¿Qué es Azure Rights Management?

Azure Rights Management (Azure RMS) es la tecnología de protección basada en la nube que usa Azure Information Protection.

Azure RMS ayuda a proteger archivos y correos electrónicos entre dispositivos, incluidos teléfonos, tabletas y equipos mediante directivas de cifrado, identidad y autorización.

Por ejemplo, cuando los empleados envían un documento a una empresa asociada o guardan un documento en su unidad de nube, la protección persistente de Azure RMS ayuda a proteger los datos.

  • La configuración de protección permanece con los datos, incluso cuando sobrepasa los límites de la organización, manteniendo el contenido protegido tanto dentro como fuera de la ella.

  • Azure RMS puede ser obligatorio desde el punto de vista legal para el cumplimiento, los requisitos de descubrimiento legal o los procedimientos recomendados para la administración de información.

  • Use Azure RMS con suscripciones de Microsoft 365 o Azure Information Protection. Para obtener más información, consulte la guía de licencias de Microsoft 365 para la página seguridad y cumplimiento .

Azure RMS garantiza que los usuarios y servicios autorizados, como la búsqueda y la indexación, puedan seguir leyendo e inspeccionando los datos protegidos.

Garantizar el acceso continuo a personas y servicios autorizados, concepto también conocido como "razonamiento sobre datos", es fundamental para mantener el control de los datos de la organización. Es posible que esta funcionalidad no se pueda aplicar fácilmente con otras soluciones de protección de la información que usen el cifrado punto a punto.

Características de protección

Característica Descripción
Protección de varios tipos de archivo En las primeras implementaciones de Rights Management, solo se podían proteger los archivos de Office mediante la protección integrada de Rights Management.

Azure Information Protection proporciona compatibilidad con tipos de archivo adicionales. Para obtener más información, consulte Tipos de archivo admitidos.
Protección de archivos en cualquier lugar Cuando se protege un archivo, la protección permanece con el archivo, incluso si se copia o guarda en un almacenamiento que no esté bajo el control de TI, como un servicio de almacenamiento en la nube.

Características de colaboración

Característica Descripción
Uso compartido seguro de información Los archivos protegidos se pueden compartir de forma segura con otros usuarios como datos adjuntos en un correo electrónico o un vínculo a un sitio de SharePoint.

Si la información confidencial está dentro de un mensaje de correo electrónico, proteja el correo electrónico o use la opción No reenviar de Outlook.
Compatibilidad con la colaboración de negocio a negocio Dado que Azure Rights Management es un servicio en la nube, no hay necesidad de configurar explícitamente relaciones de confianza con otras organizaciones para poder compartir contenido protegido con ellas.

Se admite automáticamente la colaboración con otras organizaciones que ya tienen un directorio de Microsoft 365 o Microsoft Entra.

En el caso de las organizaciones sin un directorio de Microsoft 365 o Microsoft Entra, los usuarios pueden registrarse para obtener la suscripción gratuita de RMS para usuarios individuales o usar una cuenta de Microsoft para las aplicaciones compatibles.

Sugerencia

Adjuntar archivos protegidos, en lugar de proteger un mensaje de correo electrónico completo, le permite mantener el texto del correo electrónico sin cifrar.

Por ejemplo, puede que quiera incluir instrucciones de primer uso si el correo electrónico se envía fuera de la organización. Si adjunta un archivo protegido, cualquier persona podrá leer las instrucciones básicas, pero solo los usuarios autorizados podrán abrir el documento, incluso si el correo electrónico o documento se reenvía a otras personas.

Características de compatibilidad con plataformas

Azure RMS admite una amplia variedad de plataformas y aplicaciones, entre las que se incluyen:

Característica Descripción
Dispositivos usados normalmente y no solo equipos Windows Entre los dispositivos cliente se incluyen:

- Equipos y teléfonos Windows
- Equipos Mac
- Tabletas y teléfonos iOS
- Tabletas y teléfonos Android
Servicios locales Además de funcionar sin problemas con Office 365, puede usar Azure Rights Management con los siguientes servicios locales si implementa el conector RMS:

- Exchange Server
- SharePoint Server
- Windows Server con infraestructura de clasificación de archivos
Extensibilidad de la aplicación Azure Rights Management incluye una buena integración con aplicaciones y servicios de Microsoft Office, y amplía la compatibilidad con otras aplicaciones mediante el cliente de Azure Information Protection.

El SDK de Microsoft Information Protection proporciona a desarrolladores internos y proveedores de software api la posibilidad de escribir aplicaciones personalizadas que admitan Azure Information Protection.

Para obtener más información, consulte Otras aplicaciones compatibles con las API de Rights Management.

Características de infraestructura

Azure RMS proporciona las siguientes características para admitir departamentos de TI y organizaciones de infraestructura:

Nota:

Las organizaciones siempre tienen la opción de dejar de usar el servicio Azure Rights Management sin perder el acceso al contenido protegido previamente por este servicio.

Para más información, consulte Retirada y desactivación de la protección de Azure Information Protection.

Creación de directivas sencillas y flexibles

Las plantillas de protección personalizadas proporcionan una solución rápida y sencilla para que los administradores apliquen directivas, y para que los usuarios apliquen el nivel correcto de protección para cada documento y restrinjan el acceso a personas dentro de su organización.

Por ejemplo, para que un documento de estrategia para toda la empresa se comparta con todos los empleados, aplique una directiva de solo lectura a todos los empleados internos. Para un documento más confidencial, como un informe financiero, restrinja solo el acceso a los ejecutivos.

Configure las directivas de etiquetado en el portal de cumplimiento de Microsoft Purview. Para más información, consulte la documentación de etiquetado de confidencialidad de Microsoft 365.

Activación sencilla

En el caso de las nuevas suscripciones, la activación es automática. Para las suscripciones existentes, la activación del servicio Rights Management requiere solo un par de clics en el portal de administración o dos comandos de PowerShell.

Introducción a los servicios de auditoría y supervisión

Audite y supervise el uso de los archivos protegidos, incluso después de que estos archivos salgan de los límites de la organización.

Por ejemplo, si un empleado de Contoso, Ltd trabaja en un proyecto conjunto con tres personas de Fabrikam, Inc, podría enviar a sus asociados de Fabrikam un documento protegido y restringido de solo lectura.

La auditoría de Azure RMS puede proporcionar la siguiente información:

  • Si los asociados de Fabrikam abrieron el documento y cuándo lo hicieron.

  • Si otras personas, que no se especificaron, intentaron y no pudieron abrir el documento. Esto puede ocurrir si el correo electrónico se reenvía o se guardó en una ubicación compartida.

Los administradores de AIP pueden realizar un seguimiento del uso de documentos y revocar el acceso a archivos de Office. Los usuarios pueden revocar el acceso a sus documentos protegidos según sea necesario.

Capacidad de escalar en toda la organización

Dado que Azure Rights Management se ejecuta como un servicio en la nube, por lo que adquiere la elasticidad de Azure para escalar y reducir verticalmente, no tiene que aprovisionar ni implementar servidores locales adicionales.

Mantenimiento del control de TI sobre los datos

Las organizaciones pueden beneficiarse de las características de control de TI, como:

Característica Descripción
Administración de claves del inquilino Use soluciones de administración de claves de inquilino, como Bring Your Own Key (BYOK) o Cifrado de doble clave (DKE).

Para más información, consulte:
- Planificación e implementación de la clave de inquilino de AIP
- DKE en la documentación de Microsoft 365
Auditoría y registro de uso Use las características de registro de uso y auditoría para analizar información de la empresa, supervisar los casos de abuso y realizar análisis forenses para pérdidas de información.
Delegación de acceso Delegue el acceso con la característica de superusuario para asegurarse de que el equipo de TI siempre pueda acceder al contenido protegido, incluso si un documento lo protegió un empleado que se va de la organización.
En comparación, las soluciones de cifrado punto a punto corren el riesgo de perder el acceso a los datos de la empresa.
Sincronización de Active Directory Sincronice solo los atributos de directorio que Azure RMS necesita para admitir una identidad común para las cuentas de Active Directory local mediante una solución de identidad híbrida, como Microsoft Entra Connect.
Inicio de sesión único Habilite el inicio de sesión único sin replicar contraseñas en la nube mediante AD FS.
Migración desde AD RMS Si ha implementado Active Directory Rights Management Services (AD RMS), puede migrar al servicio Azure Rights Management sin perder el acceso a los datos protegidos anteriormente por AD RMS.

Requisitos de seguridad, cumplimiento y normativas

Azure Rights Management admite los siguientes requisitos de seguridad, cumplimiento y normativas:

  • Uso de criptografía estándar del sector (admite FIPS 140-2). Para más información, consulte Controles criptográficos usados por Azure RMS: Algoritmos y longitud de clave.

  • Compatibilidad con el módulo de seguridad de hardware (HSM) nCipher nShield para almacenar la clave de inquilino en los centros de datos de Microsoft Azure.

    Azure Rights Management usa mundos de seguridad independientes para sus centros de datos en Norteamérica, EMEA (Europa, Oriente Medio y África) y Asia, por lo que las claves solo se pueden usar en su región.

  • Certificación para los siguientes estándares:

    • ISO/IEC 27001:2013 (./incluye ISO/IEC 27018)
    • Certificaciones SOC 2 SSAE 16/ISAE 3402
    • HIPAA BAA
    • Cláusula modelo de la UE
    • FedRAMP, como parte de Microsoft Entra ID en la certificación de Office 365, emitió la autoridad de la agencia FedRAMP para operar en nombre de HHS.
    • PCI DSS Nivel 1

Para más información sobre estas certificaciones externas, consulte el Centro de confianza de Azure.

Pasos siguientes

Para obtener más información técnica sobre cómo funciona el servicio Azure Rights Management, consulte ¿Cómo funciona Azure RMS?

Si está familiarizado con la versión local de Rights Management, Active Directory Rights Management Services (AD RMS), es posible que le interese la tabla de comparación disponible en Comparación de Azure Rights Management y AD RMS.