Preguntas más frecuentes sobre el cliente Azure Information Protection clásico

Se aplica a: Azure Information Protection y Office 365

Relevante para: solo el cliente clásico de etiquetado unificado de AIP. Para obtener más información, vea Preguntas más frecuentes sobre Azure Information Protection.

Nota

Para proporcionar una experiencia de cliente unificada y simplificada, el cliente clásico de Azure Information Protection y la administración de etiquetas en Azure Portal están en desuso desde el 31 de marzo de 2021. Aunque el cliente clásico sigue funcionando como está configurado, no se proporcionará ningún soporte adicional, y las versiones de mantenimiento ya no se publicarán para el cliente clásico.

Se recomienda migrar al etiquetado unificado y actualizar al cliente de etiquetado unificado. Obtenga más información en nuestro último blog sobre desuso.

¿Es el cliente de Azure Information Protection únicamente para las suscripciones que incluyen la clasificación y el etiquetado?

No. El cliente de AIP clásico también se puede usar con suscripciones que incluyen solo el servicio azure Rights Management, solo para la protección de datos.

Cuando el cliente clásico se instala sin una directiva de Azure Information Protection, el cliente funciona automáticamente en modo de solo protección,lo que permite a los usuarios aplicar Rights Management plantillas y permisos personalizados.

Si más adelante adquiere una suscripción que incluye la clasificación y el etiquetado, el cliente cambia automáticamente al modo estándar cuando descarga la directiva de Azure Information Protection.

¿Cuál es la diferencia entre la FCI de Windows Server y Azure Information Protection escáner?

La infraestructura de clasificación de archivos de Windows Server ha sido desde siempre una opción para clasificar documentos y después protegerlos mediante el conector de Rights Management (solo para documentos de Office) o un script de PowerShell (para todos los tipos de archivo).

Ahora le recomendamos usar el analizador de Azure Information Protection. El analizador usa el cliente y la directiva de Azure Information Protection para etiquetar documentos (para todos los tipos de archivo) para después clasificarlos y, opcionalmente, protegerlos.

Principales diferencias entre estas dos soluciones:

FCI de Windows Server Analizador de Azure Information Protection
Almacenes de datos compatibles Carpetas locales en Windows Server - Recursos compartidos de archivos de Windows y almacenamiento conectado a la red

- SharePoint Server 2016 y SharePoint Server 2013. SharePoint Server 2010 también se admite en clientes que tengan compatibilidad ampliada para esta versión de SharePoint.
Modo operativo Tiempo real Rastrea sistemáticamente los almacenes de datos una o varias veces
Tipos de archivo admitidos - Todos los tipos de archivo están protegidos de manera predeterminada

- Determinados tipos de archivos se pueden excluir de la protección mediante la edición del Registro
Compatibilidad con tipos de archivo:

- Los tipos de archivo de Office y documentos PDF están protegidos de forma predeterminada

- Tipos adicionales de archivos se pueden incluir para la protección mediante la edición del Registro

Establecimiento de Rights Management propietarios

De forma predeterminada, tanto para fci de Windows Server como para el analizador Azure Information Protection, el propietario Rights Management se establece en la cuenta que protege el archivo.

Invalide la configuración predeterminada como se muestra a continuación:

  • FCI de Windows Server: establezca el propietario Rights Management como una sola cuenta para todos los archivos o establezca dinámicamente el propietario Rights Management para cada archivo.

    Para establecer de forma dinámica el propietario de Rights Management, use el parámetro y valor -OwnerMail [Correo electrónico del propietario del archivo de origen]. Esta configuración recupera de Active Directory la dirección de correo electrónico del usuario utilizando su nombre de cuenta, situado en la propiedad Propietario del archivo.

  • Azure Information Protection analizador: en el caso de los archivos recién protegidos, establezca el propietario de Rights Management como una sola cuenta para todos los archivos de un almacén de datos especificado, especificando la opción -Default owner (Propietario predeterminado) en el perfil del analizador.

    No se admite la configuración dinámica Rights Management propietario de cada archivo y el propietario Rights Management no se cambia para los archivos protegidos previamente.

    Nota

    Cuando el analizador protege los archivos de bibliotecas y sitios de SharePoint, el propietario de Rights Management se establece de forma dinámica para cada archivo con el valor de Editor de SharePoint.

¿Puede un archivo tener más de una clasificación?

Los usuarios pueden seleccionar una sola etiqueta a la vez para cada documento o correo electrónico, lo que a menudo resulta en una sola clasificación. Sin embargo, si los usuarios seleccionan una subetiqueta, en realidad se aplican dos etiquetas a la vez: una principal y una secundaria. Con las subetiquetas, un archivo puede tener dos clasificaciones que denotan una relación entre elementos principal y secundario para, así, obtener un nivel extra de control.

Por ejemplo, la etiqueta Confidencial podría contener subetiquetas como Legal y Financiero. Se pueden aplicar diferentes marcas visuales de clasificación y diferentes plantillas de Rights Management a estas subetiquetas. Un usuario no puede seleccionar la etiqueta Confidencial por sí misma, sino solo una de sus subetiquetas, como Legal. Como resultado, la etiqueta que ven es Confidencial \ Legal. Los metadatos de ese archivo incluyen una propiedad de texto personalizado para Confidencial, una propiedad de texto personalizado para Legal y otra que contiene los dos valores (Confidential Legal).

Cuando use subetiquetas, no configure distintivos visuales, protección o condiciones en la etiqueta principal. Si usa subniveles, configure estos valores únicamente en la subetiqueta. Si configura estas opciones en la etiqueta principal y en su subetiqueta, la configuración de la subetiqueta tendrá prioridad.

¿Cómo se evita que alguien quite o cambie una etiqueta?

Aunque hay una configuración de directiva que requiere que los usuarios den por qué reducen una etiqueta de clasificación, quitan una etiqueta o quitan la protección, esta configuración no impide estas acciones. Para evitar que los usuarios quiten o cambien una etiqueta, el contenido ya debe estar protegido y los permisos de protección no conceden al usuario el derecho de uso Exportar o Control total.

¿Cómo pueden las soluciones DLP y otras aplicaciones integrarse con Azure Information Protection?

Como Azure Information Protection usa metadatos persistentes para la clasificación, que incluyen una etiqueta no cifrada, esta información puede leerse mediante soluciones DLP y otras aplicaciones.

Para obtener más información sobre estos metadatos, consulte Información de la etiqueta almacenada en correos electrónicos y documentos.

Para ver ejemplos del uso de estos metadatos con reglas de flujo de correo de Exchange Online, consulte Configuración de reglas de flujo de correo de Exchange Online para etiquetas de Azure Information Protection.

¿Puedo crear una plantilla de documento que incluya automáticamente la clasificación?

Sí. Puede configurar una etiqueta para aplicar un encabezado o pie de página que incluye el nombre de etiqueta. Pero si eso no cumple sus requisitos, solo para el cliente clásico de Azure Information Protection, puede crear una plantilla de documento que tenga el formato que desee y agregar la clasificación como código de campo.

Por ejemplo, podría tener una tabla en el encabezado del documento que muestra la clasificación. O bien, podría utilizar una redacción específica para una introducción que hace referencia a la clasificación del documento.

Para agregar este código de campo en el documento:

  1. Etiquete el documento y guárdelo. Esta acción crea nuevos campos de metadatos que ahora puede usar para el código de campo.

  2. En el documento, coloque el cursor donde desea agregar la clasificación de la etiqueta y, a continuación, en la pestaña Insertar, seleccione Texto > Elementos rápidos > Campo.

  3. En el cuadro de diálogo Campo, en el menú desplegable Categorías, seleccione Información del documento. A continuación, en la lista desplegable Nombres de campo, seleccione DocProperty.

  4. En la lista desplegable Propiedad, seleccione Sensibilidad y luego Aceptar.

La clasificación de la etiqueta actual se muestra en el documento y este valor se actualizará automáticamente cada vez que abra el documento o use la plantilla. Así pues, si cambia la etiqueta, la clasificación que se muestra en el código de este campo se actualizará automáticamente en el documento.

¿En qué se diferencia la clasificación de los correos Azure Information Protection de la clasificación de mensajes de Exchange?

La clasificación de mensajes de Exchange es una característica anterior que puede clasificar correos electrónicos y se implementa independientemente de Azure Information Protection etiquetas o etiquetas de confidencialidad que aplican la clasificación.

Sin embargo, puede integrar esta característica anterior con etiquetas, de modo que cuando los usuarios clasifiquen un correo electrónico mediante Outlook en la web y mediante algunas aplicaciones de correo móvil, se agregan automáticamente la clasificación de etiquetas y los distintivos de etiqueta correspondientes.

Puede usar esta misma técnica para usar las etiquetas con Outlook en la Web y estas aplicaciones de correo móviles.

Tenga en cuenta que no es necesario hacerlo si usa Outlook en la web con Exchange Online, ya que esta combinación admite el etiquetado integrado al publicar etiquetas de confidencialidad desde el Centro de cumplimiento de Microsoft 365.

Si no puede usar el etiquetado integrado con Outlook en la web, consulte los pasos de configuración de esta solución alternativa: Integración con la clasificación de mensajes de Exchange heredada.

¿Cómo configuro un equipo Mac para proteger documentos y realizar su seguimiento?

En primer lugar, asegúrese de haber instalado Office para Mac con el vínculo de instalación de software de https://admin.microsoft.com. Para obtener instrucciones completas, vea Descargar e instalar o reinstalar Microsoft 365 u Office 2019 en un equipo o Mac.

Abra Outlook y cree un perfil con su cuenta Microsoft 365 trabajo o educativa. A continuación, cree un nuevo mensaje y realice lo siguiente para configurar Office de manera que proteja los documentos y los correos electrónicos mediante Azure Rights Management Service:

  1. En el nuevo mensaje, en la pestaña Opciones, haga clic en Permisos y en Comprobar credenciales.

  2. Cuando se le solicite, especifique de nuevo Microsoft 365 cuenta de trabajo o educativa y seleccione Iniciar sesión.

    Así se descargarán las plantillas de Azure Rights Management y Comprobar credenciales se sustituirá por opciones que incluyen Sin restricciones, No reenviar y las plantillas de Azure Rights Management publicadas para el inquilino. Ahora puede cancelar el mensaje nuevo.

Para proteger un mensaje de correo electrónico o un documento: en la pestaña Opciones, haga clic en Permisos y elija una opción o plantilla que proteja el correo electrónico o el documento.

Para realizar un seguimiento de un documento después de protegerlo: desde un equipo Windows que tenga instalado el cliente clásico de Azure Information Protection, registre el documento en el sitio de seguimiento de documentos mediante una aplicación de Office o Explorador de archivos. Para instrucciones, consulte el artículo sobre seguimiento y revocación de documentos. En el equipo Mac, ahora puede usar el explorador web para ir al sitio de seguimiento de documentos (https://track.azurerms.com) para realizar el seguimiento de este documento y revocarlo.

Cuando pruebo la revocación en el sitio de seguimiento de documentos, veo un mensaje que indica que el acceso al documento sigue permitido durante 30 días, ¿se puede configurar este plazo?

Sí. Este mensaje se refleja la licencia de uso de ese archivo en concreto.

Si se revoca un archivo, se puede aplicar esa acción únicamente cuando el usuario se autentica en Azure Rights Management Service. Por lo tanto, si un archivo tiene un período de validez de la licencia de uso de 30 días y el usuario ya ha abierto el documento, seguirá teniendo acceso al documento durante la vigencia de la licencia de uso. Cuando la licencia de uso expire, el usuario deberá repetir la autenticación, momento en el cual al usuario se le deniega el acceso, ya que se ha revocado el documento.

El usuario que ha protegido el documento, el emisor de Rights Management está exento de esta revocación y puede acceder a sus documentos siempre.

El período de validez predeterminado de la licencia de uso de un inquilino es 30 días; este valor puede reemplazarse por una configuración más restrictiva en una etiqueta o una plantilla. Para más información acerca de la licencia de uso y cómo configurarla, consulte la documentación Licencia de uso de Rights Management.

¿Cuál es la diferencia entre BYOK y HYOK y cuándo debo usarlas?

Bring your own key (BYOK) en el contexto de Azure Information Protection, sirve para crear su propia clave local para la protección con Azure Rights Management. A continuación, esa clave se transfiere a un módulo de seguridad de hardware (HSM) de Azure Key Vault, donde aún poseerá y administrará su clave. Si no hizo esto, protección de Azure Rights Management usaría una clave que creada y administrada automáticamente en Azure. Esta configuración predeterminada se conoce a como "administrada por Microsoft" en lugar de "administrada por el cliente" (la opción de BYOK).

Para más información acerca de BYOK y si debería elegir esta topología de clave para su organización, consulte Planeamiento e implementación de su clave de inquilino de Azure Information Protection.

Hold your own key (HYOK) en el contexto de Azure Information Protection, está diseñado para algunas organizaciones que tienen un subconjunto de documentos o correos electrónicos que no se pueden proteger mediante una clave almacenada en la nube. Para estas organizaciones, esta restricción se aplica incluso si la clave se creó y se administró mediante BYOK. A menudo, la restricción puede deberse a motivos legales o de cumplimiento y la configuración de HYOK se debe aplicar únicamente a la información "ultrasecreta", que nunca se comparta fuera de la organización, que solo se consuma en la red interna y que no requiera el acceso desde dispositivos móviles.

Para estas excepciones (normalmente menos del 10 % del contenido que necesita protección), las organizaciones pueden usar una solución local, Active Directory Rights Management Services, para crear la clave que permanece en local. Con esta solución, los equipos obtienen su directiva de Azure Information Protection de la nube, pero se puede proteger este contenido específico mediante la clave local.

Para más información acerca de HYOK, para asegurarse de que comprende sus limitaciones y restricciones y para instrucciones de cuándo usarlo, consulte Requisitos y restricciones de Hold your own key (HYOK) para la protección de AD RMS.

¿Qué debo hacer si mi pregunta no está aquí?

En primer lugar, revise las preguntas más frecuentes que se enumeran a continuación, que son específicas de la clasificación y el etiquetado, o específicas de la protección de datos. El servicio azure Rights Management (Azure RMS) proporciona la tecnología de protección de datos para Azure Information Protection. Azure RMS puede usarse con la clasificación y el etiquetado, o por sí mismo.

Si no se responde a su pregunta, consulte los vínculos y recursos que aparecen en Información y compatibilidad con Azure Information Protection.

Además, hay preguntas más frecuentes diseñadas para usuarios finales: