Tutorial: Migración del cliente clásico de Azure Information Protection (AIP) a la solución de etiquetado unificado

Nota

¿Está buscando Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?

El complemento de Azure Information Protection para Office está ahora en modo de mantenimiento y se recomienda usar etiquetas integradas en las aplicaciones y servicios de Office 365. Obtenga más información sobre el estado de soporte técnico de otros componentes de Azure Information Protection.

Para proporcionar una experiencia de cliente unificada y simplificada, el cliente clásico de Azure Information Protection y la administración de etiquetas en Azure Portal están en desuso a partir del 31 de marzo de 2021. Aunque el cliente clásico sigue funcionando como está configurado, no se proporcionará ningún soporte adicional, y las versiones de mantenimiento ya no se publicarán para el cliente clásico.

Se recomienda migrar a etiquetado unificado y actualizar al cliente de este etiquetado. Más información en nuestra actualización reciente sobre el fin de uso.

En este tutorial se describe cómo migrar la implementación de Azure Information Protection de su organización desde el cliente clásico y la administración de directivas de etiquetas/etiquetas de Azure Portal en la solución de etiquetado unificado y las etiquetas de confidencialidad de Microsoft 365.

Tiempo necesario: el tiempo necesario para completar una migración depende de la complejidad de las directivas y de las características de AIP que use. Puede continuar trabajando con el cliente clásico mientras realiza la migración en segundo plano.

En este tutorial se proporciona una descripción general de cada paso y, después, se hace referencia a la sección correspondiente en otra parte de la documentación de Microsoft para obtener más detalles.

En este tutorial, hará lo siguiente:

  • Obtener más información sobre la planificación de la migración.
  • Migrar las etiquetas a la plataforma de etiquetado unificado.
  • Aprender a ajustar la configuración avanzada en el portal de cumplimiento de Microsoft Purview
  • Copiar las directivas a la plataforma de etiquetado unificado.
  • Implementar el cliente de etiquetado unificado.

¿Por qué migrar a la solución de etiquetado unificado?

Además de la desactivación del cliente clásico, migrar a la solución de etiquetado unificado le permite proteger eficazmente los datos confidenciales de todo su patrimonio digital. Una vez que complete la migración, utilice Microsoft Purview Information Protection en servicios en la nube de Microsoft 365, en el entorno local, en aplicaciones SaaS de terceros, etc.

MIP admite servicios de etiquetado integrados para muchas características básicas de protección de la información, lo que le permite reservar el uso del cliente solo para características adicionales no admitidas por el etiquetado integrado.

  • Reduzca los costos de mantenimiento, mediante la implementación y el mantenimiento de menos software adicional.
  • Aumente el rendimiento de Office, sin necesidad de complementos adicionales.
  • Optimice la administración de directivas de protección y etiquetado en AIP, Office 365 y Windows mediante el portal de cumplimiento de Microsoft Purview.

Para obtener más información, vea el blog Descripción de la migración al etiquetado unificado.

Planificación de la migración

Aunque la mayoría de las funcionalidades disponibles para el cliente de AIP clásico también lo están para el cliente de etiquetado unificado, algunas características no están totalmente disponibles y otras se configuran de forma diferente para el etiquetado unificado.

Revise los artículos siguientes para entender cómo las características de Information Protection que usa pueden diferir cuando se utiliza el cliente de etiquetado unificado:

Sugerencia

Si hay diferencias documentadas entre los clientes que afectan al comportamiento de los usuarios finales, se recomienda comunicarles estos cambios de forma eficaz antes de implementar el cliente de etiquetado unificado y publicar la nueva directiva.

Una vez que haya planificado la migración y comprendido los cambios que se producirán, continúe con Migración de etiquetas a la plataforma de etiquetado unificado.

Migración de etiquetas a la plataforma de etiquetado unificado

Una vez que haya planificado la migración y sepa cómo va a administrar las diferencias en los clientes, está listo para activar el etiquetado unificado y migrar las etiquetas.

Mientras realiza la migración, puede seguir usando el cliente clásico de AIP y las directivas en el área de Azure Information Protection de Azure Portal. Los dos clientes pueden funcionar en paralelo sin ninguna configuración adicional.

  1. Inicie sesión en Azure Portal como administrador con uno de los roles siguientes:

    • Administrador de cumplimiento
    • Administrador de datos de cumplimiento
    • Administrador de seguridad
    • Administrador global
  2. En el área de Azure Information Protection, en Administrar en la parte izquierda, seleccione Etiquetado unificado.

    En la parte superior de la página, seleccione Activar para activar el etiquetado unificado.

    Las etiquetas se copian desde Azure Information Protection a la plataforma de etiquetado unificado y ahora se almacenan en ambos sistemas.

    Abra el portal de cumplimiento de Microsoft Purview para comparar las etiquetas que se muestran ahí con las del área de Azure Information Protection. Las dos listas deben ser idénticas. Por ejemplo, al comparar con el portal de cumplimiento de Microsoft Purview:

    Comparación de las etiquetas migradas entre Azure Portal y el &Centro de cumplimiento de seguridad

    Nota

    Si es necesario, siga usando las etiquetas en los dos sistemas hasta que finalice la migración. Para obtener más información, vea Sincronización de modificaciones de etiquetado.

Continúe con Copia de directivas a la plataforma de etiquetado unificado.

Sincronización de modificaciones de etiquetado

Una vez que migre las etiquetas al portal de cumplimiento de Microsoft Purview, las modificaciones que siga haciendo en las etiquetas migradas en Azure Portal se sincronizarán automáticamente con la misma etiqueta en el portal de cumplimiento de Microsoft Purview.

Sin embargo, las modificaciones de las etiquetas migradas en el portal de cumplimiento de Microsoft Purview no se vuelven a sincronizar con Azure Portal. Si hace alguna modificación en el portal de cumplimiento de Microsoft Purview y las necesita actualizadas en Azure Portal, vuelva al portal para publicar la actualización.

Para publicar una etiqueta actualizada en Azure Portal:

  1. En el área de Azure Information Protection, en Administrar en la parte izquierda, seleccione Etiquetado unificado.

  2. Seleccione Publicar.

Nota

Este paso solo es necesario si ha realizado modificaciones en las etiquetas migradas en la plataforma de etiquetado unificado y necesita que las modificaciones se sincronicen de nuevo con Azure Portal.

Migración de etiquetas a través de PowerShell

También puede usar PowerShell para migrar las etiquetas existentes, por ejemplo, para un entorno GCC High.

Use el cmdlet New-Label para migrar las etiquetas de confidencialidad existentes.

Por ejemplo, si la etiqueta de confidencialidad tiene cifrado, podría usar el cmdlet New-Label como se indica a continuación:

New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"

Para obtener más información sobre cómo trabajar en entornos GCC, GCC-High y DoD, vea Descripción del servicio Azure Information Protection Premium para Administración Pública.

Copia de directivas a la plataforma de etiquetado unificado

Copie las directivas que haya almacenado en Azure Portal y que quiera que estén disponibles tal como están en la plataforma de etiquetado unificado.

Esta característica actualmente está en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Nota

La copia de directivas tiene ciertas limitaciones. También puede empezar desde cero y crear las directivas manualmente en el portal de cumplimiento de Microsoft Purview. Para obtener más información, vea la documentación de Microsoft 365.

Para copiar las directivas:

  1. Tenga en cuenta los siguientes elementos y confirme que quiere copiar las directivas en este momento:

    Consideración Description
    La copia de directivas copia todas las directivas La copia de directivas no admite la copia de directivas concretas: son todas o ninguna.
    La copia publica las directivas de forma automática Al copiar las directivas en el cliente de etiquetado unificado, se publican automáticamente en todos los clientes compatibles con el etiquetado unificado.

    Importante: No copie las directivas si no quiere publicarlas.
    La copia sobrescribe las directivas existentes del mismo nombre Si ya existe una directiva con el mismo nombre en el portal de cumplimiento de Microsoft Purview, al copiar las directivas se sobrescribirá cualquier configuración definida en esa directiva.

    A todas las directivas copiadas desde Azure Portal se les asignan nombres mediante la sintaxis siguiente: AIP_<policy name>.
    Algunos valores de configuración de cliente no se copian Algunos valores de configuración de cliente no se copian en la plataforma de etiquetado unificado y se deben configurar manualmente después de la migración.

    Para obtener más información, vea Configuración de opciones avanzadas de etiquetado
  2. Inicie sesión en Azure Portal como administrador con uno de los roles siguientes:

    • Administrador de cumplimiento
    • Administrador de datos de cumplimiento
    • Administrador de seguridad
    • Administrador global
  3. En el área de Azure Information Protection, en Administrar en la parte izquierda, seleccione Etiquetado unificado.

  4. Seleccione Copiar directivas (versión preliminar). Todas las directivas almacenadas en Azure Portal se copian en el portal de cumplimiento de Microsoft Purview.

    Si ya hay una directiva con el mismo nombre en el portal de cumplimiento de Microsoft Purview, se sobrescribirá con la configuración proveniente de Azure Portal.

    Importante

    Si actualmente usa Microsoft Defender for Cloud Apps y etiquetas de Azure Information Protection, compruebe haber publicado al menos una directiva con un conjunto mínimo de etiquetas en el portal de cumplimiento de Microsoft Purview, incluso si la directiva tiene como ámbito un usuario único.

    Esta directiva es necesaria para que Microsoft Defender for Cloud Apps identifique todas las etiquetas en el portal de cumplimiento de Microsoft Purview y las muestre en el portal de Microsoft Defender for Cloud Apps.

Ahora que ha migrado las etiquetas y las directivas, continúe con Configuración de opciones avanzadas de etiquetado para encargarse de las configuraciones avanzadas que no se hayan migrado.

Configuración de opciones avanzadas de etiquetado

Como se ha explicado durante la fase de planificación, algunos valores avanzados de etiquetado no se migran automáticamente y hay que volverlos a configurar para la plataforma de etiquetado unificado.

Para más información, consulte:

Configuración de opciones avanzadas de etiquetado en PowerShell

  1. Conéctese al módulo PowerShell del Centro de seguridad y cumplimiento. Para obtener más información, consulte la documentación de PowerShell del Centro de seguridad y cumplimiento.

  2. Para definir una configuración de etiqueta avanzada, use el cmdlet Set-Label y especifique el parámetro AdvancedSettings, la etiqueta a la que quiere aplicar la configuración, así como pares clave-valor para definir la configuración.

    Use la sintaxis siguiente:

    Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{<Key>="<value1>,<value2>"}
    

    Donde:

    • <LabelGUIDorName> identifica la etiqueta mediante el nombre o el GUID.
    • <Key> es la clave o el nombre de la configuración avanzada que quiere definir.
    • <Value> es el valor de configuración que quiere definir. Incluya el valor entre comillas y separe varios valores mediante comas. No se admiten los espacios en blanco.
  3. Para empezar, configure las siguientes opciones avanzadas:

    Para obtener más información sobre las configuraciones avanzadas disponibles, vea Guía de administración: Configuraciones personalizadas del cliente de etiquetado unificado de Azure Information Protection.

Nota

Para aprovechar la configuración que ha definido para la plataforma de etiquetado unificado, los usuarios finales deben tener el cliente de etiquetado unificado instalado en sus equipos.

Esta configuración avanzada no está disponible para los usuarios que solo tienen el etiquetado integrado proporcionado por Office 365.

Definición de las condiciones de las etiquetas en el portal de cumplimiento de Microsoft Purview

Las condiciones de etiquetado unificado proporcionan más flexibilidad y una mayor precisión que sus homólogas creadas en Azure Portal.

Para aprovechar las características de condiciones del etiquetado unificado, cree manualmente sus condiciones de etiquetado en el portal de cumplimiento de Microsoft Purview.

Para obtener más información, vea Qué pueden hacer las etiquetas de confidencialidad en la documentación de Microsoft 365.

Sugerencia

Si personalizó algún tipo de información confidencial para su uso con Office 365 DLP o Microsoft Defender for Cloud Apps, aplíquelo tal cual al etiquetado unificado. Para obtener más información, vea la documentación de Microsoft 365.

Implementación de un cliente de etiquetado unificado

Implemente un cliente que admita el etiquetado unificado en los equipos de los usuarios para asegurarse de que podrán usar las etiquetas y directivas de etiquetado unificado.

Los usuarios deben tener un cliente compatible que se pueda conectar al portal de cumplimiento de Microsoft Purview y extraer la directiva de etiquetado unificado.

Para más información, consulte:

Plataformas que no son de Windows

Para los usuarios de plataformas que no son de Windows, las funcionalidades de etiquetado unificado se integran directamente en los clientes de Office y pueden usar de forma inmediata las etiquetas que haya publicado.

Entre los clientes de Office con funciones de etiquetado unificado integradas se incluyen los siguientes:

  • Clientes de Office para macOS
  • Office para la web (versión preliminar)
  • Outlook Web App
  • Outlook para móviles

Para obtener más información sobre el etiquetado unificado en estas plataformas, vea Aplicar etiquetas de confidencialidad a los archivos y el correo electrónico en Office en el sitio de Soporte técnico de Microsoft.

plataformas de Windows

En el caso de los equipos Windows con Aplicaciones de Microsoft 365 para empresas, use la compatibilidad de etiquetado integrada proporcionada en las versiones 1910 y posteriores de Office, o bien instale el cliente de etiquetado unificado de Azure Information Protection para extender la funcionalidad de AIP al Explorador de archivos o PowerShell.

Para más información, consulte:

El cliente de etiquetado unificado de Azure Information Protection se puede descargar del Centro de descarga de Microsoft.

Asegúrese de usar el archivo AzInfoProtection_UL para implementar el cliente. Si en la actualidad tiene el cliente clásico instalado en el equipo, la instalación del cliente de etiquetado unificado realiza una actualización local.

Nota

Al determinar cuándo usar el etiquetado integrado y cuándo el cliente de etiquetado unificado, tenga en cuenta la funcionalidad de AIP que la organización necesita en la actualidad.

¿Qué cambios se han realizado para los usuarios finales del cliente clásico?

La diferencia principal y más evidente para los usuarios finales que han usado el cliente clásico de Azure Information Protection es que el botón Proteger de las aplicaciones de Office se ha reemplazado por el botón Confidencialidad.

Una vez que aproveche las funcionalidades adicionales admitidas por las etiquetas de confidencialidad y el etiquetado unificado, los usuarios finales también verán esos cambios en las aplicaciones de Office.

Por ejemplo:

  • Cliente clásico de AIP para Windows

    Botón Proteger en el cliente clásico

  • Cliente de etiquetado unificado de API en Windows

    Botón de ejemplo para el cliente de etiquetado unificado en Microsoft Office

Sugerencia

Si ha publicado las etiquetas y los clientes que tienen compatibilidad integrada no muestran el botón Confidencialidad, revise la guía de solución de problemas correspondiente según sea necesario.

Actualización del analizador desde el cliente clásico

Si actualmente usa el analizador de Azure Information Protection desde el cliente clásico de Azure Information Protection, puede actualizarlo para usar tipos de información confidencial y etiquetas de confidencialidad que se publican desde el portal de cumplimiento de Microsoft Purview.

La manera de actualizar el analizador depende de la versión del cliente clásico que esté utilizando actualmente:

La actualización crea una nueva base de datos denominada AIPScannerUL_<profile_name> y la base de datos del analizador anterior se conserva por si la necesita para la versión anterior. Cuando tenga la certeza de que no necesita la base de datos del analizador anterior, puede eliminarla. Como la actualización crea una nueva base de datos, el analizador vuelve a examinar todos los archivos la primera vez que se ejecuta.

Actualización desde la versión 1.48.204.0 y versiones posteriores del cliente clásico de Azure Information Protection

Si actualizó el analizador mediante la versión preliminar del cliente de etiquetado unificado, no será necesario volver a ejecutar estas instrucciones.

  1. En el equipo del analizador, detenga el servicio del analizador, Analizador de Azure Information Protection.

  2. Actualice al cliente de etiquetado unificado de Azure Information Protection mediante la descarga e instalación del cliente de etiquetado unificado desde el Centro de descarga de Microsoft.

  3. En una sesión de PowerShell, ejecute el comando Update-AIPScanner con su perfil del analizador. Por ejemplo: Update-AIPScanner –Profile Europe.

    En este paso se crea una base de datos con el nombre AIPScannerUL_<profile_name>

  4. Reinicie el servicio Analizador de Azure Information Protection, Analizador de Azure Information Protection.

Ahora puede seguir el resto de instrucciones descritas en Implementación del analizador de Azure Information Protection para clasificar y proteger automáticamente los archivos y omitir el paso de instalación del analizador. Dado que el analizador ya está instalado, no hay ningún motivo para volver a instalarlo.

Actualización desde las versiones del cliente clásico de Azure Information Protection posteriores a 1.48.204.0

Importante

Para obtener una ruta de actualización sin problemas, no instale el cliente de etiquetado unificado de Azure Information Protection en el equipo que ejecuta el analizador como primer paso para actualizar el analizador. En su lugar, utilice las siguientes instrucciones de actualización.

A partir de la versión 1.48.204.0, el analizador obtiene sus opciones de configuración de Azure Portal mediante el uso de un perfil de configuración. Actualizar el analizador incluye indicar al analizador que use esta configuración en línea. Para el cliente de etiquetado unificado, no se admite la configuración sin conexión para el analizador.

  1. Use Azure Portal para crear un perfil de analizador que incluya la configuración del el analizador y los repositorios de datos con cualquier configuración que necesiten. Para obtener ayuda con este paso, consulte Configuración del analizador en Azure Portal desde las instrucciones de implementación del analizador.

  2. En el equipo del analizador, detenga el servicio del analizador, Analizador de Azure Information Protection.

  3. Actualice al cliente de etiquetado unificado de Azure Information Protection mediante la descarga e instalación del cliente de etiquetado unificado desde el Centro de descarga de Microsoft.

  4. En una sesión de PowerShell, ejecute el comando Update-AIPScanner con el mismo nombre de perfil que especificó en el paso 1. Por ejemplo: Update-AIPScanner –Profile Europe

  5. Reinicie el servicio Analizador de Azure Information Protection, Analizador de Azure Information Protection.

Ahora puede seguir el resto de instrucciones descritas en Implementación del analizador de Azure Information Protection para clasificar y proteger automáticamente los archivos y omitir el paso de instalación del analizador. Dado que el analizador ya está instalado, no hay ningún motivo para volver a instalarlo.

Pasos siguientes

Una vez que migre las etiquetas, las directivas y los clientes implementados según sea necesario, siga con la administración de etiquetas y directivas de etiquetado solo en el portal de cumplimiento de Microsoft Purview.

Con la plataforma de etiquetado unificado, solo tendrá que volver al área de Azure Information Protection en Azure Portal para:

Se recomienda que los usuarios finales aprovechen las funcionalidades de etiquetado integradas en las aplicaciones de Office más recientes para la web, Mac, iOS y Android, así como Aplicaciones de Microsoft 365 para empresas.

Para utilizar características de AIP adicionales que todavía no se admiten en el etiquetado integrado, se recomienda usar el cliente de etiquetado unificado más reciente para Windows.