Instalación y configuración del SDK de Microsoft Information Protection (MIP)

La Guía de inicio rápido y los artículos del tutorial se centran en torno a la creación de aplicaciones que usan las API y las bibliotecas del SDK de MIP. En este artículo se muestra cómo instalar y configurar la suscripción de Microsoft 365 y la estación de trabajo del cliente, como parte de la preparación para usar el SDK.

Requisitos previos

No olvide revisar los siguientes temas antes de comenzar:

Importante

Para mantener la privacidad de los usuarios, se debe pedir al usuario que dé su consentimiento antes de habilitar el registro automático. El siguiente es un ejemplo de mensaje estándar de Microsoft que se utiliza para la notificación de registro:

Al activar el Registro de errores y rendimiento, acepta enviar datos de errores y rendimiento a Microsoft. Microsoft recopila datos de errores y rendimiento a través de Internet («Datos»). Microsoft usa estos datos para proporcionar y mejorar la calidad, la seguridad y la integridad de los productos y servicios de Microsoft. Por ejemplo, analizamos el rendimiento y la confiabilidad, como qué características usa, la rapidez con que responden las características, el rendimiento del dispositivo, las interacciones con la interfaz de usuario y los problemas que tenga con el producto. Los datos también incluyen información sobre la configuración del software, como el software que ejecuta actualmente y la dirección IP.

Registrarse para obtener una suscripción de Office 365

Muchos de los ejemplos del SDK requieren acceso a una suscripción de Office 365. Si no lo ha hecho aún, asegúrese de regístrate en uno de los siguientes tipos de suscripción:

Nombre Registrarse
Prueba de Office 365 Enterprise E3 (prueba gratuita de 30 días) https://go.microsoft.com/fwlink/p/?LinkID=403802
Office 365 Enterprise E3 o E5 https://products.office.com/business/office-365-enterprise-e3-business-software
Blog del equipo de Enterprise Mobility and Security E3 o E5 https://www.microsoft.com/cloud-platform/enterprise-mobility-security
Azure Information Protection Premium P1 o P2 Guía de licencias de Microsoft 365 para seguridad y cumplimiento
Microsoft 365 E3, E5 o F1 https://www.microsoft.com/microsoft-365/compare-all-microsoft-365-plans

Configurar etiquetas de confidencialidad

Si actualmente usa Azure Information Protection, debe migrar las etiquetas al Centro de cumplimiento y seguridad de Office 365. Para más información sobre el proceso, consulte Cómo migrar etiquetas de Azure Information Protection al Centro de seguridad y cumplimiento de Office 365.

Configurar la estación de trabajo del cliente

A continuación, complete los siguientes pasos para asegurarse de que su equipo cliente está instalado y configurado correctamente.

  1. Si usa una estación de trabajo de Windows 10:

    • Con Windows Update, actualice el equipo a Windows 10 Fall Creators Update (versión 1709) o posterior. Para comprobar su versión actual:

      • Haga clic en el icono de Windows en la parte inferior izquierda.
      • Escriba "Acerca de tu PC" y presione la tecla "Entrar".
      • Desplácese hacia abajo hasta Especificaciones de Windows y vea debajo de Versión.
    • Asegúrese de que está habilitado el "Modo de programador" en la estación de trabajo:

      • Haga clic en el icono de Windows en la parte inferior izquierda.
      • Escriba "Usar las funciones de desarrollador" y presione la tecla "Entrar" cuando aparezca el elemento Usar las funciones de desarrollador.
      • En el cuadro de diálogo Configuración, en la pestaña Para programadores, en "Usar las funciones de programador", seleccione la opción Modo de programador.
      • Cierre el cuadro de diálogo Configuración.
  2. Instale Visual Studio 2019 con las cargas de trabajo y los componentes opcionales siguientes:

    • Carga de trabajo de Windows del desarrollo de la Plataforma universal de Windows, además de los siguientes componentes opcionales:

      • Herramientas de la Plataforma universal de Windows de C++
      • SDK 10.0.16299.0 de Windows 10 o versiones posteriores, si no se incluye de forma predeterminada
    • Carga de trabajo de Windows del desarrollo de escritorio con C++ , además de los siguientes componentes opcionales:

      • SDK 10.0.16299.0 de Windows 10 o versiones posteriores, si no se incluye de forma predeterminada

      Configuración de Visual Studio

  3. Instale el módulo de PowerShell ADAL.PS:

    • Dado que se necesitan derechos de administrador para instalar los módulos, primero deberá realizar una de las siguientes acciones:

      • inicie sesión en el equipo con una cuenta que tenga derechos de administrador.
      • ejecutar la sesión de Windows PowerShell con permisos elevados (Ejecutar como administrador).
    • A continuación, ejecute el cmdlet install-module -name adal.ps:

      PS C:\WINDOWS\system32> install-module -name adal.ps
      
      Untrusted repository
      You are installing the modules from an untrusted repository. If you trust this repository, change its
      InstallationPolicy value by running the Set-PSRepository cmdlet. Are you sure you want to install the modules from
      'PSGallery'?
      [Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "N"): A
      
      PS C:\WINDOWS\system32>
      
  4. Descargue los archivos:

    A continuación se indican las plataformas que son compatibles con el SDK de MIP. Los archivos de descarga son diferentes para cada una de las plataformas o idiomas admitidos:

    Sistema operativo Versiones Descargas Notas
    Ubuntu 16.04 C++ tar.gz
    Ubuntu 18,04 C++ tar.gz
    Java (versión preliminar) tar.gz
    .NET Core NuGet (versión preliminar)
    Red Hat Enterprise Linux 7 con devtoolset-7 C++ tar.gz
    Debian 9 C++ tar.gz
    macOS High Sierra y versiones posteriores C++.zip El desarrollo de Xcode requiere la versión 9.4.1 o posteriores.
    Windows Todas las versiones compatibles, 32/64 bits C++/.NET Framework 4.6.zip
    C++/.NET NuGet
    Java (versión preliminar) .zip
    Android 7.0 y versiones posteriores C++.zip Solo los SDK de protección y directiva.
    iOS Todas las versiones compatibles C++.zip Solo los SDK de protección y directiva.

    Descargas de Tar.gz o .Zip

    Las descargas de Tar.gz y .Zip contienen archivos comprimidos, uno para cada API. Los archivos comprimidos se denominan de la siguiente manera, donde <API> = file, protection o upe y <OS> = la plataforma: mip_sdk_<API>_<OS>_1.0.0.0.zip (or .tar.gz). Por ejemplo, para los archivos binarios del SDK de protección y los encabezados en Debian, el archivo sería: mip_sdk_protection_debian9_1.0.0.0.tar.gz. Cada archivo .tar.gz o .zip se divide en tres directorios:

    • Bins: binarios compilados para cada arquitectura de la plataforma, si procede.
    • Include: archivos de encabezado (C++).
    • Samples: código fuente de las aplicaciones de ejemplo.

    Paquetes de NuGet

    Si va a realizar el desarrollo de Visual Studio, se puede instalar el SDK también a través de la consola de administrador de paquetes de NuGet:

    Install-Package Microsoft.InformationProtection.File
    Install-Package Microsoft.InformationProtection.Policy
    Install-Package Microsoft.InformationProtection.Protection
    
  5. Si no usa el paquete de NuGet, agregue las rutas de acceso de los archivos binarios del SDK a la variable de entorno PATH. La variable de ruta de acceso sirve para que los archivos binarios (DLL) dependientes sean encontrados en tiempo de ejecución por parte de las aplicaciones cliente (OPCIONAL):

    Si usa una estación de trabajo de Windows 10:

    • Haga clic en el icono de Windows en la parte inferior izquierda.

    • Escriba "Path" y presione la tecla "Entrar", cuando aparezca el elemento Editar las variables de entorno del sistema.

    • En el cuadro de diálogo Propiedades del sistema, haga clic en Variable de entorno.

    • En el cuadro de diálogo Variables de entorno, haz clic en la fila de la variable Ruta de acceso debajo de Variables de usuario para <user> y, después, haga clic en Editar... .

    • En el cuadro de diálogo Editar variable de entorno, haga clic en Nueva para crear una nueva fila editable. Mediante la ruta de acceso completa a cada uno de los subdirectorios file\bins\debug\amd64, protection\bins\debug\amd64 y upe\bins\debug\amd64, agregue una nueva fila para cada uno. Los directorios del SDK se almacenan en un formato <API>\bins\<target>\<platform>, donde:

      • <API> = file, protection, upe
      • <target> = debug, release
      • <platform> = amd64 (x64), x86, etc.
    • Cuando termine de actualizar la variable Ruta de acceso, haga clic en Aceptar. A continuación, haga clic en Aceptar cuando aparezca el cuadro de diálogo Variables de entorno.

  6. Descargue los ejemplos de SDK de GitHub (opcional):

Registre una aplicación cliente con Azure Active Directory.

Como parte del proceso de aprovisionamiento de la suscripción de Microsoft 365, se crea un inquilino asociado de Azure Active Directory (Azure AD). El inquilino de Azure AD proporciona administración de identidad y acceso para las cuentas de usuario y las cuentas de aplicación de Microsoft 365. Las aplicaciones que requieren acceso a una API protegida (por ejemplo, API de MIP), requieren una cuenta de la aplicación.

Para la autenticación y autorización en tiempo de ejecución, las cuentas se representan mediante un entidad de seguridad, que se deriva de la información de identidad de la cuenta. Las entidades de seguridad que representan una cuenta de la aplicación se conocen como entidad de servicio.

Para registrar una cuenta de la aplicación en Azure AD para su uso con los ejemplos del SDK de MIP y las guías de inicio rápido:

Importante

Si quiere acceder a la administración de inquilinos de Azure AD para crear cuentas, deberá iniciar sesión en Azure Portal con una cuenta de usuario que sea miembro del rol "Propietario" en la suscripción. Según la configuración del inquilino, es posible que deba ser miembro del rol de directorio "Administrador global" para registrar una aplicación. Se recomienda realizar pruebas con una cuenta restringida. Asegúrese de que la cuenta solo tiene derechos de acceso a los puntos de conexión de SCC necesarios. Las contraseñas de texto no cifrado que se pasan a través de la línea de comandos se pueden recopilar mediante sistemas de registro.

  1. Siga los pasos de la sección Registro de una aplicación nueva mediante Azure Portal. Con fines de prueba, use los siguientes valores para las propiedades a medida que avance en los pasos de la guía:

    • Supported account types (Tipos de cuenta compatibles): seleccione "Solo las cuentas de este directorio organizativo".
    • URI de redirección: establezca el tipo de URI de redirección en "Cliente público (móvil y escritorio)". Si su aplicación usa la Biblioteca de autenticación de Microsoft (MSAL), use http://localhost. De lo contrario, use algo con el formato <app-name>://authorize.
  2. Cuando termine, volverá a la página Aplicación registrada para el nuevo registro de aplicación. Copie y guarde el GUID en el campo Id. de aplicación (cliente) , ya que lo necesitará para los inicios rápidos.

  3. A continuación, haga clic en Permisos de API para agregar la API y los permisos a los que el cliente necesitará acceder. Haga clic en Agregar permiso para abrir la hoja "Solicitud de permisos de API".

  4. Ahora deberá agregar los permisos y las API de MIP que la aplicación requiere en tiempo de ejecución:

    • En la página Seleccionar una API, haga clic en Azure Rights Management Services.
    • En la página de la API Azure Rights Management Services, haga clic en Permisos delegados.
    • En la sección Seleccionar permisos, compruebe el permiso user_impersonation. Este derecho permite a la aplicación crear el contenido protegido y acceder a él en nombre de un usuario.
    • Haga clic en Agregar permisos para guardar.
  5. Repita el paso 4, pero esta vez cuando llegue a la página Seleccionar una API, deberá buscar la API.

    • En la página Seleccionar una API, haga clic en API usadas en mi organización; después, en el cuadro de búsqueda, escriba "Servicio de sincronización de Microsoft Information Protection" y selecciónelo.
    • En la página de la API Servicio de sincronización de Microsoft Information Protection, haga clic en Permisos delegados.
    • Expanda el nodo UnifiedPolicy y compruebe UnifiedPolicy.User.Read.
    • Haga clic en Agregar permisos para guardar.
  6. Cuando vuelva a la página Permisos de API, haga clic en Conceder consentimiento de administrador para (nombre del inquilino) y luego en . Este paso da consentimiento previo a la aplicación con este registro, para tener acceso a las API en los permisos especificados. Si inició sesión como administrador global, el consentimiento se registra para todos los usuarios en el inquilino que ejecuta la aplicación. En caso contrario, se aplica solo a su cuenta de usuario.

Cuando termine, el registro de aplicación y los permisos de API deberían ser similares a los ejemplos siguientes:

Registro de aplicaciones de Azure AD Permisos de API de aplicaciones de Azure AD

Para obtener más información sobre cómo agregar las API y los permisos a un registro, consulte Configuración de una aplicación cliente para tener acceso a las API web. Aquí encontrará información sobre cómo agregar las API y los permisos necesarios para una aplicación cliente.

Solicitud de un Contrato de integración de Information Protection (IPIA)

Para poder lanzar una aplicación desarrollada con MIP al público, debe solicitar y formalizar un contrato con Microsoft.

Nota

Este contrato no es necesario para las aplicaciones que están diseñadas solo para uso interno.

  1. Obtenga su IPIA enviando un correo electrónico a IPIA@microsoft.com con la siguiente información:

    Asunto: Solicitud de IPIA para nombre de la compañía

    En el cuerpo del correo electrónico, incluya:

    • Nombre de la aplicación y del producto
    • Nombre y apellidos del solicitante
    • Dirección de correo electrónico del solicitante
  2. Tras la recepción de la solicitud de IPIA, le enviaremos un formulario (como un documento de Word). Revise los términos y las condiciones del IPIA y devuelva el formulario a IPIA@microsoft.com con la siguiente información:

    • Nombre legal de la empresa
    • Estado o provincia (Estados Unidos y Canadá) o el país de incorporación
    • Dirección URL de la empresa
    • Dirección de correo electrónico de la persona de contacto
    • Direcciones adicionales de la empresa (opcional)
    • Nombre de la aplicación de la empresa
    • Breve descripción de la aplicación
    • Identificador del inquilino de Azure
    • Identificador de aplicación de la aplicación
    • Contactos de la compañía, correo electrónico y teléfono para la correspondencia en caso de situaciones críticas
  3. Cuando recibamos su formulario, le enviaremos el vínculo IPIA final para firmar digitalmente. Después de la firma, lo firmará el representante de Microsoft adecuado, con lo que el contrato quedará completado.

¿Ya tiene un IPIA firmado?

Si ya tiene un IPIA firmado y desea agregar un nuevo identificador de aplicación para una aplicación que se esté lanzando, envíe un correo electrónico a IPIA@microsoft.com y proporciónenos la siguiente información:

  • Nombre de la aplicación de la empresa
  • Breve descripción de la aplicación
  • Id. de inquilino de Azure (incluso si es igual que el anterior)
  • Identificador de aplicación de la aplicación
  • Contactos de la compañía, correo electrónico y teléfono para la correspondencia en caso de situaciones críticas

Tras el envío del correo electrónico, espere hasta 72 horas para el acuse de recibo.

Asegurarse de que la aplicación tiene el runtime necesario

Nota

Este paso solo es necesario si la aplicación se va a implementar en un equipo sin Visual Studio, o si la instalación de Visual Studio carece de los componentes de runtime de Visual C++.

Las aplicaciones compiladas con el SDK de MIP requieren que el runtime de Visual C++ 2015 o Visual C++ 2017 esté instalado, si aún no lo está.

Estos solo funcionará si la aplicación se ha compilado como versión de lanzamiento. Si la aplicación se compila para depuración, las DLL de depuración del runtime de Visual C++ deben incluirse con la aplicación o estar instaladas en el equipo.

Pasos siguientes