Preguntas más frecuentes sobre Azure Information Protection (AIP)
Se aplica a: Azure Information Protection, Office 365
Relevante para:cliente de etiquetado unificado AIP y cliente clásico
Nota
Para proporcionar una experiencia de cliente unificada y simplificada, el cliente clásico de Azure Information Protection y la administración de etiquetas en Azure Portal están en desuso a partir del 31 de marzo de 2021. Ya no se proporciona soporte técnico para las versiones clásicas de cliente y el mantenimiento ya no se lanzará.
El cliente clásico se retirará oficialmente y dejará de funcionar el 31 de marzo de 2022.
Todos los clientes del cliente clásico de Azure Information Protection actuales deben migrar Microsoft Information Protection la plataforma unificada de etiquetado y actualizar al cliente de etiquetado unificado. Más información en nuestro blog de migración.
¿Tiene alguna pregunta sobre Azure Information Protection (AIP) o sobre el servicio Azure Rights Management (Azure RMS)?
Vea si se responde a continuación o en las siguientes páginas de preguntas más frecuentes, más específicas.
¿Cuál es la diferencia entre Azure Information Protection y Microsoft Information Protection?
A diferencia de Azure Information Protection, Microsoft Information Protection no es una suscripción o producto que puede comprar. En su lugar, es un marco de trabajo para productos y capacidades integradas que le ayudan a proteger la información confidencial de su organización.
Microsoft Information Protection productos incluyen:
- Protección de información de Azure
- Microsoft 365 de información, como Microsoft 365 DLP
- Windows protección de información
- Microsoft Defender para aplicaciones en la nube
Microsoft Information Protection funcionalidades incluyen:
- Administración unificada de etiquetas
- Experiencias de etiquetado del usuario final integradas en Office aplicaciones
- La capacidad de Windows comprender etiquetas unificadas y aplicar protección a los datos
- El SDK Microsoft Information Protection de datos
- Funcionalidad en Adobe Acrobat Reader para ver archivos PDF etiquetados y protegidos
Para obtener más información, vea Funcionalidades de protección de la información para ayudar a proteger los datos confidenciales.
¿Cuál es la diferencia entre las etiquetas de Microsoft 365 etiquetas en Azure Information Protection?
Originalmente, Microsoft 365 solo tenía etiquetas de retención,lo que le permitía clasificar documentos y correos electrónicos para auditoría y retención cuando ese contenido se almacenaba en Microsoft 365 servicios.
Por el contrario, las etiquetas de Azure Information Protection, configuradas en ese momento con el cliente clásico AIP en Azure Portal, le permitían aplicar una directiva de clasificación y protección coherente para documentos y correos electrónicos, tanto si se almacenaban localmente como en la nube.
Microsoft 365 etiquetas de confidencialidad, además de etiquetas de retención. Las etiquetas de confidencialidad se pueden crear y configurar en el Centro de cumplimiento de Microsoft 365.
Si ha configurado etiquetas AIP heredadas en Azure Portal, le recomendamos migrarlas a etiquetas de confidencialidad y a un cliente de etiquetado unificado. Para obtener más información, vea Tutorial: Migrar desde el cliente clásico de Azure Information Protection (AIP) al clientede etiquetado unificado.
Para obtener más información, vea Anunciar la disponibilidad de las capacidades de protección de información para ayudar a proteger los datos confidenciales.
¿Cómo puedo determinar si mi inquilino está en la plataforma de etiquetado unificada?
Cuando el inquilino se encuentra en la plataforma de etiquetado unificada, admite etiquetas de confidencialidad que pueden usar los clientes y los servicios que admiten el etiquetado unificado. Si obtuvo su suscripción a Azure Information Protection en junio de 2019 o posterior, el inquilino se encuentra automáticamente en la plataforma unificada de etiquetado y no se necesita ninguna acción adicional. Es posible que el inquilino también esté en esta plataforma porque alguien ha migrado las etiquetas de Azure Information Protection.
Si el inquilino no está en la plataforma de etiquetado unificada, verá el siguiente banner de información en Azure Portal, en los paneles de Azure Information Protection:
También puede comprobar yendo a Azure Information ProtectionAdministrar etiquetado unificado y ver el estado de etiquetado unificado:
| Estado | Descripción |
|---|---|
| Activado | El espacio empresarial se encuentra en la plataforma de etiquetado unificada. Puede crear, configurar y publicar etiquetas desde el Centro de cumplimiento de Microsoft 365. |
| No activado | El espacio empresarial no está en la plataforma de etiquetado unificada. Para obtener instrucciones y instrucciones de migración, vea Cómo migrar etiquetas de Azure Information Protection a etiquetas de confidencialidad unificadas. |
¿Cuál es la diferencia entre los clientes de etiquetado clásico y unificado de Azure Information Protection?
El cliente heredado de Azure Information Protection, conocido como cliente clásico, descarga etiquetas y configuraciones de directivas de Azure y le permite configurar la directiva AIP desde Azure Portal.
El cliente de etiquetado unificado es el cliente más actual con las actualizaciones más recientes y es compatible con la plataforma de etiquetado unificada que usan varias aplicaciones y servicios. El cliente de etiquetado unificado descarga las etiquetas de confidencialidad y la configuración de directiva desde el Centro de cumplimiento de Microsoft 365.
Si es administrador, obtenga más información en Elegir su Windows de etiquetado.
Desuso de cliente clásico
Para proporcionar una experiencia de cliente unificada y simplificada, el cliente clásico de Azure Information Protection y la administración de etiquetas en azure portal están en desuso a partir del 31 de marzo de 2021.
El cliente sigue funcionando según lo esperado, pero los administradores no pueden actualizar directivas en el portal y no se proporcionan más correcciones ni cambios para el cliente clásico.
Se recomienda migrar al etiquetado unificado y actualizar al cliente de etiquetado unificado. Obtenga más información en nuestra actualización reciente sobre el desuso.
Para obtener más información, vea: Cómo migrar etiquetas de Azure Information Protection a etiquetas de confidencialidad unificadas
Identificar el cliente que ha instalado
Si es un usuario que quiere comprender si tiene instalado el cliente de etiquetado clásico o unificado, puede realizar una de las siguientes acciones:
En las Office, busca el botón de la barra deherramientas Confidencialidad o Proteger. El cliente de etiquetado unificado muestra el botón Confidencialidad, mientras que el
cliente clásico muestra el botón Proteger.Compruebe el número de versión de la aplicación de Azure Information Protection que tiene instalada.
- Las versiones 1.x indican que tiene el cliente clásico. Ejemplo: 1.54.59.0
- Las versiones 2.x indican que tiene el cliente de etiquetado unificado. Ejemplo: 2.8.85.0
Por ejemplo, en el área Windows Configuración aplicaciones y características, desplácese hacia abajo hasta la aplicación Microsoft Azure Information Protection y compruebe el número de versión.
¿Cuándo es el momento adecuado para migrar mis etiquetas al etiquetado unificado?
Le recomendamos que migre las etiquetas de Azure Information Protection a la plataforma unificada de etiquetado para que pueda usarlas como etiquetas de confidencialidad con otros clientes y servicios compatibles con el etiquetado unificado.
Para obtener más información e instrucciones, vea Cómo migrar etiquetas de Azure Information Protection a etiquetas de confidencialidad unificadas.
Después de migrar mis etiquetas al etiquetado unificado, ¿qué portal de administración uso?
Después de migrar las etiquetas en Azure Portal, siga administrando las etiquetas en una de las siguientes ubicaciones, en función de los clientes que haya instalado:
| Cliente | Descripción |
|---|---|
| Solo clientes y servicios de etiquetado unificados | Si solo tiene clientes de etiquetado unificados instalados, administre las etiquetas en el Centro de cumplimiento de Microsoft 365, que es donde los clientes de etiquetado unificado descargan las etiquetas y su configuración de directiva. Para obtener instrucciones, vea Crear y configurar etiquetas de confidencialidad y sus directivas. |
| Solo cliente clásico | Si ha migrado las etiquetas, pero aún tiene instalado el cliente clásico, siga usando Azure Portal para editar etiquetas y la configuración de directiva. El cliente clásico sigue descargando etiquetas y la configuración de directivas de Azure. |
| Cliente clásico AIP yclientes de etiquetado unificados | Si tiene ambos clientes instalados, use el Centro de cumplimiento de Microsoft 365 Azure Portal para realizar cambios en la etiqueta. Para que los clientes clásicos resalten los cambios de etiqueta realizados en el Centro de cumplimiento de Microsoft 365, vuelva a Azure Portal para publicarlos. En el panel >> de Azure Portal, seleccione Publicar. Siga usando Azure Portal para informes centrales y el escáner. |
¿Necesito volver a cifrar mis archivos después de pasar a etiquetas de confidencialidad y a la plataforma de etiquetado unificada?
No, no es necesario volver a cifrar los archivos después de pasar a etiquetas de confidencialidad y a la plataforma de etiquetado unificada después de migrar desde el cliente clásico AIP y las etiquetas administradas en Azure Portal.
Después de migrar, administre las etiquetas y las directivas de etiquetado desde el Centro de cumplimiento de Microsoft 365.
Para obtener más información, vea Obtener información sobre las etiquetas de confidencialidad en la Microsoft 365 documentación y en el blog Descripción de la migración unificada de etiquetas.
¿Cuál es la diferencia entre Azure Information Protection y Azure Rights Management?
Azure Information Protection (AIP) proporciona clasificación, etiquetado y protección para los documentos y correos electrónicos de una organización.
El contenido está protegido con el Azure Rights Management, que ahora es un componente de AIP.
Para obtener más información, vea Cómo AIP protege los datos y ¿Qué Azure Rights Management?.
¿Cuál es el rol de la administración de identidades para Azure Information Protection?
La administración de identidades es un componente importante de AIP, ya que los usuarios deben tener un nombre de usuario y una contraseña válidos para obtener acceso a contenido protegido.
Para obtener más información sobre cómo Azure Information Protection ayuda a proteger los datos, vea El rol de Azure Information Protection en la protección de datos.
¿Qué suscripción necesito para Azure Information Protection y qué características se incluyen?
Para obtener más información sobre las suscripciones AIP, vea:
- Microsoft 365 de licencias para el cumplimiento de la seguridad
- Comparación del plan de trabajo moderno (descarga de PDF)
¿Necesita ser administrador global para configurar Azure Information Protection o puedo delegar a otros administradores?
Los administradores globales de un Microsoft 365 o Azure AD inquilino pueden ejecutar todas las tareas administrativas de Azure Information Protection.
Sin embargo, si desea asignar permisos administrativos a otros usuarios, puede hacerlo con los siguientes roles:
- Administrador de Azure Information Protection
- Administrador de cumplimiento normativo o administrador de datos de cumplimiento
- Lector de seguridad o lector global
- Administrador de seguridad
- Azure Rights Management administrador global y administrador de conectores
Además, tenga en cuenta lo siguiente al administrar tareas y roles administrativos:
| Problema | Detalles |
|---|---|
| Tipos de cuenta admitidos | Las cuentas de Microsoft no son compatibles con la administración delegada de Azure Information Protection, incluso si estas cuentas están asignadas a uno de los roles administrativos enumerados. |
| Controles de incorporación | Si ha configurado controles de incorporación,esta configuración no afecta a la capacidad de administrar Azure Information Protection, excepto el conector RMS. Por ejemplo, si ha configurado controles de incorporación para que la capacidad de proteger contenido esté restringida al grupo del departamento de TI, la cuenta usada para instalar y configurar el conector RMS debe ser miembro de ese grupo. |
| Quitar protección | Los administradores no pueden quitar automáticamente la protección de documentos o correos electrónicos protegidos por Azure Information Protection. Solo los usuarios asignados como superusuarias pueden quitar la protección y solo cuando la característica de superusuarias está habilitada. Cualquier usuario con permisos administrativos para Azure Information Protection puede habilitar la característica de superusuarias y asignar usuarios como superusuarias, incluida su propia cuenta. Estas acciones se registran en un registro de administrador. Para obtener más información, vea la sección procedimientos recomendados de seguridad en Configurar superusuarias para Azure Information Protection y servicios de detección o recuperación de datos. Sugerencia:Si el contenido se almacena en SharePoint o OneDrive, los administradores pueden ejecutar el cmdlet Unlock-SensitivityLabelEncryptedFile para quitar tanto la etiqueta de confidencialidad como el cifrado. Para obtener más información, vea la Microsoft 365 de datos. |
| Migrar al almacén de etiquetado unificado | Si va a migrar las etiquetas de Azure Information Protection al almacén de etiquetado unificado, asegúrese de leer la siguiente sección de la documentación de migración de etiquetas: Roles administrativos compatibles con la plataforma unificada de etiquetado. |
Administrador de Azure Information Protection
Este Azure Active Directory de administrador permite a un administrador configurar Azure Information Protection, pero no otros servicios.
Los administradores con este rol pueden:
- Activar y desactivar el servicio Azure Rights Management protección de datos
- Configurar las etiquetas y la configuración de protección
- Configurar la directiva de Azure Information Protection
- Ejecutar todos los cmdlets de PowerShell para el cliente de Azure Information Protection y desde el módulo AIPService
Para asignar un usuario a este rol administrativo, vea Asignar un usuario a roles de administrador en Azure Active Directory.
Nota
Este rol no se admite en Azure Portal si el inquilino se encuentra en la plataforma de etiquetado unificada.
Administrador de cumplimiento normativo o administrador de datos de cumplimiento
Estos Azure Active Directory de administrador permiten a los administradores:
- Configurar Azure Information Protection, incluida la activación y desactivación del servicio de Azure Rights Management protección de datos
- Configurar las etiquetas y la configuración de protección
- Configurar la directiva de Azure Information Protection
- Ejecute todos los cmdlets de PowerShell para el cliente de Azure Information Protection y desde el módulo AIPService.
Para asignar un usuario a este rol administrativo, vea Asignar un usuario a roles de administrador en Azure Active Directory.
Para ver qué otros permisos tiene un usuario con estos roles, vea la sección Roles disponibles de Azure Active Directory documentación.
Nota
Estos roles no admiten el seguimiento y la revocación de documentos para los usuarios.
Lector de seguridad o lector global
Estos roles se usan solo para análisis de Azure Information Protection y permiten a los administradores:
- Ver cómo se usan las etiquetas
- Supervisar el acceso de los usuarios a documentos y correos electrónicos etiquetados
- Ver los cambios realizados en la clasificación
- Identificar documentos que contienen información confidencial que debe protegerse
Como esta característica usa Azure Monitor, también debe tener un rol de RBAC compatible.
Administrador de seguridad
Este Azure Active Directory de administrador permite a los administradores configurar Azure Information Protection en Azure Portal y algunos aspectos de otros servicios de Azure.
Los administradores con este rol no pueden ejecutar ninguno de los cmdlets de PowerShell desde el módulo AIPServiceni realizar un seguimiento y revocar documentos para los usuarios.
Para asignar un usuario a este rol administrativo, vea Asignar un usuario a roles de administrador en Azure Active Directory.
Para ver qué otros permisos tiene un usuario con este rol, vea la sección Roles disponibles de Azure Active Directory documentación.
Azure Rights Management administrador global y administrador de conectores
El rol Administrador global permite a los usuarios ejecutar todos los cmdlets de PowerShell desde el módulo AIPService sin convertirlos en administradores globales de otros servicios en la nube.
El rol Administrador de conectores permite a los usuarios ejecutar solo el conector de Rights Management (RMS).
Estos roles administrativos no conceden permisos a las consolas de administración. El rol De administrador de conectores tampoco admite el seguimiento y la revocación de documentos para los usuarios.
Para asignar cualquiera de estos roles administrativos, use el cmdlet de PowerShell AIPService, Add-AipServiceRoleBasedAdministrator.
¿Azure Information Protection admite escenarios locales e híbridos?
Sí. Aunque Azure Information Protection es una solución basada en la nube, puede clasificar, etiquetar y proteger documentos y correos electrónicos almacenados localmente, así como en la nube.
Si ha Exchange Server, SharePoint y Windows de archivos, use uno o ambos de los siguientes métodos:
- Implemente el conector de Rights Management para que estos servidores locales puedan usar el servicio de Azure Rights Management proteger sus correos electrónicos y documentos
- Sincronice y federe los controladores de dominio de Active Directory Azure AD una experiencia de autenticación más fluida para los usuarios. Por ejemplo, use Azure AD Conectar.
El Azure Rights Management genera y administra automáticamente los certificados XrML según sea necesario, por lo que no usa una PKI local.
Para obtener más información sobre cómo Azure Rights Management certificados, vea el Tutorial sobre cómo funciona Azure RMS: Primer uso,protección de contenido, consumo de contenido.
¿Qué tipos de datos puede clasificar y proteger Azure Information Protection?
Azure Information Protection puede clasificar y proteger los mensajes de correo electrónico y los documentos, tanto si se encuentran en el entorno local como en la nube. Estos documentos incluyen documentos de Word, Excel hojas de cálculo, presentaciones PowerPoint, documentos PDF, archivos basados en texto y archivos de imagen.
Para obtener más información, vea los tipos de archivo de lista completos admitidos.
Nota
Azure Information Protection no puede clasificar ni proteger datos estructurados como archivos de base de datos, elementos de calendario, publicaciones Yammer, contenido de Sway y blocs de notas OneNote base de datos.
Sugerencia
Power BI permite la clasificación mediante etiquetas de confidencialidad y puede aplicar protección de esas etiquetas a los datos que se exportan a los siguientes formatos de archivo: .pdf, .xls y .ppt. Para obtener más información, vea Protección de datos en Power BI.
Veo que Azure Information Protection aparece como una aplicación en la nube disponible para el acceso condicional, ¿cómo funciona esto?
Sí, como oferta de vista previa, puede configurar el Azure AD condicional para Azure Information Protection.
Cuando un usuario abre un documento protegido por Azure Information Protection, los administradores ahora pueden bloquear o conceder acceso a los usuarios de su espacio empresarial, en función de los controles de acceso condicional estándar. Requerir autenticación multifactor (MFA) es una de las condiciones más solicitadas. Otra es que los dispositivos deben cumplir con las directivas de Intune para que, por ejemplo, los dispositivos móviles cumplan los requisitos de contraseña y una versión mínima del sistema operativo, y los equipos deben estar unidos a un dominio.
Para obtener más información y algunos ejemplos, vea la siguiente entrada de blog: Directivas de acceso condicional para Azure Information Protection.
Información adicional:
| Tema | Detalles |
|---|---|
| Frecuencia de evaluación | Para Windows equipos y la versión preliminar actual, las directivas de acceso condicional para Azure Information Protection se evalúan cuando se inicializa el entorno de usuario (este proceso también se conoce como arranque) y, después, cada 30 días. Para ajustar la frecuencia con la que se evalúan las directivas de acceso condicional, configure la duración del token. |
| Cuentas de administrador | Le recomendamos que no agregue cuentas de administrador a las directivas de acceso condicional porque estas cuentas no podrán obtener acceso al panel de Azure Information Protection en Azure Portal. |
| Colaboración de MFA y B2B | Si usa MFA en las directivas de acceso condicional para colaborar con otras organizaciones (B2B), debe usar la colaboración B2B de Azure AD y crear cuentas de invitado para los usuarios con los que desea compartir en la otra organización. |
| Avisos de Términos de uso | Con la Azure AD versión preliminar de diciembre de 2018, ahora puede pedir a los usuarios que acepten unas condiciones de uso antes de abrir un documento protegido por primera vez. |
| Aplicaciones en la nube | Si usa muchas aplicaciones en la nube para el acceso condicional, es posible que no vea Microsoft Azure Information Protection que se muestra en la lista para seleccionar. En este caso, use el cuadro de búsqueda en la parte superior de la lista. Empiece a escribir "Microsoft Azure de información" para filtrar las aplicaciones disponibles. Siempre que tenga una suscripción compatible, verá Microsoft Azure protección de información para seleccionar. |
Nota
El soporte técnico de Azure Information Protection para acceso condicional se encuentra actualmente en PREVIEW. Los Términos complementarios de Azure Preview incluyen términos legales adicionales que se aplican a las características de Azure que están en versión beta, versión preliminar o que aún no se han publicado en disponibilidad general.
Veo que Azure Information Protection aparece como un proveedor de seguridad para Microsoft Graph Security, ¿cómo funciona esto y qué alertas recibiré?
Sí, como una oferta de vista previa pública, ahora puede recibir una alerta para el acceso a datos anómalo de Azure Information Protection. Esta alerta se activa cuando hay intentos inusuales de obtener acceso a datos protegidos por Azure Information Protection. Por ejemplo, acceder a un volumen de datos inusualmente alto, en una hora inusual del día, o acceder desde una ubicación desconocida.
Estas alertas pueden ayudarle a detectar ataques avanzados relacionados con datos y amenazas de insider en su entorno. Estas alertas usan el aprendizaje automático para perfilar el comportamiento de los usuarios que acceden a los datos protegidos.
Puede obtener acceso a las alertas de Azure Information Protection mediante la API de seguridad de Microsoft Grapho puede transmitir alertas a soluciones SIEM, como Splunk e IBM Qradar, mediante Azure Monitor.
Para obtener más información sobre la API de seguridad de Microsoft Graph, vea Información general Graph api de seguridad de Microsoft.
Nota
El soporte técnico de Azure Information Protection para Microsoft Graph Seguridad está actualmente en PREVIEW. Los Términos complementarios de Azure Preview incluyen términos legales adicionales que se aplican a las características de Azure que están en versión beta, versión preliminar o que aún no se han publicado en disponibilidad general.
He oído que una nueva versión estará disponible próximamente para Azure Information Protection, ¿cuándo se va a publicar?
La documentación técnica no contiene información sobre próximas versiones. Para este tipo de información, use el Microsoft 365 mapa de ruta.
¿Azure Information Protection es adecuado para mi país?
Los distintos países tienen requisitos y normativas diferentes. Para ayudarle a responder a esta pregunta para su organización, vea Idoneidad para diferentes países.
¿Cómo puede ayudar Azure Information Protection con el RGPD?
Nota
Si está interesado en ver o eliminar datos personales, consulte las instrucciones de Microsoft en el Administrador de cumplimiento de Microsoft y en la sección RGPD del sitio Microsoft 365 Enterprise cumplimiento. Si busca información general sobre el RGPD, consulte la sección RGPD del portal de confianza de servicios.
¿Dónde puedo encontrar información de soporte técnico para Azure Information Protection, como legal, cumplimiento normativo y SLA?
Vea Información de cumplimiento y soporte técnico para Azure Information Protection.
¿Cómo puedo informar de un problema o enviar comentarios sobre Azure Information Protection?
Para obtener soporte técnico, use los canales de soporte técnico estándar o póngase en contacto con el soporte técnico de Microsoft.
También le invitamos a que se involucre con nuestro equipo de ingeniería, en su sitio de Azure Information Protection Yammer web.
¿Qué puedo hacer si mi pregunta no está aquí?
En primer lugar, revise las preguntas más frecuentes que se indican a continuación, que son específicas de clasificación y etiquetado, o específicas de la protección de datos. El Azure Rights Management (Azure RMS) proporciona la tecnología de protección de datos para Azure Information Protection. Azure RMS se puede usar con clasificación y etiquetado, o por sí mismo.
Si su pregunta no se responde, vea los vínculos y recursos enumerados en Información y soporte técnico para Azure Information Protection.