Configuración de la directiva de Azure Information ProtectionConfiguring the Azure Information Protection policy

Se aplica a: Azure Information ProtectionApplies to: Azure Information Protection

Instrucciones para: Azure Information Protection cliente para WindowsInstructions for: Azure Information Protection client for Windows

Nota

La Directiva de Azure Information Protection se aplica al cliente de Azure Information Protection (clásico) y no al cliente de etiquetado Unificado de Azure Information Protection.The Azure Information Protection policy applies to the Azure Information Protection client (classic) and not the Azure Information Protection unified labeling client. ¿No está seguro de la diferencia entre estos clientes?Not sure of the difference between these clients? Vea las Preguntas frecuentes.See this FAQ.

Si busca información para configurar etiquetas de confidencialidad y configuraciones de directiva para el cliente de etiquetado unificado, vea información general sobre las etiquetas de confidencialidad en la documentación de Office.If you are looking for information to configure sensitivity labels and policy settings for the unified labeling client, see Overview of sensitivity labels from the Office documentation.

Para configurar la clasificación, el etiquetado y la protección del cliente clásico, debe configurar la Directiva de Azure Information Protection.To configure classification, labeling, and protection for the classic client, you must configure the Azure Information Protection policy. Esta directiva se descarga luego en los equipos que tienen instalado el cliente de Azure Information Protection.This policy is then downloaded to computers that have installed the Azure Information Protection client.

La directiva contiene las etiquetas y la configuración siguientes:The policy contains labels and settings:

  • Las etiquetas aplican un valor de clasificación a los documentos y correos electrónicos y, opcionalmente, pueden proteger este contenido.Labels apply a classification value to documents and emails, and can optionally protect this content. El cliente de Azure Information Protection muestra estas etiquetas para los usuarios en aplicaciones de Office y cuando los usuarios hacen clic con el botón derecho en el Explorador de archivos.The Azure Information Protection client displays these labels for your users in Office apps and when users right-click from File Explorer. Estas etiquetas también se pueden aplicar mediante el uso de PowerShell y el analizador de Azure Information Protection.These labels can also be applied by using PowerShell and the Azure Information Protection scanner.

  • La configuración cambia el comportamiento predeterminado del cliente de Azure Information Protection.The settings change the default behavior of the Azure Information Protection client. Por ejemplo, puede seleccionar una etiqueta predeterminada, si todos los documentos y correos electrónicos deben tener una etiqueta y si la barra de Azure Information Protection se muestra en aplicaciones de Office.For example, you can select a default label, whether all documents and emails must have a label, and whether the Azure Information Protection bar is displayed in Office apps.

Compatibilidad con la suscripciónSubscription support

Azure Information Protection admite distintos niveles de suscripciones:Azure Information Protection supports different levels of subscriptions:

  • Azure Information Protection P2: compatibilidad con todas las características de clasificación, etiquetado y protección.Azure Information Protection P2: Support for all classification, labeling, and protection features.

  • Azure Information Protection P1: compatibilidad con la mayoría de las características de clasificación, etiquetado y protección, pero no con la clasificación automática o HYOK.Azure Information Protection P1: Support for most classification, labeling, and protection features, but not automatic classification or HYOK.

  • Office 365 que incluye el servicio de Azure Rights Management: compatibilidad con la protección, pero no con la clasificación ni el etiquetado.Office 365 that includes the Azure Rights Management service: Support for protection but not classification and labeling.

Las opciones que requieren una suscripción para Azure Information Protection P2 se identifican en el portal.Options that require an Azure Information Protection P2 subscription are identified in the portal.

Si la organización tiene una combinación de suscripciones, usted es el responsable de asegurarse de que los usuarios no utilicen las características para las que sus cuentas no tienen licencia de uso.If your organization has a mix of subscriptions, it is your responsibility to make sure that users do not use features that their account is not licensed to use. El cliente de Azure Information Protection no lleva a cabo la comprobación de licencias ni el cumplimiento.The Azure Information Protection client does not do license checking and enforcement. Cuando configure opciones para las que no todos los usuarios tienen una licencia, utilice directivas con ámbito o una configuración del Registro para asegurarse de que la organización cumple con las licencias:When you configure options that not all users have a license for, use scoped policies or a registry setting to ensure that your organization stays in compliance with your licenses:

  • Cuando la organización tiene una combinación de licencias de Azure Information Protection P1 y Azure Information Protection P2: para los usuarios que tienen una licencia P2, cree y use una o varias directivas con ámbito cuando configure opciones que requieren una licencia de Azure Information Protection P2.When your organization has a mix of Azure Information Protection P1 and Azure Information Protection P2 licenses: For users who have a P2 license, create and use one or more scoped policies when you configure options that require an Azure Information Protection P2 license. Asegúrese de que la directiva global no contiene opciones que requieren una licencia de Azure Information Protection P2.Make sure that your global policy does not contain options that require an Azure Information Protection P2 license.

  • Si la organización tiene una suscripción para Azure Information Protection pero algunos usuarios solo tienen una licencia para Office 365 que incluye el servicio de Azure Rights Management: para los usuarios que no tiene una licencia de Azure Information Protection, edite el Registro en sus equipos para que no descarguen la directiva de Azure Information Protection.When your organization has a subscription for Azure Information Protection but some users have only a license for Office 365 that includes the Azure Rights Management service: For the users who do not have a license for Azure Information Protection, edit the registry on their computers so they do not download the Azure Information Protection policy. Para obtener instrucciones, consulte la guía de administración para la personalización siguiente: Enforce protection-only mode when your organization has a mix of licenses (Exigencia del modo de solo protección cuando la organización tiene una combinación de licencias).For instructions, see the admin guide for the following customization: Enforce protection-only mode when your organization has a mix of licenses.

Para más información sobre las suscripciones, consulte ¿Qué suscripción necesito para Azure Information Protection y qué características se incluyen?For more information about the subscriptions, see What subscription do I need for Azure Information Protection and what features are included?

Inicio de sesión en Azure PortalSigning in to the Azure portal

Para iniciar sesión en Azure Portal con objeto de configurar y administrar Azure Information Protection:To sign in to the Azure portal, to configure and manage Azure Information Protection:

  • Utilice el vínculo siguiente: https://portal.azure.comUse the following link: https://portal.azure.com

  • Use una cuenta de Azure AD que tenga uno de los siguientes roles de administrador:Use an Azure AD account that has one of the following administrator roles:

    • Administrador de Azure Information ProtectionAzure Information Protection administrator

    • Administrador de cumplimientoCompliance administrator

    • Administrador de datos de cumplimientoCompliance data administrator

    • Administrador de seguridadSecurity administrator

      Lector de seguridad - soloanálisis de Azure Information ProtectionSecurity reader - Azure Information Protection analytics only

      Lector Global - soloanálisis de Azure Information ProtectionGlobal reader - Azure Information Protection analytics only

    • Administrador globalGlobal administrator

      Nota

      Si el inquilino está en la plataforma de etiquetado unificado, el rol de administrador de Azure Information Protection (antes "Administrador de Information Protection") y el rol de lector global no se admiten para el Azure Portal.If your tenant is on the unified labeling platform, the Azure Information Protection administrator role (formerly "Information Protection administrator") and the Global reader role are not supported for the Azure portal. Más información.More information

      Las cuentas de Microsoft no pueden administrar Azure Information Protection.Microsoft accounts cannot manage Azure Information Protection.

Para tener acceso al panel de Azure Information Protection por primera vezTo access the Azure Information Protection pane for the first time

  1. Inicie sesión en Azure Portal.Sign in to the Azure portal.

  2. Seleccione + crear un recursoy, a continuación, en el cuadro de búsqueda de Marketplace, escriba Azure Information Protection.Select + Create a resource, and then, from the search box for the Marketplace, type Azure Information Protection.

  3. En la lista de resultados, seleccione Azure Information Protection.From the results list, select Azure Information Protection. En el panel Azure Information Protection , haga clic en crear.On the Azure Information Protection pane, click Create.

    Sugerencia

    Opcionalmente, seleccione Anclar al panel para crear un icono de Azure Information Protection en el panel, de modo que pueda omitir el examen del servicio la próxima vez que inicie sesión en el portal.Optionally, select Pin to dashboard to create an Azure Information Protection tile on your dashboard, so that you can skip browsing to the service the next time you sign in to the portal.

    Haga clic en Crear de nuevo.Click Create again.

  4. Verá la página Inicio rápido que se abre automáticamente la primera vez que se conecta al servicio.You see the Quick start page that automatically opens the first time you connect to the service. Examine los recursos sugeridos o utilice las otras opciones de menú.Browse the suggested resources, or use the other menu options. Utilice el procedimiento siguiente para configurar las etiquetas que los usuarios pueden seleccionar.To configure the labels that users can select, use the following procedure.

La próxima vez que acceda al panel de Azure Information Protection , se selecciona automáticamente la opción etiquetas para que pueda ver y configurar las etiquetas para todos los usuarios.Next time you access the Azure Information Protection pane, it automatically selects the Labels option so that you can view and configure labels for all users. Puede volver a la página Inicio rápido seleccionándola en el menú General.You can return to the Quick start page by selecting it from the General menu.

Para configurar la directiva de Azure Information ProtectionHow to configure the Azure Information Protection policy

  1. Asegúrese de que ha iniciado sesión en el Azure Portal mediante uno de estos roles administrativos: Azure Information Protection administrador, administrador de seguridad o administración global.Make sure that you are signed in to the Azure portal by using one of these administrative roles: Azure Information Protection administrator, Security administrator, or Global administration. Vaya a la sección anterior para obtener más información sobre estos roles administrativos.See the preceding section for more information about these administrative roles.

  2. Si es necesario, vaya al panel Azure Information Protection : por ejemplo, en el menú del concentrador, haga clic en todos los servicios y comience a escribir Information Protection en el cuadro filtro.If necessary, navigate to the Azure Information Protection pane: For example, on the hub menu, click All services and start typing Information Protection in the Filter box. De los resultados, seleccione Azure Information Protection.From the results, select Azure Information Protection.

    El panel Azure Information Protection-etiquetas se abre automáticamente para que pueda ver y editar las etiquetas disponibles.The Azure Information Protection - Labels pane automatically opens for you to view and edit the available labels. Las etiquetas pueden estar disponibles para todos los usuarios, usuarios seleccionados o ningún usuario mediante la adición o eliminación de una directiva.The labels can be made available to all users, selected users, or no users by adding or removing them from a policy.

  3. Para ver y editar las directivas, seleccione Directivas entre las opciones de menú.To view and edit the policies, select Policies from the menu options. Para ver y editar la directiva que obtienen todos los usuarios, seleccione la directiva Global.To view and edit the policy that all users get, select the Global policy. Para crear una directiva personalizada para usuarios seleccionados, seleccione Agregar una directiva.To create a custom policy for selected users, select Add a new policy.

Aplicación de cambios en la directivaMaking changes to the policy

Puede crear tantas etiquetas como quiera.You can create any number of labels. Sin embargo, cuando empiezan a ser demasiadas como para que los usuarios puedan verlas fácilmente y seleccionar la etiqueta correcta, puede crear directivas con ámbito para que los usuarios vean solo las etiquetas pertinentes.However, when they start to get too many for users to easily see and select the right label, create scoped policies so that users see only the labels that are relevant to them. Hay un límite superior para las etiquetas que aplican protección: 500.There is an upper limit for labels that apply protection, which is 500.

Cuando realice cambios en un panel de Azure Information Protection, haga clic en Guardar para guardar los cambios o haga clic en descartar para volver a la última configuración guardada.When you make any changes on an Azure Information Protection pane, click Save to save the changes, or click Discard to revert to the last saved settings. Cuando se guardan los cambios en una directiva o se realizan cambios en las etiquetas que se agregan a las directivas, los cambios se publican automáticamente.When you save changes in a policy, or make changes to labels that are added to policies, those changes are automatically published. No hay una opción de publicación separada.There's no separate publish option.

El cliente de Azure Information Protection busca cambios cada vez que se inicia una aplicación de Office compatible y descarga los cambios en su directiva de Azure Information Protection más reciente.The Azure Information Protection client checks for any changes whenever a supported Office application starts, and downloads the changes as its latest Azure Information Protection policy. Desencadenadores adicionales que actualizan la directiva en el cliente:Additional triggers that refresh the policy on the client:

  • Haga clic con el botón derecho para clasificar y proteger un archivo o carpeta.Right-click to classify and protect a file or folder.

  • Ejecución de los cmdlets de PowerShell para etiquetado y protección (Get-AIPFileStatus, Set-AIPFileClassification, and Set-AIPFileLabel).Running the PowerShell cmdlets for labeling and protection (Get-AIPFileStatus, Set-AIPFileClassification, and Set-AIPFileLabel).

  • Cada 24 horas.Every 24 hours.

  • Para el analizador de Azure Information Protection: cuando se inicia el servicio (si la directiva es anterior a una hora) y cada hora durante la operación.For the Azure Information Protection Scanner: When the service starts (if the policy is older than an hour), and every hour during operation.

Nota

Cuando el cliente descargue la directiva, tenga en cuenta que deberá esperar unos minutos antes de que esté totalmente operativa.When the client downloads the policy, be prepared to wait a few minutes before it's fully operational. El tiempo real varía según factores como el tamaño y la complejidad de la configuración de la directiva y la conectividad de red.The actual time varies, according to factors such as the size and complexity of the policy configuration, and the network connectivity. Si la acción resultante de las etiquetas no coincide con los cambios más recientes, deje pasar hasta 15 minutos y vuelva a intentarlo.If the resulting action of your labels does not match your latest changes, allow up to 15 minutes and then try again.

Configuración de la directiva de la organizaciónConfiguring your organization's policy

Use la siguiente información como ayuda para configurar la directiva de Azure Information Protection:Use the following information to help you configure the Azure Information Protection policy:

Información de la etiqueta almacenada en correos electrónicos y documentosLabel information stored in emails and documents

Cuando se aplica una etiqueta a un documento o correo electrónico, en segundo plano, la etiqueta se almacena en metadatos para que aplicaciones y servicios puedan leer la etiqueta:When a label is applied to a document or email, under the covers, the label is stored in metadata so that applications and services can read the label:

  • En los correos electrónicos, esta información se almacena en el encabezado X: msip_labels: MSIP_Label_<GUID>_Enabled=True;In emails, this information is stored in the x-header: msip_labels: MSIP_Label_<GUID>_Enabled=True;

  • En el caso de documentos de Word (. doc y. docx), hojas de cálculo de Excel (. xls y. xlsx), presentaciones de PowerPoint (. ppt y. pptx) y documentos PDF, estos metadatos se almacenan en la siguiente propiedad personalizada: MSIP_Label_<GUID > _Enabled = trueFor Word documents (.doc and .docx), Excel spreadsheets (.xls and .xlsx), PowerPoint presentations (.ppt and .pptx), and PDF documents, this metadata is stored in the following custom property: MSIP_Label_<GUID>_Enabled=True

En el caso de los correos electrónicos, la información de la etiqueta se almacena cuando se envía el correo electrónico.For emails, the label information is stored when the email is sent. En el caso de los documentos, la información de la etiqueta se almacena cuando se guarda el archivo.For documents, the label information is stored when the file is saved.

Para identificar el GUID de una etiqueta, busque el valor de identificador de etiqueta en el panel etiqueta en el Azure portal, al ver o configurar la directiva de Azure Information Protection.To identify the GUID for a label, locate the Label ID value on the Label pane in the Azure portal, when you view or configure the Azure Information Protection policy. En el caso de los archivos que tienen etiquetas aplicadas, también puede ejecutar el cmdlet de PowerShell Get-AIPFileStatus para identificar el GUID (MainLabelId o SubLabelId).For files that have labels applied, you can also run the Get-AIPFileStatus PowerShell cmdlet to identify the GUID (MainLabelId or SubLabelId). Si una etiqueta tiene subetiquetas, especifique únicamente el GUID de una subetiqueta, no el de la etiqueta principal.When a label has sublabels, always specify the GUID of just a sublabel and not the parent label.

Pasos siguientesNext steps

Para obtener ejemplos de cómo personalizar la directiva de Azure Information Protection y ver el comportamiento resultante para los usuarios, pruebe los siguientes tutoriales:For examples of how to customize the Azure Information Protection policy, and see the resulting behavior for users, try the following tutorials:

Para ver cómo funciona la Directiva, consulte informes centrales para Azure Information Protection.To see how your policy is performing, see Central reporting for Azure Information Protection.