Requisitos para instalar e implementar el Azure Information Protection de etiquetado unificado

Se aplica a: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Relevante para: solo cliente de etiquetado unificado de AIP.

Antes de instalar Azure Information Protection analizador local, asegúrese de que el sistema cumple los requisitos básicos Azure Information Protection aplicación.

Además, los siguientes requisitos son específicos para el analizador:

Si no puede cumplir todos los requisitos enumerados para el analizador porque están prohibidos por las directivas de la organización, consulte la sección configuraciones alternativas.

Al implementar el analizador en producción o probar el rendimiento de varios escáneres, consulte Requisitos de almacenamiento y planeamiento de capacidad para SQL Server.

Cuando esté listo para empezar a instalar e implementar el analizador, continúe con Implementación del analizador de Azure Information Protection para clasificar y proteger automáticamente los archivos.

Requisitos de Windows Server

Debe tener un equipo con Windows Server para ejecutar el analizador, que tiene las siguientes especificaciones del sistema:

Especificación Detalles
Procesador Procesadores de 4 núcleos
RAM 8 GB
Espacio en disco Espacio disponible de 10 GB (promedio) para archivos temporales.

El analizador requiere suficiente espacio en disco para crear archivos temporales para cada archivo que analiza, cuatro archivos por núcleo.

El espacio en disco recomendado de 10 GB permite que 4 procesadores de núcleo examinen 16 archivos, cada uno con un tamaño de 625 MB.
Sistema operativo - Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2

Nota: Con fines de prueba o evaluación en un entorno que no es de producción, también puede usar cualquier sistema operativo Windows compatible con el cliente Azure Information Protection .
Conectividad de red El equipo del analizador puede ser un equipo físico o virtual con una conexión de red rápida y confiable a los almacenes de datos que se examinarán.

Si no es posible la conectividad a Internet debido a las directivas de la organización, consulte Implementación del analizador con configuraciones alternativas.

De lo contrario, asegúrese de que este equipo tenga conectividad a Internet que permita las siguientes direcciones URL a través de HTTPS (puerto 443):

- *.aadrm.com
- *.azurerms.com
- *.informationprotection.azure.com
- informationprotection.hosting.portal.azure.net
- *.aria.microsoft.com
- *.protection.outlook.com
Recursos compartidos de NFS Para admitir exámenes en recursos compartidos de NFS, los servicios de NFS deben implementarse en la máquina del analizador.

En el equipo, vaya al cuadro de diálogo de configuración Características de Windows (Activar o desactivar características de Windows) y seleccione los siguientes elementos: Servicios para herramientas administrativas de NFS y Cliente para > NFS.

Requisitos de cuentas de servicio

Debe tener una cuenta de servicio para ejecutar el servicio de analizador en el equipo con Windows Server, así como autenticarse en Azure AD y descargar la directiva Azure Information Protection cliente.

La cuenta de servicio debe ser una cuenta Active Directory y sincronizarse con Azure AD.

Si no puede sincronizar esta cuenta debido a las directivas de la organización, consulte Implementación del analizador con configuraciones alternativas.

Esta cuenta de servicio tiene los siguientes requisitos:

Requisito Detalles
Iniciar sesión en la asignación de derecho de usuario local Necesario para instalar y configurar el analizador, pero no para ejecutar exámenes.

Una vez que haya confirmado que el analizador puede detectar, clasificar y proteger archivos, puede quitar este derecho de la cuenta de servicio.

Si no es posible conceder este derecho incluso durante un breve período de tiempo debido a las directivas de la organización, consulte Implementación del analizador con configuraciones alternativas.
Inicie sesión como una asignación de derecho de usuario de servicio. Este derecho se concede automáticamente a la cuenta de servicio durante la instalación del analizador y es necesario para la instalación, la configuración y el funcionamiento del analizador.
Permisos para los repositorios de datos - Recursos compartidos de archivos o archivos locales: conceda permisos de lectura, escritura y modificación para examinar los archivos y, a continuación, aplicar la clasificación y la protección según lo configurado.

- SharePoint: debe conceder permisos de control total para examinar los archivos y, a continuación, aplicar la clasificación y la protección a los archivos que cumplen las condiciones de la directiva Azure Information Protection.

- Modo de detección: para ejecutar el analizador solo en modo de detección, el permiso De lectura es suficiente.
Para las etiquetas que vuelven a proteger o quitan la protección Para asegurarse de que el analizador siempre tiene acceso a los archivos protegidos, haga que esta cuenta sea un superusual para Azure Information Protection y asegúrese de que la característica de superusu usuario está habilitada.

Además, si ha implementado controles de incorporación para una implementación por fases, asegúrese de que la cuenta de servicio está incluida en los controles de incorporación que ha configurado.
Examen de nivel de dirección URL específico: Para examinar y detectar sitios y subsitios en una dirección URL específica, conceda derechos de auditor del recopilador de sitios ala cuenta del analizador en el nivel de granja.

Requisitos de SQL Server

Para almacenar los datos de configuración del analizador, use un servidor SQL Server con los siguientes requisitos:

  • Una instancia local o remota.

    Se recomienda hospedar el servidor SQL Server y el servicio de analizador en diferentes máquinas, a menos que trabaje con una implementación pequeña. Además, se recomienda tener una instancia de SQL dedicada que solo sirva a la base de datos del analizador y que no se comparta con otras aplicaciones.

    Si está trabajando en un servidor compartido, asegúrese de que el número recomendado de núcleos sea gratuito para que la base de datos del analizador funcione.

    SQL Server 2016 es la versión mínima para las siguientes ediciones:

    • SQL Server Enterprise

    • SQL Server Standard

    • SQL Server Express (recomendado solo para entornos de prueba)

  • Una cuenta con el rol Sysadmin para instalar el analizador.

    El rol Sysadmin permite que el proceso de instalación cree automáticamente la base de datos de configuración del analizador y conceda el rol db_owner necesario a la cuenta de servicio que ejecuta el analizador.

    Si no se le puede conceder el rol Sysadmin o las directivas de la organización requieren que las bases de datos se creen y configuren manualmente, consulte Implementación del analizador con configuraciones alternativas.

  • Capacity (Capacidad). Para obtener instrucciones sobre capacidad, consulte Requisitos de almacenamiento y planeamiento de la capacidad SQL Server.

  • Intercalación sin mayúsculas y minúsculas.

Nota

Se admiten varias bases de datos de configuración en el mismo servidor SQL Server cuando se especifica un nombre de clúster personalizado para el analizador o cuando se usa la versión preliminar del analizador.

Requisitos de almacenamiento y planeamiento de capacidad para SQL Server

La cantidad de espacio en disco necesario para la base de datos de configuración del analizador y la especificación del equipo que ejecuta SQL Server puede variar para cada entorno, por lo que le recomendamos que realice sus propias pruebas. Use las instrucciones siguientes como punto de partida.

Para obtener más información, vea Optimización del rendimiento del analizador.

El tamaño del disco de la base de datos de configuración del analizador variará para cada implementación. Use la ecuación siguiente como guía:

100 KB + <file count> *(1000 + 4* <average file name length>)

Por ejemplo, para examinar 1 millón de archivos que tienen una longitud media de nombre de archivo de 250 bytes, asigne 2 GB de espacio en disco.

Para varios escáneres:

  • Hasta 10 escáneres, use:

    • Procesadores de 4 núcleos
    • Se recomienda 8 GB de RAM
  • Más de 10 escáneres (40 como máximo), use:

    • Procesos de 8 núcleos
    • Se recomienda 16 GB de RAM

Requisitos de Azure Information Protection

Debe tener instalada la versión de disponibilidad general actual del cliente Azure Information Protection en el equipo windows Server.

Para obtener más información, consulte la guía de administración de clientede etiquetado unificado .

Importante

Debe instalar el cliente completo para el analizador. No instale el cliente solo con el módulo de PowerShell.

Requisitos de configuración de etiquetas

Debe tener al menos una etiqueta de confidencialidad configurada en la Centro de cumplimiento de Microsoft 365 de la cuenta del analizador para aplicar la clasificación y, opcionalmente, la protección.

La cuenta del analizador es la cuenta que especificará en el parámetro DelegatedUser del cmdlet Set-AIPAuthentication, que se ejecuta al configurar el analizador.

Si las etiquetas no tienen condiciones de etiquetado automático, consulte las instrucciones para configuraciones alternativas a continuación.

Para más información, consulte:

Requisitos de SharePoint

Para examinar carpetas y bibliotecas de documentos de SharePoint, asegúrese de que el servidor de SharePoint cumple los siguientes requisitos:

Requisito Descripción
Versiones admitidas Entre las versiones admitidas se incluyen: SharePoint 2019, SharePoint 2016 y SharePoint 2013.
El analizador no admite otras versiones de SharePoint.
Control de versiones Cuando se usa el control de versiones, el analizador inspecciona y etiqueta la última versión publicada.

Si el analizador etiqueta un archivo y se requiere la aprobación de contenido, ese archivo etiquetado debe estar aprobado para que esté disponible para los usuarios.
Granjas grandes de SharePoint Para grandes granjas de servidores de SharePoint, compruebe si necesita aumentar el umbral de vista de lista (de manera predeterminada, 5000) para que el analizador acceda a todos los archivos.

Para obtener más información, vea Administrar listas y bibliotecas grandes en SharePoint.
Rutas de acceso de archivo largas Si tiene rutas de acceso de archivo largas en SharePoint, asegúrese de que el valor httpRuntime.maxUrlLength del servidor de SharePoint sea mayor que los 260 caracteres predeterminados.

Para obtener más información, vea Evitar tiempos de espera del analizador en SharePoint.

Microsoft Office requisitos

Para examinar documentos de Office, los documentos deben tener uno de los siguientes formatos:

  • Microsoft Office 97-2003
  • Formatos Open XML de Office para Word, Excel y PowerPoint

Para obtener más información, vea Tipos de archivo admitidos por el Azure Information Protection de etiquetado unificado.

Requisitos de ruta de acceso de archivo

De forma predeterminada, para examinar archivos, las rutas de acceso de archivo deben tener un máximo de 260 caracteres.

Para examinar archivos con rutas de acceso de archivo de más de 260 caracteres, instale el analizador en un equipo con una de las siguientes versiones de Windows y configure el equipo según sea necesario:

Versión de Windows Descripción
Windows 2016 o posterior Configuración del equipo para admitir rutas de acceso largas
Windows 10 o Windows Server 2016 Defina la siguiente configuración de directiva de grupo:Configuración del equipo de directiva de equipo local Plantillas administrativas todas las opciones Habilitar rutas de > > > > acceso largas de Win32.

Para obtener más información sobre la compatibilidad con rutas de acceso de archivo largas en estas versiones, consulte la sección Limitación de longitud máxima de ruta de acceso de Windows 10 documentación para desarrolladores.
Windows 10, versión 1607 o posterior Opte por la funcionalidad de MAX_PATH actualizada. Para obtener más información, vea Habilitar rutas de acceso largas Windows 10 versiones 1607 y posteriores.

Implementación del analizador con configuraciones alternativas

Los requisitos previos enumerados anteriormente son los requisitos predeterminados para la implementación del analizador y se recomiendan porque admiten la configuración del analizador más sencilla.

Los requisitos predeterminados deben ser adecuados para las pruebas iniciales, de modo que pueda comprobar las funcionalidades del analizador.

Sin embargo, en un entorno de producción, las directivas de su organización pueden ser diferentes de los requisitos predeterminados. El analizador puede dar cabida a los siguientes cambios con una configuración adicional:

Detectar y examinar todos los sitios y subsitios de SharePoint en una dirección URL específica

El analizador puede detectar y examinar todos los sitios y subsitios de SharePoint en una dirección URL específica con la configuración siguiente:

  1. Inicie Administración central de SharePoint.

  2. En el sitio web de Administración central de SharePoint, en la sección Administración de aplicaciones, haga clic en Administrar aplicaciones web.

  3. Haga clic para resaltar la aplicación web cuyo nivel de directiva de permisos desea administrar.

  4. Elija la granja correspondiente y, a continuación, seleccione Administrar niveles de directiva de permisos.

  5. Seleccione Auditor de recopilación de sitios en las opciones Permisos de colección de sitios, conceda Ver páginas de aplicación en la lista Permisos y, por último, asigne al nuevo nivel de directiva el nombre auditor y visor de la colección de sitios del analizador de AIP.

  6. Agregue el usuario del analizador a la nueva directiva y conceda la colección de sitios en la lista Permisos.

  7. Agregue una dirección URL de SharePoint que hospeda sitios o subsitios que deben examinarse. Para obtener más información, vea Configurar el analizador en el Azure Portal.

Para más información sobre cómo administrar los niveles de directiva de SharePoint, consulte Administración de directivas de permisos para una aplicación web.

Restricción: El servidor del analizador no puede tener conectividad a Internet

Aunque el cliente de etiquetado unificado no puede aplicar la protección sin una conexión a Internet, el analizador todavía puede aplicar etiquetas basadas en directivas importadas.

Para admitir un equipo desconectado, use uno de los métodos siguientes:

Usar el Azure Portal con un equipo desconectado

Para admitir un equipo desconectado de la Azure Portal, realice los pasos siguientes:

  1. Configure etiquetas en la directiva y, a continuación, use el procedimiento para admitir equipos desconectados para habilitar la clasificación y el etiquetado sin conexión.

  2. Habilite la administración sin conexión para trabajos de análisis de contenido y red de la siguiente manera:

    Habilitar la administración sin conexión para trabajos de análisis de contenido:

    1. Establezca el analizador para que funcione en modo sin conexión mediante el cmdlet Set-AIPScannerConfiguration.

    2. Configure el analizador en el Azure Portal mediante la creación de un clúster de analizadores. Para obtener más información, vea Configurar el analizador en el Azure Portal.

    3. Exporte el trabajo de contenido desde Azure Information Protection panel Trabajos de examen de contenido mediante la opción Exportar.

    4. Importe la directiva mediante el cmdlet Import-AIPScannerConfiguration.

    Los resultados de los trabajos de examen de contenido sin conexión se encuentran en: %localappdata%\Microsoft\MSIP\Scanner\Reports

    Habilitar la administración sin conexión de trabajos de examen de red:

    1. Establezca el servicio de detección de redes (versión preliminar pública) para que funcione en modo sin conexión mediante el cmdlet Set-MIPNetworkDiscoveryConfiguration.

    2. Configure el trabajo de examen de red en el Azure Portal. Para más información, consulte Creación de un trabajo de examen de red.

    3. Exporte el trabajo de examen de red Azure Information Protection panel Trabajos de examen de red (versión preliminar) mediante la opción Exportar.

    4. Importe el trabajo de examen de red mediante el archivo que coincide con el nombre del clúster mediante el cmdlet Import-MIPNetworkDiscoveryConfiguration.

    Los resultados de los trabajos de examen de red sin conexión se encuentran en: %localappdata%\Microsoft\MSIP\Scanner\Reports

Uso de PowerShell con un equipo desconectado

Realice el procedimiento siguiente para admitir un equipo desconectado solo con PowerShell.

Importante

Los administradores de Azure China 21Vianet de analizadores deben usar este procedimiento para administrar sus trabajos de examen de contenido.

Administrar los trabajos de examen de contenido solo con PowerShell:

  1. Establezca el analizador para que funcione en modo sin conexión mediante el cmdlet Set-AIPScannerConfiguration.

  2. Cree un nuevo trabajo de examen de contenido mediante el cmdlet Set-AIPScannerContentScanJob y asegúrese de usar el parámetro -Enforce On obligatorio.

  3. Agregue los repositorios mediante el cmdlet Add-AIPScannerRepository, con la ruta de acceso al repositorio que desea agregar.

    Sugerencia

    Para evitar que el repositorio herede la configuración del trabajo de análisis de contenido, agregue el parámetro , así como OverrideContentScanJob On los valores para la configuración adicional.

    Para editar los detalles de un repositorio existente, use el comando Set-AIPScannerRepository.

  4. Use los cmdlets Get-AIPScannerContentScanJob y Get-AIPScannerRepository para devolver información sobre la configuración actual del trabajo de examen de contenido.

  5. Use el comando Set-AIPScannerRepository para actualizar los detalles de un repositorio existente.

  6. Ejecute el trabajo de análisis de contenido inmediatamente si es necesario, mediante el cmdlet Start-AIPScan.

    Los resultados de los trabajos de examen de contenido sin conexión se encuentran en: %localappdata%\Microsoft\MSIP\Scanner\Reports

  7. Si necesita quitar un repositorio o un trabajo de examen de contenido completo, use los cmdlets siguientes:

Restricción: no se le puede conceder el rol de administrador del sistema o las bases de datos deben crearse y configurarse manualmente

Use los procedimientos siguientes para crear manualmente bases de datos y conceder el db_owner, según sea necesario.

Si se le puede conceder temporalmente el rol Sysadmin para instalar el analizador, puede quitar este rol cuando se complete la instalación del analizador.

Realice una de las siguientes acciones, en función de los requisitos de su organización:

Restricción Descripción
Puede tener el rol Sysadmin temporalmente Si tiene temporalmente el rol Sysadmin, la base de datos se crea automáticamente y a la cuenta de servicio del analizador se le conceden automáticamente los permisos necesarios.

Sin embargo, la cuenta de usuario que configura el analizador sigue necesitando el rol db_owner para la base de datos de configuración del analizador. Si solo tiene el rol Sysadmin hasta que se complete la instalación del analizador, conceda el rol db_owner a la cuenta de usuario manualmente.
No puede tener el rol Sysadmin en absoluto. Si no se le puede conceder el rol Sysadmin incluso temporalmente, debe pedir a un usuario con derechos sysadmin que cree manualmente una base de datos antes de instalar el analizador.

Para esta configuración, el db_owner rol debe asignarse a las cuentas siguientes:
- Cuenta de servicio para el analizador
- Cuenta de usuario para la instalación del analizador
- Cuenta de usuario para la configuración del analizador

Normalmente, usará la misma cuenta de usuario para instalar y configurar el analizador. Si usa cuentas diferentes, ambas requieren el rol db_owner para la base de datos de configuración del analizador. Cree este usuario y los derechos según sea necesario. Si especifica su propio nombre de clúster, la base de datos de configuración se denomina AIPScannerUL_<cluster_name>.

Además:

  • Debe ser un administrador local en el servidor que ejecutará el analizador.

  • A la cuenta de servicio que ejecutará el analizador se le deben conceder permisos de control total para las siguientes claves del Registro:

    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

Si, después de configurar estos permisos, ve un error al instalar el analizador, el error se puede omitir y puede iniciar manualmente el servicio del analizador.

Crear manualmente una base de datos y un usuario para el analizador, y conceder derechos db_owner usuario

Si necesita crear manualmente la base de datos del analizador o crear un usuario y conceder derechos de db_owner en la base de datos, pida a sysadmin que realice los pasos siguientes:

  1. Cree una base de datos para el analizador:

    **CREATE DATABASE AIPScannerUL_[clustername]**
    
    **ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**
    
  2. Conceda derechos al usuario que ejecuta el comando de instalación y se usa para ejecutar comandos de administración del analizador. Use el siguiente script:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END
    
  3. Conceda derechos a la cuenta de servicio del analizador. Use el siguiente script:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    

Cree manualmente una base de datos y un usuario para el servicio de detección de redes y conceda db_owner derechos

Si necesita crear manualmente la base de datos de detección de redes o crear un usuario y conceder derechos de db_owner en la base de datos, pida a sysadmin que realice los pasos siguientes:

  1. Cree una base de datos para el servicio de detección de redes:

    **CREATE DATABASE AIPNetworkDiscovery_[clustername]**
    
    **ALTER DATABASE AIPNetworkDiscovery_[clustername] SET TRUSTWORTHY ON**
    
  2. Conceda derechos al usuario que ejecuta el comando de instalación y se usa para ejecutar comandos de administración del analizador. Use el siguiente script:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END
    
  3. Conceda derechos a la cuenta de servicio del analizador. Use el siguiente script:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    

Restricción: no se puede conceder a la cuenta de servicio del analizador el derecho Iniciar sesión localmente

Si las directivas de la organización prohíben el derecho iniciar sesión localmente para las cuentas de servicio, use el parámetro OnBehalfOf con Set-AIPAuthentication.

Para obtener más información, vea Cómo etiquetar archivos de manera no interactiva para Azure Information Protection.

Restricción: la cuenta de servicio del analizador no se puede sincronizar con Azure Active Directory, pero el servidor tiene conectividad a Internet

Puede tener una cuenta para ejecutar el servicio del analizador y usar otra cuenta para autenticarse en Azure Active Directory:

  • Para la cuenta de servicio del analizador, use una cuenta local de Windows o una cuenta Active Directory analizador.

  • Para la Azure Active Directory , especifique el usuario de AAD en el cmdlet Set-AIPAuthentication, en el parámetro DelegatedUser.

    Si está ejecutando el examen con cualquier usuario que no sea la cuenta del analizador, asegúrese de especificar también la cuenta del analizador en el parámetro OnBehalfOf.

    Para obtener más información, vea Cómo etiquetar archivos de manera no interactiva para Azure Information Protection.

Restricción: las etiquetas no tienen condiciones de etiquetado automático

Si las etiquetas no tienen condiciones de etiquetado automático, planee usar una de las siguientes opciones al configurar el analizador:

Opción Descripción
Detectar todos los tipos de información En el trabajo de examen de contenido,establezca la opción Tipos de información que se detectarán en Todos.

Esta opción establece el trabajo de examen de contenido para examinar el contenido en busca de todos los tipos de información confidencial.
Uso del etiquetado recomendado En el trabajo de examen de contenido,establezca la opción Tratar el etiquetado recomendado como automático en En.

Esta configuración configura el analizador para aplicar automáticamente todas las etiquetas recomendadas en el contenido.
Definición de una etiqueta predeterminada Defina una etiqueta predeterminada en ladirectiva , el trabajo de análisis de contenidoo el repositorio.

En este caso, el analizador aplica la etiqueta predeterminada en todos los archivos encontrados.

Pasos siguientes

Una vez que haya confirmado que el sistema cumple los requisitos previos del analizador, continúe con La implementación del analizador de Azure Information Protection para clasificar y proteger automáticamente los archivos.

Para obtener información general sobre el analizador, vea Implementación del analizador de Azure Information Protection para clasificar y proteger automáticamente los archivos.

Más información:

  • ¿Está interesado en cómo el equipo de ingeniería y operaciones de servicios centrales de Microsoft ha implementado este escáner? Consulte el caso práctico técnico: Automating data protection with Azure Information Protection scanner (Automatización de la protección de datos con el escáner de Azure Information Protection).

  • También puede usar PowerShell para clasificar y proteger los archivos de forma interactiva desde el equipo de escritorio. Para obtener más información sobre este y otros escenarios que usan PowerShell, consulte Uso de PowerShell con Azure Information Protection cliente de etiquetado unificado.