Configuración y administración de plantillas para Azure Information Protection

  • Artículo

Las plantillas de protección, también conocidas como plantillas de Rights Management, son una agrupación de las configuraciones de protección definidas por el administrador para Azure Information Protection. Esta configuración incluye los derechos de uso elegidos para usuarios autorizados y controles de acceso para la expiración y el acceso sin conexión. Estas plantillas están integradas con la directiva de Azure Information Protection:

Cuando tenga una suscripción que incluya clasificación, etiquetado y protección (Azure Information Protection P1 o P2):

  • Las plantillas que no están integradas con las etiquetas del inquilino se muestran en la sección Plantillas de protección después de las etiquetas en el panel Azure Information Protection: etiquetas. Para ir a este panel, seleccione la opción de menú Etiquetas de> clasificación. Puede convertir estas plantillas en etiquetas o puede crear un vínculo a ellas cuando configure la protección de sus etiquetas.

Cuando tenga una suscripción que incluya solo protección (una suscripción de Microsoft 365 que incluya el servicio Azure Rights Management):

  • Las plantillas del inquilino se muestran en la sección Plantillas de protección del panel Azure Information Protection: etiquetas. Para ir a este panel, seleccione la opción de menú Etiquetas de> clasificación. No se muestran etiquetas. También verá valores de configuración específicos de la clasificación y del etiquetado, pero o no tienen ningún efecto en las plantillas o no se pueden configurar.

Por ejemplo, si los usuarios informan de que pueden abrir contenido protegido, pero no tienen los derechos que necesitan, el problema podría ser que el usuario no esté en el grupo correcto configurado para una plantilla de Rights Management. O bien, el problema podría ser que la plantilla necesita volver a configurarse para el usuario o grupo, como se describe en este artículo.

Nota:

En algunas aplicaciones y servicios, es posible que vea No reenviar y cifrar (Cifrar) como plantilla. No son plantillas que se puedan editar o eliminar, sino opciones integradas de forma predeterminada en el servicio de Exchange.

Plantillas predeterminadas

Cuando se obtiene la suscripción para Azure Information Protection o para una suscripción de Microsoft 365 que incluye el servicio Azure Rights Management, se crean automáticamente dos plantillas predeterminadas para el inquilino. Estas plantillas restringen el acceso a los usuarios autorizados de la organización. Cuando se crean estas plantillas, tienen los permisos que se enumeran en la documentación configuración de derechos de uso para Azure Information Protection.

Además, las plantillas están configuradas para permitir el acceso sin conexión durante siete días y no tienen fecha de expiración.

Nota:

Puede cambiar esta configuración, así como los nombres y descripciones de las plantillas predeterminadas. Esto no era posible con el Portal de Azure clásico y sigue sin permitirse en PowerShell.

Estas plantillas predeterminadas facilitan a los usuarios el proceso de empezar a proteger de inmediato la información confidencial de la organización. Estas plantillas pueden usarse con etiquetas de Azure Information Protection o de manera independiente con aplicaciones y servicios que puedan usar plantillas de Rights Management.

También puede crear su propias plantillas personalizadas. Aunque probablemente necesite solo unas pocas plantillas, puede tener un máximo de 500 plantillas personalizadas guardadas en Azure.

Derechos incluidos en las plantillas predeterminadas

En la tabla siguiente se enumeran los derechos de uso incluidos al crear las plantillas predeterminadas. Los derechos de uso se enumeran por su nombre común.

Estas plantillas predeterminadas se crean cuando se adquirió la suscripción y los nombres y derechos de uso se pueden cambiar en el Azure Portal y con PowerShell.

Nombre para mostrar de la plantilla Derechos de uso desde el 6 de octubre de 2017 hasta la fecha actual Derechos de uso antes del 6 de octubre de 2017
<nombre de> la organización: solo vista confidencial

or

Extremadamente confidencial \ Todos los empleados		 Ver, Abrir, Leer; Copiar; Derechos de visualización; Permitir macros; Imprimir, Reenviar; Responder; Responder a todos; Guardar; Editar contenido, Editar Ver, Abrir, Leer
<nombre> de la organización: confidencial

or

Confidencial \ Todos los empleados		 Ver, Abrir, Leer; Guardar; Guardar como, Exportar; Copiar; Derechos de visualización; Permitir macros; Imprimir; Reenviar; Responde; Responder a todos; Guardar; Editar contenido, Editar; Control total Ver, Abrir, Leer; Guardar como, Exportar; Editar contenido, Editar; Derechos de visualización; Permitir macros; Reenviar; Responder; Responder a todos

Nombres de las plantillas predeterminadas

Si ha adquirido la suscripción hace poco, las plantillas predeterminadas se crearán con los nombres siguientes:

  • Confidencial\Todos los empleados

  • Extremadamente confidencial\Todos los empleados

Si ha obtenido la suscripción hace algún tiempo, es posible que las plantillas predeterminadas se creen con los siguientes nombres:

  • <nombre> de la organización: confidencial

  • <nombre de> la organización: solo vista confidencial

Puede cambiar el nombre de estas plantillas predeterminadas (y volver a configurarlas) al usar Azure Portal.

Nota:

Si no ve las plantillas predeterminadas en el panel Azure Information Protection: etiquetas, se convierten en etiquetas o se vinculan a una etiqueta. Siguen existiendo como plantillas, pero en Azure Portal las verá como parte de una configuración de etiqueta que incluye la configuración de protección para una clave de nube. Siempre puede confirmar qué plantillas tiene el inquilino mediante la ejecución de Get-AipServiceTemplate desde el módulo de PowerShell de AIPService.

Puede convertir manualmente las plantillas, como se explica más adelante en la sección Para convertir plantillas en etiquetas, y después cambiarles el nombre, si así lo desea. O bien, se convierten automáticamente si la directiva predeterminada de Azure Information Protection se ha creado recientemente y se ha activado en ese momento el servicio Azure Rights Management para el inquilino.

Las plantillas archivadas se muestran como no disponibles en el panel Azure Information Protection: etiquetas. Estas plantillas no se puede seleccionar para etiquetas, pero se pueden convertir en etiquetas.

Consideraciones para las plantillas en Azure Portal

Antes de editar estas plantillas o convertirlas en etiquetas, asegúrese de que está al tanto de los siguientes cambios y consideraciones. Debido a cambios en la implementación, la lista siguiente es especialmente importante si ya ha administrado previamente plantillas en el Portal de Azure clásico.

  • Después de editar o convertir una plantilla y guardar la directiva de Azure Information Protection, los derechos de uso originales se modifican con los siguientes cambios. Si es necesario puede agregar o quitar derechos de uso individuales utilizando Azure Portal. O bien, use PowerShell con los cmdlets New-AipServiceRightsDefinition y Set-AipServiceTemplateProperty .

    • Permitir macros (nombre común) se agrega automáticamente. Este derecho de uso es necesario para la barra de Azure Information Protection en las aplicaciones de Office.

  • Los valores publicados y archivados se muestran como Habilitado: Activado y Habilitado: Desactivado respectivamente en el panel Etiqueta . En el caso de que quiera conservar plantillas pero que no sean visibles para los usuarios o los servicios, establézcalas en Habilitada: Desactivada.

  • No es posible copiar ni eliminar una plantilla en Azure Portal. Cuando la plantilla se convierte en una etiqueta, puede configurar la etiqueta para dejar de usar la plantilla seleccionando No configurado para establecer permisos para documentos y correos electrónicos que contengan esta etiqueta . También puede eliminar la etiqueta. Aun así, en ambos casos, la plantilla no se elimina y permanece en estado archivado.

    La eliminación de plantillas mediante el cmdlet Remove-AipServiceTemplate de PowerShell es permanente. También puede usar este cmdlet de PowerShell para las plantillas que no se han convertido en etiquetas. Con todo, para asegurar que se pueda abrir contenido protegido anteriormente y usarse como estaba previsto, solemos aconsejar que no se eliminen las plantillas. Como práctica recomendada, elimine plantillas solo si tiene la seguridad de que no se han usado para proteger documentos o correos electrónicos en producción. Como precaución antes de eliminar permanentemente una plantilla mediante PowerShell, considere la posibilidad de exportar la plantilla como copia de seguridad mediante el cmdlet Export-AipServiceTemplate .

  • Actualmente, si edita y guarda una plantilla de departamento, se quita la configuración del ámbito. El equivalente de una plantilla con ámbito en la directiva de Azure Information Protection es una directiva con ámbito. Si convierte la plantilla en una etiqueta, puede seleccionar un ámbito existente.

    Además, no puede establecer la configuración de compatibilidad de aplicaciones para una plantilla de departamento mediante Azure Portal. Si es necesario, puede establecer esta configuración de compatibilidad de aplicaciones mediante el cmdlet Set-AipServiceTemplateProperty y el parámetro EnableInLegacyApps .

  • Al convertir una plantilla en etiqueta o vincular una plantilla a una etiqueta, ya no la pueden usar otras etiquetas. Además, esta plantilla ya no se mostrará en la sección Plantillas de protección.

  • No puede crear una plantilla desde la sección Plantillas de protección. En su lugar, cree una etiqueta que tenga la opción Proteger y configure los derechos de uso y las opciones en el panel Protección . Para instrucciones completas, consulte Para crear una nueva plantilla.

Para configurar las plantillas en la directiva de Azure Information Protection

  1. Si aún no lo ha hecho, abra una nueva ventana del explorador e inicie sesión en Azure Portal. A continuación, vaya al panel Azure Information Protection- Etiquetas.

    Por ejemplo, en el cuadro de búsqueda de recursos, servicios y documentos: Comience a escribir information y seleccione Azure Information Protection.

  2. En la opción de menúEtiquetas de clasificaciones>: en el panel Azure Information Protection - Etiquetas, expanda Plantillas de protección y, a continuación, busque la plantilla que desea configurar.

  3. Seleccione la plantilla y, en el panel Etiqueta , puede cambiar el nombre y la descripción de la plantilla, si es necesario, editando el nombre para mostrar de la etiqueta y la descripción. A continuación, seleccione Protección que tenga un valor de Azure (clave en la nube) para abrir el panel Protección .

  4. En el panel Protección , puede cambiar los permisos, la expiración del contenido y la configuración de acceso sin conexión. Para más información acerca de cómo configurar los valores de protección, consulte Configuración de una etiqueta para la protección de Rights Management

    Haga clic en Aceptar para mantener los cambios y, en el panel Etiqueta , haga clic en Guardar.

Nota:

También puede editar una plantilla mediante el botón Editar plantilla en el panel Protección si ha configurado una etiqueta para usar una plantilla predefinida. Siempre y cuando ninguna otra etiqueta use la plantilla seleccionada, este botón convierte la plantilla en una etiqueta y le lleva al paso 5. Para más información acerca de lo que ocurre cuando se convierten plantillas en etiquetas, consulte la sección siguiente.

Para convertir plantillas en etiquetas

Cuando tiene una suscripción que incluye clasificación, etiquetado y protección, puede convertir una plantilla en una etiqueta. Al convertir una plantilla, se conserva la plantilla original pero en Azure Portal ahora se muestra como incluida en una etiqueta nueva.

Por ejemplo, si convierte una etiqueta llamada Marketing que concede derechos de uso al grupo de marketing, en Azure Portal ahora se muestra como una etiqueta llamada Marketing con la misma configuración de protección. Si cambia la configuración de protección en esta etiqueta recién creada, la cambia en la plantilla y cualquier usuario o servicio que usa esta plantilla recibirá la nueva configuración de protección en la siguiente actualización de plantilla.

No es necesario convertir todas las plantillas en etiquetas pero, cuando lo hace, la configuración de protección se integra completamente con la funcionalidad total de las etiquetas para que no sea necesario mantener separadas las configuraciones.

Para convertir una plantilla en etiqueta, haga clic con el botón derecho en la plantilla y seleccione Convertir en etiqueta. Como alternativa puede usar el menú contextual para seleccionar esta opción.

También puede convertir una plantilla en una etiqueta al configurar una etiqueta para la protección y una plantilla predefinida, mediante el botón Editar plantilla.

Cuando se convierte una plantilla en etiqueta:

  • El nombre de la plantilla se convierte en un nombre de etiqueta nuevo y la descripción de la plantilla en la información sobre herramientas de la etiqueta.

  • Si se publicó el estado de la plantilla, esta configuración se asigna a Habilitada: Activada para la etiqueta, que ahora se muestra como esta etiqueta a los usuarios la próxima vez que publique la directiva de Azure Information Protection. Si se ha archivado el estado de la plantilla, esta configuración se asigna a Habilitada: Desactivada para la etiqueta y no se muestra como una etiqueta disponible para los usuarios.

  • La configuración de protección se conserva y puede editarla si es necesario. Además, puede agregar otros valores de etiqueta como marcadores visuales y condiciones.

  • La plantilla original ya no aparece en Plantillas de protección y no se puede seleccionar como predefinida al configurar la protección de una etiqueta. Para editar esta plantilla en Azure Portal, ahora debe editar la etiqueta que se ha creado al convertir la plantilla. La plantilla sigue disponible para el servicio Azure Rights Management y todavía se pueden usar los comandos de PowerShell para administrarla.

Para crear una nueva plantilla

Las plantillas se pueden crear mediante el portal o mediante PowerShell.

Creación de plantillas mediante PowerShell

Para crear una nueva plantilla de protección mediante PowerShell con el nombre, la descripción, la directiva y la configuración de estado deseado especificados, use el cmdlet Add-AipServiceTemplate .

Creación de plantillas mediante el portal

Al crear una nueva etiqueta mediante el portal con la configuración de protección de Azure (clave en la nube), esta acción crea una nueva plantilla personalizada a la que pueden acceder los servicios y las aplicaciones que se integran con Rights Management plantillas.

  1. En la opción de menú Etiquetas de clasificaciones>: en el panel Azure Information Protection - Etiquetas, seleccione Agregar una nueva etiqueta.

  2. En el panel Etiqueta , mantenga el valor predeterminado habilitado: Activado y, a continuación, escriba un nombre de etiqueta y una descripción para el nombre y la descripción de la plantilla.

  3. En Establecer permisos para documentos y correos electrónicos que contengan esta etiqueta, seleccione Proteger y, luego, Protección:

    Configure protection for an Azure Information Protection label

  4. En el panel Protección , puede cambiar los permisos, la expiración del contenido y la configuración de acceso sin conexión. Para más información acerca de cómo configurar estos valores de protección, consulte Configuración de una etiqueta para la protección de Rights Management

    Haga clic en Aceptar para mantener los cambios y, en el panel Etiqueta , haga clic en Guardar.

    En el panel Azure Information Protection: etiquetas, ahora verá la nueva etiqueta mostrada con la columna PROTECCIÓN para indicar que contiene la configuración de protección. Esta configuración de protección se muestra como plantillas para aplicaciones y servicios que admiten el servicio Azure Rights Management.

    Aunque la etiqueta está habilitada de forma predeterminada, la plantilla se archiva. Para que las aplicaciones y los servicios puedan usar la plantilla para proteger documentos y correos electrónicos, complete el paso final para publicar la plantilla.

  5. En la opciónde menúDirectivas de clasificaciones>, seleccione la directiva para contener la nueva configuración de protección. A continuación, seleccione Agregar o quitar etiquetas. En el panel Directiva: Agregar o quitar etiquetas , seleccione la etiqueta recién creada que contiene la configuración de protección, seleccione Aceptar y, a continuación, seleccione Guardar.

Pasos siguientes

Un equipo que ejecuta el cliente de Azure Information Protection puede tardar hasta 15 minutos en obtener esta configuración modificada. Para más información acerca de cómo los equipos y servicios descargan y actualizan las plantillas, consulte Actualización de plantillas para usuarios y servicios.

Asegúrese de proporcionar instrucciones a los usuarios sobre qué plantillas seleccionar si el nombre y la descripción de la plantilla no son suficientes para elegir el adecuado.

Todo lo que se puede hacer en Azure Portal para crear y administrar plantillas se puede hacer también con PowerShell. Además, PowerShell proporciona más opciones que no están disponibles en el portal. Para más información, consulte la Referencia de PowerShell para plantillas de protección.

Para más información acerca de cómo configurar la directiva de Azure Information Protection, use los vínculos de la sección Configuración de la directiva de la organización.