Compartir a través de


Preguntas más frecuentes sobre la protección de datos en Azure Information Protection

¿Alguna pregunta sobre el servicio de protección de datos, Azure Rights Management (Azure RMS), de Azure Information Protection? Compruebe si se ha resuelto aquí.

¿Deben estar los archivos en la nube para que estén protegidos con Azure Rights Management?

No, se trata de una idea equivocada habitual. Azure Rights Management Service (y Microsoft) no ve ni almacena sus datos como parte del proceso de protección de la información. La información que protege nunca se envía a Azure ni se almacena allí, a menos que la almacene explícitamente en Azure o use otro servicio en la nube que lo haga.

Para más información, consulte ¿Cómo funciona Azure RMS en segundo plano? para entender cómo Azure Rights Management Service protege una fórmula de refresco de cola secreta que se crea, se almacena y se mantiene en local.

¿Cuál es la diferencia entre el cifrado de Azure Rights Management y el de otros servicios en la nube de Microsoft?

Microsoft proporciona varias tecnologías de cifrado que permiten proteger los datos en escenarios diferentes y a menudo complementarios. Por ejemplo, mientras que Microsoft 365 ofrece cifrado en reposo para los datos almacenados en Microsoft 365, Azure Rights Management Service de Azure Information Protection cifra los datos de manera individual para que estén protegidos independientemente de dónde se encuentren o cómo se transmitan.

Estas tecnologías de cifrado son complementarias y es necesario habilitarlas y configurarlas independientemente para usarlas. Para ello, tendrá la opción de aportar su propia clave de cifrado, un escenario que también se denomina "BYOK". La habilitación de BYOK para una de estas tecnologías no afecta al resto. Por ejemplo, puede usar BYOK para Azure Information Protection y no con otras tecnologías de cifrado, y viceversa. Las claves que utilizan estas distintas tecnologías pueden ser las mismas o diferentes, dependiendo de cómo configure las opciones de cifrado de cada servicio.

¿Puedo usar ahora BYOK con Exchange Online?

Sí, ahora puede usar BYOK con Exchange Online al seguir las instrucciones de Configuración de nuevas funcionalidades de cifrado de mensajes de Microsoft 365 a partir de Azure Information Protection. Estas instrucciones habilitan las nuevas funcionalidades de Exchange Online que admiten BYOK de Azure Information Protection, así como el nuevo cifrado de mensajes de Office 365.

Para más información acerca de este cambio, consulte el anuncio del blog sobre el cifrado de mensajes de Office 365 con las nuevas funcionalidades.

¿Hay un módulo de administración o mecanismo de supervisión similar para el conector RMS?

Aunque el conector Rights Management registra información, advertencias y mensajes de error en el registro de eventos, no hay un módulo de administración que incluya la supervisión de estos eventos. Sin embargo, la lista de eventos y sus descripciones, con más información para ayudarle a tomar acciones correctivas se documenta en Supervisión del conector Microsoft Rights Management.

¿Cómo se crea una plantilla personalizada en Azure Portal?

Las plantillas personalizadas se han movido a Azure Portal, donde puede seguir administrándolas como plantillas o convertirlos a etiquetas. Para crear una plantilla, cree una nueva etiqueta y configure las opciones de protección de datos de Azure RMS. En segundo planto, esto crea una plantilla que a la que pueden acceder servicios y aplicaciones que se integren con las plantillas de Rights Management.

Para más información acerca de las plantillas de Azure Portal, consulte Configuración y administración de plantillas para Azure Information Protection.

He protegido un documento y ahora quiero cambiar los derechos de uso o agregar usuarios, ¿es necesario volver a proteger el documento?

Si el documento está protegido mediante una etiqueta o una plantilla, no es necesario volver a protegerlo. Modifique la etiqueta o la plantilla con los cambios en los derechos de uso o agregue nuevos grupos (o usuarios) y guarde los cambios:

  • Si el usuario no ha accedido al documento antes de los cambios, estos surten efecto en cuanto el usuario abra el documento.

  • Si el usuario ya ha accedido el documento, estos cambios surten efecto cuando su licencia de uso expira. Vuelva a proteger el documento solo si no puede esperar a que la licencia de uso expire. Al volver a proteger de forma eficaz, se crea una nueva versión del documento y, por lo tanto, una nueva licencia de uso para el usuario.

O bien, si ya ha configurado un grupo con los permisos necesarios, puede cambiar la pertenencia al grupo para incluir o excluir usuarios y no es necesario para cambiar la etiqueta o la plantilla. Los cambios pueden tardar un poco en surtir efecto, porque Azure Rights Management Service almacena la pertenencia a grupos en caché.

Si el documento se ha protegido mediante permisos personalizados, no se pueden cambiar para el documento existente. Debe proteger el documento de nuevo y especificar todos los usuarios y todos los derechos de uso necesarios para la nueva versión del documento. Para volver a proteger un documento protegido, debe tener el derecho de uso Control total.

Sugerencia: Para comprobar si un documento estaba protegido con una plantilla o mediante permisos personalizados, use el cmdlet Get-AIPFile​Status de PowerShell. Siempre se ve una descripción de la plantilla de acceso restringido para los permisos personalizados, con un identificador de plantilla único que no se muestra al ejecutar Get-RMSTemplate.

Tengo una implementación híbrida de Exchange con unos usuarios de Exchange Online y otros de Exchange Server, ¿es esto compatible con Azure RMS?

Sin duda y lo mejor es que los usuarios pueden proteger y consumir correos electrónicos protegidos, así como los datos adjuntos, en las dos implementaciones de Exchange perfectamente. Para esta configuración, active Azure RMS y habilite IRM para Exchange Online, a continuación, implemente y configure el conector RMS para Exchange Server.

Si uso esta protección para el entorno de producción, ¿queda mi empresa bloqueada en la solución o puede perder el acceso al contenido que se proteja con Azure RMS?

No, siempre tendrá control de los datos y puede acceder a ellos, aunque decida dejar de utilizar Azure Rights Management Service. Para más información, consulte Retirada y desactivación de la protección de Azure Information Protection.

¿Puedo controlar cuáles de mis usuarios pueden usar Azure RMS para proteger contenido?

Sí, Azure Rights Management Service tiene controles de incorporación de usuario para este escenario. Para más información, consulte la sección Configuración de controles de incorporación para una implementación por fases del artículo Activación del servicio de protección desde Azure Rights Management.

¿Se puede impedir que los usuarios compartan documentos protegidos con organizaciones específicas?

Una de las mayores ventajas de usar Azure Rights Management Service para la protección de datos es que admite la colaboración interempresarial sin tener que configurar relaciones de confianza explícitas para cada organización asociada, ya que Microsoft Entra AD se encarga de la autenticación.

No hay ninguna opción de administración para impedir que los usuarios compartan documentos con organizaciones específicas de forma segura. Por ejemplo, desea bloquear una organización en la que no confía o que tiene una empresa de la competencia. Impedir que Azure Rights Management Service envíe documentos protegidos a los usuarios de estas organizaciones no tendría sentido, ya que compartirían los documentos sin protección, que probablemente sería lo menos deseable en este escenario. Por ejemplo, no podría identificar quién comparte documentos empresariales confidenciales con qué usuarios de estas organizaciones, lo cual permite la protección de documentos (o correos electrónicos) del servicio de Azure Rights Management.

Cuando comparto un documento protegido con una persona ajena a la organización, ¿cómo se autentica ese usuario?

De forma predeterminada, el servicio Azure Rights Management usa una cuenta de Microsoft Entra y una dirección de correo electrónico asociada para la autenticación de usuario, lo que facilita enormemente la colaboración interempresarial para los administradores. Si la otra organización usa servicios de Azure, los usuarios ya tienen cuentas de Microsoft Entra ID, aunque se creen y se administren localmente y después se sincronicen con Azure. Si la organización tiene Microsoft 365, en segundo plano, este servicio también usa Microsoft Entra ID para las cuentas de usuario. Si la organización del usuario no tiene cuentas administradas en Azure, los usuarios pueden suscribirse a RMS para usuarios individuales, que crea un inquilino de Azure no administrado y un directorio para la organización con una cuenta para el usuario, de manera que este (y los usuarios posteriores) se pueda autenticar en el servicio Azure Rights Management.

El método de autenticación para estas cuentas puede variar en función de la configuración de las cuentas de Microsoft Entra del administrador de la otra organización. Por ejemplo, podrían usar contraseñas creadas para estas cuentas, la federación o contraseñas creadas en Active Directory Domain Services que después se sincronizaran con Microsoft Entra ID.

Otros métodos de autenticación:

  • Si protege un correo electrónico con un documento adjunto de Office a un usuario sin cuenta de Microsoft Entra ID, el método de autenticación cambia. Azure Rights Management Service está federado con algunos proveedores de identidades sociales populares, como Gmail. Si se admite el proveedor de correo electrónico del usuario, este último puede iniciar sesión ese servicio y su proveedor de correo electrónico le autenticará. Si no se admite el proveedor de correo electrónico del usuario o si el usuario lo prefiere, puede solicitar un código de acceso de un solo uso que le autentique y muestre el correo electrónico con el documento protegido en un explorador web.

  • Azure Information Protection puede usar cuentas Microsoft para aplicaciones compatibles. Actualmente, no todas las aplicaciones pueden abrir contenido protegido cuando se usa una cuenta Microsoft para la autenticación. Más información

¿Puedo agregar usuarios externos (personas ajenas a mi empresa) a plantillas personalizadas?

Sí. La configuración de protección de Azure Portal permite agregar permisos a usuarios y grupos ajenos a la organización e incluso a todos los usuarios de otra organización. Es posible que le resulte útil hacer referencia al ejemplo paso a paso Protección de la colaboración de documentos mediante Azure Information Protection.

Tenga en cuenta que si tiene etiquetas de Azure Information Protection, primero debe convertir la plantilla personalizada a una etiqueta para configurar estas opciones de protección en Azure Portal. Para más información, consulte Configuración y administración de plantillas para Azure Information Protection.

Como alternativa, puede agregar usuarios externos a las plantillas personalizadas (y a las etiquetas) mediante PowerShell. Esta configuración requiere un objeto de definición de derechos para actualizar la plantilla:

  1. Especifique las direcciones de correo electrónico externas y sus derechos en un objeto de definición de derechos mediante el cmdlet New-AipServiceRightsDefinition para crear una variable.

  2. Proporcione esta variable al parámetro RightsDefinition con el cmdlet Set-AipServiceTemplateProperty.

    Al agregar usuarios a una plantilla existente, debe definir objetos de definición de derechos para los usuarios existentes en las plantillas, además de para los nuevos usuarios. En este escenario, puede resultarle útil Example 3: Add new users and rights to a custom template (Ejemplo 3: Incorporación de usuarios nuevos y derechos a una plantilla personalizada) de la sección Examples (Ejemplos) del cmdlet.

¿Qué tipo de grupos puedo usar con Azure RMS?

Para la mayoría de los escenarios, puede utilizar cualquier tipo de grupo con dirección de correo electrónico en Microsoft Entra ID. Esta regla general siempre se aplica al asignar derechos de uso, pero existen algunas excepciones para la administración de Azure Rights Management Service. Para más información, consulte Requisitos de Azure Information Protection para cuentas de grupo.

¿Cómo se envía un correo electrónico protegido a una cuenta de Gmail o Hotmail?

Al usar Exchange Online y Azure Rights Management Service, simplemente envía el correo electrónico al usuario como mensaje protegido. Por ejemplo, puede seleccionar el nuevo botón Proteger de la barra de comandos de Outlook en la Web, use el botón No reenviar de Outlook o la opción del menú. O bien, puede seleccionar una etiqueta de Azure Information Protection que aplique automáticamente la acción de No reenviar clasifique el correo electrónico.

El destinatario verá una opción para iniciar sesión en su cuenta de Gmail, Yahoo o Microsoft y tendrá permiso para leer el correo electrónico protegido. También puede elegir el código de acceso de un solo uso para leer el correo electrónico en un explorador.

Para admitir este escenario, Exchange Online debe habilitarse para Azure Rights Management Service y las nuevas funcionalidades de cifrado de mensajes de Office 365. Para más información acerca de esta configuración, consulte Exchange Online: Configuración de IRM.

Para más información acerca de las nuevas funcionalidades que incluyen la compatibilidad con todas las cuentas de correo electrónico en todos los dispositivos, consulte la siguiente entrada de blog: Announcing new capabilities available in Office 365 Message Encryption (Anuncio de las nuevas funcionalidades disponibles para el cifrado de mensajes de Office 365).

¿Qué dispositivos y qué tipos de archivos son compatibles con Azure RMS?

Azure Rights Management Service admite todos los tipos de archivo. Para los archivos de texto, de imagen, de Microsoft Office (Word, Excel, PowerPoint), .pdf y otros tipos de archivo de aplicación, Azure Rights Management proporciona protección nativa que incluye cifrado y cumplimiento de derechos (permisos). Para todas las demás aplicaciones y tipos de archivo, la protección genérica proporciona encapsulación de archivos y autenticación para comprobar si el usuario está autorizado para abrir el archivo.

Para una lista de las extensiones de nombre de archivo que se admiten de forma nativa en Azure Rights Management, consulte Tipos de archivos compatibles con el cliente de Azure Information Protection. Las extensiones de nombre de archivo que no aparecen se admiten con el cliente de Azure Information Protection, que aplica automáticamente la protección genérica a estos archivos.

Al abrir un documento de Office protegido con RMS, ¿se protege también con RMS el archivo temporal asociado?

No. En este escenario, el archivo temporal asociado no contiene datos del documento original, solo lo que escribe el usuario con el archivo abierto. A diferencia del archivo original, el temporal obviamente no está diseñado para su uso compartido y se conservará en el dispositivo, protegido mediante controles de seguridad locales, como BitLocker y EFS.

Una característica que me interesa no funciona con las bibliotecas protegidas de SharePoint, ¿se planea la compatibilidad con esta característica?

Actualmente, Microsoft SharePoint admite documentos protegidos con RMS mediante las bibliotecas protegidas con IRM, que no admiten plantillas de Rights Management, el seguimiento de documentos y otras funcionalidades. Para más información, consulte la sección SharePoint en Microsoft 365 y SharePoint Server del artículo de servicios y aplicaciones de Office.

Si está interesado en una funcionalidad específica que todavía no se admite, no pierda de vista los anuncios del blog de seguridad y movilidad empresarial.

¿Cómo se configura OneDrive en SharePoint, de manera que los usuarios puedan compartir con seguridad sus archivos con personas de la empresa y ajenas?

De forma predeterminada, el administrador de Microsoft 365 no configura esto; lo hacen los usuarios.

Igual que un administrador del sitio de SharePoint habilita y configura IRM para una biblioteca de SharePoint que le pertenece, OneDrive está diseñado para que los usuarios habiliten y configuren IRM para su propia biblioteca de OneDrive. Sin embargo, mediante PowerShell, puede hacerlo por ellos. Para obtener instrucciones, consulte SharePoint en Microsoft 365 y OneDrive: configuración de IRM.

¿Existen trucos o sugerencias para la implementación?

Después de supervisar muchas implementaciones y escuchar a nuestros clientes, asociados, asesores e ingenieros de soporte, una de las mayores sugerencias que podemos dar por experiencia es diseñar e implementar directivas sencillas.

Dado que Azure Information Protection admite el uso compartido seguro con cualquiera, puede permitirse ser ambicioso con el alcance de la protección de datos. Pero sea conservador al configurar las restricciones para los derechos de uso. Para muchas organizaciones, el mayor impacto comercial se centra en evitar las pérdidas de datos mediante la restricción del acceso a las personas de la organización. Obviamente, puede hacerlo mucho más pormenorizado si es necesario: evitar que los usuarios impriman, editen, etc. Pero mantenga las restricciones más pormenorizadas como una excepción para los documentos que realmente necesiten un alto nivel de seguridad y no implemente estos derechos de uso más restrictivos desde el primer día; planifique un enfoque más escalonado.

¿Cómo recupero el acceso a los archivos que estaban protegidos por un empleado que ha dejado la organización?

Use la característica de superusuario, que concede derechos de uso de Control total a los usuarios autorizados para todos los documentos y correos electrónicos protegidos por el inquilino. Los superusuarios siempre pueden leer este contenido protegido y, si es necesario, quitar la protección o volver a protegerlo para distintos usuarios. Esta misma característica permite que los servicios autorizados indexen e inspeccionen archivos, según proceda.

Si el contenido se almacena en SharePoint o OneDrive, los administradores pueden ejecutar el cmdlet Unlock-SensitivityLabelEncryptedFile para quitar la etiqueta de confidencialidad y el cifrado. Para más información, consulte la documentación de Microsoft 365.

¿Rights Management puede impedir las capturas de pantalla?

Al no conceder el derecho de uso de copia, Rights Management puede impedir capturas de pantalla de muchas de las herramientas de captura de pantalla usadas habitualmente en plataformas Windows (Windows 7, Windows 8.1, Windows 10, Windows 10 Mobile y Windows 11). Sin embargo, los dispositivos iOS, Mac y Android no permiten que ninguna aplicación impida las capturas de pantalla. Además, los exploradores de cualquier dispositivo no pueden impedir capturas de pantalla. El uso del explorador incluye Outlook en la Web y Office para la web.

Nota:

Ahora se implementa en Canal actual (versión preliminar): en Office para Mac, Word, Excel y PowerPoint (pero no Outlook) ahora se admite el derecho de uso de Rights Management para evitar capturas de pantalla.

Impedir las capturas de pantalla puede ayudar a evitar la divulgación accidental o por negligencia de información confidencial o delicada. Pero hay muchas maneras en que los usuarios pueden compartir los datos que se muestran en una pantalla, hacer una captura de pantalla es solo una de ellas. Por ejemplo, un usuario decidido a compartir la información mostrada puede tomar una foto con el teléfono con cámara, volver a escribir los datos o simplemente transmitírselos verbalmente a alguien.

Como demuestran estos ejemplos, aunque todas las plataformas y el software permitieran las API de Rights Management de bloqueo de las capturas de pantalla, la tecnología por sí sola no siempre puede evitar que los usuarios compartan datos que no deberían. Rights Management puede ayudar a proteger sus datos importantes mediante directivas de uso y autorización, pero esta solución de administración de derechos empresariales debe utilizarse con otros controles. Por ejemplo, puede implementar seguridad física, prestar atención y supervisar a aquellas personas con acceso autorizado a los datos de la organización e invertir en la educación de los usuarios para que conozcan los datos que no deben compartir.

¿Cuál es la diferencia entre un usuario que protege un correo electrónico con No reenviar y una plantilla que no incluye el derecho Reenviar?

A pesar de su nombre y apariencia, No reenviar no es lo contrario del derecho Reenviar o una plantilla. En realidad es un conjunto de derechos que incluyen la restricción de copiar, imprimir y guardar el correo electrónico fuera del buzón, además de limitar el reenvío de mensajes de correo electrónico. Los derechos se aplican dinámicamente a los usuarios a través de los destinatarios elegidos y no los asigna estáticamente el administrador. Para más información, consulte la sección Opción No reenviar para correos electrónicos de Configuración de los derechos de uso para Azure Information Protection.

¿Cuál es la diferencia entre FCI de Windows Server y el analizador de Azure Information Protection?

Históricamente, la infraestructura de clasificación de archivos de Windows Server ha sido una opción para clasificar documentos y, a continuación, protegerlos mediante el conector Rights Management (solo documentos de Office) o un script de PowerShell (todos los tipos de archivo).

Ahora se recomienda usar el analizador de Azure Information Protection. El analizador usa el cliente de Azure Information Protection y la directiva de Azure Information Protection para etiquetar documentos (todos los tipos de archivo) para que estos documentos se clasifiquen y, opcionalmente, estén protegidos.

Las principales diferencias entre estas dos soluciones:

FCI de Windows Server Analizador de Azure Information Protection
Almacenes de datos compatibles Carpetas locales en Windows Server - Recursos compartidos de archivo de Windows y almacenamiento conectado a la red

- SharePoint Server 2016 y SharePoint Server 2013. SharePoint 2010 también es compatible con los clientes que tengan soporte técnico extendido para esta versión de SharePoint.
Modo de funcionamiento Tiempo real Rastrea sistemáticamente los almacenes de datos una o varias veces
Tipos de archivo admitidos - Todos los tipos de archivo están protegidos de forma predeterminada

- Los tipos de archivo específicos se pueden excluir de la protección editando el Registro
Compatibilidad con tipos de archivo:

- Los tipos de archivo de Office y los documentos PDF están protegidos de forma predeterminada

- Se pueden incluir tipos de archivo adicionales para la protección editando el Registro