Activación del servicio de protección de Azure Information Protection

En este artículo se describe cómo los administradores pueden activar el servicio de protección de Azure Rights Management para Azure Information Protection (AIP). Cuando se activa el servicio de protección para su organización, los administradores y los usuarios pueden empezar a proteger datos importantes mediante aplicaciones y servicios que admiten esta solución de protección de la información. Los administradores también pueden administrar y supervisar documentos y correos electrónicos protegidos que posee su organización.

Esta información de configuración de este artículo es para los administradores responsables de un servicio que se aplica a todos los usuarios de una organización. Si busca ayuda e información de usuario para usar la funcionalidad de Rights Management para una aplicación específica o cómo abrir un archivo o correo electrónico protegido con derechos, use la ayuda y las instrucciones que acompañan a la aplicación.

Activación automática para Azure Rights Management

Cuando tenga un plan de servicio que incluya Azure Rights Management, es posible que no tenga que activar el servicio:

  • Si la suscripción que incluye Azure Rights Management o Azure Information Protection se obtuvo a finales de febrero de 2018 o más tarde: el servicio se activa automáticamente. No es necesario activar el servicio a menos que usted u otro administrador global de su organización desactive Azure Rights Management.

  • Si la suscripción que incluye Azure Rights Management o Azure Information Protection se obtuvo antes o durante febrero de 2018: Microsoft activa el servicio Azure Rights Management para estas suscripciones si el inquilino usa Exchange Online. Para estas suscripciones, el servicio se activará automáticamente a menos que vea que AutomaticServiceUpdateEnabled está establecido en false al ejecutar Get-IRMConfiguration.

Si ninguno de los escenarios enumerados se aplica a usted, debe activar manualmente el servicio de protección.

Cómo activar o confirmar el estado del servicio de protección

Importante

No active el servicio de protección si tiene implementado Active Directory Rights Management Services (AD RMS) en su organización. Más información

Para activar el servicio de protección, la organización debe tener un plan de servicio que incluya el servicio Azure Rights Management de Azure Information Protection. Para obtener más información, consulte Guía de licencias de Microsoft 365 para seguridad y cumplimiento.

Cuando se activa el servicio de protección, todos los usuarios de su organización pueden aplicar protección de la información a sus documentos y correos electrónicos, y todos los usuarios pueden abrir (consumir) documentos y correos electrónicos protegidos por este servicio. Sin embargo, si lo prefiere, puede restringir quién puede aplicar protección de la información mediante el uso de controles de incorporación para una implementación por fases. Para más información, consulte la sección Configuración de controles de incorporación para una implementación por fases en este artículo.

Activación de la protección mediante PowerShell

Debe usar PowerShell para activar el servicio de protección Rights Management (Azure RMS). Ya no puede activar ni desactivar este servicio desde Azure Portal.

  1. Instale el módulo AIPService para configurar y administrar el servicio de protección. Para obtener instrucciones, vea Instalación del módulo AIPService de PowerShell.

  2. Desde una sesión de PowerShell, ejecute Connect-AipService y, cuando se le solicite, proporcione los detalles de la cuenta de Administrador global para el inquilino de Azure Information Protection.

  3. Ejecute Get-AipService para confirmar si el servicio de protección está activado. Un estado de Enabled confirma la activación; Disabled indica que el servicio está desactivado.

  4. Para activar el servicio, ejecute Enable-AipService.

Configuración de controles de incorporación para una implementación por fases

Si no desea que todos los usuarios puedan proteger documentos y correos electrónicos inmediatamente mediante Azure Information Protection, puede configurar controles de incorporación de usuarios mediante el comando de PowerShell Set-AipServiceOnboardingControlPolicy. Puede ejecutar este comando antes o después de activar el servicio Azure Rights Management.

Por ejemplo, si inicialmente solo quiere que los administradores en el grupo "Departamento de TI" (que tiene un identificador de objeto de fbb99ded-32a0-45f1-b038-38b519009503) puedan proteger el contenido con fines de prueba, use el siguiente comando:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fbb99ded-32a0-45f1-b038-38b519009503"

Tenga en cuenta que para esta opción de configuración, debe especificar un grupo; no puede especificar usuarios individuales. Para obtener el identificador de objeto del grupo, puede usar PowerShell de Microsoft Graph por ejemplo, para la versión 1.0 del módulo, use el comando Get-MgGroup. O bien, puede copiar el valor de Id. de objeto del grupo desde Azure Portal.

Como alternativa, si desea asegurarse de que solo los usuarios con licencia correcta para usar Azure Information Protection pueden proteger el contenido:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True

Cuando ya no necesite usar controles de incorporación, independientemente de si ha usado la opción de grupo o licencia, ejecute:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False

Para obtener más información sobre este cmdlet y ejemplos adicionales, consulte la ayuda Set-AipServiceOnboardingControlPolicy.

Al usar estos controles de incorporación, todos los usuarios de la organización siempre pueden consumir contenido protegido protegido protegido por el subconjunto de usuarios, pero no podrán aplicar la protección de la información a sí mismos de las aplicaciones cliente. Las aplicaciones del lado servidor, como Exchange, pueden implementar sus propios controles por usuario para lograr el mismo resultado. Por ejemplo, para evitar que los usuarios protejan los correos electrónicos en Outlook en la Web, use Set-OwaMailboxPolicy para establecer el parámetro IRMEnabled en $false.

Pasos siguientes

Ahora que el servicio de protección está activado para su organización, las aplicaciones y los servicios pueden aplicar cifrado para ayudar a proteger los datos. Una de las formas más fáciles de aplicar el cifrado es usar etiquetas de confidencialidad de Microsoft Purview Information Protection.