Activar el servicio de protección desde Azure Information Protection

Se aplica a: Azure Information Protection y Office 365

Pertinente para: cliente de etiquetado unificado de AIP y cliente clásico de AIP

Nota

Para proporcionar una experiencia de cliente unificada y simplificada, el cliente clásico de Azure Information Protection y la administración de etiquetas en Azure Portal están en desuso desde el 31 de marzo de 2021. Aunque el cliente clásico sigue funcionando como está configurado, no se proporcionará ningún soporte adicional, y las versiones de mantenimiento ya no se publicarán para el cliente clásico.

Se recomienda migrar al etiquetado unificado y actualizar al cliente de etiquetado unificado. Obtenga más información en nuestro último blog sobre desuso.

En este artículo se describe cómo los administradores pueden activar el servicio de protección de Rights Management de Azure para Azure Information Protection (AIP). Cuando se activa el servicio de protección para su organización, los administradores y los usuarios pueden empezar a proteger datos importantes con aplicaciones y servicios que admiten esta solución de protección de información. Los administradores también pueden administrar y supervisar los correos electrónicos y documentos protegidos que tiene su organización.

Nota

Esta información de configuración es para los administradores responsables de un servicio que se aplica a todos los usuarios de una organización. Si busca ayuda e información para usar la funcionalidad de Rights Management con una aplicación específica o cómo abrir un archivo o un correo electrónico protegido por derechos, use la ayuda y las instrucciones que se incluyen con la aplicación.

Por ejemplo, para las aplicaciones de Office, haga clic en el icono de Ayuda y escriba términos de búsqueda como Rights Management o IRM. Para el cliente de Azure Information Protection para Windows, vea la Guía del usuario de Azure Information Protection.

Para obtener soporte técnico y consultar otras cuestiones sobre el servicio, vea la información sobre Opciones de soporte y recursos de la comunidad.

Activación automática de Azure Rights Management

Si tiene un plan de servicio que incluye Azure Rights Management, es posible que no tenga que activar el servicio:

  • Si su suscripción que incluye Azure Rights Management o Azure Information Protection se obtuvo hacia el final del 2018 de febrero o una versión posterior: el servicio se activa automáticamente. No es necesario activar el servicio a menos que usted u otro administrador global de su organización haya desactivado Azure Rights Management.

  • Si su suscripción que incluye azure Rights Management o Azure Information Protection se obtuvo antes o durante el 2018 de febrero: Microsoft activa el servicio Azure Rights Management para estas suscripciones si el inquilino usa Exchange Online. Para estas suscripciones, el servicio se activará automáticamente a menos que vea que AutomaticServiceUpdateEnabled está establecido en false al ejecutar Get-IRMConfiguration.

Si no se aplica ninguno de los escenarios enumerados, debe activar el servicio de protección de forma manual.

Una vez activado el servicio, todos los usuarios de la organización podrán aplicar la protección de la información a sus documentos y correos electrónicos, y todos los usuarios podrán abrir (consumir) los documentos y correos electrónicos que se hayan protegido con el servicio Azure Rights Management. Sin embargo, si lo prefiere, puede usar controles de incorporación para restringir quién puede aplicar la protección de la información, a fin de realizar una implementación por fases. Para más información, consulte la sección Configuración de controles de incorporación para una implementación por fases de este artículo.

Cómo activar o confirmar el estado del servicio de protección

Importante

No active el servicio de protección si tiene Active Directory Rights Management Services (AD RMS) implementado para su organización. Más información

Para usar esta solución de protección de datos, su organización debe disponer de un plan de servicio que incluya el servicio de Azure Rights Management de Azure Information Protection. Sin esto, no se puede activar el servicio de protección. Debe tener uno de los siguientes elementos:

Cuando se activa el servicio de protección, todos los usuarios de su organización pueden aplicar la protección de la información a sus documentos y correos electrónicos, y todos los usuarios pueden abrir (consumir) documentos y correos electrónicos protegidos por este servicio. Sin embargo, si lo prefiere, puede usar controles de incorporación para restringir quién puede aplicar la protección de la información, a fin de realizar una implementación por fases. Para más información, consulte la sección Configuración de controles de incorporación para una implementación por fases de este artículo.

Métodos de activación admitidos

Para obtener instrucciones sobre cómo activar el servicio de protección desde el portal de administración, seleccione si desea usar el centro de administración de Microsoft 365 o el Azure Portal:

Como alternativa, puede usar los siguientes comandos de PowerShell:

  1. Instale el módulo AIPService para configurar y administrar el servicio de protección. Para obtener instrucciones, consulte instalación del módulo de PowerShell AIPService.

  2. En una sesión de PowerShell, ejecute Connect-AipServicey, cuando se le solicite, proporcione los detalles de la cuenta de administrador global para el inquilino de Azure Information Protection.

  3. Ejecute Get-AipService para confirmar si el servicio de protección está activado. El estado Habilitado confirma la activación, mientras que Deshabilitado indica que el servicio está desactivado.

  4. Para activar el servicio, ejecute enable-AipService.

Configuración de controles de incorporación para una implementación por fases

Si no desea que todos los usuarios puedan proteger documentos y correos electrónicos de inmediato mediante Azure Information Protection, puede configurar controles de incorporación de usuarios mediante el comando de PowerShell set-AipServiceOnboardingControlPolicy . Puede ejecutar este comando antes o después de activar el servicio Azure Rights Management.

Por ejemplo, si en principio desea que solo los administradores del grupo "Departamento de TI" (con un identificador de objeto de fbb99ded-32a0-45f1-b038-38b519009503) puedan proteger el contenido con fines de prueba, use el comando siguiente:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fbb99ded-32a0-45f1-b038-38b519009503"

Tenga en cuenta que para esta opción de configuración, debe especificar un grupo; no puede especificar usuarios individuales. Para obtener el id. de objeto del grupo, puede usar Azure AD PowerShell. Por ejemplo, para la versión 1.0 del módulo, use el comando Get-MsolGroup. También puede copiar el valor Id. de objeto del grupo de Azure Portal.

O bien, si quiere asegurarse de que solo los usuarios con licencias adecuadas para usar Azure Information Protection puedan proteger el contenido:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True

Cuando ya no necesite usar los controles de incorporación, tanto si ha usado la opción de licencias o de grupo, ejecute:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False

Para obtener más información sobre este cmdlet y ejemplos adicionales, vea la ayuda de set-AipServiceOnboardingControlPolicy .

Al usar estos controles de incorporación, todos los usuarios de la organización podrán consumir siempre el contenido protegido por el subconjunto de usuarios, pero no podrán aplicar la protección de la información ellos mismos desde aplicaciones cliente. Por ejemplo, no verán en sus aplicaciones de Office las plantillas de protección predeterminadas que se publican automáticamente cuando se activa el servicio de protección o las plantillas personalizadas que se pueden configurar. Las aplicaciones del lado servidor, como Exchange, pueden implementar sus propios controles por usuario para lograr el mismo resultado. Por ejemplo, para impedir que los usuarios puedan proteger los correos electrónicos en Outlook en la Web, use Set-OwaMailboxPolicy para establecer el parámetro IRMEnabled en $false.

Pasos siguientes

Cuando el servicio de protección esté activado para su organización, use la Guía de implementación de Azure Information Protection para comprobar si hay otros pasos de configuración que puedan ser necesarios antes de implementar Azure Information Protection para usuarios y administradores.

Por ejemplo, puede que desee usar plantillas para facilitar a los usuarios la aplicación de la protección a los archivos, conectar los servidores locales para usar el servicio de protección instalando el conector de Rights Managemente implementar el cliente de Azure Information Protection que admite la protección de todos los tipos de archivo en todos los dispositivos.

Los servicios de Office, como Exchange Online y Microsoft SharePoint, requieren una configuración adicional para poder usar sus características de Information Rights Management (IRM). Para obtener información sobre cómo funcionan las aplicaciones con el servicio de protección, Azure Rights Management, consulte cómo las aplicaciones admiten el servicio azure Rights Management.