Mapa de ruta de implementación de AIP para clasificación, etiquetado y protección

Se aplica a: Azure Information Protection y Office 365

Pertinente para: cliente de etiquetado unificado de AIP y cliente clásico de AIP

Nota

Para proporcionar una experiencia de cliente unificada y simplificada, el cliente clásico de Azure Information Protection y la administración de etiquetas en Azure Portal están en desuso desde el 31 de marzo de 2021. Aunque el cliente clásico sigue funcionando como está configurado, no se proporcionará ningún soporte adicional, y las versiones de mantenimiento ya no se publicarán para el cliente clásico.

Se recomienda migrar al etiquetado unificado y actualizar al cliente de etiquetado unificado. Obtenga más información en nuestro último blog sobre desuso.

Use los pasos siguientes como recomendaciones para prepararse, implementar y administrar Azure Information Protection para su organización, cuando desee clasificar, etiquetar y proteger los datos.

Esta hoja de ruta se recomienda para todos los clientes con una suscripción de soporte técnico. Entre las funcionalidades adicionales se incluyen la detección de información confidencial y el etiquetado de documentos y correos electrónicos para la clasificación.

Las etiquetas también pueden aplicar protección, lo que simplifica este paso para los usuarios.

Proceso de implementación

Lleve a cabo los siguiente pasos:

  1. Confirmar la suscripción y asignar licencias de usuario
  2. Preparar el inquilino para usar Azure Information Protection
  3. Configurar e implementar la clasificación y el etiquetado
  4. Preparación de la protección de datos
  5. Configuración de etiquetas y opciones, aplicaciones y servicios para la protección de datos
  6. Usar y supervisar las soluciones de protección de datos
  7. Administrar el servicio de protección para la cuenta de inquilino según sea necesario

Sugerencia

¿Ya está usando la funcionalidad de protección de Azure Information Protection? Puede omitir muchos de estos pasos y centrarse en los pasos 3 y 5.1.

Confirmar la suscripción y asignar licencias de usuario

Confirme que su organización tiene una suscripción que incluye la funcionalidad y las características que espera. Puede encontrar estos detalles en la página Azure Information Protection precios.

Después, asigne licencias de esta suscripción a todos los usuarios de la organización que vayan a clasificar, etiquetar y proteger documentos y correos electrónicos.

Importante

No asigne manualmente licencias de usuario desde la suscripción gratuita de RMS para usuarios y no use esta licencia para administrar el servicio azure Rights Management para su organización.

Estas licencias se muestran como Rights Management Adhoc en el Centro de administración de Microsoft 365 y como RIGHTSMANAGEMENT_ADHOC al ejecutar el cmdlet de Azure AD PowerShell, Get-MsolAccountSku.

Para obtener más información, vea RMS para usuarios y Azure Information Protection.

Preparar el inquilino para usar Azure Information Protection

Antes de empezar a usar Azure Information Protection, asegúrese de que tiene cuentas de usuario y grupos en Microsoft 365 o Azure Active Directory que AIP puede usar para autenticar y autorizar a los usuarios.

Si es necesario, cree estas cuentas y grupos, o sincronicenlas desde el directorio local.

Para más información, consulte Preparación de usuarios y grupos para Azure Information Protection.

Configurar e implementar la clasificación y el etiquetado

Lleve a cabo los siguiente pasos:

  1. Examinar los archivos (opcional pero recomendado)

    Implemente el Azure Information Protection y,a continuación, instale y ejecute el analizador para detectar la información confidencial que tiene en los almacenes de datos locales.

    La información que detecta el analizador puede ayudarle con la taxonomía de clasificación, proporcionar información valiosa sobre qué etiquetas necesita y qué archivos se deben proteger.

    El modo de detección del analizador no requiere ninguna configuración de etiqueta ni taxonomía y, por tanto, es adecuado en esta fase temprana de la implementación. También puede usar esta configuración del analizador en paralelo con los siguientes pasos de implementación, hasta que configure el etiquetado automático o recomendado.

  2. Personalice la directiva de AIP predeterminada.

    Si aún no tiene una estrategia de clasificación, use una directiva predeterminada como base para determinar qué etiquetas necesitará para los datos. Personalice estas etiquetas según sea necesario para satisfacer sus necesidades.

    Por ejemplo, puede que desee volver a configurar las etiquetas con los detalles siguientes:

    • Asegúrese de que las etiquetas admiten las decisiones de clasificación.
    • Configuración de directivas para el etiquetado manual por parte de los usuarios
    • Escriba instrucciones de usuario para ayudar a explicar qué etiqueta se debe aplicar en cada escenario.
    • Si la directiva predeterminada se creó con etiquetas que aplican automáticamente la protección, es posible que quiera quitar temporalmente la configuración de protección o deshabilitar la etiqueta mientras prueba la configuración.

    Las etiquetas de confidencialidad y las directivas de etiquetado para el cliente de etiquetado unificado se configuran en el Centro de cumplimiento de Microsoft 365. Para obtener más información, vea Más información sobre las etiquetas de confidencialidad.

  3. Implementación del cliente para los usuarios

    Una vez configurada una directiva, implemente el Azure Information Protection cliente para los usuarios. Proporcione el entrenamiento del usuario e instrucciones específicas sobre cuándo seleccionar las etiquetas.

    Para obtener más información, consulte la guía de administrador de clientede etiquetado unificado .

  4. Introducción a configuraciones más avanzadas

    Espere a que los usuarios se sientan más cómodos con las etiquetas de sus documentos y correos electrónicos. Cuando esté listo, introduzca configuraciones avanzadas, como:

    • Aplicación de etiquetas predeterminadas
    • Pedir a los usuarios una justificación si eligen una etiqueta con un nivel de clasificación inferior o quitan una etiqueta
    • Obligación de que todos los documentos y correos electrónicos tengan una etiqueta
    • Personalización de encabezados, pies de página o marcas de agua
    • Etiquetado recomendado y automático

    Para obtener más información, vea Guía de administración: Configuraciones personalizadas.

    Sugerencia

    Si ha configurado etiquetas para el etiquetado automático, vuelva a ejecutar el analizador de Azure Information Protection en los almacenes de datos locales en modo de detección y para que coincida con la directiva.

    La ejecución del analizador en modo de detección indica qué etiquetas se aplicarán a los archivos, lo que le ayuda a ajustar la configuración de etiquetas y le prepara para clasificar y proteger archivos de forma masiva.

Preparación de la protección de datos

Introduzca la protección de datos para los datos más confidenciales una vez que los usuarios se sientan cómodos etiquetando documentos y correos electrónicos.

Realice los pasos siguientes para prepararse para la protección de datos:

  1. Determine cómo desea administrar la clave de inquilino.

    Decide si quieres que Microsoft administre tu clave de inquilino (la predeterminada) o generarla y administrarla tú mismo (conocido como Aportar tu propia clave, o BYOK).

    Para obtener más información y opciones para la protección local adicional, consulte Planning and implementing your Azure Information Protection tenant key(Planeamiento e implementación de la clave de Azure Information Protection inquilino adicional).

  2. Instale PowerShell para AIP.

    Instale el módulo de PowerShell para AIPService en al menos un equipo que tenga acceso a Internet. Este paso puedes hacerlo ahora o más tarde.

    Para obtener más información, vea Instalación del módulo de PowerShell AIPService.

  3. AD RMS solo: migre las claves, plantillas y direcciones URL a la nube.

    Si actualmente usa AD RMS, realice una migración para mover las claves, las plantillas y las direcciones URL a la nube.

    Para más información, vea Migración desde AD RMS a Information Protection.

  4. Active la protección.

    Asegúrese de que el servicio de protección esté activado para poder comenzar a proteger documentos y correos electrónicos. Si va a realizar la implementación en varias fases, configure los controles de incorporación de usuarios para restringir la capacidad de los usuarios de aplicar la protección.

    Para obtener más información, vea Activating the protection service from Azure Information Protection (Activación del servicio de protección desde Azure Information Protection).

  5. Considere el registro de uso (opcional).

    Considere la posibilidad de registrar el uso para supervisar cómo usa su organización el servicio de protección. Este paso puedes hacerlo ahora o más tarde.

    Para obtener más información, vea Registro y análisis del uso deprotección de Azure Information Protection .

Configuración de etiquetas y opciones, aplicaciones y servicios para la protección de datos

Lleve a cabo los siguiente pasos:

  1. Actualización de las etiquetas para aplicar la protección

    Para más información, puede ver Restringir el acceso al contenido mediante el cifrado en las etiquetas de confidencialidad.

    Importante

    Los usuarios pueden aplicar etiquetas en Outlook que Rights Management protección, incluso si Exchange no está configurado para Information Rights Management (IRM).

    Sin embargo, hasta que Exchange no esté configurado para IRM o Microsoft 365 Message Encryptioncon nuevas funcionalidades, su organización no podrá obtener toda la funcionalidad de uso de Azure Rights Management Protection con Exchange. Esta configuración adicional se incluye en la lista siguiente (2 para Exchange Online y 5 para Exchange local).

  2. Configuración de aplicaciones y servicios de Office

    Configure aplicaciones y servicios de Office para las características de Information Rights Management (IRM) en Microsoft SharePoint o Exchange Online.

    Para más información, consulte Configuración de aplicaciones para Azure Rights Management.

  3. Configurar la característica de superusuario para la recuperación de datos

    Si tiene servicios de TI existentes que necesita para inspeccionar los archivos que se protegerán con Azure Information Protection (como soluciones de prevención de pérdida de datos [DLP], puertas de enlace de cifrado de contenido [CEG] y productos antimalware), configure las cuentas de servicio como superusuarios para Azure Rights Management.

    Para obtener más información, vea Configuring super users for Azure Information Protection and discovery services or data recovery.

  4. Clasificación y protección de los archivos de forma masiva

    Para los almacenes de datos locales, ejecute ahora el analizador de Azure Information Protection en modo de cumplimiento para que los archivos se etiqueten de forma automática.

    En el caso de los archivos en equipos, use cmdlets de PowerShell para clasificar y proteger archivos. Para obtener más información, consulte Uso de PowerShell con el Azure Information Protection de etiquetado unificado.

    Para los almacenes de datos basados en la nube, use Azure Cloud App Security.

    Sugerencia

    Aunque clasificar y proteger archivos existentes de forma masiva no es uno de los principales casos de uso de Cloud App Security, las soluciones alternativas documentadas pueden ayudarle a clasificar y proteger los archivos.

  5. Implementación del conector para bibliotecas protegidas por IRM en SharePoint Server y correos electrónicos protegidos por IRM para Exchange local

    Si tiene SharePoint y Exchange local, y quiere usar sus características de Information Rights Management (IRM), instale y configure el conector de Rights Management.

    Para obtener más información, vea Deploying the Microsoft Rights Management connector.

Usar y supervisar las soluciones de protección de datos

Ahora está listo para supervisar cómo su organización usa las etiquetas que ha configurado y confirmar que está protegiendo información confidencial.

Para obtener más información, consulte las siguientes páginas:

Administrar el servicio de protección para la cuenta de inquilino según sea necesario

Cuando empiece a usar el servicio de protección, puede que PowerShell le resulte útil para generar scripts o automatizar cambios administrativos. Es posible que también se necesite PowerShell para algunas de las configuraciones avanzadas.

Para obtener más información, vea Administración de la protección contra Azure Information Protection mediante PowerShell.

Referencias para entornos de cliente clásicos

Relevante para: solo cliente clásico de AIP

Si usa el cliente clásico, use las siguientes referencias en lugar de las vinculadas anteriormente:

Sugerencia

También puede estar interesado en la hoja de ruta Azure Information Protection implementaciónpara protección solo , que solo se admite para el cliente clásico.

Pasos siguientes

A medida que Azure Information Protection, puede resultar útil comprobar las preguntas más frecuentes,los problemas conocidos y la página de información y soporte técnico para obtener recursos adicionales.