Plan de implementación de AIP para clasificación, etiquetado y protección

Nota

¿Estás buscando Microsoft Information Protection? El cliente de etiquetado unificado de Azure Information Protection está actualmente en modo de mantenimiento. Se recomienda habilitar el etiquetado integrado de Microsoft Information Protection para las aplicaciones de Office 365. Más información.

Use los pasos siguientes como recomendaciones para preparar, implementar y administrar Information Protection de Azure para su organización, cuando quiera clasificar, etiquetar y proteger los datos.

Esta guía básica se recomienda para cualquier cliente con una suscripción auxiliar. Entre las capacidades adicionales se incluyen detectar información confidencial y etiquetar documentos y correos electrónicos para su clasificación.

Las etiquetas también pueden aplicar protección, lo que simplifica este paso para los usuarios.

Propina

Como alternativa, es posible que esté buscando uno de los siguientes artículos:

• Plan de desarrollo de AIP solo para la protección de datos
• Guías de procedimientos para escenarios comunes que usan Azure Information Protection
• Plan de lanzamiento de Azure Information Protection

Proceso de implementación

Siga estos pasos:

1. Confirmar la suscripción y asignar licencias de usuario
2. Preparar el inquilino para usar Azure Information Protection
3. Configurar e implementar la clasificación y el etiquetado
4. Prepararse para la protección de datos
5. Configurar etiquetas y opciones, aplicaciones y servicios para la protección de datos
6. Usar y supervisar las soluciones de protección de datos
7. Administrar el servicio de protección para su cuenta empresarial según sea necesario

Propina

¿Ya usa la funcionalidad de protección de Azure Information Protection? Puede omitir muchos de estos pasos y centrarse en los pasos 3 y 5.1.

Confirmar la suscripción y asignar licencias de usuario

Confirme que su organización tiene una suscripción que incluye la funcionalidad y las características que espera. Para obtener más información, consulte la página Guía de licencias de Microsoft 365 para cumplimiento de seguridad&.

Después, asigne licencias de esta suscripción a cada usuario de su organización que clasificará, etiquetará y protegerá documentos y correos electrónicos.

Importante

No asigne licencias de usuario manualmente desde la suscripción gratuita a RMS para personas físicas y no use esta licencia para administrar el servicio de Azure Rights Management para su organización.

Estas licencias se muestran como Rights Management Adhoc en el Centro de administración de Microsoft 365 y RIGHTSMANAGEMENT_ADHOC al ejecutar el cmdlet de PowerShell de Azure AD, Get-MsolAccountSku.

Para obtener más información, consulte RMS para individuos y Azure Information Protection.

Preparar el inquilino para usar Azure Information Protection

Antes de empezar a usar Azure Information Protection, asegúrese de que tiene cuentas de usuario y grupos en Microsoft 365 o Azure Active Directory que AIP puede usar para autenticar y autorizar a los usuarios.

Si es necesario, cree estas cuentas y grupos, o sincronícelos desde el directorio local.

Para obtener más información, vea Preparar usuarios y grupos para Azure Information Protection.

Configurar e implementar la clasificación y el etiquetado

Siga estos pasos:

1. Analizar los archivos (opcional, pero recomendado)

   Implementa el cliente de Azure Information Protection y, a continuación, instala y ejecuta el escáner para descubrir la información confidencial que tienes en los almacenes de datos locales.

   La información que encuentra el escáner puede ayudarle con la taxonomía de clasificación, proporcionar información valiosa sobre qué etiquetas necesita y qué archivos necesitan proteger.

   El modo de detección de escáner no requiere configuración de etiquetas ni taxonomía y, por lo tanto, es adecuado en esta fase inicial de la implementación. También puedes usar esta configuración del escáner en paralelo con los siguientes pasos de implementación, hasta que configures el etiquetado recomendado o automático.

2. Personalice la directiva de AIP predeterminada.

   Si aún no tiene una estrategia de clasificación, use una directiva predeterminada como base para determinar qué etiquetas necesitará para los datos. Personalice estas etiquetas según sea necesario para satisfacer sus necesidades.

   Por ejemplo, puede que quiera volver a configurar las etiquetas con los siguientes detalles:

   • Asegúrese de que las etiquetas admitan las decisiones de clasificación.
   • Configurar directivas para etiquetas manuales por usuarios
   • Escriba instrucciones para el usuario que le ayuden a explicar qué etiqueta se debe aplicar en cada escenario.
   • Si la directiva predeterminada se creó con etiquetas que aplican automáticamente la protección, es posible que desee quitar temporalmente la configuración de protección o deshabilitar la etiqueta mientras prueba la configuración.

   Las etiquetas de confidencialidad y las directivas de etiquetado para el cliente de etiquetado unificado se configuran en el Centro de cumplimiento de Microsoft 365. Para obtener más información, vea Obtener información sobre las etiquetas de confidencialidad.

3. Implementar el cliente para los usuarios

   Una vez que tenga una directiva configurada, implemente el cliente de Azure Information Protection para los usuarios. Proporcione aprendizaje al usuario e instrucciones específicas para seleccionar las etiquetas.

   Para obtener más información, consulte la guía unificada del administrador del cliente de etiquetado.

4. Introducir configuraciones más avanzadas

   Espere a que los usuarios se sientan más cómodos con etiquetas en sus documentos y correos electrónicos. Cuando esté listo, introduzca configuraciones avanzadas, como:

   • Aplicar etiquetas predeterminadas
   • Solicitar justificación a los usuarios si eligieron una etiqueta con un nivel de clasificación inferior o quitaron una etiqueta
   • Mandando que todos los documentos y correos electrónicos tengan una etiqueta
   • Personalizar encabezados, pies de página o marcas de agua
   • Etiquetado automático y recomendado

   Para obtener más información, consulte guía del administrador: configuraciones personalizadas.

   Propina

   Si ha configurado etiquetas para el etiquetado automático, vuelva a ejecutar el escáner de Azure Information Protection en los almacenes de datos locales en modo de detección y para que coincida con la directiva.

   La ejecución del escáner en modo de detección le indica qué etiquetas se aplicarían a los archivos, lo que le ayuda a ajustar la configuración de la etiqueta y le prepara para clasificar y proteger archivos en masa.

Prepararse para la protección de datos

Introduzca la protección de datos para sus datos más confidenciales una vez que los usuarios se sientan cómodos etiquetando documentos y correos electrónicos.

Siga estos pasos para prepararse para la protección de datos:

1. Determine cómo desea administrar la clave de inquilino.

   Decida si quiere que Microsoft administre su clave de inquilino (la predeterminada) o genere y administre su clave de inquilino usted mismo (lo que se conoce como traer su propia clave o BYOK).

   Para obtener más información y opciones de protección adicional local, consulte Planeación e implementación de la clave de inquilino de Azure Information Protection.

2. Instale PowerShell para AIP.

   Instale el módulo PowerShell para AIPService en al menos un equipo con acceso a Internet. Puede realizar este paso ahora o más adelante.

   Para obtener más información, vea Instalar el módulo AIPService PowerShell.

3. Solo AD RMS: migre las claves, plantillas y direcciones URL a la nube.

   Si actualmente usa AD RMS, realice una migración para mover las claves, plantillas y direcciones URL a la nube.

   Para obtener más información, vea Migrar de AD RMS a Information Protection.

4. Activar la protección.

   Asegúrese de que el servicio de protección está activado para que pueda empezar a proteger documentos y correos electrónicos. Si está implementando en varias fases, configure los controles de incorporación de usuario para restringir la capacidad de los usuarios para aplicar protección.

   Para obtener más información, vea Activar el servicio de protección de Azure Information Protection.

5. Considere la posibilidad del registro de uso (opcional).

   Considere la posibilidad de usar el registro para supervisar cómo usa su organización el servicio de protección. Puede realizar este paso ahora o más adelante.

   Para obtener más información, vea Registro y análisis del uso de protección de Azure Information Protection.

Configurar etiquetas y opciones, aplicaciones y servicios para la protección de datos

Siga estos pasos:

1. Actualizar las etiquetas para aplicar protección

   Para obtener más información, vea Restringir el acceso al contenido mediante cifrado en etiquetas de confidencialidad.

   Importante

   Los usuarios pueden aplicar etiquetas en Outlook que apliquen protección de Rights Management incluso si Exchange no está configurado para Information Rights Management (IRM).

   Sin embargo, hasta que Exchange esté configurado para IRM o Microsoft 365 Cifrado de mensajes con nuevas capacidades, su organización no obtendrá la funcionalidad completa de usar la protección de Azure Rights Management con Exchange. Esta configuración adicional se incluye en la siguiente lista (2 para Exchange Online y 5 para Exchange local).

2. Configurar aplicaciones y servicios Office

   Configure Office aplicaciones y servicios para las características de Information Rights Management (IRM) de Microsoft SharePoint o Exchange Online.

   Para obtener más información, consulte Configuración de aplicaciones para Azure Rights Management.

3. Configurar la característica de superusuario para la recuperación de datos

   Si tiene servicios de TI existentes que necesitan inspeccionar archivos que Azure Information Protection protegerá, como soluciones de prevención de pérdida de datos (DLP), puertas de enlace de cifrado de contenido (CEG) y productos antimalware, configure las cuentas de servicio para que sean superusuarios para Azure Rights Management.

   Para obtener más información, consulte Configuración de superusuarios para Azure Information Protection y servicios de detección o recuperación de datos.

4. Clasificar y proteger archivos existentes en masa

   Para los almacenes de datos locales, ahora ejecute el examen de Azure Information Protection en modo de aplicación para que los archivos se etiqueten automáticamente.

   Para los archivos en equipos PC, use los cmdlets de PowerShell para clasificar y proteger archivos. Para obtener más información, vea Usar PowerShell con azure Information Protection cliente de etiquetado unificado.

   Para almacenes de datos basados en la nube, use Microsoft Defender for Cloud Apps.

   Propina

   Aunque clasificar y proteger archivos existentes en masa no es uno de los principales casos de uso de Defender for Cloud Apps, las soluciones alternativas documentadas pueden ayudarle a clasificar y proteger sus archivos.

5. Implementar el conector para bibliotecas protegidas por IRM en SharePoint Server y correos electrónicos protegidos por IRM para Exchange locales

   Si tiene SharePoint y Exchange local y desea usar sus características de Information Rights Management (IRM), instale y configure el conector Rights Management.

   Para obtener más información, vea Implementar el conector Microsoft Rights Management.

Usar y supervisar las soluciones de protección de datos

Ya está listo para supervisar cómo usa su organización las etiquetas que ha configurado y confirmar que protege información confidencial.

Para obtener más información, consulte las páginas siguientes:

• Informes centrales de Azure Information Protection: actualmente en versión preliminar
• Registro y análisis del uso de protección de Azure Information Protection

Administrar el servicio de protección para su cuenta empresarial según sea necesario

Cuando empiece a usar el servicio de protección, es posible que PowerShell le resulte útil para ayudar a generar scripts o automatizar los cambios administrativos. PowerShell también podría ser necesario para algunas de las configuraciones avanzadas.

Para obtener más información, vea Administrar la protección de Azure Information Protection mediante PowerShell.

Pasos siguientes

Al implementar Azure Information Protection, es posible que le resulte útil consultar las preguntas más frecuentes, los problemas conocidos y la página de información y soporte técnico para obtener recursos adicionales.