¿Qué es Azure Rights Management?
Azure Rights Management (Azure RMS) es la tecnología de protección basada en la nube que usa Azure Information Protection.
Azure RMS ayuda a proteger archivos y correos electrónicos en varios dispositivos, como teléfonos, tabletas y equipos, mediante el cifrado, la identidad y las directivas de autorización.
Por ejemplo, cuando los empleados envían un documento por correo electrónico a una empresa asociada o guardan un documento en su unidad en la nube, la protección persistente de Azure RMS ayuda a proteger los datos.
La configuración de la protección permanece con los datos, incluso cuando salen de los límites de la organización, lo que mantiene el contenido protegido tanto dentro como fuera de la organización.
Azure RMS también puede ser necesario legalmente para cumplir los requisitos de cumplimiento y detección legal o procedimientos recomendados para la administración de la información.
Use Azure RMS con suscripciones de Microsoft 365 o para Azure Information Protection. Para obtener más información, consulte la página guía de licencias de Microsoft 365 para el cumplimiento de seguridad&.
Azure RMS garantiza que los usuarios y servicios autorizados (como los de búsqueda e indexación) pueden seguir leyendo e inspeccionando los datos protegidos.
La garantía del acceso continuado para usuarios y servicios autorizados, también conocida como "razonamiento sobre datos", es un elemento fundamental en el mantenimiento del control de los datos de la organización. Es posible que esto no se logre fácilmente con otras soluciones de protección de la información en las que se usa el cifrado punto a punto.
Características de protección
| Característica | Descripción |
|---|---|
| Proteger varios tipos de archivo | En las implementaciones iniciales de Rights Management, solo se podían proteger los archivos de Office, mediante la protección integrada de Rights Management. Azure Information Protection proporciona compatibilidad con tipos de archivo adicionales. Para obtener más información, vea Tipos de archivo admitidos. |
| Protección de los archivos en cualquier lugar | Si un archivo está protegido, la protección permanece con el archivo, aunque se guarde o copie en almacenamiento que no se encuentra bajo el control de TI, como un servicio de almacenamiento en la nube. |
Características de colaboración
| Característica | Descripción |
|---|---|
| Compartir información de forma segura | Los archivos protegidos se pueden compartir con otros usuarios de forma segura, como datos adjuntos a un correo electrónico o un vínculo a un sitio de SharePoint. Si la información confidencial está dentro de un mensaje de correo electrónico, proteja el correo electrónico o use la opción No reenviar desde Outlook. |
| Soporte para colaboración de negocio a negocio | Como Azure Rights Management es un servicio en la nube, no hay que configurar de manera explícita la confianza con otras organizaciones para poder compartir contenido protegido con ellas. Se admite automáticamente la colaboración con otras organizaciones que ya tienen un directorio de Microsoft 365 o azure AD. En el caso de las organizaciones sin Microsoft 365 o un directorio de Azure AD, los usuarios pueden registrarse para obtener la suscripción gratuita de RMS para individuos o usar una cuenta de Microsoft para aplicaciones compatibles. |
Sugerencia
Adjuntar archivos protegidos, en lugar de proteger un mensaje de correo electrónico completo, permite mantener el texto sin cifrar.
Por ejemplo, es posible que quiera incluir instrucciones para el primer uso si el correo electrónico se va a enviar fuera de la organización. Si adjunta un archivo protegido, cualquiera puede leer las instrucciones básicas, pero solo podrán abrir el documento los usuarios autorizados, aunque el correo electrónico o el documento se reenvíe a terceros.
Características de compatibilidad de plataformas
Azure RMS admite una amplia gama de plataformas y aplicaciones, entre las que se incluyen las siguientes:
| Característica | Descripción |
|---|---|
| Dispositivos usados habitualmenteno solo equipos Windows | Los dispositivos cliente incluyen: - Equipos Windows y teléfonos - Equipos Mac - tabletas y teléfonos iOS - Tabletas y teléfonos Android |
| Servicios locales | Además de trabajar perfectamente con Office 365, use Azure Rights Management con los siguientes servicios locales al implementar el conector RMS: - Exchange Server - SharePoint Server - Windows Server que ejecuta la infraestructura de clasificación de archivos |
| Extensibilidad de aplicaciones | Azure Rights Management tiene una integración estrecha con aplicaciones y servicios de Microsoft Office, y amplía la compatibilidad con otras aplicaciones mediante el cliente de Azure Information Protection. El SDK de Microsoft Information Protection proporciona a los desarrolladores internos y proveedores de software api para escribir aplicaciones personalizadas que admitan Azure Information Protection. Para obtener más información, consulte Otras aplicaciones que admiten las API de Rights Management. |
Características de la infraestructura
Azure RMS proporciona las características siguientes para admitir departamentos de TI y organizaciones de infraestructura:
- Creación de directivas simples y flexibles.
- Activación sencilla.
- Servicios de auditoría y supervisión.
- Capacidad de escala en la organización.
- Mantenimiento del control de TI sobre los datos.
Nota:
Las organizaciones siempre tienen la opción de dejar de usar el servicio Azure Rights Management sin perder el acceso a contenido anteriormente protegido por Azure Rights Management.
Para obtener más información, consulte Retirada y desactivación de Azure Rights Management.
Creación de directivas simples y flexibles
Las plantillas de protección personalizadas proporcionan una solución rápida y sencilla para que los administradores apliquen las directivas y para que los usuarios apliquen el nivel correcto de protección para cada documento y restrinjan el acceso a las personas dentro de la organización.
Por ejemplo, para que se comparta un documento estratégico de toda la empresa con todos los empleados, aplique una directiva de solo lectura a todos los empleados internos. Para un documento más confidencial, como un informe financiero, restrinja el acceso solo a ejecutivos.
Configure las directivas de etiquetado en el portal de cumplimiento Microsoft Purview. Para obtener más información, vea la documentación sobre etiquetado de confidencialidad de Microsoft 365.
Activación sencilla
Para las suscripciones nuevas, la activación es automática. En cuanto a las suscripciones existentes, para activar el servicio de Rights Management solo se necesitan un par de clics en el portal de administración, o bien dos comandos de PowerShell.
Servicios de auditoría y supervisión
Audite y supervise el uso de los archivos protegidos, incluso después de que salgan de los límites de la organización.
Por ejemplo, si un empleado de Contoso, Ltd trabaja en un proyecto conjunto con tres de Fabrikam, Inc, podría enviar a sus asociados de Fabrikam un documento protegido y restringido a solo lectura.
La auditoría de Azure RMS puede proporcionar la siguiente información:
Si los asociados de Fabrikam han abierto el documento y cuándo.
Si otras personas, que no se han especificado, han intentado abrir el documento y no han podido. Esto puede ocurrir si el correo electrónico se ha reenviado o se ha guardado en una ubicación compartida.
Los administradores de AIP pueden hacer un seguimiento del uso de los documentos y revocar el acceso a los archivos de Office. Los usuarios pueden revocar el acceso a sus documentos protegidos cuando lo necesiten.
Capacidad de escala en la organización
Dado que Azure Rights Management se ejecuta como un servicio en la nube con la elasticidad de Azure para escalar vertical y horizontalmente, no es necesario aprovisionar ni implementar servidores locales adicionales.
Mantenimiento del control de TI sobre los datos
Las organizaciones pueden beneficiarse de las características de control de TI, como las siguientes:
| Característica | Descripción |
|---|---|
| Administración de claves de inquilino | Use soluciones de administración de claves de inquilino, como Bring Your Own Key (BYOK) o el cifrado de doble clave (DKE). Para obtener más información, vea: - Planeamiento e implementación de su clave de inquilino de Azure Information Protection - Documentación de cifrado de doble clave para Microsoft 365. |
| Auditoría y registro de uso | Use las características de auditoría y registro de uso para analizar conclusiones empresariales, supervisar el abuso y realizar análisis forenses en busca de pérdidas de información. |
| Delegación del acceso | Delegue el acceso mediante la característica de superusuario, para garantizar que TI siempre pueda acceder al contenido protegido, aunque un documento estuviera protegido por un empleado que haya dejado la organización. En comparación, las soluciones de cifrado punto a punto arriesgan perder el acceso a los datos de la empresa. |
| Sincronización de Active Directory | Sincronice solo los atributos de directorio que Azure RMS necesita a fin de admitir una identidad común para las cuentas de Active Directory locales, mediante una solución de identidad híbrida, como Azure AD Connect. |
| Inicio de sesión único | Habilite el inicio de sesión único sin replicar contraseñas en la nube, mediante AD FS. |
| Migración desde AD RMS | Si ha implementado Active Directory Rights Management Services (AD RMS) migre al servicio Azure Rights Management sin perder el acceso a los datos protegidos anteriormente mediante AD RMS. |
Requisitos de seguridad, normativos y regulatorios
Azure Rights Management admite los siguientes requisitos de seguridad, reglamentarios y de cumplimiento:
Uso de criptografía estándar del sector y compatibilidad con FIPS 140-2. Para más información, consulte Controles criptográficos usados por Azure RMS: Longitudes de clave y algoritmos.
Compatibilidad con el módulo de seguridad de hardware (HSM) de nCipher nShield para almacenar la clave de inquilino en centros de datos de Microsoft Azure.
Azure Rights Management usa espacios de seguridad independientes para los centros de datos de Estados Unidos, EMEA (Europa, Oriente Medio y África) y Asia, para que las claves solo se puedan usar en su región.
Certificación para los estándares siguientes:
- ISO/IEC 27001:2013 (incluye ISO/IEC 27018)
- Atestaciones de SOC 2 SSAE 16/ISAE 3402
- HIPAA BAA
- Cláusula del modelo de la UE
- FedRAMP como parte de Azure Active Directory en la certificación de Office 365, FedRAMP Agency Authority to Operate emitido por HHS
- PCI DSS nivel 1
Para obtener más información sobre estas certificaciones externas, consulte el Centro de confianza de Azure.
Pasos siguientes
Para obtener información más técnica sobre el funcionamiento del servicio Azure Rights Management, vea ¿Cómo funciona Azure RMS?
Si está familiarizado con la versión local de Rights Management, Active Directory Rights Management Services (AD RMS), puede que esté interesado en la tabla de comparación de Comparación entre Azure Rights Management y AD RMS.