Requisitos de Azure Information Protection.

  • Artículo

Nota:

¿Está buscando Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?

El complemento de Azure Information Protection se retira y reemplaza por etiquetas integradas en las aplicaciones y servicios de Microsoft 365. Obtenga más información sobre el estado de soporte técnico de otros componentes de Azure Information Protection.

El nuevo cliente de Microsoft Information Protection (sin el complemento) está actualmente en versión preliminar y está programado para disponibilidad general.

Antes de implementar Azure Information Protection, asegúrese de que el sistema cumple los siguientes requisitos previos:

Para implementar Azure Information Protection, debe tener instalado el cliente de AIP en cualquier máquina en la que quiera usar las características de AIP. Para más información, consulte Instalación del cliente de etiquetado unificado de Azure Information Protection para los usuarios y el lado cliente de Azure Information Protection.

Suscripción a Azure Information Protection

Debe tener un plan de Azure Information Protection para la clasificación, el etiquetado y la protección mediante el analizador o el cliente de Azure Information Protection. Para más información, vea:

Si su pregunta no se responde allí, póngase en contacto con el Administrador de cuentas de Microsoft o Soporte técnico de Microsoft.

Microsoft Entra ID

Para admitir la autenticación y autorización para Azure Information Protection, debe tener un identificador de Microsoft Entra. Para usar cuentas de usuario desde el directorio local (AD DS), también debe configurar la integración de directorios.

  • El inicio de sesión único (SSO) es compatible con Azure Information Protection para que los usuarios no se le pidan repetidamente sus credenciales. Si usa otra solución de proveedor para la federación, consulte con ese proveedor cómo configurarla para el Microsoft Entra ID. WS-Trust es un requisito común para que estas soluciones admitan el inicio de sesión único.

  • La autenticación multifactor (MFA) se admite con Azure Information Protection cuando tiene el software cliente necesario y ha configurado correctamente la infraestructura compatible con MFA.

El acceso condicional se admite en versión preliminar para documentos protegidos por Azure Information Protection. Para obtener más información, consulte: Veo que Azure Information Protection aparece como una aplicación en la nube disponible para el acceso condicional: ¿cómo funciona?

Se requieren requisitos previos adicionales para escenarios específicos, como cuando se usa la autenticación basada en certificados o multifactor, o cuando los valores de UPN no coinciden con las direcciones de correo electrónico del usuario.

Para más información, vea:

Dispositivos cliente

Los equipos de usuario o los dispositivos móviles deben ejecutarse en un sistema operativo que admita Azure Information Protection.

Sistemas operativos compatibles para dispositivos clientes

Los clientes de Azure Information Protection para Windows son compatibles con los siguientes sistemas operativos:

  • Windows 11

  • Windows 10 (x86, x64). La escritura a mano no se admite en la compilación de Windows 10 RS4 y versiones posteriores.

  • Windows Server 2019

  • Windows Server 2016

  • Windows Server 2012 R2 y Windows Server 2012

Para obtener más información sobre el soporte técnico en versiones anteriores de Windows, póngase en contacto con su cuenta Microsoft o representante de soporte técnico.

Nota:

Cuando los clientes de Azure Information Protection protegen los datos mediante el servicio Azure Rights Management, los mismos dispositivos que admiten el servicio Azure Rights Management pueden consumirlos.

ARM64

ARM64 actualmente no se admite.

Máquinas virtuales

Si está trabajando con máquinas virtuales, compruebe si el proveedor de software de la solución de escritorio virtual es necesario como configuraciones adicionales necesarias para ejecutar el etiquetado unificado de Azure Information Protection o el cliente de Azure Information Protection.

Por ejemplo, en el caso de las soluciones de Citrix, es posible que tenga que deshabilitar los enlaces de Citrix Application Programming Interface (API) para Office, el cliente de etiquetado unificado de Azure Information Protection o el cliente de Azure Information Protection.

Estas aplicaciones usan los siguientes archivos, respectivamente: winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe, msip.viewer.exe

Compatibilidad de servidor

Para cada una de las versiones de servidor enumeradas anteriormente, se admiten clientes de Azure Information Protection para Servicios de Escritorio remoto.

Si elimina perfiles de usuario al usar los clientes de Azure Information Protection con Servicios de Escritorio remoto, no elimine la carpeta %Appdata%\Microsoft\Protect .

Además, Server Core y Nano Server no se admiten.

Requisitos adicionales por cliente

Cada cliente de Azure Information Protection tiene requisitos adicionales. Para obtener detalles, consulte:

APLICACIONES

Los clientes de Azure Information Protection pueden etiquetar y proteger documentos y correos electrónicos mediante Microsoft Word, Excel, PowerPoint y Outlook desde cualquiera de las siguientes ediciones de Office:

  • Las aplicaciones de Office para las versiones que se enumeran en la tabla de versiones compatibles para Aplicaciones de Microsoft 365 por canal de actualización, desde Aplicaciones de Microsoft 365 para empresas o Microsoft 365 Empresa Premium, cuando se asigna al usuario una licencia para Azure Rights Management (también conocido como Azure Information Protection para Office 365)

  • Aplicaciones de Microsoft 365 para empresas

  • Office Professional Plus 2021

  • Office Professional Plus 2019

  • Office Profesional Plus 2016: tenga en cuenta que, a medida que Office 2016 está fuera de soporte estándar, la compatibilidad con AIP se realizará según el mejor esfuerzo y no se realizará ninguna corrección para los problemas detectados en la versión 2016. consulte Microsoft Office 2016

Otras ediciones de Office no pueden proteger documentos y correos electrónicos mediante un servicio Rights Management. En estas ediciones, Azure Information Protection solo se admite para la clasificación y las etiquetas que aplican protección no se muestran para los usuarios.

Las etiquetas se muestran en una barra que se muestra en la parte superior del documento de Office, accesible desde el botón Confidencialidad del cliente de etiquetado unificado.

  • Los archivos PDF que son la versión 1.4 y versiones anteriores se actualizarán automáticamente a la versión 1.5 cuando el cliente de AIP etiquete el archivo.

Para obtener más información, consulte Aplicaciones compatibles con la protección de datos de Azure Rights Management.

Características y funcionalidades de Office no admitidas

  • Los clientes de Azure Information Protection para Windows no admiten varias versiones de Office en el mismo equipo ni cambian de cuentas de usuario en Office.

  • La característica de combinación de correspondencia de Office no se admite con ninguna característica de Azure Information Protection.

Firewalls e infraestructura de red

Si tiene firewalls o dispositivos de red de intervención similares que están configurados para permitir conexiones específicas, los requisitos de conectividad de red se enumeran en este artículo de Office: Microsoft 365 Common y Office Online.

Azure Information Protection tiene los siguientes requisitos adicionales:

  • Cliente de etiquetado unificado. Para descargar etiquetas y directivas de etiquetas, permita la siguiente dirección URL a través de HTTPS: *.protection.outlook.com

  • Proxies web Si utiliza un proxy web que requiere autenticación, debe configurar el proxy para que utilice la autenticación integrada de Windows con las credenciales de inicio de sesión de Active Directory del usuario.

    Para admitir archivos Proxy.pac al usar un proxy para adquirir un token, agregue la siguiente nueva clave del registro:

    • Ruta de acceso: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
    • Clave: UseDefaultCredentialsInProxy
    • Tipo: DWORD
    • Valor: 1

  • Conexiones de cliente a servicio TLS. No finalice ninguna conexión de cliente a servicio TLS, por ejemplo, para realizar la inspección de nivel de paquete, en la dirección URL de aadrm.com . Si lo hace, interrumpirá la asignación de certificados que los clientes de RMS utilizan con las entidades de certificación administradas por Microsoft para ayudar a proteger su comunicación con el servicio Azure Rights Management.

    Para determinar si la conexión de cliente finaliza antes de que llegue al servicio Azure Rights Management, use los siguientes comandos de PowerShell:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
$request.GetResponse()
$request.ServicePoint.Certificate.Issuer

    El resultado debería mostrar que la CA emisora es de una CA de Microsoft, por ejemplo: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.

    Si ve un nombre de entidad de certificación emisora que no es de Microsoft, es probable que la conexión segura de cliente a servicio finalice y necesite reconfiguración en el firewall.

  • TLS versión 1.2 o posterior (solo cliente de etiquetado unificado). El cliente de etiquetado unificado requiere una versión TLS de 1.2 o posterior para garantizar el uso de protocolos criptográficos seguros y alinearse con las directrices de seguridad de Microsoft.

  • Servicio de configuración mejorado (ECS) de Microsoft 365. AIP debe tener acceso a la dirección URL de config.edge.skype.com, que es un servicio de configuración mejorada (ECS) de Microsoft 365.

    ECS proporciona a Microsoft la capacidad de volver a configurar las instalaciones de AIP sin tener que volver a implementar AIP. Se utiliza para controlar la implementación gradual de características o actualizaciones mientras se supervisa el impacto de la implementación a partir de los datos de diagnóstico que se recopilan.

    ECS también sirve para reducir los problemas de seguridad o de rendimiento con una característica o una actualización. ECS también admite cambios de configuración relacionados con los datos de diagnóstico, para ayudar a garantizar que se están recopilando los eventos adecuados.

    Limitar la dirección URL de config.edge.skype.com puede afectar a la capacidad de Microsoft para mitigar los errores y puede afectar a la capacidad de probar las características en versión preliminar.

    Para más información, consulte Servicios esenciales para Office: Implementación de Office.

  • Auditar la conectividad de red de la dirección URL de registro. AIP debe poder acceder a las siguientes direcciones URL para admitir los registros de auditoría de AIP:

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com (Solo datos de dispositivos Android)

    Para más información, consulte Requisitos previos para la elaboración de informes AIP.

Coexistencia de AD RMS con Azure RMS

El uso de AD RMS y Azure RMS en paralelo, en la misma organización, para proteger el contenido por el mismo usuario de la misma organización, solo se admite en la protección de AD RMS para HYOK (mantener su propia clave) con Azure Information Protection.

Este escenario no es compatible durante la migración. Las rutas de migración admitidas incluyen:

Sugerencia

Si implementa Azure Information Protection y decide que ya no desea usar este servicio en la nube, consulte Retirada y desactivación de Azure Information Protection.

En otros escenarios que no son de migración, donde ambos servicios están activos en la misma organización, ambos servicios deben configurarse para que solo uno de ellos permita a cualquier usuario determinado proteger el contenido. Configure estos escenarios como se indica a continuación:

  • Uso de redirecciones para una migración de AD RMS a Azure RMS

  • Si ambos servicios deben estar activos para distintos usuarios al mismo tiempo, use configuraciones del lado del servicio para aplicar la exclusividad. Use los controles de incorporación de Azure RMS en el servicio en la nube y una ACL en la dirección URL de publicación para establecer el modo de solo lectura para AD RMS.

Etiquetas de servicio

Si usa un punto de conexión de Azure y un NSG, asegúrese de permitir el acceso a todos los puertos para las siguientes etiquetas de servicio:

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

Además, en este caso, el servicio Azure Information Protection también depende de las siguientes direcciones IP y puerto:

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1ec:4::198
  • 2620:1ec:a92::198
  • 13.107.6.181
  • 13.107.9.181
  • Puerto 443 para el tráfico HTTPS

Asegúrese de crear reglas que permitan el acceso saliente a estas direcciones IP específicas y a través de este puerto.

Servidores locales admitidos para la protección de datos de Azure Rights Management

Los siguientes servidores locales se admiten con Azure Information Protection cuando se usa el conector de Microsoft Rights Management.

Este conector actúa como una interfaz de comunicaciones y retransmite entre servidores locales y el servicio Azure Rights Management, que Azure Information Protection usa para proteger documentos y correos electrónicos de Office.

Para usar este conector, debe configurar la sincronización de directorios entre los bosques de Active Directory y el identificador de Microsoft Entra.

Los servidores compatibles son:

Tipo de servidor Versiones compatibles
Exchange Server - Exchange Server 2019
- Exchange Server 2016
- Exchange Server 2013
Office SharePoint Server - Office SharePoint Server 2019
- Office SharePoint Server 2016
- Office SharePoint Server 2013
Servidores de archivos que ejecutan Windows Server y usan Infraestructura de clasificación de archivos (FCI) - Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012

Para más información, consulte Implementación del conector de Microsoft Rights Management.

Sistemas operativos compatibles con Azure Rights Management

Los siguientes sistemas operativos admiten el servicio Azure Rights Management, que proporciona protección de datos para AIP:

SISTEMA OPERATIVO Versiones compatibles
Equipos Windows - Windows 10 (x86, x64)
- Windows 11 (x86, x64)
macOS Versión mínima de macOS 10.8 (Mountain Lion)
Teléfonos y tabletas Android Versión mínima de Android 6.0
iPhone e iPad Versión mínima de iOS 11.0
Teléfonos y tabletas Windows Windows 10 Mobile

Para obtener más información, consulte Aplicaciones compatibles con la protección de datos de Azure Rights Management.

Pasos siguientes

Una vez que haya revisado todos los requisitos de AIP y haya confirmado que el sistema cumple, continúe con Preparación de usuarios y grupos para Azure Information Protection.