estas cuentas y grupos o sincronice desde el directorio local.

Para más información, consulte Preparación de usuarios y grupos para Azure Information Protection.

Configurar e implementar la clasificación y el etiquetado

Lleve a cabo los siguiente pasos:

  1. Examinar los archivos (opcional pero recomendado)

    Implemente el cliente de Azure Information Protection y, a continuación, instale y ejecute el analizador para detectar la información confidencial que tiene en los almacenes de datos locales.

    La información que detecta el analizador puede ayudarle con la taxonomía de clasificación, proporcionar información valiosa sobre qué etiquetas necesita y qué archivos se deben proteger.

    El modo de detección del analizador no requiere ninguna configuración de etiqueta ni taxonomía, por lo que es adecuada en esta fase temprana de la implementación. También puede usar esta configuración del analizador en paralelo con los pasos de implementación siguientes, hasta que configure el etiquetado automático o recomendado.

  2. Personalice la directiva de AIP predeterminada.

    Si aún no tiene una estrategia de clasificación, use una directiva predeterminada como base para determinar qué etiquetas necesitará para los datos. Personalice estas etiquetas según sea necesario para satisfacer sus necesidades.

    Por ejemplo, puede volver a configurar las etiquetas con los siguientes detalles:

    • Asegúrese de que las etiquetas admiten las decisiones de clasificación.
    • Configurar directivas para el etiquetado manual por parte de los usuarios
    • Escriba instrucciones de usuario para ayudar a explicar qué etiqueta se debe aplicar en cada escenario.
    • Si la directiva predeterminada se creó con etiquetas que aplican automáticamente la protección, es posible que quiera quitar temporalmente la configuración de protección o deshabilitar la etiqueta mientras prueba la configuración.

    Las etiquetas de confidencialidad y las directivas de etiquetado para el cliente de etiquetado unificado se configuran en el portal de cumplimiento Microsoft Purview. Para obtener más información, consulte Más información sobre las etiquetas de confidencialidad.

  3. Implementación del cliente para los usuarios

    Una vez configurada una directiva, implemente el cliente de Azure Information Protection para los usuarios. Proporcione instrucciones específicas y de entrenamiento del usuario al seleccionar las etiquetas.

    Para obtener más información, consulte la guía de administrador de cliente de etiquetado unificado.

  4. Introducción de configuraciones más avanzadas

    Espere a que los usuarios se sientan más cómodos con las etiquetas en sus documentos y correos electrónicos. Cuando esté listo, introduzca configuraciones avanzadas, como:

    • Aplicación de etiquetas predeterminadas
    • Solicitar a los usuarios justificación si eligieron una etiqueta con un nivel de clasificación inferior o quitar una etiqueta
    • Exigir que todos los documentos y correos electrónicos tengan una etiqueta
    • Personalización de encabezados, pies de página o marcas de agua
    • Etiquetado automático y recomendado

    Para obtener más información, consulte guía de Administración: configuraciones personalizadas.

    Sugerencia

    Si ha configurado etiquetas para el etiquetado automático, vuelva a ejecutar el analizador de Azure Information Protection en los almacenes de datos locales en modo de detección y para que coincidan con la directiva.

    La ejecución del analizador en modo de detección indica qué etiquetas se aplicarían a los archivos, lo que le ayuda a ajustar la configuración de la etiqueta y le prepara para clasificar y proteger archivos de forma masiva.

Preparación de la protección de datos

Introduce la protección de datos para tus datos más confidenciales una vez que los usuarios se sienten cómodos etiquetando documentos y correos electrónicos.

Realice los pasos siguientes para prepararse para la protección de datos:

  1. Determine cómo desea administrar la clave de inquilino.

    Decide si quieres que Microsoft administre tu clave de inquilino (la predeterminada) o generarla y administrarla tú mismo (conocido como Aportar tu propia clave, o BYOK).

    Para más información y opciones para la protección adicional local, consulte Planeamiento e implementación de la clave de inquilino de Azure Information Protection.

  2. Instale PowerShell para AIP.

    Instale el módulo de PowerShell para AIPService en al menos un equipo que tenga acceso a Internet. Este paso puedes hacerlo ahora o más tarde.

    Para obtener más información, consulte Instalación del módulo de PowerShell AIPService.

  3. Solo AD RMS: migre las claves, las plantillas y las direcciones URL a la nube.

    Si actualmente usa AD RMS, realice una migración para mover las claves, las plantillas y las direcciones URL a la nube.

    Para más información, vea Migración desde AD RMS a Information Protection.

  4. Activar la protección.

    Asegúrese de que el servicio de protección esté activado para poder comenzar a proteger documentos y correos electrónicos. Si va a implementar en varias fases, configure los controles de incorporación de usuarios para restringir la capacidad de los usuarios para aplicar la protección.

    Para obtener más información, vea Activating the protection service from Azure Information Protection (Activación del servicio de protección desde Azure Information Protection).

  5. Considere el registro de uso (opcional).

    Considere la posibilidad de registrar el uso para supervisar cómo usa su organización el servicio de protección. Este paso puedes hacerlo ahora o más tarde.

    Para más información, consulte Registro y análisis del uso de protección de Azure Information Protection.

Configuración de etiquetas y opciones, aplicaciones y servicios para la protección de datos

Lleve a cabo los siguiente pasos:

  1. Actualización de las etiquetas para aplicar la protección

    Para más información, puede ver Restringir el acceso al contenido mediante el cifrado en las etiquetas de confidencialidad.

    Importante

    Los usuarios pueden aplicar etiquetas en Outlook que apliquen la protección de Rights Management incluso si Exchange no está configurado para Information Rights Management (IRM).

    Sin embargo, hasta que Exchange esté configurado para IRM o Cifrado de mensajes de Microsoft 365 con nuevas funcionalidades, su organización no obtendrá toda la funcionalidad de usar Azure Rights Management protección con Exchange. Esta configuración adicional se incluye en la lista siguiente (2 para Exchange Online y 5 para Exchange local).

  2. Configuración de aplicaciones y servicios de Office

    Configure aplicaciones y servicios de Office para las características de Information Rights Management (IRM) en Microsoft SharePoint o Exchange Online.

    Para obtener más información, consulte Configuración de aplicaciones para Azure Rights Management.

  3. Configurar la característica de superusuario para la recuperación de datos

    Si tiene servicios de TI existentes que necesita para inspeccionar los archivos que se protegerán con Azure Information Protection (como soluciones de prevención de pérdida de datos [DLP], puertas de enlace de cifrado de contenido [CEG] y productos antimalware), configure las cuentas de servicio como superusuarios para Azure Rights Management.

    Para más información, consulte Configuración de superusuarios para Azure Information Protection y servicios de detección o recuperación de datos.

  4. Clasificación y protección de los archivos de forma masiva

    Para los almacenes de datos locales, ejecute ahora el analizador de Azure Information Protection en modo de cumplimiento para que los archivos se etiqueten de forma automática.

    En el caso de los archivos en equipos, use cmdlets de PowerShell para clasificar y proteger archivos. Para más información, consulte Uso de PowerShell con azure Information Protection cliente de etiquetado unificado.

    En el caso de los almacenes de datos basados en la nube, use Microsoft Defender for Cloud Apps.

    Sugerencia

    Aunque clasificar y proteger archivos existentes de forma masiva no es uno de los casos de uso principales de Defender for Cloud Apps, las soluciones alternativas documentadas pueden ayudarle a obtener los archivos clasificados y protegidos.

  5. Implementación del conector para bibliotecas protegidas por IRM en SharePoint Server y correos electrónicos protegidos por IRM para Exchange local

    Si tiene SharePoint y Exchange local, y quiere usar sus características de Information Rights Management (IRM), instale y configure el conector de Rights Management.

    Para más información, consulte Implementación del conector de Microsoft Rights Management.

Usar y supervisar las soluciones de protección de datos

Ya está listo para supervisar cómo usa la organización las etiquetas que ha configurado y confirma que está protegiendo información confidencial.

Para obtener más información, consulte las siguientes páginas:

Administrar el servicio de protección para la cuenta de inquilino según sea necesario

Cuando empiece a usar el servicio de protección, puede que PowerShell le resulte útil para generar scripts o automatizar cambios administrativos. Es posible que también se necesite PowerShell para algunas de las configuraciones avanzadas.

Para más información, consulte Administración de la protección desde Azure Information Protection mediante PowerShell.

Pasos siguientes

A medida que implementa Azure Information Protection, es posible que le resulte útil comprobar las preguntas más frecuentes, los problemas conocidosy la página de información y soporte técnico de recursos adicionales.