Preguntas más frecuentes sobre el cliente clásico de Azure Information Protection

¿Cuándo es el momento adecuado para migrar mis etiquetas al etiquetado unificado?

Se recomienda migrar las etiquetas de Azure Information Protection a la plataforma de etiquetado unificado para poder usarlas como etiquetas de confidencialidad con otros clientes y servicios que admitan el etiquetado unificado.

Para más información e instrucciones, consulte Migración de etiquetas de Azure Information Protection a etiquetas de confidencialidad unificadas.

¿Es necesario volver a cifrar mis archivos después de pasar a etiquetas de confidencialidad y a la plataforma de etiquetado unificado?

No, no es necesario volver a cifrar los archivos después de pasar a etiquetas de confidencialidad y a la plataforma de etiquetado unificada después de migrar desde el cliente clásico de AIP y las etiquetas administradas en el Azure Portal.

Después de migrar, administre las etiquetas y las directivas de etiquetado desde el Centro de cumplimiento de Microsoft 365.

Para obtener más información, consulte Más información sobre las etiquetas de confidencialidad en la documentación de Microsoft 365 y el blog Descripción de la migración de etiquetado unificado.

¿Cuál es la diferencia entre las etiquetas de Microsoft 365 y las etiquetas de Azure Information Protection?

Originalmente, Microsoft 365 tenía solo etiquetas de retención, lo que le permitió clasificar documentos y correos electrónicos para la auditoría y retención cuando ese contenido se almacenaba en Microsoft 365 servicios.

En cambio, Las etiquetas de Azure Information Protection, configuradas en el momento mediante el cliente clásico de AIP en la Azure Portal, le permiten aplicar una directiva de protección y clasificación coherente para documentos y correos electrónicos, tanto si se almacenaron en el entorno local como en la nube.

Microsoft 365 admite etiquetas de confidencialidad además de etiquetas de retención. Las etiquetas de confidencialidad se pueden crear y configurar en el centro de cumplimiento de Microsoft 365.

Si tiene etiquetas de AIP heredadas configuradas en el Azure Portal, se recomienda migrarlas a etiquetas de confidencialidad y al cliente de etiquetado unificado. Para obtener más información, consulte Tutorial: Migración del cliente clásico de Azure Information Protection (AIP) al cliente de etiquetado unificado.

Para más información, consulte el artículo Announcing availability of information protection capabilities to help protect your sensitive data (Anuncio de la disponibilidad de las funcionalidades de protección de la información para ayudar a proteger los datos confidenciales).

¿Es el cliente de Azure Information Protection únicamente para las suscripciones que incluyen la clasificación y el etiquetado?

No. El cliente de AIP clásico también se puede usar con suscripciones que incluyan solo el servicio Azure Rights Management, solo para la protección de datos.

Cuando el cliente clásico se instala sin una directiva de Azure Information Protection, el cliente funciona automáticamente en modo de solo protección, lo que permite a los usuarios aplicar plantillas Rights Management y permisos personalizados.

Si más adelante adquiere una suscripción que incluye la clasificación y el etiquetado, el cliente cambia automáticamente al modo estándar cuando descarga la directiva de Azure Information Protection.

Configuración de Rights Management propietarios

De forma predeterminada, tanto para Windows FCI del servidor como para el analizador de Azure Information Protection, el propietario del Rights Management se establece en la cuenta que protege el archivo.

Invalide la configuración predeterminada de la siguiente manera:

  • Windows FCI del servidor: establezca el propietario del Rights Management como una sola cuenta para todos los archivos o establezca dinámicamente el propietario del Rights Management para cada archivo.

    Para establecer de forma dinámica el propietario de Rights Management, use el parámetro y valor -OwnerMail [Correo electrónico del propietario del archivo de origen]. Esta configuración recupera de Active Directory la dirección de correo electrónico del usuario utilizando su nombre de cuenta, situado en la propiedad Propietario del archivo.

  • Analizador de Azure Information Protection: para los archivos recién protegidos, establezca el propietario del Rights Management para que sea una sola cuenta para todos los archivos de un almacén de datos especificado, especificando la configuración de propietario -Default en el perfil del analizador.

    No se admite la configuración dinámica del propietario del Rights Management para cada archivo y el propietario del Rights Management no se cambia para los archivos protegidos anteriormente.

    Nota:

    Cuando el analizador protege los archivos de bibliotecas y sitios de SharePoint, el propietario de Rights Management se establece de forma dinámica para cada archivo con el valor de Editor de SharePoint.

¿Puede un archivo tener más de una clasificación?

Los usuarios pueden seleccionar una sola etiqueta a la vez para cada documento o correo electrónico, lo que a menudo resulta en una sola clasificación. Sin embargo, si los usuarios seleccionan una subetiqueta, en realidad se aplican dos etiquetas a la vez: una principal y una secundaria. Con las subetiquetas, un archivo puede tener dos clasificaciones que denotan una relación entre elementos principal y secundario para, así, obtener un nivel extra de control.

Por ejemplo, la etiqueta Confidencial podría contener subetiquetas como Legal y Financiero. Se pueden aplicar diferentes marcas visuales de clasificación y diferentes plantillas de Rights Management a estas subetiquetas. Un usuario no puede seleccionar la etiqueta Confidencial por sí misma, sino solo una de sus subetiquetas, como Legal. Como resultado, la etiqueta que ven es Confidencial \ Legal. Los metadatos de ese archivo incluyen una propiedad de texto personalizado para Confidencial, una propiedad de texto personalizado para Legal y otra que contiene los dos valores (Confidential Legal).

Cuando use subetiquetas, no configure distintivos visuales, protección o condiciones en la etiqueta principal. Si usa subniveles, configure estos valores únicamente en la subetiqueta. Si configura estas opciones en la etiqueta principal y en su subetiqueta, la configuración de la subetiqueta tendrá prioridad.

¿Cómo se evita que alguien quite o cambie una etiqueta?

Aunque hay una configuración de directiva que requiere que los usuarios indiquen por qué están reduciendo una etiqueta de clasificación, quitando una etiqueta o quitando la protección, esta configuración no impide estas acciones. Para evitar que los usuarios quiten o cambien una etiqueta, el contenido ya debe estar protegido y los permisos de protección no conceden al usuario el derecho de uso Exportar o Control total.

¿Cómo pueden las soluciones DLP y otras aplicaciones integrarse con Azure Information Protection?

Como Azure Information Protection usa metadatos persistentes para la clasificación, que incluyen una etiqueta no cifrada, esta información puede leerse mediante soluciones DLP y otras aplicaciones.

Para obtener más información sobre estos metadatos, consulte Información de la etiqueta almacenada en correos electrónicos y documentos.

Para ver ejemplos del uso de estos metadatos con reglas de flujo de correo de Exchange Online, consulte Configuración de reglas de flujo de correo de Exchange Online para etiquetas de Azure Information Protection.

¿Puedo crear una plantilla de documento que incluya automáticamente la clasificación?

Sí. Puede configurar una etiqueta para aplicar un encabezado o pie de página que incluye el nombre de etiqueta. Pero si esto no cumple sus requisitos, solo para el cliente clásico de Azure Information Protection, puede crear una plantilla de documento que tenga el formato que desee y agregar la clasificación como código de campo.

Por ejemplo, podría tener una tabla en el encabezado del documento que muestra la clasificación. O bien, podría utilizar una redacción específica para una introducción que hace referencia a la clasificación del documento.

Para agregar este código de campo en el documento:

  1. Etiquete el documento y guárdelo. Esta acción crea nuevos campos de metadatos que ahora puede usar para el código de campo.

  2. En el documento, coloque el cursor donde desea agregar la clasificación de la etiqueta y, a continuación, en la pestaña Insertar, seleccione Texto>Elementos rápidos>Campo.

  3. En el cuadro de diálogo Campo, en el menú desplegable Categorías, seleccione Información del documento. A continuación, en la lista desplegable Nombres de campo, seleccione DocProperty.

  4. En la lista desplegable Propiedad, seleccione Sensibilidad y luego Aceptar.

La clasificación de la etiqueta actual se muestra en el documento y este valor se actualizará automáticamente cada vez que abra el documento o use la plantilla. Así pues, si cambia la etiqueta, la clasificación que se muestra en el código de este campo se actualizará automáticamente en el documento.

¿Cómo se diferencia la clasificación de los correos electrónicos con Azure Information Protection de Exchange clasificación de mensajes?

Exchange clasificación de mensajes es una característica anterior que puede clasificar los correos electrónicos y se implementa independientemente de las etiquetas de Azure Information Protection o las etiquetas de confidencialidad que aplican la clasificación.

Sin embargo, puede integrar esta característica anterior con etiquetas, de modo que cuando los usuarios clasifiquen un correo electrónico mediante Outlook en la Web y mediante algunas aplicaciones de correo móvil, se agregan automáticamente la clasificación de etiquetas y las marcas de etiqueta correspondientes.

Puede usar esta misma técnica para usar las etiquetas con Outlook en la Web y estas aplicaciones de correo móviles.

Tenga en cuenta que no es necesario hacerlo si usa Outlook en la Web con Exchange Online, ya que esta combinación admite el etiquetado integrado al publicar etiquetas de confidencialidad desde el Centro de cumplimiento de Microsoft 365.

Si no puede usar el etiquetado integrado con Outlook en la Web, consulte los pasos de configuración de esta solución alternativa: Integración con la clasificación de mensajes de Exchange heredada.

¿Cómo configuro un equipo Mac para proteger documentos y realizar su seguimiento?

En primer lugar, asegúrese de haber instalado Office para Mac con el vínculo de instalación de software de https://admin.microsoft.com. Para obtener instrucciones completas, consulta Descargar e instalar o reinstalar Microsoft 365 o Office 2019 en un equipo o Mac.

Abra Outlook y cree un perfil con su cuenta profesional o educativa de Microsoft 365. A continuación, cree un nuevo mensaje y realice lo siguiente para configurar Office de manera que proteja los documentos y los correos electrónicos mediante Azure Rights Management Service:

  1. En el nuevo mensaje, en la pestaña Opciones, haga clic en Permisos y en Comprobar credenciales.

  2. Cuando se le solicite, especifique de nuevo los detalles de la cuenta profesional o educativa Microsoft 365 y seleccione Iniciar sesión.

    Así se descargarán las plantillas de Azure Rights Management y Comprobar credenciales se sustituirá por opciones que incluyen Sin restricciones, No reenviar y las plantillas de Azure Rights Management publicadas para el inquilino. Ahora puede cancelar el mensaje nuevo.

Para proteger un mensaje de correo electrónico o un documento: en la pestaña Opciones, haga clic en Permisos y elija una opción o plantilla que proteja el correo electrónico o el documento.

Para realizar un seguimiento de un documento después de haber protegidolo: desde un equipo Windows que tenga instalado el cliente clásico de Azure Information Protection, registre el documento en el sitio de seguimiento de documentos mediante una aplicación de Office o Explorador de archivos. Para instrucciones, consulte el artículo sobre seguimiento y revocación de documentos. Desde el equipo Mac, ahora puede usar el explorador web para ir al sitio de seguimiento de documentos (https://track.azurerms.com) para realizar el seguimiento y revocar este documento.

Cuando pruebo la revocación en el sitio de seguimiento de documentos, veo un mensaje que indica que el acceso al documento sigue permitido durante 30 días, ¿se puede configurar este plazo?

Sí. Este mensaje se refleja la licencia de uso de ese archivo en concreto.

Si se revoca un archivo, se puede aplicar esa acción únicamente cuando el usuario se autentica en Azure Rights Management Service. Por lo tanto, si un archivo tiene un período de validez de la licencia de uso de 30 días y el usuario ya ha abierto el documento, seguirá teniendo acceso al documento durante la vigencia de la licencia de uso. Cuando la licencia de uso expire, el usuario deberá repetir la autenticación, momento en el cual al usuario se le deniega el acceso, ya que se ha revocado el documento.

El usuario que ha protegido el documento, el emisor de Rights Management está exento de esta revocación y puede acceder a sus documentos siempre.

El período de validez predeterminado de la licencia de uso de un inquilino es 30 días; este valor puede reemplazarse por una configuración más restrictiva en una etiqueta o una plantilla. Para más información acerca de la licencia de uso y cómo configurarla, consulte la documentación Licencia de uso de Rights Management.

¿Cuál es la diferencia entre BYOK y HYOK y cuándo debo usarlas?

Bring your own key (BYOK) en el contexto de Azure Information Protection, sirve para crear su propia clave local para la protección con Azure Rights Management. A continuación, esa clave se transfiere a un módulo de seguridad de hardware (HSM) de Azure Key Vault, donde aún poseerá y administrará su clave. Si no hizo esto, protección de Azure Rights Management usaría una clave que creada y administrada automáticamente en Azure. Esta configuración predeterminada se conoce a como "administrada por Microsoft" en lugar de "administrada por el cliente" (la opción de BYOK).

Para más información acerca de BYOK y si debería elegir esta topología de clave para su organización, consulte Planeamiento e implementación de su clave de inquilino de Azure Information Protection.

Hold your own key (HYOK) en el contexto de Azure Information Protection, está diseñado para algunas organizaciones que tienen un subconjunto de documentos o correos electrónicos que no se pueden proteger mediante una clave almacenada en la nube. Para estas organizaciones, esta restricción se aplica incluso si la clave se creó y se administró mediante BYOK. A menudo, la restricción puede deberse a motivos legales o de cumplimiento y la configuración de HYOK se debe aplicar únicamente a la información "ultrasecreta", que nunca se comparta fuera de la organización, que solo se consuma en la red interna y que no requiera el acceso desde dispositivos móviles.

Para estas excepciones (normalmente menos del 10 % del contenido que necesita protección), las organizaciones pueden usar una solución local, Active Directory Rights Management Services, para crear la clave que permanece en local. Con esta solución, los equipos obtienen su directiva de Azure Information Protection de la nube, pero se puede proteger este contenido específico mediante la clave local.

Para más información acerca de HYOK, para asegurarse de que comprende sus limitaciones y restricciones y para instrucciones de cuándo usarlo, consulte Requisitos y restricciones de Hold your own key (HYOK) para la protección de AD RMS.

¿Qué hago si mi pregunta no está aquí?

En primer lugar, revise las preguntas más frecuentes que se enumeran a continuación, que son específicas de la clasificación y el etiquetado, o específicas de la protección de datos. El servicio Azure Rights Management (Azure RMS) proporciona la tecnología de protección de datos para Azure Information Protection. Azure RMS puede usarse con la clasificación y el etiquetado, o por sí mismo.

Si no se responde a su pregunta, consulte los vínculos y recursos que aparecen en Información y soporte técnico para Azure Information Protection.

Además, hay preguntas más frecuentes diseñadas para usuarios finales: