Descripción del servicio Azure Information Protection Premium para la Administración

  • Artículo

Nota:

Para proporcionar una experiencia de cliente unificada y optimizada, el cliente clásico de Azure Information Protection y la Administración de etiquetas en el Azure Portal quedaron en desuso para los clientes de GCC, GCC-H y DoD a partir del 31 de septiembre de 2021.

El cliente clásico se retirará oficialmente y dejará de funcionar el 31 de marzo de 2022.

Todos los clientes actuales del cliente clásico de Azure Information Protection deben migrar a la plataforma de etiquetado unificado de Microsoft Purview Information Protection y actualizar al cliente de etiquetado unificado. Obtenga más información en nuestro blog de migración.

Cómo usar esta descripción del servicio

El etiquetado unificado de Azure Information Protection está disponible para los clientes de GCC, GCC High y DoD.

La descripción del servicio de Azure Information Protection Premium para la Administración está diseñada para servir como una introducción de nuestra oferta en los entornos de GCC High y DoD, y cubrirá variaciones de características en comparación con las ofertas comerciales de Azure Information Protection Premium.

Azure Information Protection Premium para la Administración y servicios de terceros

Algunos servicios de Azure Information Protection Premium ofrecen la capacidad de trabajar sin problemas con aplicaciones y servicios de terceros.

Estas aplicaciones y servicios de terceros pueden implicar almacenar, transmitir y procesar contenido de los clientes de tu organización en sistemas de terceros que están fuera de la infraestructura de Azure Information Protection Premium y, por lo tanto, no están cubiertos por nuestros compromisos de cumplimiento y protección de datos.

Asegúrate de revisar las declaraciones de privacidad y cumplimiento proporcionadas por los terceros al evaluar el uso apropiado de estos servicios para tu organización.

Paridad con las ofertas comerciales de Azure Information Protection Premium

Para obtener información sobre las brechas existentes conocidas entre GCC High/DoD de Azure Information Protection Premium y la oferta comercial, consulta la Disponibilidad de las características de nube para los clientes de la Administración de EE. UU. para Azure Information Protection.

Configuración de Azure Information Protection para los clientes de GCC High y DoD

Los siguientes detalles de configuración son relevantes para todas las soluciones de Azure Information Protection para clientes de GCC High y DoD, incluidas las soluciones de etiquetado unificado.

Importante

A partir de la actualización de julio de 2020, todos los nuevos clientes de GCC High de la solución de etiquetado unificado de Azure Information Protection pueden hacer uso únicamente de las características del menú General y del menú Escáner.

Habilitar la administración de derechos para el espacio empresarial

Para que el cifrado funcione correctamente, el servicio de administración de derechos debe estar habilitado para el espacio empresarial.

  • Comprueba que el servicio de administración de derechos esté habilitado
    • Iniciar PowerShell como administrador
    • Ejecuta Install-Module aadrm si el módulo AADRM no está instalado
    • Conéctate al servicio con Connect-aadrmservice -environmentname azureusgovernment
    • Ejecuta (Get-AadrmConfiguration).FunctionalState y comprueba si el estado es Enabled
  • Si el estado funcional es Disabled, ejecuta Enable-Aadrm

Configuración de DNS para el cifrado (Windows)

Para que el cifrado funcione correctamente, las aplicaciones cliente de Office deben conectarse a la instancia de GCC, GCC High o DoD del servicio y arrancar desde allí. Para redirigir las aplicaciones cliente a la instancia de servicio correcta, el administrador del espacio empresarial debe configurar un registro SRV de DNS con información sobre la dirección URL de Azure RMS. Sin el registro SRV de DNS, la aplicación cliente intentará conectarse a la instancia de nube pública de forma predeterminada y fallará.

Además, se supone que los usuarios iniciarán sesión con el nombre de usuario basado en el dominio propiedad del espacio empresarial (por ejemplo: joe@contoso.us), y no con el nombre de usuario de Microsoft (por ejemplo: joe@contoso.onmicrosoft.us). El nombre de dominio del nombre de usuario se utiliza para la redirección de DNS a la instancia de servicio correcta.

  • Obtén el identificador del servicio de administración de derechos
    • Iniciar PowerShell como administrador
    • Si el módulo AADRM no está instalado, ejecuta Install-Module aadrm
    • Conéctate al servicio con Connect-aadrmservice -environmentname azureusgovernment
    • Ejecuta (Get-aadrmconfiguration).RightsManagementServiceId para obtener el identificador del servicio de administración de derechos
  • Inicia sesión en tu proveedor de DNS y navega hasta la configuración de DNS del dominio para añadir un nuevo registro SRV
    • Servicio = _rmsredir
    • Protocolo = _http
    • Nombre = _tcp
    • Destino = [GUID].rms.aadrm.us (donde GUID es el identificador del servicio de administración de derechos)
    • Puerto = 80
    • Prioridad, Peso, Segundos, TTL = valores predeterminados
  • Asocia el dominio personalizado con el espacio empresarial en el Azure Portal. Al asociar el dominio personalizado se añadirá una entrada en DNS, que puede tardar unos minutos en verificarse después de añadir el valor.
  • Inicia sesión en el Centro de administración de Office con las credenciales de administrador global correspondientes y añade el dominio (ejemplo: contoso.us) para la creación de usuarios. En el proceso de verificación, es posible que se requieran algunos cambios más de DNS. Una vez realizada la verificación, se pueden crear usuarios.

Configuración de DNS para el cifrado (Mac, iOS, Android)

  • Inicia sesión en tu proveedor de DNS y navega hasta la configuración de DNS del dominio para añadir un nuevo registro SRV
    • Servicio = _rmsdisco
    • Protocolo = _http
    • Nombre = _tcp
    • Destino = api.aadrm.us
    • Puerto = 80
    • Prioridad, Peso, Segundos, TTL = valores predeterminados

Migración de etiquetas

Los clientes de GCC High y DoD deben migrar todas las etiquetas existentes mediante PowerShell. Los métodos tradicionales de migración de AIP no son aplicables para los clientes de GCC High y DoD.

Use el cmdlet New-Label para migrar las etiquetas de confidencialidad existentes. Asegúrese de seguir las instrucciones para conectarse y ejecutar el cmdlet mediante Security & Compliance Center antes de empezar a trabajar con la migración.

Ejemplo de migración cuando una etiqueta de confidencialidad existente tiene cifrado:

New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"

Configuración de aplicaciones de AIP

Cuando trabajes con el cliente de Azure Information Protection, debes configurar una de las siguientes claves de registro para apuntar tus aplicaciones de AIP en Windows a la nube soberana correcta. Asegúrate de utilizar los valores correctos para tu configuración.

Configuración de aplicaciones de AIP para el cliente de etiquetado unificado

Relevante para: únicamente el cliente de etiquetado unificado de AIP

Nodo de registro HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Nombre CloudEnvType
Valor 0 = comercial (valor predeterminado)
1 = GCC
2 = GCC High
3 = DoD
Tipo REG_DWORD

Nota:

  • Si esta clave de registro está vacía, es incorrecta o falta, el comportamiento vuelve al valor predeterminado (0 = comercial).
  • Si la clave está vacía o es incorrecta, también se añade un error de impresión al registro.
  • Asegúrate de no eliminar la clave de registro después de desinstalarla.

Configuración de aplicaciones de AIP para el cliente clásico

Relevante para: únicamente el cliente clásico de AIP

Nodo de registro HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Nombre WebServiceUrl
Valor https://api.informationprotection.azure.us
Tipo REG_SZ (String)

Firewalls e infraestructura de red

Si tienes un firewall o dispositivos de red intermedios similares que están configurados para permitir conexiones específicas, utiliza la siguiente configuración para asegurar una comunicación fluida para Azure Information Protection.

  • Conexión de cliente a servicio TLS: no finalices la conexión de cliente a servicio TLS a la URL rms.aadrm.us (por ejemplo, para realizar una inspección a nivel de paquete).

    Puedes usar los siguientes comandos de PowerShell para que te ayuden a determinar si la conexión de tu cliente finaliza antes de que llegue al servicio de Azure Rights Management:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.aadrm.us/admin/admin.svc")
$request.GetResponse()
$request.ServicePoint.Certificate.Issuer

    El resultado debería mostrar que la CA emisora es de una CA de Microsoft, por ejemplo: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US. Si ves un nombre de entidad de certificación emisora que no es de Microsoft, es probable que tu conexión segura de cliente a servicio esté finalizando y deba reconfigurarse en tu firewall.

  • Descarga de etiquetas y directivas de etiquetas (solo para el cliente clásico de AIP): para que el cliente clásico de Azure Information Protection descargue etiquetas y directivas de etiquetas, permite la dirección URL api.informationprotection.azure.us a través de HTTPS.

Para más información, vea:

Etiquetas de servicio

Asegúrate de permitir el acceso a todos los puertos para las siguientes etiquetas de servicio:

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend