Protección HYOK (hold your own key) para Azure Information ProtectionHold your own key (HYOK) protection for Azure Information Protection

Se aplica a: Azure Information ProtectionApplies to: Azure Information Protection

Instrucciones para: Azure Information Protection cliente para WindowsInstructions for: Azure Information Protection client for Windows

Use la siguiente información para comprender qué es la protección HYOK (hold your own key) para Azure Information Protection y en qué se diferencia de la protección predeterminada basada en la nube.Use the following information to understand what hold your own key (HYOK) protection is for Azure Information Protection, and how it is different from the default cloud-based protection. Antes de usar la protección HYOK, asegúrese de que comprende cuándo es adecuada, los escenarios admitidos, las limitaciones y los requisitos.Before you use HYOK protection, make sure that you understand when it's appropriate, the supported scenarios, the limitations, and requirements.

Protección basada en la nube frente a HYOKCloud-based protection vs. HYOK

Cuando se protegen los documentos y los mensajes de correo electrónico más confidenciales con Azure Information Protection, normalmente se hace mediante la aplicación de una clave basada en la nube que usa la protección de Azure Rights Management (Azure RMS) para beneficiarse de lo siguiente:When you protect your most sensitive documents and emails by using Azure Information Protection, you typically do this by applying a cloud-based key that uses Azure Rights Management (Azure RMS) protection to benefit from the following:

  • No se requiere ninguna infraestructura de servidor, lo que hace que la solución sea más rápida y más rentable de implementar y mantener que una solución local.No server infrastructure required, which makes the solution quicker and more cost effective to deploy and maintain than an on-premises solution.

  • Uso compartido más fácil con asociados y usuarios de otras organizaciones mediante la autenticación basada en la nube.Easier sharing with partners and users from other organizations by using cloud-based authentication.

  • Estrecha integración con servicios de Azure y Office 365, como búsqueda, visores web, vistas dinamizadas, antimalware, eDiscovery y Delve.Tight integration with other Azure and Office 365 services, such as search, web viewers, pivoted views, anti-malware, eDiscovery, and Delve.

  • Seguimiento de documentos, revocación y notificación por correo electrónico para los documentos confidenciales que ha compartido.Document tracking, revocation, and email notification for sensitive documents that you have shared.

Una clave basada en la nube protege los documentos y los mensajes de correo electrónico de la organización mediante una clave privada de la organización que administra Microsoft (valor predeterminado) o el usuario (escenario "Bring Your Own Key" o BYOK).A cloud-based key protects your organization's documents and emails by using a private key for the organization that is managed by Microsoft (the default), or managed by you (the "bring your own key" or BYOK scenario). Para obtener más información sobre las opciones de clave de inquilino, vea Planeamiento e implementación de la clave de inquilino de Azure Information Protection.For more information about the tenant key options, see Planning and implementing your Azure Information Protection tenant key.

Los documentos y los mensajes de correo electrónico que protege se pueden almacenar en la nube o en local.Documents and emails that you protect could be stored in the cloud or on-premises. Para obtener más información sobre cómo funciona el proceso de protección de esta clave basada en la nube, vea ¿Qué es Azure Rights Management?For more information about how the protection process works for this cloud-based key, see What is Azure Rights Management?

Los servicios de Office 365 y las aplicaciones basadas en la nube del inquilino se pueden integrar con Azure Information Protection para que las funciones empresariales importantes, como los servicios de búsqueda, indización, archivado y antimalware, continúen funcionando sin problemas para el contenido protegido con Azure Information Protection.Office 365 services and cloud-based applications for your tenant can integrate with Azure Information Protection so that important business functions, such as search, indexing, archiving, and anti-malware services continue to work seamlessly for content that's protected by Azure Information Protection. Esta capacidad de leer el contenido cifrado de estos escenarios se suele denominar "reasoning over data" (razonamiento a través de datos).This ability to read the encrypted content for these scenarios is often referred to as "reasoning over data". Por ejemplo, es la capacidad que permite a Exchange Online descifrar los mensajes de correo electrónico para la exploración de malware y ejecutar reglas de prevención de pérdida de datos (DLP) en mensajes cifrados.For example, it's this ability that lets Exchange Online decrypt emails for malware scanning and to run data loss prevention (DLP) rules on encrypted emails.

Pero, para los requisitos normativos, algunas organizaciones podrían exigir el cifrado del contenido con una clave aislada de la nube.However, for regulatory requirements, a few organizations might be required to encrypt content with a key that is isolated from the cloud. Este aislamiento significa que solo las aplicaciones locales y los servicios locales pueden leer el contenido cifrado.This isolation means that the encrypted content can be read only by on-premises applications and on-premises services. Esta opción de administración de claves es compatible con Azure Information Protection y se conoce como "hold your own key" o HYOK.This key management option is supported by Azure Information Protection, and it is referred to as "hold your own key" or HYOK. Cuando se usa Azure Information Protection con HYOK, el inquilino tiene una clave basada en la nube y una clave local.When you use Azure Information Protection with HYOK, your tenant has both a cloud-based key and an on-premises key.

Instrucciones y procedimientos recomendados de HYOKHYOK guidance and best practices

Use la protección HYOK solo para los documentos y los mensajes de correo electrónico que exijan que la clave de cifrado esté aislada de la nube.Use HYOK protection just for the documents and emails that require the encryption key to be isolated from the cloud. La protección HYOK no ofrece las ventajas mencionadas que se obtienen al usar la protección de claves basada en la nube y suele tener la desventaja de la "opacidad de datos".HYOK protection doesn't provide the listed benefits that you get when you use cloud-based key protection, and it often comes at the cost of "data opacity". Esta frase significa que solo las aplicaciones y los servicios locales pueden abrir datos protegidos con HYOK; las aplicaciones y los servicios basados en la nube no pueden razonar a través de datos protegidos con HYOK.This phrase means that only on-premises applications and services will be able to open HYOK-protected data; cloud-based services and applications cannot reason over HYOK-protected data.

Incluso en las organizaciones que usan la protección HYOK, normalmente es adecuada para un número pequeño de documentos que se deben proteger.Even for the organizations that use HYOK protection, it is typically suitable for a small number of documents that need to be protected. A efectos orientativos, úsela solo para documentos que cumplan todos los criterios siguientes:As guidance, use it only for documents and when they match all the following criteria:

  • El contenido tiene la clasificación de confidencialidad más alta de la organización ("ultrasecreto") y son muy pocas las personas que tienen acceso a élThe content has the highest classification in your organization ("Top Secret") and access is restricted to just a few people

  • El contenido no se comparte fuera de la organizaciónThe content is not shared outside the organization

  • El contenido solo se usa en la red internaThe content is only consumed on the internal network

Dado que la protección HYOK es una opción de configuración de administrador para una etiqueta, los flujos de trabajo de usuario siguen igual, independientemente de si la protección usa una clave basada en la nube o HYOK.Because HYOK protection is an administrator configuration option for a label, user workflows remain the same, irrespective of whether the protection uses a cloud-based key or HYOK.

Las directivas con ámbito son muy útiles para asegurarse de que los usuarios que tienen que aplicar la protección HYOK sean los únicos que ven las etiquetas configuradas para la protección HYOK.Scoped policies are a good way to ensure that only the users who need to apply HYOK protection see labels that are configured for HYOK protection.

Escenarios admitidos para HYOKSupported scenarios for HYOK

Para aplicar la protección HYOK, use etiquetas de Azure Information Protection.To apply HYOK protection, use Azure Information Protection labels.

En la tabla siguiente se enumeran los escenarios admitidos para proteger el contenido mediante etiquetas configuradas para HYOK y para abrir (usar) el contenido protegido por HYOK.The following table lists the supported scenarios for protecting content by using labels that are configured for HYOK, and opening (consuming) content that's protected by HYOK.

PlataformaPlatform AplicaciónApplication Compatible.Supported
WindowsWindows Cliente de Azure Information Protection con aplicaciones de Office 365, Office 2019, Office 2016 y Office 2013Azure Information Protection client with Office 365 apps, Office 2019, Office 2016, and Office 2013

- Word, Excel, PowerPoint- Word, Excel, PowerPoint
Protección: síProtection: Yes

Uso: síConsumption: Yes
WindowsWindows Cliente de Azure Information Protection con aplicaciones de Office 365, Office 2019, Office 2016 y Office 2013Azure Information Protection client with Office 365 apps, Office 2019, Office 2016, and Office 2013

- Outlook- Outlook
Protección: síProtection: Yes

Uso: síConsumption: Yes
WindowsWindows Cliente de Azure Information Protection con el Explorador de archivosAzure Information Protection client with File Explorer Protección: síProtection: Yes

Uso: síConsumption: Yes
WindowsWindows Visor de Azure Information ProtectionAzure Information Protection Viewer Protección: no aplicableProtection: Not applicable

Uso: síConsumption: Yes
WindowsWindows Cliente de Azure Information Protection con cmdlets de etiquetado de PowerShellAzure Information Protection client with PowerShell labeling cmdlets Protección: síProtection: Yes

Uso: síConsumption: Yes
WindowsWindows Analizador de Azure Information ProtectionAzure Information Protection scanner Protección: síProtection: Yes

Uso: síConsumption: Yes
WindowsWindows Aplicación de uso compartido Rights ManagementRights Management sharing app Protección: noProtection: No

Uso: síConsumption: Yes
MacOSMacOS Office para MacOffice for Mac

- Word, Excel, PowerPoint- Word, Excel, PowerPoint
Protección: noProtection: No

Uso: síConsumption: Yes
MacOSMacOS Office para MacOffice for Mac

- Outlook- Outlook
Protección: noProtection: No

Uso: síConsumption: Yes
MacOSMacOS Aplicación de uso compartido Rights ManagementRights Management sharing app Protección: noProtection: No

Uso: síConsumption: Yes
iOSiOS Office MobileOffice Mobile

- Word, Excel, PowerPoint- Word, Excel, PowerPoint
Protección: noProtection: No

Uso: síConsumption: Yes
iOSiOS Office MobileOffice Mobile

-Outlook-Outlook
Protección: noProtection: No

Uso: noConsumption: No
iOSiOS Visor de Azure Information ProtectionAzure Information Protection Viewer Protección: no aplicableProtection: Not applicable

Uso: síConsumption: Yes
AndroidAndroid Office MobileOffice Mobile

- Word, Excel, PowerPoint- Word, Excel, PowerPoint
Protección: noProtection: No

Uso: síConsumption: Yes
AndroidAndroid Office MobileOffice Mobile

- Outlook- Outlook
Protección: noProtection: No

Uso: noConsumption: No
AndroidAndroid Visor de Azure Information ProtectionAzure Information Protection Viewer Protección: no aplicableProtection: Not applicable

Uso: síConsumption: Yes
WebWeb Outlook en la webOutlook on the web Protección: noProtection: No

Uso: noConsumption: No
WebWeb Office para la webOffice for the web

- Word, Excel, PowerPoint- Word, Excel, PowerPoint
Protección: noProtection: No

Uso: noConsumption: No
UniversalUniversal Aplicaciones universales de OfficeOffice Universal apps

- Word, Excel, PowerPoint- Word, Excel, PowerPoint
Protección: noProtection: No

Uso: noConsumption: No

Limitaciones adicionales de uso de Hold your own key (HYOK, Mantenga su propia clave)Additional limitations when using HYOK

Además, el uso de la protección HYOK con las etiquetas de Azure Information Protection tiene las siguientes limitaciones:Additionally, using HYOK protection with Azure Information Protection labels has the following limitations:

  • No es compatible con versiones de Office anteriores a Office 2013.Does not support versions of Office earlier than Office 2013.

  • Los servicios de Office 365 y otros servicios en línea no pueden descifrar documentos y mensajes de correo electrónico protegidos con HYOK para inspeccionar el contenido y tomar medidas en ellos.Office 365 services and other online services will not be able to decrypt HYOK-protected documents and emails to inspect the content and take action on them. Esta limitación se extiende a los documentos y los mensajes de correo electrónico protegidos con HYOK que han sido protegidos con el conector de Rights Management.This limitation extends to HYOK-protected documents and emails that have been protected with the Rights Management connector.

    Esta pérdida de funcionalidad del correo electrónico protegido con HYOK incluye detectores de malware, soluciones de prevención de pérdida de datos (DLP), reglas de enrutamiento de correo electrónico, registro en diario, eDiscovery, soluciones de archivado y Exchange ActiveSync.This loss of functionality for HYOK-protected email includes malware scanners, data loss prevention (DLP) solutions, mail routing rules, journaling, eDiscovery, archiving solutions, and Exchange ActiveSync. Además, los usuarios no entenderán por qué algunos dispositivos no pueden abrir sus mensajes de correo electrónico protegidos con HYOK, y esto puede dar lugar a llamadas al departamento de soporte técnico.In addition, users won't understand why some devices cannot open their HYOK-protected emails, and this can result in calls to your help desk. Debido a la cantidad de limitaciones, no se recomienda usar la protección HYOK para los mensajes de correo electrónico.Because of these many limitations, we do not recommend that you use HYOK protection for emails.

Implementación de HYOKImplementing HYOK

HYOK es compatible con Azure Information Protection si tiene una implementación en funcionamiento de Active Directory Rights Management Services (AD RMS) con los requisitos que se documentan en la sección siguiente.HYOK is supported by Azure Information Protection when you have a working Active Directory Rights Management Services (AD RMS) deployment with the requirements that are documented in the next section. En este escenario, las directivas de derechos de uso y la clave privada de la organización que protege estas directivas se administran y mantienen de forma local, mientras que Azure sigue administrando la directiva de Azure Information Protection para etiquetado y clasificación, que se almacena en Azure.In this scenario, the usage rights policies and the organization's private key that protects these policies are managed and kept on-premises, while the Azure Information Protection policy for labeling and classification remains managed and stored in Azure.

No confunda HYOK y Azure Information Protection con el uso de una implementación completa de AD RMS y Azure Information Protection, ni lo considere una alternativa a la migración de AD RMS a Azure Information Protection.Do not confuse HYOK and Azure Information Protection with using a full deployment of AD RMS and Azure Information Protection, or as an alternative to migrating AD RMS to Azure Information Protection. HYOK solo se admite mediante la aplicación de etiquetas, no ofrece paridad de características con AD RMS y no admite todas las configuraciones de implementación de AD RMS:HYOK is only supported by applying labels, does not offer feature parity with AD RMS, and does not support all AD RMS deployment configurations:

Requisitos de AD RMS para admitir HYOKRequirements for AD RMS to support HYOK

Una implementación de AD RMS debe cumplir los siguientes requisitos para proporcionar protección HYOK para etiquetas de Azure Information Protection.An AD RMS deployment must meet the following requirements to provide HYOK protection for Azure Information Protection labels.

  • Configuración de AD RMS:AD RMS configuration:

    • Versión mínima de Windows Server 2012 R2: necesaria para entornos de producción, pero para fines de pruebas o evaluación se puede usar una versión mínima de Windows Server 2008 R2 con Service Pack 1.Minimal version of Windows Server 2012 R2: Required for production environments but for testing or evaluation purposes, you can use a minimal version of Windows Server 2008 R2 with Service Pack 1.

    • Una de las topologías siguientes:One of the following topologies:

      • Un bosque individual con un clúster raíz de AD RMS único.Single forest with a single AD RMS root cluster.

      • Varios bosques con clústeres de raíz de AD RMS independientes y usuarios sin acceso al contenido protegido por los usuarios en los otros bosques.Multiple forests with independent AD RMS root clusters and users don't have access to the content that's protected by the users in the other forests.

      • Varios bosques con clústeres de AD RMS en cada uno.Multiple forests with AD RMS clusters in each of them. Cada clúster de AD RMS comparte una dirección URL de licencia que apunta al mismo clúster de AD RMS.Each AD RMS cluster shares a licensing URL that points to the same AD RMS cluster. En este clúster de AD RMS, debe importar todos los certificados de dominio de usuario de confianza (TUD) de todos los otros clústeres de AD RMS.On this AD RMS cluster, you must import all the trusted user domain (TUD) certificates from all the other AD RMS clusters. Para más información sobre esta topología, vea Trusted User Domain (Dominio de usuario de confianza).For more information about this topology, see Trusted User Domain.

      Cuando haya varios clústeres de AD RMS en bosques diferentes, elimine las etiquetas en la directiva global que aplica la protección de HYOK (AD RMS) y configure una directiva con ámbito para cada clúster.When you have multiple AD RMS clusters in separate forests, delete any labels in the global policy that apply HYOK (AD RMS) protection and configure a scoped policy for each cluster. A continuación, asigne los usuarios de cada clúster a su directiva con ámbito, asegurándose de que no se usen grupos que puedan causar que un usuario quede asignado a más de una directiva con ámbito.Then, assign users for each cluster to their scoped policy, making sure that you do not use groups that would result in a user being assigned to more than one scoped policy. El resultado debería ser que cada usuario tenga etiquetas para un único clúster de AD RMS.The result should be that each user has labels for one AD RMS cluster only.

    • Modo criptográfico 2: puede confirmar el modo comprobando las propiedades de clúster de AD RMS en la pestaña General.Cryptographic Mode 2: You can confirm the mode by checking the AD RMS cluster properties, General tab.

    • Cada servidor de AD RMS está configurado para la dirección URL de certificación.Each AD RMS server is configured for the certification URL. InstruccionesInstructions

    • Punto de conexión de servicio (SCP) no registrado en Active Directory: cuando se usa la protección de AD RMS con Azure Information Protection, no se utiliza ningún SCP.A service connection point (SCP) is not registered in Active Directory: An SCP is not used when you use AD RMS protection with Azure Information Protection.

      • Si tiene registrado un SCP para la implementación de AD RMS, debe quitarlo para que la detección de servicios se realice correctamente para la protección de Azure Rights Management.If you have a registered an SCP for your AD RMS deployment, you must remove it so that service discovery is successful for Azure Rights Management protection.

      • Si está instalando un nuevo clúster de AD RMS para HYOK, omita el paso para registrar el SCP durante la configuración del primer nodo.If you are installing a new AD RMS cluster for HYOK, skip the step to register the SCP during the configuration of the first node. Para cada nodo adicional, asegúrese de que el servidor está configurado para la dirección URL de certificación antes de agregar el rol de AD RMS y unirse al clúster existente.For each additional node, make sure that the server is configured for the certification URL before you add the AD RMS role and join the existing cluster.

    • Los servidores de AD RMS están configurados para usar SSL/TLS con un certificado X.509 válido que sea de confianza para los clientes que se conecten a este: es necesario para entornos de producción, pero no es obligatorio para fines de pruebas o evaluación.The AD RMS servers are configured to use SSL/TLS with a valid x.509 certificate that is trusted by the connecting clients: Required for production environments but not required for testing or evaluation purposes.

    • Plantillas de permisos configuradas.Configured rights templates.

    • No haber establecido la configuración para IRM para Exchange.Not configured for Exchange IRM.

    • En dispositivos móviles y equipos Mac: Extensión de Active Directory Rights Management Services para dispositivos móviles instalada y configurada.For mobile devices and Mac computers: The Active Directory Rights Management Services Mobile Device Extension is installed and configured.

  • La sincronización de directorios se configura entre Active Directory local y Azure Active Directory, y los usuarios que van a usar la protección HYOK se configuran para el inicio de sesión único.Directory synchronization is configured between your on-premises Active Directory and Azure Active Directory, and users who will use HYOK protection are configured for single sign-on.

  • Si comparte documentos o mensajes de correo electrónico protegidos con HYOK con otros usuarios fuera de la organización: AD RMS está configurado para confianzas definidas explícitamente en una relación directa punto a punto con el resto de las organizaciones mediante el uso de dominios de usuario de confianza (TUD) o confianzas federadas que se crean mediante los Servicios de federación de Active Directory (AD FS).If you share documents or emails that are protected by HYOK with others outside your organization: AD RMS is configured for explicitly defined trusts in a direct point-to-point relationship with the other organizations by using either trusted user domains (TUDs) or federated trusts that are created by using Active Directory Federation Services (AD FS).

  • Los usuarios tienen una versión de Office que admite Information Rights Management (IRM) y es al menos Office 2013 Professional Plus con Service Pack 1, que se ejecuta en Windows 7 Service Pack 1 o una versión posterior.Users have a version of Office that supports Information Rights Management (IRM) and at least Office 2013 Professional Plus with Service Pack 1, running on Windows 7 Service Pack 1 or later. Tenga en cuenta que Office 2010 y Office 2007 no son compatibles con este escenario.Note that Office 2010 and Office 2007 are not supported for this scenario.

Importante

Para alcanzar la seguridad alta que ofrece la protección HYOK, se recomienda que los servidores de AD RMS no se encuentren en la red perimetral y que solo los usen los equipos administrados.To fulfill the high assurance that HYOK protection offers, we recommend that your AD RMS servers are not located in your DMZ, and that they are used by only managed devices.

También recomendamos que en el clúster de AD RMS se use un módulo de seguridad de hardware (HSM) para que la clave privada del certificado de emisor de licencias de servidor (SLC) no quede expuesta o se pueda robar en caso de que se produzca alguna infracción de seguridad en la implementación de AD RMS o esta pierda su carácter confidencial.We also recommend that your AD RMS cluster uses a hardware security module (HSM), so that the private key for your Server Licensor Certificate (SLC) cannot be exposed or stolen if your AD RMS deployment should ever be breached or compromised.

Para obtener información e instrucciones sobre la implementación de AD RMS, consulte Active Directory Rights Management Services en la biblioteca de Windows Server.For deployment information and instructions for AD RMS, see Active Directory Rights Management Services in the Windows Server library.

Configuración de servidores de AD RMS para buscar la dirección URL de certificaciónConfiguring AD RMS servers to locate the certification URL

  1. En cada servidor de AD RMS del clúster, cree la entrada del Registro siguiente:On each AD RMS server in the cluster, create the following registry entry:

    Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\DRMS\GICURL = "<string>"

    Para el <valor de cadena>, especifique uno de los siguientes:For the <string value>, specify one of the following:

    • Para clústeres de AD RMS que usan SSL/TLS:For AD RMS clusters using SSL/TLS:

        https://<cluster_name>/_wmcs/certification/certification.asmx
      
    • Para clústeres de AD RMS que no usan SSL/TLS (solo redes de prueba):For AD RMS clusters not using SSL/TLS (testing networks only):

        http://<cluster_name>/_wmcs/certification/certification.asmx
      
  2. Reinicie IIS.Restart IIS.

Buscar la información para especificar la protección de AD RMS con una etiqueta de Azure Information ProtectionLocating the information to specify AD RMS protection with an Azure Information Protection label

Al configurar una etiqueta para la protección de HYOK (AD RMS) , debe especificar la dirección URL de administración de licencias del clúster de AD RMS.When you configure a label for HYOK (AD RMS) protection, you must specify the licensing URL of your AD RMS cluster. Además, debe especificar una plantilla que haya configurado para los permisos que se conceden a los usuarios, o bien dejar que los usuarios definan los permisos y los usuarios.In addition, you must specify either a template that you've configured for the permissions to grant users, or let users define the permissions and users.

Encontrará los valores del GUID de plantilla y de la dirección URL de administración de licencias en la consola de Active Directory Rights Management Services:You can find the template GUID and licensing URL values from the Active Directory Rights Management Services console:

  • Para buscar un GUID de plantilla: expanda el clúster y haga clic en Plantillas de directiva de derechos.To locate a template GUID: Expand the cluster and click Rights Policy Templates. En la información Plantillas de directiva de permisos distribuidas, puede copiar el GUID de la plantilla que quiera usar.From the Distributed Rights Policy Templates information, you can then copy the GUID from the template you want to use. Por ejemplo: 82bf3474-6efe-4fa1-8827-d1bd93339119For example: 82bf3474-6efe-4fa1-8827-d1bd93339119

  • Para buscar la URL de administración de licencias: haga clic en el nombre del clúster.To locate the licensing URL: Click the cluster name. En la información Detalles del clúster, copie el valor Licencias menos la cadena /_wmcs/licensing.From the Cluster Details information, copy the Licensing value minus the /_wmcs/licensing string. Por ejemplo: https://rmscluster.contoso.comFor example: https://rmscluster.contoso.com

    Si tiene un valor de administración de licencias de extranet, así como un valor de administración de licencias de intranet, y estas son diferentes, especifique el valor de extranet solo si va a compartir documentos o correos electrónicos protegidos con asociados que haya definido con confianzas explícitas punto a punto.If you have an extranet licensing value as well as an intranet licensing value, and they are different: Specify the extranet value only if you will share protected documents or emails with partners that you have defined with explicit point-to-point trusts. De lo contrario, use el valor de intranet y asegúrese de que todos los equipos cliente que usan la protección de AD RMS con Azure Information Protection se conectan mediante una conexión de intranet (por ejemplo, los equipos remotos usan una conexión VPN).Otherwise, use the intranet value and make sure that all your client computers that use AD RMS protection with Azure Information Protection connect by using an intranet connection (for example, remote computers use a VPN connection).

Pasos siguientesNext steps

Para configurar una etiqueta para la protección HYOK, vea Configuración de una etiqueta para la protección de Rights Management.To configure a label for HYOK protection, see How to configure a label for Rights Management protection.