Administración de datos personales para el servicio de cifrado de Azure Rights Management

Al configurar y usar el servicio de cifrado de Azure Rights Management desde Microsoft Purview Information Protection, este servicio almacena y usa direcciones IP y direcciones de correo electrónico. Los datos personales se pueden encontrar en los siguientes elementos:

• Superusuarios y administradores delegados para el servicio Azure Rights Management

• Registros de administración del servicio Azure Rights Management

• Registros de uso del servicio Azure Rights Management

• Registros de uso para el cliente de Microsoft Purview Information Protection y el cliente rms

Nota:

En este artículo se ofrecen pasos sobre las formas de eliminar datos personales del dispositivo o el servicio, y se puede utilizar para dar soporte a sus obligaciones exigidas por el RGPD. Si busca información general sobre el RGPD, consulte la sección RGPD del portal de confianza de servicios.

Visualización de los datos personales que usa el servicio Azure Rights Management

• Microsoft Purview Information Protection cliente:

  Para el cliente Microsoft Purview Information Protection, las etiquetas de confidencialidad y las directivas de etiquetas se configuran en el portal de Microsoft Purview. Para más información sobre procedimientos, consulte Crear y configurar etiquetas de confidencialidad y sus directivas.

Nota:

Cuando se usa el cliente Microsoft Purview Information Protection para cifrar documentos y correos electrónicos, es posible que las direcciones de correo electrónico y las direcciones IP de los usuarios se guarden en los archivos de registro.

Superusuarios y administradores delegados para el servicio Azure Rights Management

Ejecute el cmdlet Get-AipServiceSuperUser y el cmdlet get-aipservicerolebasedadministrator para ver qué usuarios tienen asignado el rol de superusuario o el rol de administrador global para el servicio Azure Rights Management. Para los usuarios a los que se les ha asignado cualquiera de estos roles, se muestran sus direcciones de correo electrónico.

Registros de administración del servicio Azure Rights Management

Ejecute el cmdlet Get-AipServiceAdminLog para obtener un registro de las acciones de administración del servicio Azure Rights Management. Este registro incluye datos personales en forma de direcciones de correo electrónico y direcciones IP. El registro está en texto no cifrado y, después de descargarlo, se pueden buscar los detalles de un administrador específico sin conexión.

Por ejemplo:

PS C:\Users> Get-AipServiceAdminLog -Path '.\Desktop\admin.log' -FromTime 4/1/2018 -ToTime 4/30/2018 -Verbose
The Rights Management administration log was successfully generated and can be found at .\Desktop\admin.log.

Registros de uso del servicio Azure Rights Management

Ejecute el cmdlet Get-AipServiceUserLog para recuperar un registro de acciones del usuario final que usan el servicio Azure Rights Management. El registro podría incluir datos personales en forma de direcciones de correo electrónico y direcciones IP. El registro está en texto no cifrado y, después de descargarlo, se pueden buscar los detalles de un administrador específico sin conexión.

Por ejemplo:

PS C:\Users> Get-AipServiceUserLog -Path '.\Desktop\' -FromDate 4/1/2018 -ToDate 4/30/2018 -NumberOfThreads 10
Acquiring access to your user log…
Downloading the log for 2018-04-01.
Downloading the log for 2018-04-03.
Downloading the log for 2018-04-06.
Downloading the log for 2018-04-09.
Downloading the log for 2018-04-10.
Downloaded the log for 2018-04-01. The log is available at .\Desktop\rmslog-2018-04-01.log.
Downloaded the log for 2018-04-03. The log is available at .\Desktop\rmslog-2018-04-03.log.
Downloaded the log for 2018-04-06. The log is available at .\Desktop\rmslog-2018-04-06.log.
Downloaded the log for 2018-04-09. The log is available at .\Desktop\rmslog-2018-04-09.log.
Downloaded the log for 2018-04-10. The log is available at .\Desktop\rmslog-2018-04-10.log.
Downloading the log for 2018-04-12.
Downloading the log for 2018-04-13.
Downloading the log for 2018-04-14.
Downloading the log for 2018-04-16.
Downloading the log for 2018-04-18.
Downloaded the log for 2018-04-12. The log is available at .\Desktop\rmslog-2018-04-12.log.
Downloaded the log for 2018-04-13. The log is available at .\Desktop\rmslog-2018-04-13.log.
Downloaded the log for 2018-04-14. The log is available at .\Desktop\rmslog-2018-04-14.log.
Downloaded the log for 2018-04-16. The log is available at .\Desktop\rmslog-2018-04-16.log.
Downloaded the log for 2018-04-18. The log is available at .\Desktop\rmslog-2018-04-18.log.
Downloading the log for 2018-04-24.
Downloaded the log for 2018-04-24. The log is available at .\Desktop\rmslog-2018-04-24.log.

Registros de uso para el cliente de Microsoft Purview Information Protection y el cliente rms

Cuando se aplican etiquetas y cifrado a documentos y correos electrónicos, las direcciones de correo electrónico y las direcciones IP se pueden almacenar en archivos de registro en el equipo de un usuario en las siguientes ubicaciones:

• Para el cliente Microsoft Purview Information Protection: %localappdata%\Microsoft\MSIP\Logs

• Para el cliente RMS: %localappdata%\Microsoft\MSIPC\msip\Logs

Además, el cliente Microsoft Purview Information Protection registra estos datos personales en los registros > de aplicaciones y servicios del registro de eventos de Windows local Microsoft Purview Information Protection.

Cuando el cliente de Microsoft Purview Information Protection ejecuta el analizador, los datos personales se guardan en %localappdata%\Microsoft\MSIP\Scanner\Reports en el equipo Windows Server que ejecuta el analizador.

Puede desactivar la información de registro para el cliente Microsoft Purview Information Protection y el analizador mediante las siguientes configuraciones:

• Para el cliente Microsoft Purview Information Protection: edite el registro para cambiar el nivel de registro a Desactivado.

• Para el analizador de Microsoft Purview Information Protection: use el cmdlet Set-ScannerConfiguration para establecer el parámetro ReportLevel en Off.

Nota:

Si está interesado en ver o eliminar datos personales, revise las instrucciones de Microsoft en el Administrador de cumplimiento de Microsoft Purview y en la sección RGPD del sitio de cumplimiento de Microsoft 365 Enterprise. Si busca información general sobre el RGPD, consulte la sección RGPD del portal de confianza de servicios.

Registros de seguimiento de documentos

Relevante para: el servicio de Azure Rights Management con el portal de seguimiento heredado

Ejecute el cmdlet Get-AipServiceDocumentLog para recuperar información del sitio de seguimiento de documentos sobre un usuario específico. Para obtener información de seguimiento asociada a los registros de documentos, use el cmdlet Get-AipServiceTrackingLog .

Por ejemplo:

PS C:\Users> Get-AipServiceDocumentLog -UserEmail "admin@aip500.onmicrosoft.com"


ContentId             : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer                : admin@aip500.onmicrosoft.com
Owner                 : admin@aip500.onmicrosoft.com
ContentName           :
CreatedTime           : 3/6/2018 10:24:00 PM
Recipients            : {
                        PrimaryEmail: johndoe@contoso.com
                        DisplayName: JOHNDOE@CONTOSO.COM
                        UserType: External,
                        PrimaryEmail: alice@contoso0110.onmicrosoft.com
                        DisplayName: ALICE@CONTOSO0110.ONMICROSOFT.COM
                        UserType: External
                        }
TemplateId            :
PolicyExpires         :
EULDuration           :
SendRegistrationEmail : True
NotificationInfo      : Enabled: False
                        DeniedOnly: False
                        Culture:
                        TimeZoneId:
                        TimeZoneOffset: 0
                        TimeZoneDaylightName:
                        TimeZoneStandardName:

RevocationInfo        : Revoked: False
                        RevokedTime:
                        RevokedBy:


PS C:\Users> Get-AipServiceTrackingLog -UserEmail "admin@aip500.onmicrosoft.com"

ContentId            : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer               : admin@aip500.onmicrosoft.com
RequestTime          : 3/6/2018 10:45:57 PM
RequesterType        : External
RequesterEmail       : johndoe@contoso.com
RequesterDisplayName : johndoe@contoso.com
RequesterLocation    : IP: 167.220.1.54
                       Country/region: US
                       City: redmond
                       Position: 47.6812453974602,-122.120736471666

Rights               : {VIEW,OBJMODEL}
Successful           : False
IsHiddenInfo         : False

No hay ninguna búsqueda por ObjectID. Sin embargo, el parámetro no le restringe -UserEmail y la dirección de correo electrónico que proporcione no tiene que formar parte del inquilino. Si la dirección de correo electrónico proporcionada se almacena en cualquier lugar de los registros de seguimiento de documentos, la entrada de seguimiento de documentos se devuelve en la salida del cmdlet.

Protección y control del acceso a la información personal

Los datos personales que se ven y especifican en el portal de Microsoft Purview solo son accesibles para los usuarios a los que se ha asignado uno de los siguientes roles de administrador desde Microsoft Entra identificador:

• Administrador de Azure Information Protection

• Administrador de cumplimiento

• Administrador de datos de cumplimiento

• Administrador de seguridad

• Lector de seguridad

• Administrador global

• Lector global

Los datos personales que se ven y especifican mediante el módulo AIPService solo son accesibles para los usuarios a los que se les ha asignado el administrador de Azure Information Protection, el administrador de cumplimiento, el administrador de datos de cumplimiento o los roles de administrador global desde Microsoft Entra id. o el rol de administrador global para el Azure Rights Management servicio.

Actualización de datos personales

Las etiquetas de confidencialidad y las directivas de etiquetas se configuran en Microsoft Purview. Para obtener más información, vea Crear y configurar etiquetas de confidencialidad y sus directivas.

Para la configuración de cifrado, puede actualizar la misma información mediante cmdlets de PowerShell desde el módulo AIPService.

No se pueden actualizar las direcciones de correo electrónico de los superusuarios y los administradores delegados. En su lugar, quite la cuenta de usuario especificada y agregue la cuenta de usuario con la dirección de correo electrónico actualizada.

Superusuarios y administradores delegados para el servicio Azure Rights Management

Cuando necesite actualizar una dirección de correo electrónico para un superusuario:

1. Use Remove-AipServiceSuperUser para quitar el usuario y la dirección de correo electrónico antigua.

2. Use Add-AipServiceSuperUser para agregar el usuario y la nueva dirección de correo electrónico.

Cuando necesite actualizar una dirección de correo electrónico para un administrador delegado:

1. Use Remove-AipServiceRoleBasedAdministrator para quitar el usuario y la dirección de correo electrónico antigua.

2. Use Add-AipServiceRoleBasedAdministrator para agregar el usuario y la nueva dirección de correo electrónico.

Eliminar datos personales

Las etiquetas de confidencialidad y las directivas de etiqueta se configuran en el portal de Microsoft Purview. Para más información sobre procedimientos, consulte Crear y configurar etiquetas de confidencialidad y sus directivas.

Para la configuración de cifrado, puede eliminar la misma información mediante cmdlets de PowerShell del módulo AIPService.

Para eliminar direcciones de correo electrónico para superusuarios y administradores delegados, quite estos usuarios mediante el cmdlet Remove-AipServiceSuperUser y Remove-AipServiceRoleBasedAdministrator.

Para eliminar datos personales en registros de seguimiento de documentos, registros de administración o registros de uso del servicio Azure Rights Management, use la sección siguiente para generar una solicitud con Soporte técnico de Microsoft.

Para eliminar los datos personales de los archivos de registro de cliente y los registros del analizador almacenados en equipos, use las herramientas estándar de Windows para eliminar los archivos o los datos personales dentro de los archivos.

Para eliminar datos personales con Soporte técnico de Microsoft

Siga estos tres pasos para solicitar que Microsoft elimine los datos personales en los registros de seguimiento de documentos, los registros de administración o los registros de uso del servicio Azure Rights Management.

Paso 1: Iniciar la solicitud de eliminaciónPóngase en contacto con Soporte técnico de Microsoft para abrir Microsoft Purview Information Protection caso de soporte técnico con una solicitud para eliminar datos del inquilino. Debe demostrar que es administrador del inquilino y comprender que este proceso tarda varios días en confirmarse. Al enviar la solicitud, debe proporcionar información adicional, en función de los datos que se deben eliminar.

• Para eliminar el registro de administración, proporcione la fecha de finalización. Se eliminarán todos los registros de administración hasta esa fecha de finalización.
• Para eliminar los registros de uso, proporcione la fecha de finalización. Se eliminarán todos los registros de uso hasta esa fecha de finalización.
• Para eliminar los registros de seguimiento de documentos, proporcione la fecha de finalización y UserEmail. Se eliminará toda la información de seguimiento de documentos relacionada con UserEmail hasta esa fecha de finalización. Se admite la expresión regular (formato Perl) para UserEmail.

Eliminar estos datos es una acción permanente. No hay ningún medio para recuperar los datos después de que se haya procesado una solicitud de eliminación. Se recomienda que los administradores exporte los datos necesarios antes de enviar una solicitud de eliminación.

Paso 2: Esperar la comprobación Microsoft comprobará que la solicitud de eliminación de uno o más registros es legítima. Este proceso puede tardar hasta cinco días laborables.

Paso 3: Obtener confirmación de la eliminación Microsoft Customer Support Services (CSS) le enviará un correo electrónico de confirmación de que los datos se han eliminado.

Exportar datos personales

Cuando se usan los cmdlets AIPService, los datos personales están disponibles para la búsqueda y exportación como un objeto de PowerShell. El objeto de PowerShell se puede convertir en JSON y guardarse mediante el ConvertTo-Json cmdlet .

Restricción del uso de datos personales para la generación de perfiles o marketing sin consentimiento

El servicio Azure Rights Management sigue los términos de privacidad de Microsoft para la generación de perfiles o el marketing en función de los datos personales.

Auditoría y generación de informes

Solo los usuarios a los que se han asignado permisos de administrador pueden usar AIPService para buscar y exportar datos personales. Estas operaciones se registran en el registro de administración que se puede descargar.

En el caso de las acciones de eliminación, la solicitud de soporte técnico actúa como seguimiento de auditoría e informes para las acciones realizadas por Microsoft. Después de la eliminación, los datos eliminados no estarán disponibles para la búsqueda y exportación, y el administrador puede comprobarlo mediante los cmdlets Get del módulo AIPService.