Tutorial: Configuración de Azure Information Protection para controlar el uso compartido excesivo de información mediante Outlook

El correo electrónico es uno de los métodos más comunes con el que los usuarios comparten información de manera inadecuada, ya sea en el propio mensaje de correo electrónico o en los datos adjuntos. Se pueden usar soluciones de prevención de pérdida de datos (DLP) que identifiquen información confidencial conocida y ayuden a evitar que salga de los límites de la organización. Pero también se puede usar el cliente de Azure Information Protection con algunas opciones de cliente avanzadas para ayudar a evitar el uso compartido excesivo y también informar a los usuarios mediante mensajes interactivos que proporcionen comentarios en tiempo real.

En este tutorial se le guiará por una configuración básica en la que usa una sola etiqueta para ilustrar los mensajes de advertencia, justificación y bloqueo que los usuarios pueden ver y a los que pueden responder.

En este tutorial, aprenderá a:

• Configurar opciones que implementan mensajes emergentes de advertencia, justificación o bloqueo en Outlook
• Ver la configuración en acción
• Revisar los mensajes y las acciones de usuario registrados en el registro de eventos

Puede finalizar este tutorial en aproximadamente 15 minutos.

Requisitos previos

Para completar este tutorial, necesita lo siguiente:

1. Una suscripción que incluya el plan 2 de Azure Information Protection.

   Si no tiene una suscripción que incluya este plan, puede crear una cuenta gratuita para su organización.

2. El panel Azure Information Protection se agrega a Azure Portal y se publica al menos una etiqueta en la directiva global de Azure Information Protection.

   Aunque en este tutorial se usa la etiqueta predeterminada, General, puede sustituirla por otra si lo prefiere. Si necesita ayuda para agregar el panel Azure Information Protection o si todavía no tiene ninguna etiqueta publicada en la directiva global, consulte el Inicio rápido: Adición de Azure Information Protection a Azure Portal y visualización de la directiva.

3. Un equipo con Windows (como mínimo Windows 7 con Service Pack 1) y, en este equipo, puede iniciar sesión en Outlook. Prepárese para reiniciar Outlook varias veces durante este tutorial.

4. El cliente clásico de Azure Information Protection instalado en el equipo Windows (mínimo Windows 7 con Service Pack 1).

Sugerencia

Para ver una lista completa de los requisitos previos para utilizar Azure Information Protection, consulte Requisitos de Azure Information Protection.

Comencemos. Continúe con Identificación de un id. de etiqueta para las pruebas.

Cliente de etiquetado unificado

Si usa el cliente de etiquetado unificado en lugar del cliente clásico, consulte las siguientes instrucciones que explican cómo usar la configuración avanzada de PowerShell en las configuraciones equivalentes de este tutorial:

• Instrucciones de la guía de administración: Implementación de mensajes emergentes en Outlook que adviertan, justifiquen o bloqueen los correos electrónicos que se envían

• Vídeo: Azure Information Protection Outlook Popup Configuration (Configuración de elementos emergentes de Outlook para Azure Information Protection)

Identificación de un id. de etiqueta para las pruebas

Para este tutorial, se usará una sola etiqueta para ver el comportamiento resultante para los usuarios. Puede usar cualquier etiqueta, pero un buen ejemplo para realizar pruebas es la etiqueta predeterminada denominada General, que suele ser adecuada para datos empresariales que no están pensados para consumo público, y que no aplica protección.

Para especificar la etiqueta elegida, debe conocer su identificador, que se identifica desde Azure Portal:

1. Abra una nueva ventana del explorador e inicie sesión en Azure Portal como administrador global. Después, vaya a Azure Information Protection.

   Por ejemplo, en el cuadro de búsqueda de recursos, servicios y documentos: Comience a escribir information y seleccione Azure Information Protection.

   Si no es el administrador global, utilice el siguiente vínculo para roles alternativos: Inicio de sesión en Azure Portal

2. Seleccione Clasificaciones>Etiquetas y, después, seleccione la etiqueta General para abrir la hoja Etiqueta: General.

3. Busque el identificador de etiqueta en la parte inferior del panel:

   

4. Copie y pegue el valor del identificador de etiqueta en un archivo temporal, para que lo pueda copiar fácilmente para un paso posterior. En el ejemplo, este valor de identificador de etiqueta es 0e421e6d-ea17-4fdb-8f01-93a3e71333b8.

5. Cierre la hoja Etiqueta: General, pero no cierre Azure Portal.

Creación de una directiva de ámbito para probar la nueva configuración de cliente avanzada

Se creará una directiva con ámbito para que la nueva configuración de cliente avanzada solo se aplique a usted, para las pruebas.

1. En el panel Azure Information Protection: Directivas, seleccione Agregar una directiva. Después, verá que en el panel Directiva se muestran las etiquetas y la configuración de la directiva global existente.

2. Especifique el nombre de directiva Tutorial de uso compartido excesivo y, opcionalmente, la descripción Configuración de cliente avanzada para controlar el uso compartido excesivo mediante Outlook.

3. Seleccione Specify which users/groups get this policy (Especificar a qué usuarios o grupos se aplica esta directiva) y, con los paneles siguientes, especifique su propia cuenta de usuario.

4. Ahora se muestra el nombre de la cuenta en el panel Directiva; seleccione Guardar sin realizar cambios adicionales en las etiquetas o la configuración de este panel. Es posible que se le pida confirmar la elección.

Ahora esta directiva con ámbito está lista para agregar la configuración de cliente avanzada. Cierre la hoja Directiva: Tutorial de uso compartido excesivo, pero no cierre Azure Portal.

Configuración y prueba de la configuración de cliente avanzada para advertir, solicitar justificación o bloquear correos electrónicos que tengan la etiqueta General

Para este paso del tutorial, se especificarán las siguientes opciones de cliente avanzadas, y se probarán de forma individual:

• OutlookWarnUntrustedCollaborationLabel
• OutlookJustifyUntrustedCollaborationLabel
• OutlookBlockUntrustedCollaborationLabel

Creación de la configuración de cliente avanzada para advertir a los usuarios si un correo electrónico o los datos adjuntos tienen la etiqueta General

Mediante la directiva con ámbito recién creada, se agregará una nueva configuración de cliente avanzada denominada OutlookWarnUntrustedCollaborationLabel con el identificador de la etiqueta General:

1. De nuevo en el panel Azure Information Protection: Directivas, seleccione el menú contextual (...) situado junto a Tutorial de uso compartido excesivo. Después, seleccione Configuración avanzada.

2. En el panel Configuración avanzada, escriba el nombre de la opción avanzada (OutlookWarnUntrustedCollaborationLabel) y pegue su propio identificador de etiqueta para el valor. Con el identificador de etiqueta de ejemplo:

   

3. Haga clic en Guardar y cerrar.

No cierre el panel Directivas ni Azure Portal.

Prueba de la configuración de cliente avanzada para advertir a los usuarios si un correo electrónico o los datos adjuntos tienen la etiqueta General

En el equipo cliente, ahora se verán los resultados de la configuración de esta opción de cliente avanzada.

1. En el equipo cliente, abra Outlook.

   Si Outlook ya está abierto, reinícielo. El reinicio es necesario para descargar el cambio que se acaba de realizar.

2. Cree un mensaje de correo electrónico y aplique la etiqueta General. Por ejemplo, desde la pestaña Archivo, seleccione el botón Proteger y después General.

3. Especifique su propia dirección de correo electrónico en el campo Para y, para el asunto, escriba Prueba de la etiqueta General para el mensaje de advertencia. Después, envíe el correo electrónico.

4. Como resultado de la configuración de cliente avanzada, verá la advertencia siguiente, en la que se le solicita que confirme antes de enviar el correo electrónico. Por ejemplo:

   

5. Como si fuera un usuario que ha intentado de forma errónea enviar algo por correo electrónico con la etiqueta General, seleccione Cancelar. Verá que el correo electrónico no se envía, pero que el mensaje se conserva para que pueda realizar cambios, como modificar el contenido o la etiqueta.

6. Sin realizar ningún cambio, vuelva a seleccionar Enviar. Esta vez, como si fuera un usuario que confirma que el contenido es adecuado para el envío, seleccione Confirmar y enviar. El correo electrónico se envía.

Modificación de la configuración de cliente avanzada para solicitar a los usuarios que justifiquen si un correo electrónico tiene la etiqueta General

Se modificará la configuración de cliente avanzada existente para mantener el id. de la etiqueta General, pero se cambiará el nombre a OutlookJustifyUntrustedCollaborationLabel:

1. En el panel Azure Information Protection: Directivas, seleccione el menú contextual (...) situado junto a Tutorial de uso compartido excesivo. Después, seleccione Configuración avanzada.

2. En el panel Configuración avanzada, reemplace el nombre de la configuración avanzada anterior que ha creado (OutlookWarnUntrustedCollaborationLabel) por el nombre nuevo OutlookJustifyUntrustedCollaborationLabel:

   

3. Haga clic en Guardar y cerrar.

No cierre el panel Directivas ni Azure Portal.

Prueba de la configuración de cliente avanzada para solicitar a los usuarios que justifiquen si un correo electrónico tiene la etiqueta General

En el equipo cliente, ahora se verán los resultados de esta nueva configuración de cliente avanzada.

1. En el equipo cliente, reinicie Outlook para descargar el cambio que se acaba de realizar.

2. Cree un mensaje de correo electrónico y, como antes, aplique la etiqueta General. Por ejemplo, desde la pestaña Archivo, seleccione el botón Proteger y después General.

3. Especifique su propia dirección de correo electrónico en el campo Para y, para el asunto, escriba Prueba de la etiqueta General para el mensaje de justificación. Después, envíe el correo electrónico.

4. Esta vez, verá el mensaje siguiente, en el que se le pide que proporcione una justificación antes de enviar el correo electrónico. Por ejemplo:

   

5. Como si fuera un usuario que ha intentado de forma errónea enviar algo por correo electrónico con la etiqueta General, seleccione Cancelar. Verá que el correo electrónico no se envía, pero que el propio mensaje se conserva para que pueda realizar cambios, como modificar el contenido o la etiqueta.

6. Sin realizar ningún cambio, vuelva a seleccionar Enviar. En esta ocasión, seleccione una de las opciones de justificación, como I confirm the recipients are approved for sharing this content (Confirmo que se aprueban los destinatarios para compartir este contenido) y, después, seleccione Confirmar y enviar. El correo electrónico se envía.

Modificación de la configuración de cliente avanzada para evitar que los usuarios envíen un correo electrónico que tenga la etiqueta General

Se modificará la configuración de cliente avanzada existente una vez más, para mantener el id. de la etiqueta General, pero se cambiará el nombre a OutlookBlockUntrustedCollaborationLabel:

1. En Azure Portal, en el panel Azure Information Protection: Directivas, seleccione el menú contextual (...) situado junto a Tutorial de uso compartido excesivo. Después, seleccione Configuración avanzada.

2. En el panel Configuración avanzada, reemplace el nombre de la configuración avanzada que ha creado (OutlookJustifyUntrustedCollaborationLabel) por el nombre nuevo OutlookBlockUntrustedCollaborationLabel:

   

3. Haga clic en Guardar y cerrar.

No cierre el panel Directivas ni Azure Portal.

Prueba de la configuración de cliente avanzada para impedir que los usuarios envíen un correo electrónico que tenga la etiqueta General

En el equipo cliente, ahora se verán los resultados de esta nueva configuración de cliente avanzada.

1. En el equipo cliente, reinicie Outlook para descargar el cambio que se acaba de realizar.

2. Cree un mensaje de correo electrónico y, como antes, aplique la etiqueta General. Por ejemplo, desde la pestaña Archivo, seleccione el botón Proteger y después General.

3. Especifique su propia dirección de correo electrónico en el campo Para y, para el asunto, escriba Prueba de la etiqueta General para el mensaje de bloqueo. Después, envíe el correo electrónico.

4. Esta vez, verá el mensaje siguiente que impide que se envíe el correo electrónico. Por ejemplo:

   

5. Si actúa como el usuario, verá que la única opción disponible es Aceptar, que le lleva de vuelta al mensaje de correo electrónico, donde puede realizar cambios. Seleccione Aceptar y cancele este mensaje de correo electrónico.

Uso del registro de eventos para identificar los mensajes y las acciones del usuario para la etiqueta General

Antes de pasar al escenario siguiente para cuando un correo electrónico o los datos adjuntos no tienen una etiqueta, inicie el Visor de eventos y vaya a Registros de aplicaciones y servicios>Azure Information Protection.

Para cada una de las pruebas que ha realizado, se han creado eventos de información para registrar el mensaje y la respuesta del usuario:

• Mensajes de advertencia: Id. de información 301

• Mensajes de justificación: Id. de información 302

• Mensajes de bloqueo: Id. de información 303

Por ejemplo, la primera prueba ha sido advertir al usuario y ha seleccionado Cancelar, por lo que en Respuesta del usuario se muestra Descartada en el primer evento 301. Por ejemplo:

Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing the General label for the Warn message.msg
Item Name: Testing the General label for the Warn message
Process Name: OUTLOOK
Action: Warn
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
Action Source: 
User Response: Dismissed

Pero después ha seleccionado Confirmar y enviar, lo que se refleja en el siguiente evento 301, donde en Respuesta del usuario se muestra Confirmada:

Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing the General label for the Warn message.msg
Item Name: Testing the General label for the Warn message
Process Name: OUTLOOK
Action: Warn
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
Action Source: 
User Response: Confirmed

El mismo patrón se repite para el mensaje de justificación, que tiene un evento 302. El primer evento tiene un valor Descartada para Respuesta del usuario, y en el segundo se muestra la justificación que se ha seleccionado. Por ejemplo:

Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing the General label for the Justify message.msg
Item Name: Testing the General label for the Justify message
Process Name: OUTLOOK
Action: Justify
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
User Justification: I confirm the recipients are approved for sharing this content
Action Source: 
User Response: Confirmed

En la parte superior del registro de eventos, verá el mensaje de bloqueo registrado, que tiene un evento 303. Por ejemplo:

Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing the General label for the Block message.msg
Item Name: Testing the General label for the Block message
Process Name: OUTLOOK
Action: Block
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
Action Source: 

Opcional: Creación de una configuración de cliente avanzada adicional para excluir estos mensajes para los destinatarios internos

Ha probado los mensajes de advertencia, justificación y bloqueo con su propia dirección de correo electrónico como destinatario. En un entorno de producción, puede elegir mostrar estos mensajes para las etiquetas especificadas solo si los destinatarios son externos a la organización. Podría ampliar esa exención a los asociados con los que la organización trabaja habitualmente.

Para ilustrar cómo funciona, se creará una configuración de cliente avanzada adicional denominada OutlookBlockTrustedDomains y especificará su propio nombre de dominio de la dirección de correo electrónico. Esto evitará que el mensaje de bloqueo que vio anteriormente se muestre para los destinatarios que comparten su nombre de dominio en su dirección de correo electrónico, aunque se seguirá mostrando para los demás destinatarios. Se pueden crear configuraciones de cliente avanzadas adicionales para OutlookWarnTrustedDomains y OutlookJustifyTrustedDomains.

1. En Azure Portal, en el panel Azure Information Protection: Directivas, seleccione el menú contextual (...) situado junto a Tutorial de uso compartido excesivo. Después, seleccione Configuración avanzada.

2. En el panel Configuración avanzada, escriba el nombre de la configuración avanzada, OutlookBlockTrustedDomains y, para el valor, pegue el nombre de dominio de la dirección de correo electrónico. Por ejemplo:

   

3. Haga clic en Guardar y cerrar. No cierre el panel Directivas ni Azure Portal.

4. Ahora repita la prueba anterior para impedir que los usuarios envíen un correo electrónico con la etiqueta general, y ya no verá el mensaje de bloqueo cuando use su propia dirección de correo electrónico. El correo electrónico se envía sin interrupción.

   Para confirmar que el mensaje de bloqueo se sigue mostrando para los destinatarios externos, repita la prueba una vez más, pero especifique un destinatario externo a la organización. Esta vez, verá el mensaje de bloqueo de nuevo, en el que se muestra la nueva dirección del destinatario como de no confianza.

Configuración y prueba de la configuración de cliente avanzada para advertir, solicitar justificación o bloquear correos electrónicos que no tienen una etiqueta

Para este paso del tutorial, se especificará una configuración de cliente avanzada nueva con otros valores, y se probarán de forma individual:

• OutlookUnlabeledCollaborationAction

Creación de la configuración de cliente avanzada para advertir a los usuarios si un correo no tiene una etiqueta

Esta nueva configuración de cliente avanzada denominada OutlookUnlabeledCollaborationAction no necesita un identificador de etiqueta, pero especifica la acción que se va a realizar para el contenido sin etiqueta:

1. En Azure Portal, de nuevo en el panel Azure Information Protection: Directivas, seleccione el menú contextual (...) situado junto a Tutorial de uso compartido excesivo. Después, seleccione Configuración avanzada.

2. En el panel Configuración avanzada, escriba el nombre de la configuración avanzada, OutlookUnlabeledCollaborationAction y, para el valor, especifique Advertir:

   

3. Haga clic en Guardar y cerrar.

No cierre el panel Directivas ni Azure Portal.

Prueba de la configuración de cliente avanzada para advertir a los usuarios si un correo no tiene una etiqueta

En el equipo cliente, ahora se verán los resultados de la configuración de esta opción de cliente avanzada nueva para cuando el contenido no tenga una etiqueta:

1. En el equipo cliente, reinicie Outlook para descargar el cambio que se acaba de realizar.

2. Cree un mensaje de correo electrónico y, esta vez, no aplique una etiqueta.

3. Especifique su propia dirección de correo electrónico en el campo Para y, para el asunto, escriba Prueba de envío de un correo electrónico sin una etiqueta para el mensaje de advertencia. Después, envíe el correo electrónico.

4. Esta vez, verá un mensaje Confirmación requerida que puede Confirmar y enviar o Cancelar:

   

5. Seleccione Confirmar y enviar.

Modificación de la configuración de cliente avanzada para solicitar a los usuarios que justifiquen si un correo electrónico no tiene etiqueta

Se modificará la configuración de cliente avanzada existente para conservar el nombre de OutlookUnlabeledCollaborationAction, pero el valor se cambiará a Justificar:

1. En el panel Azure Information Protection: Directivas, seleccione el menú contextual (...) situado junto a Tutorial de uso compartido excesivo. Después, seleccione Configuración avanzada.

2. En el panel Configuración avanzada, busque la opción OutlookUnlabeledCollaborationAction y reemplace el valor anterior de Advertir por el valor nuevo Justificar:

   

3. Haga clic en Guardar y cerrar.

No cierre el panel Directivas ni Azure Portal.

Prueba de la configuración de cliente avanzada para solicitar a los usuarios que justifiquen si un correo electrónico no tiene etiqueta

En el equipo cliente, ahora se verán los resultados del cambio de valor para esta configuración de cliente avanzada.

1. En el equipo cliente, reinicie Outlook para descargar el cambio que se acaba de realizar.

2. Cree un mensaje de correo electrónico y, como antes, no aplique una etiqueta.

3. Especifique su propia dirección de correo electrónico en el campo Para y, para el asunto, escriba Prueba de envío de un correo electrónico sin una etiqueta para el mensaje de justificación. Después, envíe el correo electrónico.

4. Esta vez, verá un mensaje Justificación requerida con diferentes opciones:

   

5. Seleccione una opción, como My manager approved sharing of this content (El administrador ha aprobado el uso compartido de este contenido). Después, seleccione Confirmar y enviar.

Modificación de la configuración de cliente avanzada para evitar que los usuarios envíen un correo electrónico sin etiqueta

Como antes, se modificará la configuración de cliente avanzada existente para conservar el nombre de OutlookUnlabeledCollaborationAction, pero el valor se cambiará a Bloquear:

1. En el panel Azure Information Protection: Directivas, seleccione el menú contextual (...) situado junto a Tutorial de uso compartido excesivo. Después, seleccione Configuración avanzada.

2. En el panel Configuración avanzada, busque la opción OutlookUnlabeledCollaborationAction y reemplace el valor anterior de Justificar por el valor nuevo Bloquear:

   

3. Haga clic en Guardar y cerrar.

No cierre el panel Directivas ni Azure Portal.

Prueba de la configuración de cliente avanzada para impedir que los usuarios envíen un correo electrónico sin etiqueta

En el equipo cliente, ahora se verán los resultados del cambio de valor de esta configuración de cliente avanzada.

1. En el equipo cliente, reinicie Outlook para descargar el cambio que se acaba de realizar.

2. Cree un mensaje de correo electrónico y, como antes, no aplique una etiqueta.

3. Especifique su propia dirección de correo electrónico en el campo Para y, para el asunto, escriba Prueba de envío de un correo electrónico sin una etiqueta para el mensaje de bloqueo. Después, envíe el correo electrónico.

4. Esta vez, verá el mensaje siguiente que impide que se envíe el correo electrónico, con una explicación para el usuario. Por ejemplo:

   

5. Si actúa como el usuario, verá que la única opción disponible es Aceptar, que le lleva de vuelta al mensaje de correo electrónico, donde puede seleccionar una etiqueta.

   Seleccione Aceptar y cancele este mensaje de correo electrónico.

Uso del registro de eventos para identificar los mensajes y las acciones del usuario para el correo electrónico sin etiquetas

Como antes, los mensajes y las respuestas del usuario se registran en el Visor de eventos, Registros de aplicaciones y servicios>Azure Information Protection, con los mismos identificadores de evento.

• Mensajes de advertencia: Id. de información 301

• Mensajes de justificación: Id. de información 302

• Mensajes de bloqueo: Id. de información 303

Por ejemplo, los resultados de la solicitud de justificación cuando el correo electrónico no tenía una etiqueta:

Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing send an email without a label for the Justify message.msg
Item Name: Testing send an email without a label for the Justify message
Process Name: OUTLOOK
Action: Justify
User Justification: My manager approved sharing of this content
Action Source: 
User Response: Confirmed

Limpieza de recursos

Si no desea conservar los cambios realizados en este tutorial, haga lo siguiente:

1. En Azure Portal, en el panel Azure Information Protection: Directivas, seleccione el menú contextual (...) situado junto a Tutorial de uso compartido excesivo. Después, seleccione Eliminar directiva.

2. Si se le pide que confirme, seleccione Aceptar.

Reinicie Outlook para que ya no esté configurado para las opciones que se han configurado para este tutorial.

Pasos siguientes

Para agilizar las pruebas, en este tutorial se ha usado un mensaje de correo electrónico para un destinatario individual, sin datos adjuntos. Pero puede aplicar el mismo método con varios destinatarios y etiquetas, y también aplicar la misma lógica a datos adjuntos de correo electrónico cuyo estado de etiquetado suele ser menos obvio para los usuarios. Por ejemplo, el propio mensaje de correo electrónico está etiquetado como Público, pero la presentación de PowerPoint adjunta tiene la etiqueta General. Para más información sobre las opciones de configuración, vea la sección siguiente de la guía del administrador: Implementación de mensajes emergentes en Outlook que adviertan, justifiquen o bloqueen los correos electrónicos que se envían

La guía del administrador también contiene información sobre otras configuraciones de cliente avanzadas que se pueden usar para personalizar el comportamiento del cliente. Para obtener una lista completa, vea Configuración de cliente avanzada disponible.