Requisitos de Azure Information Protection

Nota

¿Está buscando Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?

El cliente de etiquetado unificado de Azure Information Protection está ahora en modo de mantenimiento. Se recomienda usar etiquetas integradas en las aplicaciones y servicios de Office 365. Aprende más

Antes de implementar Azure Information Protection, asegúrese de que el sistema cumple los requisitos previos siguientes:

Para implementar Azure Information Protection, es necesario tener el cliente de AIP instalado en la máquina en la que se quieran usar las características de AIP. Para obtener más información, vea Instalación del cliente de etiquetado unificado de Azure Information Protection para usuarios y El lado cliente de Azure Information Protection.

Suscripción a Azure Information Protection

Debe tener un plan de Azure Information Protection para la clasificación, el etiquetado y la protección mediante el escáner o el cliente de Azure Information Protection. Para más información, consulte:

Si no encuentra la respuesta a su pregunta, póngase en contacto con el administrador de su cuenta de Microsoft o el servicio de Soporte técnico de Microsoft.

Azure Active Directory

Para admitir la autenticación y autorización para Azure Information Protection, debe tener una instancia de Azure Active Directory (AD). Para usar las cuentas de usuario del directorio local (AD DS), también debe configurar la integración de directorios.

  • Como Azure Information Protection admite el inicio de sesión único (SSO) , ya no se solicita repetidamente a los usuarios sus credenciales. Si utiliza otra solución de proveedor para la federación, consulte con ese proveedor cómo configurarlo para Azure AD. WS-Trust es un requisito común para que estas soluciones admitan el inicio de sesión único.

  • Multi-Factor Authentication (MFA) es compatible con Azure Information Protection si tiene el software cliente necesario y la infraestructura de MFA configurada correctamente.

El acceso condicional es compatible con la vista previa de documentos protegidos con Azure Information Protection. Para obtener más información, vea: Veo que Azure Information Protection aparece como una aplicación en la nube disponible para el acceso condicional. ¿Cómo funciona?

Se requieren requisitos previos adicionales para escenarios específicos, como cuando se usa la autenticación multifactor o basada en certificados, o cuando los valores UPN no coinciden con las direcciones de correo electrónico del usuario.

Para más información, consulte:

Dispositivos cliente

Los equipos de usuario o los dispositivos móviles deben ejecutar un sistema operativo compatible con Azure Information Protection.

Sistemas operativos admitidos con dispositivos cliente

Los clientes de Azure Information Protection para Windows admitidos son los sistemas operativos siguientes:

  • Windows 11

  • Windows 10 (x86, x64). No se admite la escritura a mano en la compilación de Windows 10 RS4 y posteriores.

  • Windows 8.1 (x86, x64)

  • Windows 8 (x86, x64)

  • Windows Server 2019

  • Windows Server 2016

  • Windows Server 2012 R2 y Windows Server 2012

Para más información sobre la compatibilidad con versiones anteriores de Windows, póngase en contacto con su representante de soporte técnico o de cuenta de Microsoft.

Nota

Cuando el cliente de Azure Information Protection protege los datos mediante el servicio Azure Rights Management, pueden consumirlos los mismos dispositivos que admiten el servicio Azure Rights Management.

ARM64

ARM64 no se admite actualmente.

Máquinas virtuales

Si está trabajando con máquinas virtuales, compruebe con el proveedor de software de la solución de escritorio virtual si hay alguna configuración adicional necesaria para ejecutar el etiquetado unificado o el cliente de Azure Information Protection.

Por ejemplo, en el caso de las soluciones de Citrix, es posible que tenga que deshabilitar los enlaces de la interfaz de programación de aplicaciones (API) de Citrix para Office, el cliente de etiquetado unificado de Azure Information Protection o el cliente de Azure Information Protection.

Estas aplicaciones usan los siguientes archivos, respectivamente: winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe, msip.viewer.exe

Compatibilidad de servidor

Para cada una de las versiones de servidor mencionadas anteriormente, se admiten clientes de Azure Information Protection para los Servicios de Escritorio remoto.

Si elimina perfiles de usuario al utilizar los clientes de Azure Information Protection con los Servicios de Escritorio remoto, no elimine la carpeta %Appdata%\Microsoft\Protect.

Además, no se admiten Server Core ni Nano Server.

Requisitos adicionales por cliente

Cada cliente de Azure Information Protection tiene requisitos adicionales. Para obtener detalles, consulte:

APLICACIONES

Los clientes de Azure Information Protection pueden etiquetar y proteger documentos y correos electrónicos mediante las aplicaciones de Microsoft Word, Excel, PowerPoint y Outlook de cualquiera de las siguientes ediciones de Office:

  • Aplicaciones de Office (versiones publicadas en la tabla de las versiones admitidas de las aplicaciones de Microsoft 365 por canal de actualización) de entre las aplicaciones de Microsoft 365 Empresa o Microsoft 365 Empresa Premium, cuando se asigna al usuario una licencia de Azure Rights Management (también conocido como Azure Information Protection para Office 365)

  • Aplicaciones de Microsoft 365 para empresas

  • Office Professional Plus 2021

  • Office Professional Plus 2019

  • Office Professional Plus 2016

  • Office Professional Plus 2013 con Service Pack 1

Las demás ediciones de Office no pueden proteger los documentos y correos electrónicos mediante un servicio de Rights Management. En el caso de estas ediciones, Azure Information Protection solo se admite para la clasificación y las etiquetas que aplican protección no se muestran en los usuario.

Las etiquetas se muestran en una barra que se muestra en la parte superior del documento de Office, accesible desde el botón Confidencialidad del cliente de etiquetado unificado.

Para más información, consulte Aplicaciones compatibles con la protección de datos de Azure Rights Management.

Características y funcionalidades de Office no admitidas

  • Los clientes de Azure Information Protection para Windows no admiten varias versiones de Office en el mismo equipo, ni tampoco se pueden cambiar las cuentas de usuario de Office.

  • La característica de combinación de correspondencia de Office no se admite con ninguna característica de Azure Information Protection.

Firewalls e infraestructura de red

Si tiene firewalls o dispositivos de red de intervención similares que están configurados para permitir conexiones específicas, los requisitos de conectividad de red se enumeran en este artículo de Office: Microsoft 365 Common y Office Online.

Azure Information Protection tiene los siguientes requisitos adicionales:

  • Cliente de etiquetado unificado Para descargar etiquetas y directivas de etiqueta, permita la siguiente dirección URL mediante HTTPS: * .protection.outlook.com.

  • Proxies web. Si usa un proxy web que precisa de autenticación, debe configurarlo para usar la autenticación integrada de Windows con las credenciales de inicio de sesión de Active Directory del usuario.

    Para admitir Proxy.pac cuando se usa un proxy para adquirir un token, agregue la siguiente nueva clave del Registro:

    • Ruta de acceso: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
    • Clave: UseDefaultCredentialsInProxy
    • Tipo: DWORD
    • Valor: 1
  • Conexiones de cliente a servicio de TLS. No termine ninguna conexión TLS de cliente a servicio (por ejemplo, para realizar una inspección de los paquetes) a la dirección URL aadrm.com. Si lo hace, interrumpirá la asignación de certificados que los clientes de RMS utilizan con las entidades de certificación administradas por Microsoft para ayudar a proteger su comunicación con el servicio Azure Rights Management.

    Para determinar si la conexión de cliente se termina antes de alcanzar el servicio Azure Rights Management, use los siguientes comandos de PowerShell:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
    $request.GetResponse()
    $request.ServicePoint.Certificate.Issuer
    

    El resultado debería mostrar que la CA emisora es de una entidad de certificación de Microsoft, por ejemplo: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.

    Si ve un nombre de CA emisora que no es de Microsoft, es muy probable que la conexión segura de cliente a servicio finalice y que tenga que volver a configurarla en el firewall.

  • TLS versión 1.2 o posterior (solo cliente de etiquetado unificado). El cliente de etiquetado unificado requiere la versión 1.2 de TLS o superior para garantizar el uso de protocolos seguros criptográficamente y se alinea con las directrices de seguridad de Microsoft.

  • Servicio de configuración mejorada (ECS) de Microsoft 365. AIP debe tener acceso a la dirección URL config.edge.skype.com, que es un servicio de configuración mejorada (ECS) de Microsoft 365.

    ECS proporciona a Microsoft la capacidad de volver a configurar las instalaciones de AIP sin necesidad de que usted tenga que volver a implementar AIP. Se usa para controlar la implementación gradual de características o actualizaciones, mientras que el impacto de la implementación se supervisa a partir de los datos de diagnóstico que se recopilan.

    ECS también se usa para mitigar los problemas de seguridad o rendimiento con una característica o actualización. ECS también admite cambios de configuración relacionados con datos de diagnóstico, para ayudar a garantizar que se recopilan los eventos adecuados.

    Limitar la dirección URL config.edge.skype.com puede afectar a la capacidad de Microsoft para mitigar los errores, así como a la capacidad de los usuarios para probar características en versión preliminar.

    Para obtener más información, vea Servicios esenciales para Office - Implementar Office.

  • Conectividad de red de URL de registro de auditoría. AIP debe poder acceder a las siguientes URL para admitir los registros de auditoría de AIP:

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com (solo datos de dispositivos Android)

    Para obtener más información, consulte Requisitos previos de los informes.

Coexistencia de AD RMS y Azure RMS

El uso de AD RMS y Azure RMS en paralelo, en la misma organización, para proteger el contenido por parte del mismo usuario de la misma organización, solo se admite en AD RMS para protección de HYOK (Hold Your Own Key) con Azure Information Protection.

Este escenario no se admite durante la migración. Las rutas de acceso de migración admitidas incluyen:

Sugerencia

Si implementa Azure Information Protection y después decide que ya no quiere usar este servicio en la nube, vea Retirada y desactivación de Azure Information Protection.

En otros escenarios que no son de migración, donde ambos servicios están activos en la misma organización, ambos servicios se deben configurar para que solo uno de ellos permita que un usuario determinado proteja el contenido. Configure estos escenarios de la manera siguiente:

  • Utilice el redireccionamientos para una migración de AD RMS a Azure RMS.

  • Si ambos servicios deben estar activos para distintos usuarios al mismo tiempo, use configuraciones de servicio para exigir la exclusividad. Utilice los controles de incorporación de Azure RMS en el servicio en la nube y una ACL en la dirección URL de publicación para establecer el modo de solo lectura para AD RMS.

Etiquetas de servicio

Si usa un punto de conexión de Azure y un NSG, asegúrese de permitir el acceso a todos los puertos para las siguientes etiquetas de servicio:

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

Además, en este caso, el servicio Azure Information Protection también depende de las siguientes direcciones IP y número de puerto:

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1ec:4::198
  • 2620:1ec:a92::198
  • 13.107.6.181
  • 13.107.9.181
  • Puerto 443, para el tráfico HTTPS

Asegúrese de crear reglas que permitan el acceso de salida a estas direcciones IP específicas y a través de este puerto.

Servidores locales permitidos para protección de datos de Azure Rights Management

Los siguientes servidores locales se admiten en Azure Information Protection al usar el conector de Microsoft Rights Management.

Este conector actúa como una interfaz de comunicaciones y una retransmisión entre los servidores locales y el servicio Azure Rights Management usado por Azure Information Protection para proteger los documentos y los correos electrónicos de Office.

Para usar este conector, necesita configurar la sincronización de directorios entre los bosques de Active Directory y Azure Active Directory.

Los servidores admitidos incluyen:

Tipo de servidor Versiones compatibles
Exchange Server - Exchange Server 2019
- Exchange Server 2016
- Exchange Server 2013
Office SharePoint Server - Office SharePoint Server 2019
- Office SharePoint Server 2016
- Office SharePoint Server 2013
Servidores de archivos que ejecutan Windows Server y usan Infraestructura de clasificación de archivos (FCI) - Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012

Para más información, consulte Implementación del conector de Microsoft Rights Management.

Sistemas operativos admitidos con Azure Rights Management

Los siguientes sistemas operativos se admiten con el servicio Azure Rights Management, que ofrece protección de datos para AIP:

SO Versiones compatibles
Equipos Windows - Windows 8 (x86, x64):
Windows 8.1 (x86, x64):
Windows 10 (x86, x64)
macOS versión mínima de macOS 10.8 (Mountain Lion)
Teléfonos y tabletas Android Versión mínima Android 6.0.
iPhone e iPad Versión mínima de iOS 11.0
Teléfonos y tabletas de Windows Windows 10 Mobile

Para más información, consulte Aplicaciones compatibles con la protección de datos de Azure Rights Management.

Pasos siguientes

Una vez que haya revisado todos los requisitos de AIP y confirmado que el sistema es compatible, continúe con la preparación de usuarios y grupos para Azure Information Protection.