Configuración de la colaboración con documentos segura mediante Azure Information Protection

  • Artículo

Al utilizar Azure Information Protection, es posible proteger los documentos sin renunciar a la colaboración con usuarios autorizados. La mayoría de los documentos que un usuario crea y, a continuación, comparte con otros usuarios para ver y editar serán documentos de Office de Word, Excel y PowerPoint. Estos documentos admiten la protección nativa, lo que significa que además de las características de autorización y cifrado relativas a la protección, admiten también la restricción de permisos para llevar a cabo un control más minucioso.

Estos permisos se denominan derechos de uso, e incluyen permisos como ver, editar o imprimir. Puede definir derechos de uso individuales cuando un documento está protegido, o puede definir una agrupación de derechos de uso, lo que se denomina niveles de permisos. Los niveles de permisos facilitan la selección de derechos de uso que normalmente se utilizan en conjunto, como revisor o coautor. Para más información sobre los derechos de uso y los niveles de permisos, consulte Configuración de los derechos de uso para Azure Information Protection.

Al configurar estos permisos, también puede especificar a qué usuarios están destinados:

  • Para los usuarios de su propia organización o de otra organización que usa Azure Active Directory: puede especificar cuentas de usuario de Azure AD, grupos de Azure AD o todos los usuarios de esa organización.

  • Para los usuarios que no tienen una cuenta de Azure Active Directory: especifique una dirección de correo electrónico que se usará con una cuenta Microsoft. Esta cuenta puede existir ya o bien los usuarios pueden crearla en el momento en que abran el documento protegido.

    Para abrir documentos con una cuenta Microsoft, los usuarios deben usar Microsoft 365 aplicaciones (Hacer clic y ejecutar). Otras ediciones y versiones de Office todavía no admiten la apertura de documentos protegidos de Office con una cuenta Microsoft.

  • Para cualquier usuario autenticado: esta opción es adecuada para cuando no es necesario controlar quién tiene acceso al documento protegido, siempre que el usuario se pueda autenticar. La autenticación puede completarse mediante Azure AD, una cuenta Microsoft o un proveedor social federado o un código de acceso de un solo uso cuando el contenido está protegido por las nuevas funcionalidades de Office 365 Message Encryption.

Como administrador, puede configurar una etiqueta de Azure Information Protection para aplicar los permisos y los usuarios autorizados. Esta configuración facilita en gran medida a los usuarios y otros administradores la aplicación de la configuración de protección adecuada, ya que basta con aplicar la etiqueta sin tener que especificar los detalles. En las secciones siguientes se proporciona un tutorial de ejemplo para proteger un documento que admita la colaboración segura con usuarios internos y externos.

Ejemplo de configuración para una etiqueta a fin aplicar una protección que admite la colaboración interna y externa

En este ejemplo se explica cómo configurar una etiqueta existente para aplicar protección para que los usuarios de su organización puedan colaborar en documentos con todos los usuarios de otra organización que tenga Microsoft 365 o Azure AD, un grupo de otra organización que tenga Microsoft 365 o Azure AD, y un usuario que no tenga una cuenta en Azure AD y, en su lugar, usará su dirección de correo electrónico de Gmail.

Dado que el escenario restringe el acceso a usuarios específicos, no incluye la configuración para todos los usuarios autenticados. Para obtener un ejemplo de cómo configurar una etiqueta con esta configuración, consulte el Ejemplo 5: Etiqueta que cifra el contenido pero no limita el acceso a este.

  1. Seleccione una etiqueta que ya esté en la directiva global o una directiva con ámbito. En el panel Protección, asegúrese de que Azure (clave de nube) esté seleccionado.

  2. Asegúrese de que Establecer permisos esté seleccionado y, a continuación, seleccione Agregar permisos.

  3. En el panel Agregar permisos:

    • Para el grupo interno: seleccione Examinar directorio para seleccionar el grupo, que debe estar habilitado para correo electrónico.

    • Para todos los usuarios de la primera organización : seleccione Escribir detalles y escriba el nombre de un dominio en el inquilino de la organización. Por ejemplo, fabrikam.com.

    • Para el grupo de la segunda organización externa: aún en la pestaña Escribir detalles, escriba la dirección de correo electrónico del grupo en el inquilino de la organización. Por ejemplo, sales@contoso.com.

    • Para el usuario que no tiene una cuenta de Azure AD: aún en la pestaña Escribir detalles, escriba la dirección de correo electrónico del usuario. Por ejemplo, bengi.turan@gmail.com.

  4. Para conceder los mismos permisos a todos los usuarios: para Elección de permisos a partir de valores predeterminados, seleccione Copropietario, Coautor, Revisor o Personalizado para seleccionar los permisos que quiera conceder.

    Por ejemplo, los permisos configurados podrían ser similares a lo siguiente:

    Configuring permissions for secure collaboration

  5. Haga clic en Aceptar en el panel Agregar permisos.

  6. En el panel Protección , haga clic en Aceptar.

  7. En el panel Etiqueta, seleccione Guardar.

Aplicación de la etiqueta que admite la colaboración segura

Ahora que se ha configurado esta etiqueta, se puede aplicar a los documentos de varias maneras, como las siguientes:

Diferentes formas de aplicar la etiqueta Más información
Un usuario selecciona manualmente la etiqueta cuando se crea el documento en su aplicación de Office. Los usuarios seleccionan la etiqueta del botón Proteger en la cinta de Office, o en la barra de Azure Information Protection.
Se pedirá a los usuarios que seleccionen una etiqueta cuando se guarde un nuevo documento. Ha configurado un valor de directiva de Azure Information Protection denominado All documents and emails must have a label (Todos los documentos y correos electrónicos deben tener una etiqueta).
Un usuario comparte el documento por correo electrónico y selecciona manualmente la etiqueta en Outlook. Los usuarios seleccionan la etiqueta del botón Proteger en la cinta de Office, o en la barra de Azure Information Protection, y el documento adjunto se protege automáticamente con la misma configuración.
Un administrador aplica la etiqueta al documento mediante el uso de PowerShell. Use el cmdlet Set-AIPFileLabel para aplicar la etiqueta a un documento específico o a todos los documentos de una carpeta.
Además, ha configurado la etiqueta para aplicar la clasificación automática que ahora se puede aplicar mediante el examen de Azure Information Protection, o mediante PowerShell. Vea Configuración de las condiciones para la clasificación automática y recomendada en Azure Information Protection.

Para completar este tutorial, aplique manualmente la etiqueta cuando cree el documento en su aplicación de Office:

  1. En un equipo cliente, si ya tiene abierta su aplicación de Office, primero ciérrela y vuelva a abrirla para obtener los últimos cambios de directiva que incluyen la etiqueta recién configurada.

  2. Aplique la etiqueta a un documento y guárdela.

Comparta el documento protegido adjuntándolo a un correo electrónico, y envíelo a las personas que haya autorizado a modificar el documento de envío.

Apertura y modificación del documento protegido

Cuando los usuarios a los que haya autorizado abran el documento para su edición, este se abre con un banner informativo que les informa de que los permisos están restringidos. Por ejemplo:

Azure Information Protection permissions example information banner

Si seleccionan el botón Ver permiso, verán los permisos que tienen. En el ejemplo siguiente, el usuario puede ver y editar el documento:

Azure Information Protection permissions example dialog box

Nota: Si el documento se abre por usuarios externos que también usan Azure Information Protection, la aplicación de Office no muestra la etiqueta de clasificación para el documento, aunque permanecen las marcas visuales de la etiqueta. En su lugar, los usuarios externos pueden aplicar su propia etiqueta en consonancia con la taxonomía de clasificación de su organización. Si estos usuarios externos le devuelven a continuación el documento editado, Office muestra la etiqueta de clasificación original cuando vuelva a abrir el documento.

Antes de que el documento protegido se abra, tiene lugar uno de los siguientes flujos de autenticación:

  • En el caso de los usuarios que tienen una cuenta de Azure AD, estos usan sus credenciales de Azure AD para autenticarse mediante Azure AD y el documento se abre.

  • En el caso de los usuarios que no tienen una cuenta de Azure AD, si no han iniciado sesión en Office con una cuenta que tenga permisos para abrir el documento, ven la página Cuentas.

    En la página Cuentas, seleccione Agregar cuenta:

    Adding an Microsoft account to open protected document

    En la página Iniciar sesión , seleccione Crear uno y siga las indicaciones para crear una cuenta Microsoft con la dirección de correo electrónico que se usó para conceder los permisos:

    Creating a Microsoft account to open protected document

    Cuando se crea la nueva cuenta Microsoft, la cuenta local cambia a esta nueva cuenta de Microsoft y el usuario puede entonces abrir el documento.

Escenarios admitidos para abrir documentos protegidos

En la siguiente tabla se resumen los distintos métodos de autenticación que se admiten para ver y editar documentos protegidos.

Además, los siguientes escenarios admiten la visualización de documentos:

  • El visor de Azure Information Protection para Windows, y para iOS y Android, puede abrir archivos mediante una cuenta Microsoft.

  • Un explorador puede abrir archivos adjuntos protegidos cuando se usan proveedores sociales y códigos de acceso de un solo uso para la autenticación con Exchange Online y las nuevas funcionalidades de Office 365 Message Encryption.

Plataformas para ver y editar documentos:
Word, Excel, PowerPoint		 Método de autenticación:
Azure AD		 Método de autenticación:
Cuenta Microsoft
Windows [1] Sí (Microsoft 365 aplicaciones y Microsoft Office 2019)
iOS [1] Sí (versión 2.42 y posteriores)
Android [1] Sí (versión 16.0.13029 y posteriores)
MacOS [1] Sí (Microsoft 365 aplicaciones, versión 16.42 y posteriores)
Nota al pie 1

Admite cuentas de usuario, grupos habilitados para correo electrónico, todos los miembros. Las cuentas de usuario y los grupos habilitados para correo electrónico pueden incluir las cuentas de invitado. Todos los miembros excluyen las cuentas de invitado.

Pasos siguientes

Consulte otras configuraciones de ejemplo de etiquetas para aplicar la protección a los escenarios comunes. Este artículo también contiene información más detallada acerca de la configuración de la protección.

Para obtener más información sobre las otras opciones y parámetros que puede configurar para la etiqueta, vea Configuración de la directiva de Azure Information Protection.

La etiqueta que se configuró en este artículo también crea una plantilla de protección con el mismo nombre. Si tiene aplicaciones y servicios que se integran con plantillas de protección de Azure Information Protection, pueden aplicar esta plantilla. Por ejemplo, soluciones de DLP y reglas de flujo de correo electrónico. Outlook en la web muestra automáticamente las plantillas de protección de la directiva global de Azure Information Protection.