Administración de datos personales de Azure Information Protection

Nota

¿Buscas Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?

Azure Information Protection cliente de etiquetado unificado está ahora en modo de mantenimiento. Se recomienda usar etiquetas integradas en las aplicaciones y servicios de Office 365. Aprende más

Cuando configura y usa Azure Information Protection, las direcciones de correo electrónico y las direcciones IP se almacenan y se utilizan por el servicio Azure Information Protection. Estos datos personales pueden encontrarse en los siguientes elementos:

  • Superusuarios y administradores delegados para el servicio de protección

  • Registros de administración para el servicio de protección

  • Registros de uso para el servicio de protección

  • Registros de uso para los clientes de Azure Information Protection y el cliente RMS

Nota

En este artículo se indican los pasos para eliminar los datos personales del dispositivo o del servicio y puede utilizarse para cumplir con sus obligaciones según el Reglamento general de protección de datos (RGPD). Si quiere obtener información general sobre este reglamento, vea la sección del RGPD del Portal de confianza de servicios.

Visualización de los datos personales que usa Azure Information Protection

  • Cliente de etiquetado unificado:

    Para el cliente de etiquetado unificado, las etiquetas de confidencialidad y las directivas de etiquetas se configuran en el portal de cumplimiento Microsoft Purview. Para obtener más información, vea la documentación de Microsoft 365.

Nota

Cuando se usa Azure Information Protection para clasificar y proteger documentos y mensajes de correo electrónico, las direcciones de correo electrónico y las direcciones IP de los usuarios podrían guardarse en archivos de registro.

Superusuarios y administradores delegados para el servicio de protección

Ejecute el cmdlet Get-AipServiceSuperUser y el cmdlet get-aipservicerolebasedadministrator para ver a qué usuarios se les ha asignado el rol de superusuario o el rol de administrador global para el servicio de protección (Azure Rights Management) desde Azure Information Protection. Se muestran las direcciones de correo electrónico de los usuarios a los que se haya asignado cualquiera de estos roles.

Registros de administración para el servicio de protección

Ejecute el cmdlet Get-AipServiceAdminLog para obtener un registro de acciones de administrador para el servicio de protección (Azure Rights Management) de Azure Information Protection. Este registro incluye datos personales en el formato de direcciones de correo electrónico y direcciones IP. El registro está en texto no cifrado y, después de descargarlo, se pueden buscar los detalles de un administrador específico sin conexión.

Por ejemplo:

PS C:\Users> Get-AipServiceAdminLog -Path '.\Desktop\admin.log' -FromTime 4/1/2018 -ToTime 4/30/2018 -Verbose
The Rights Management administration log was successfully generated and can be found at .\Desktop\admin.log.

Registros de uso para el servicio de protección

Ejecute el cmdlet Get-AipServiceUserLog para recuperar un registro de acciones de usuario final que usan el servicio de protección de Azure Information Protection. El registro podría incluir datos personales en el formato de direcciones de correo electrónico y direcciones IP. El registro está en texto no cifrado y, después de descargarlo, se pueden buscar los detalles de un administrador específico sin conexión.

Por ejemplo:

PS C:\Users> Get-AipServiceUserLog -Path '.\Desktop\' -FromDate 4/1/2018 -ToDate 4/30/2018 -NumberOfThreads 10
Acquiring access to your user log…
Downloading the log for 2018-04-01.
Downloading the log for 2018-04-03.
Downloading the log for 2018-04-06.
Downloading the log for 2018-04-09.
Downloading the log for 2018-04-10.
Downloaded the log for 2018-04-01. The log is available at .\Desktop\rmslog-2018-04-01.log.
Downloaded the log for 2018-04-03. The log is available at .\Desktop\rmslog-2018-04-03.log.
Downloaded the log for 2018-04-06. The log is available at .\Desktop\rmslog-2018-04-06.log.
Downloaded the log for 2018-04-09. The log is available at .\Desktop\rmslog-2018-04-09.log.
Downloaded the log for 2018-04-10. The log is available at .\Desktop\rmslog-2018-04-10.log.
Downloading the log for 2018-04-12.
Downloading the log for 2018-04-13.
Downloading the log for 2018-04-14.
Downloading the log for 2018-04-16.
Downloading the log for 2018-04-18.
Downloaded the log for 2018-04-12. The log is available at .\Desktop\rmslog-2018-04-12.log.
Downloaded the log for 2018-04-13. The log is available at .\Desktop\rmslog-2018-04-13.log.
Downloaded the log for 2018-04-14. The log is available at .\Desktop\rmslog-2018-04-14.log.
Downloaded the log for 2018-04-16. The log is available at .\Desktop\rmslog-2018-04-16.log.
Downloaded the log for 2018-04-18. The log is available at .\Desktop\rmslog-2018-04-18.log.
Downloading the log for 2018-04-24.
Downloaded the log for 2018-04-24. The log is available at .\Desktop\rmslog-2018-04-24.log.

Registros de uso para los clientes de Azure Information Protection y el cliente RMS

Cuando se aplican etiquetas y protección a documentos y correos electrónicos, las direcciones de correo electrónico y las direcciones IP pueden almacenarse en archivos de registro en el equipo del usuario en las siguientes ubicaciones:

  • Para el cliente de etiquetado unificado de Azure Information Protection: %localappdata%\Microsoft\MSIP\Logs

  • Para el cliente RMS: %localappdata%\Microsoft\MSIPC\msip\Logs

Además, el cliente de Azure Information Protection registra estos datos personales en el registro de eventos local de Windows Applications and Services Logs>Azure Information Protection.

Cuando el cliente de Azure Information Protection ejecuta el analizador, los datos personales se guardan en %localappdata%\Microsoft\MSIP\Scanner\Reports en el equipo con Windows Server que ejecuta el analizador.

Puede desactivar la información de registro para el cliente de Azure Information Protection y el analizador mediante el uso de las siguientes configuraciones:

Nota

Si está interesado en ver o eliminar datos personales, revise las instrucciones de Microsoft en el Administrador de cumplimiento de Microsoft Purview y en la sección RGPD del sitio de cumplimiento de Microsoft 365 Enterprise. Si quiere obtener información general sobre el RGPD, vea la sección sobre RGPD del Portal de confianza del servicio.

Registros de seguimiento de documentos

Relevante para: Protección de Rights Management Service solo con el portal de seguimiento heredado

Ejecute el cmdlet Get-AipServiceDocumentLog para recuperar información del sitio de seguimiento de documentos sobre un usuario específico. Para obtener información de seguimiento asociada a los registros de documentos, use el cmdlet Get-AipServiceTrackingLog .

Por ejemplo:

PS C:\Users> Get-AipServiceDocumentLog -UserEmail "admin@aip500.onmicrosoft.com"


ContentId             : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer                : admin@aip500.onmicrosoft.com
Owner                 : admin@aip500.onmicrosoft.com
ContentName           :
CreatedTime           : 3/6/2018 10:24:00 PM
Recipients            : {
                        PrimaryEmail: johndoe@contoso.com
                        DisplayName: JOHNDOE@CONTOSO.COM
                        UserType: External,
                        PrimaryEmail: alice@contoso0110.onmicrosoft.com
                        DisplayName: ALICE@CONTOSO0110.ONMICROSOFT.COM
                        UserType: External
                        }
TemplateId            :
PolicyExpires         :
EULDuration           :
SendRegistrationEmail : True
NotificationInfo      : Enabled: False
                        DeniedOnly: False
                        Culture:
                        TimeZoneId:
                        TimeZoneOffset: 0
                        TimeZoneDaylightName:
                        TimeZoneStandardName:

RevocationInfo        : Revoked: False
                        RevokedTime:
                        RevokedBy:


PS C:\Users> Get-AipServiceTrackingLog -UserEmail "admin@aip500.onmicrosoft.com"

ContentId            : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer               : admin@aip500.onmicrosoft.com
RequestTime          : 3/6/2018 10:45:57 PM
RequesterType        : External
RequesterEmail       : johndoe@contoso.com
RequesterDisplayName : johndoe@contoso.com
RequesterLocation    : IP: 167.220.1.54
                       Country: US
                       City: redmond
                       Position: 47.6812453974602,-122.120736471666

Rights               : {VIEW,OBJMODEL}
Successful           : False
IsHiddenInfo         : False

No hay ninguna búsqueda por ObjectID. Sin embargo, no está limitado por el parámetro -UserEmail y no es necesario que la dirección de correo electrónico que especifique forme parte de su inquilino. Si la dirección de correo electrónico proporcionada se almacena en cualquier lugar de los registros de seguimiento de documentos, la entrada del seguimiento de documentos se devuelve en la salida del cmdlet.

Protección y control del acceso a la información personal

Los datos personales que ve y especifica en Azure Portal solo están accesibles para los usuarios a los que se ha asignado uno de los siguientes roles de administrador de Azure Active Directory:

  • Administrador de Azure Information Protection

  • Administrador de cumplimiento

  • Administrador de datos de cumplimiento

  • Administrador de seguridad

  • Lector de seguridad

  • Administrador global

  • Lector global

Los datos personales que vea y especifiquen mediante el módulo AIPService (o el módulo anterior, AADRM) solo son accesibles para los usuarios a los que se les ha asignado el administrador de Azure Information Protection, el administrador de cumplimiento, el administrador de datos de cumplimiento o los roles de administrador global de Azure Active Directory, o el rol de administrador global para el servicio de protección.

Actualizar datos personales

Las etiquetas de confidencialidad y las directivas de etiquetas se configuran en el portal de cumplimiento Microsoft Purview. Para obtener más información, vea la documentación de Microsoft 365.

Para la configuración de protección, puede actualizar la misma información mediante cmdlets de PowerShell desde el módulo AIPService.

No puede actualizar las direcciones de correo electrónico para los superusuarios y administradores delegados. Para ello, lo que puede hacer es quitar la cuenta de usuario especificada y agregar la cuenta de usuario con la dirección de correo electrónico actualizada.

Superusuarios y administradores delegados para el servicio de protección

Cuando tenga que actualizar la dirección de correo electrónico de un superusuario:

  1. Use Remove-AipServiceSuperUser para quitar el usuario y la dirección de correo electrónico antigua.

  2. Use Add-AipServiceSuperUser para agregar el usuario y la nueva dirección de correo electrónico.

Cuando tenga que actualizar la dirección de correo electrónico de un administrador delegado:

  1. Use Remove-AipServiceRoleBasedAdministrator para quitar el usuario y la dirección de correo electrónico antigua.

  2. Use Add-AipServiceRoleBasedAdministrator para agregar el usuario y la nueva dirección de correo electrónico.

Eliminar datos personales

Las etiquetas de confidencialidad y las directivas de etiquetas se configuran en el portal de cumplimiento Microsoft Purview. Para obtener más información, vea la documentación de Microsoft 365.

Para la configuración de protección, puede eliminar la misma información mediante cmdlets de PowerShell del módulo AIPService.

Para eliminar direcciones de correo electrónico para superusuarios y administradores delegados, quite estos usuarios mediante el cmdlet Remove-AipServiceSuperUser y Remove-AipServiceRoleBasedAdministrator.

Para eliminar datos personales en registros de seguimiento de documentos, registros de administración o registros de uso para el servicio de protección, use la siguiente sección para generar una solicitud con Soporte técnico de Microsoft.

Para eliminar datos personales en los archivos de registro de cliente y los registros del analizador almacenados en equipos, use las herramientas estándar de Windows para eliminar los archivos o los datos personales dentro de los archivos.

Para eliminar datos personales con el Soporte técnico de Microsoft

Siga estos tres pasos para solicitar que Microsoft elimine los datos personales en los registros de seguimiento de documentos, los registros de administración o los registros de uso para el servicio de protección.

Paso 1: Iniciar la solicitud de eliminaciónPóngase en contacto con el Soporte técnico de Microsoft para abrir una incidencia de soporte técnico de Azure Information Protection en la que solicite la eliminación de datos de su inquilino. Necesita demostrar que es un administrador del inquilino de Azure Information Protection y entender que este proceso tarda varios días en confirmarse. Al enviar la solicitud, debe proporcionar información adicional, dependiendo de los datos que deban eliminarse.

  • Para eliminar el registro de administración, proporcione la fecha de finalización. Se eliminarán todos los registros de administración hasta esa fecha de finalización.
  • Para eliminar los registros de uso, proporcione la fecha de finalización. Se eliminarán todos los registros de uso hasta esa fecha de finalización.
  • Para eliminar los registros de seguimiento de documentos, proporcione la fecha de finalización y UserEmail. Toda la información de seguimiento de documentos relacionada con el UserEmail hasta esa fecha de finalización se eliminará. Se admite la expresión regular (formato Perl) para UserEmail.

La eliminación de los datos es una acción permanente. No hay manera de recuperar los datos una vez que se haya procesado una solicitud de eliminación. Se recomienda que los administradores exporten los datos necesarios antes de enviar una solicitud de eliminación.

Paso 2: Esperar la comprobación Microsoft comprobará que la solicitud para eliminar uno o más registros es legítima. Este proceso puede tardar hasta cinco días laborables.

Paso 3: Obtener la confirmación de la eliminación Los Servicios de soporte técnico de Microsoft (CSS) le enviarán un correo electrónico para confirmar que se han eliminado los datos.

Exportar datos personales

Cuando se usan los cmdlets de PowerShell AIPService o AADRM, los datos personales están disponibles para la búsqueda y exportación como un objeto de PowerShell. El objeto de PowerShell se puede convertir a JSON y guardarlo usando el cmdlet ConvertTo-Json.

Azure Information Protection sigue los términos de privacidad de Microsoft para la generación de perfiles o las actividades de marketing que se basan en datos personales.

Informes y auditoría

Solo los usuarios a los que se han asignado permisos de administrador pueden usar el módulo AIPService o ADDRM para buscar y exportar datos personales. Estas operaciones se registran en el registro de administración que se puede descargar.

Para las acciones de eliminación, la solicitud de soporte técnico actúa como trazo de auditoría y notificación de las acciones realizadas por Microsoft. Después de la eliminación, los datos eliminados no estarán disponibles para la búsqueda y exportación, y el administrador puede comprobarlo mediante los cmdlets Get del módulo AIPService.