Preguntas más frecuentes sobre protección de datos en Azure Information Protection

Se aplica a: Azure Information Protection, Office 365

Relevante para:cliente de etiquetado unificado AIP y cliente clásico. Para obtener más información, vea también las preguntas frecuentes solo para el cliente clásico.

Nota

Para proporcionar una experiencia de cliente unificada y simplificada, el cliente clásico de Azure Information Protection y la administración de etiquetas en Azure Portal están en desuso a partir del 31 de marzo de 2021. Ya no se proporciona soporte técnico para las versiones clásicas de cliente y el mantenimiento ya no se lanzará.

El cliente clásico se retirará oficialmente y dejará de funcionar el 31 de marzo de 2022.

Todos los clientes del cliente clásico de Azure Information Protection actuales deben migrar Microsoft Information Protection la plataforma unificada de etiquetado y actualizar al cliente de etiquetado unificado. Más información en nuestro blog de migración.

¿Tiene alguna pregunta sobre el servicio de protección de datos, Azure Rights Management, de Azure Information Protection? Vea si se responde aquí.

¿Los archivos tienen que estar en la nube para estar protegidos por Azure Rights Management?

No, esta es una idea errónea común. El Azure Rights Management (y Microsoft) no ve ni almacena los datos como parte del proceso de protección de la información. La información que protege nunca se envía o almacena en Azure a menos que la almacene explícitamente en Azure o use otro servicio en la nube que la almacene en Azure.

Para obtener más información, vea ¿Cómo funciona Azure RMS? Debajo del capó para comprender cómo una fórmula cola secreta que se crea y almacena local está protegida por el servicio de Azure Rights Management pero permanece local.

¿Cuál es la diferencia entre Azure Rights Management cifrado y cifrado en otros servicios en la nube de Microsoft?

Microsoft proporciona varias tecnologías de cifrado que le permiten proteger sus datos para escenarios diferentes y a menudo complementarios. Por ejemplo, si bien Microsoft 365 ofrece cifrado en reposo para los datos almacenados en Microsoft 365, el servicio Azure Rights Management de Azure Information Protection cifra los datos de forma independiente para que estén protegidos independientemente de dónde se encuentran o cómo se transmiten.

Estas tecnologías de cifrado son complementarias y su uso requiere habilitarlas y configurarlas de forma independiente. Al hacerlo, es posible que tenga la opción de aportar su propia clave para el cifrado, un escenario también conocido como "BYOK". Habilitar BYOK para una de estas tecnologías no afecta a las demás. Por ejemplo, puede usar BYOK para Azure Information Protection y no usar BYOK para otras tecnologías de cifrado, y viceversa. Las claves usadas por estas diferentes tecnologías pueden ser iguales o diferentes, dependiendo de cómo configure las opciones de cifrado para cada servicio.

¿Ahora puedo usar BYOK con Exchange Online?

Sí, ahora puede usar BYOK con Exchange Online si sigue las instrucciones de Configurar nuevas funcionalidades de cifrado de mensajes Microsoft 365 integradas en Azure Information Protection. Estas instrucciones habilitan las nuevas funcionalidades Exchange Online que admiten el uso de BYOK para Azure Information Protection, así como las nuevas Cifrado de mensajes de Office 365.

Para obtener más información sobre este cambio, vea el anuncio del blog: Cifrado de mensajes de Office 365 con las nuevas funcionalidades

¿Dónde puedo encontrar información sobre soluciones de terceros que se integran con Azure RMS?

Muchos proveedores de software ya tienen soluciones o están implementando soluciones que se integran con Azure Rights Management y la lista está creciendo rápidamente. Es posible que le sea útil comprobar las listas de aplicaciones iluminadas por RMS y obtener las últimas actualizaciones de Microsoft Mobility@MSFTMobility en Twitter. Puede publicar cualquier pregunta de integración específica en el sitio de Azure Information Protection Yammer.

¿Hay un módulo de administración o un mecanismo de supervisión similar para el conector RMS?

Aunque el conector de Rights Management registra información, advertencia y mensajes de error en el registro de eventos, no hay un módulo de administración que incluya la supervisión de estos eventos. Sin embargo, la lista de eventos y sus descripciones, con más información para ayudarle a tomar medidas correctivas, se documenta en Supervisar el conector de Microsoft Rights Management.

¿Cómo puedo crear una nueva plantilla personalizada en Azure Portal?

Las plantillas personalizadas se han movido al Portal de Azure, donde puede seguir administrandolas como plantillas o convertirlas en etiquetas. Para crear una plantilla, cree una nueva etiqueta y configure la configuración de protección de datos para Azure RMS. En las portadas, se crea una nueva plantilla a la que pueden acceder los servicios y aplicaciones que se integran con plantillas de Rights Management.

Para obtener más información sobre las plantillas en Azure Portal, vea Configurar y administrar plantillas para Azure Information Protection.

He protegido un documento y ahora quiero cambiar los derechos de uso o agregar usuarios, ¿necesito volver a proteger el documento?

Si el documento estaba protegido mediante una etiqueta o plantilla, no es necesario volver a proteger el documento. Modifique la etiqueta o plantilla realizando los cambios en los derechos de uso o agregue nuevos grupos (o usuarios) y guarde estos cambios:

  • Cuando un usuario no ha accedido al documento antes de realizar los cambios, los cambios se hacen efectivos tan pronto como el usuario abre el documento.

  • Cuando un usuario ya ha accedido al documento, estos cambios tienen efecto cuando expira su licencia de uso. Vuelva a proteger el documento solo si no puede esperar a que expire la licencia de uso. Reproteger de forma eficaz crea una nueva versión del documento y, por lo tanto, una nueva licencia de uso para el usuario.

Como alternativa, si ya ha configurado un grupo para los permisos necesarios, puede cambiar la pertenencia al grupo para incluir o excluir usuarios y no es necesario cambiar la etiqueta o la plantilla. Es posible que haya un pequeño retraso antes de que los cambios suenen porque el servicio de Azure Rights Management grupo almacena en caché la pertenencia a grupos.

Si el documento estaba protegido mediante permisos personalizados, no puede cambiar los permisos del documento existente. Debe proteger el documento de nuevo y especificar todos los usuarios y todos los derechos de uso necesarios para esta nueva versión del documento. Para volver a proteger un documento protegido, debe tener el derecho de uso de Control total.

Sugerencia: Para comprobar si un documento estaba protegido por una plantilla o mediante permisos personalizados, use el cmdlet de PowerShell Get-AIPFileStatus. Siempre verá una descripción de plantilla de Acceso restringido para permisos personalizados, con un id. de plantilla único que no se muestra al ejecutar Get-RMSTemplate.

Tengo una implementación híbrida de Exchange con algunos usuarios en Exchange Online y otros en Exchange Server, ¿es compatible con Azure RMS?

Absolutamente, y lo bueno es que los usuarios pueden proteger y consumir sin problemas correos electrónicos y datos adjuntos protegidos en las dos Exchange implementación. Para esta configuración, active Azure RMS y habilite IRMpara Exchange Online y, a continuación, implemente y configure el conector RMS para Exchange Server.

Si uso esta protección para mi entorno de producción, ¿mi empresa está bloqueada en la solución o corre el riesgo de perder el acceso al contenido que protegemos con Azure RMS?

No, siempre mantiene el control de los datos y puede seguir accediendo a ellos, incluso si decide no usar el servicio Azure Rights Management usuario. Para obtener más información, vea Desmantelamiento y desactivación de Azure Rights Management.

¿Puedo controlar cuál de mis usuarios puede usar Azure RMS para proteger el contenido?

Sí, el Azure Rights Management cuenta con controles de incorporación de usuarios para este escenario. Para obtener más información, vea la sección Configurar controles de incorporación para una implementación por fases en el artículo Activar el servicio de protección desde Azure Information Protection.

¿Puedo impedir que los usuarios compartan documentos protegidos con organizaciones específicas?

Una de las mayores ventajas de usar el servicio de Azure Rights Management para la protección de datos es que admite la colaboración entre empresas sin tener que configurar confianzas explícitas para cada organización asociada, ya que Azure AD se encarga de la autenticación por usted.

No hay ninguna opción de administración para impedir que los usuarios compartan documentos de forma segura con organizaciones específicas. Por ejemplo, desea bloquear una organización en la que no confía o que tiene una empresa competidora. Impedir que el servicio de Azure Rights Management envíe documentos protegidos a los usuarios de estas organizaciones no tendría sentido porque los usuarios compartirían sus documentos desprotegidos, lo que probablemente sea lo último que desea que suceda en este escenario. Por ejemplo, no podrá identificar quién comparte documentos confidenciales de la empresa con qué usuarios de estas organizaciones, lo que puede hacer cuando el documento (o correo electrónico) está protegido por el servicio Azure Rights Management empresa.

Cuando comparto un documento protegido con alguien fuera de mi empresa, ¿cómo se autentica ese usuario?

De forma predeterminada, el servicio Azure Rights Management usa una cuenta de Azure Active Directory y una dirección de correo electrónico asociada para la autenticación de usuario, lo que hace que la colaboración entre empresas sea perfecta para los administradores. Si la otra organización usa los servicios de Azure, los usuarios ya tienen cuentas en Azure Active Directory, incluso si estas cuentas se crean y administran localmente y, después, se sincronizan con Azure. Si la organización tiene Microsoft 365, en las portadas, este servicio también usa Azure Active Directory para las cuentas de usuario. Si la organización del usuario no tiene cuentas administradas en Azure, los usuarios pueden registrarse en RMSpara particulares, lo que crea un inquilino y un directorio de Azure no administrados para la organización con una cuenta para el usuario, de modo que este usuario (y los usuarios posteriores) puedan autenticarse para el servicio Azure Rights Management.

El método de autenticación para estas cuentas puede variar, dependiendo de cómo el administrador de la otra organización haya configurado las Azure Active Directory cuentas. Por ejemplo, podrían usar contraseñas creadas para estas cuentas, federación o contraseñas que se crearon en servicios de dominio de Active Directory y, después, se sincronizaron con Azure Active Directory.

Otros métodos de autenticación:

  • Si protege un correo electrónico con un archivo adjunto Office documento a un usuario que no tiene una cuenta en Azure AD, el método de autenticación cambia. El Azure Rights Management está federado con algunos proveedores de identidades sociales populares, como Gmail. Si el proveedor de correo electrónico del usuario es compatible, el usuario puede iniciar sesión en ese servicio y su proveedor de correo electrónico es responsable de autenticarlo. Si el proveedor de correo electrónico del usuario no es compatible o como preferencia, el usuario puede solicitar un código de acceso único que los autentique y muestre el correo electrónico con el documento protegido en un explorador web.

  • Azure Information Protection puede usar cuentas de Microsoft para aplicaciones compatibles. Actualmente, no todas las aplicaciones pueden abrir contenido protegido cuando se usa una cuenta de Microsoft para la autenticación. Más información

¿Puedo agregar usuarios externos (personas de fuera de mi empresa) a plantillas personalizadas?

Sí. La configuración de protección que puede configurar en Azure Portal le permite agregar permisos a usuarios y grupos de fuera de su organización, e incluso a todos los usuarios de otra organización. Es posible que le sea útil hacer referencia al ejemplo paso a paso, Colaboración de documentos seguros mediante Azure Information Protection.

Tenga en cuenta que, si tiene etiquetas de Azure Information Protection, primero debe convertir la plantilla personalizada en una etiqueta para poder configurar esta configuración de protección en Azure Portal. Para obtener más información, vea Configurar y administrar plantillas para Azure Information Protection.

Como alternativa, puede agregar usuarios externos a plantillas personalizadas (y etiquetas) mediante PowerShell. Esta configuración requiere que use un objeto de definición de derechos que use para actualizar la plantilla:

  1. Especifique las direcciones de correo electrónico externas y sus derechos en un objeto de definición de derechos mediante el cmdlet New-AipServiceRightsDefinition para crear una variable.

  2. Proporcione esta variable al parámetro RightsDefinition con el cmdlet Set-AipServiceTemplateProperty.

    Al agregar usuarios a una plantilla existente, debe definir objetos de definición de derechos para los usuarios existentes en las plantillas, además de los nuevos usuarios. Para este escenario, es posible que encuentre el ejemplo 3 útil: Agregar nuevos usuarios y derechos a una plantilla personalizada desde la sección Ejemplos del cmdlet.

¿Qué tipo de grupos puedo usar con Azure RMS?

En la mayoría de los escenarios, puede usar cualquier tipo de grupo Azure AD que tenga una dirección de correo electrónico. Esta regla general siempre se aplica al asignar derechos de uso, pero hay algunas excepciones para administrar el servicio Azure Rights Management usuario. Para obtener más información, vea Requisitos de Azure Information Protection para cuentas de grupo.

¿Cómo envío un correo electrónico protegido a una cuenta de Gmail o Hotmail cuenta?

Al usar Exchange Online y el Azure Rights Management, solo tiene que enviar el correo electrónico al usuario como un mensaje protegido. Por ejemplo, puede seleccionar el nuevo botón Proteger en la barra de comandos de Outlook en la Web, usar la Outlook botón No reenviar o la opción de menú. O bien, puede seleccionar una etiqueta de Azure Information Protection que se aplica automáticamente No reenviar por usted y clasifica el correo electrónico.

El destinatario ve una opción para iniciar sesión en su cuenta de Gmail, Yahoo o Microsoft y, a continuación, puede leer el correo electrónico protegido. Como alternativa, pueden elegir la opción de un código de acceso único para leer el correo electrónico en un explorador.

Para admitir este escenario, Exchange Online debe estar habilitado para el servicio Azure Rights Management y las nuevas capacidades de Cifrado de mensajes de Office 365. Para obtener más información sobre esta configuración, vea Exchange Online: Configuración de IRM.

Para obtener más información sobre las nuevas funcionalidades que incluyen la compatibilidad de todas las cuentas de correo electrónico en todos los dispositivos, vea la siguiente entrada de blog: Anunciar nuevas funcionalidades disponibles en Cifrado de mensajes de Office 365.

¿Qué dispositivos y qué tipos de archivo son compatibles con Azure RMS?

Para obtener una lista de los dispositivos compatibles con el Azure Rights Management, vea Dispositivos cliente que admiten Azure Rights Management de datos. Como no todos los dispositivos compatibles pueden admitir actualmente todas las capacidades de Rights Management, asegúrese de comprobar también las tablas para las aplicaciones con RMS.

El Azure Rights Management puede admitir todos los tipos de archivo. Para archivos de texto, imagen, Microsoft Office (Word, Excel, PowerPoint), archivos .pdf y algunos otros tipos de archivo de aplicación, Azure Rights Management proporciona protección nativa que incluye tanto el cifrado como la aplicación de derechos (permisos). Para el resto de aplicaciones y tipos de archivo, la protección genérica proporciona la encapsulación de archivos y la autenticación para comprobar si un usuario está autorizado a abrir el archivo.

Para obtener una lista de extensiones de nombre de archivo compatibles de forma nativa con Azure Rights Management, vea Tipos de archivo admitidos por el cliente de Azure Information Protection. Las extensiones de nombre de archivo que no aparecen son compatibles con el cliente de Azure Information Protection que aplica automáticamente protección genérica a estos archivos.

Cuando abro un documento Office RMS, ¿el archivo temporal asociado también se protege con RMS?

No. En este escenario, el archivo temporal asociado no contiene datos del documento original, sino solo lo que el usuario escribe mientras el archivo está abierto. A diferencia del archivo original, el archivo temporal obviamente no está diseñado para el uso compartido y permanecería en el dispositivo, protegido por controles de seguridad locales, como BitLocker y EFS.

Una característica que estoy buscando no parece funcionar con SharePoint bibliotecas protegidas, ¿está planeado el soporte para mi característica?

Actualmente, Microsoft SharePoint admite documentos protegidos por RMS mediante bibliotecas protegidas por IRM, que no admiten plantillas de Rights Management, seguimiento de documentos y algunas otras funcionalidades. Para obtener más información, vea la SharePoint en Microsoft 365 y SharePoint server en el artículo Office aplicaciones y servicios.

Si está interesado en una funcionalidad específica que aún no es compatible, asegúrese de estar al tanto de los anuncios en el blog de movilidad y seguridad de Enterprise.

¿Cómo puedo configurar One Drive en SharePoint, para que los usuarios puedan compartir sus archivos de forma segura con personas dentro y fuera de la empresa?

De forma predeterminada, como Microsoft 365 administrador, no lo configura; los usuarios sí.

Al igual que un SharePoint de sitio de SharePoint habilita y configura IRM para una biblioteca de SharePoint de su propiedad, OneDrive está diseñado para que los usuarios habiliten y configuren IRM para su propia biblioteca OneDrive usuario. Sin embargo, al usar PowerShell, puede hacerlo por ellos. Para obtener instrucciones, vea SharePoint en Microsoft 365 y OneDrive: Configuración de IRM.

¿Tiene alguna sugerencia o trucos para una implementación correcta?

Después de supervisar muchas implementaciones y escuchar a nuestros clientes, partners, consultores e ingenieros de soporte técnico, uno de los mayores consejos que podemos transmitir desde la experiencia:Diseñar e implementar directivas sencillas.

Como Azure Information Protection admite el uso compartido de forma segura con cualquier persona, puede permitirse el lujo de ser ambicioso con su alcance de protección de datos. Pero sea conservador al configurar restricciones de uso de derechos. Para muchas organizaciones, el mayor impacto empresarial proviene de evitar la filtración de datos al restringir el acceso a las personas de su organización. Por supuesto, puede obtener mucho más granular que eso si es necesario: evite que los usuarios impriman, editen, etc. Pero mantenga las restricciones más granulares como excepción para los documentos que realmente necesitan seguridad de alto nivel y no implementen estos derechos de uso más restrictivos el primer día, pero planee un enfoque más por fases.

¿Cómo recuperamos el acceso a los archivos protegidos por un empleado que ha abandonado la organización?

Use la característica superusuador, que concede los derechos de uso de control total a los usuarios autorizados para todos los documentos y correos electrónicos que estén protegidos por su inquilino. Los superusuarias siempre pueden leer este contenido protegido y, si es necesario, quitar la protección o volver a protegerlo para diferentes usuarios. Esta misma característica permite a los servicios autorizados indexar e inspeccionar archivos, según sea necesario.

Si el contenido se almacena en SharePoint o OneDrive, los administradores pueden ejecutar el cmdlet Unlock-SensitivityLabelEncryptedFile para quitar tanto la etiqueta de confidencialidad como el cifrado. Para obtener más información, vea la Microsoft 365 de datos.

¿Rights Management puede evitar las capturas de pantalla?

Al no conceder el derecho de uso decopia,Rights Management puede evitar capturas de pantalla de muchas de las herramientas de captura de pantalla más usadas en plataformas de Windows (Windows 7, Windows 8.1, Windows 10, Windows 10 Mobile y Windows 11). Sin embargo, los dispositivos iOS, Mac y Android no permiten que ninguna aplicación impida capturas de pantalla. Además, los exploradores de cualquier dispositivo no pueden impedir las capturas de pantalla. El uso del explorador incluye Outlook en la Web y Office para la Web.

Nota

Ahora se está implementando en el Canal actual (versión preliminar):en Office para Mac, Word, Excel y PowerPoint (pero no Outlook) ahora admiten el derecho de uso de Rights Management para evitar capturas de pantalla.

Evitar capturas de pantalla puede ayudar a evitar la divulgación accidental o negligente de información confidencial o confidencial. Pero hay muchas maneras en que un usuario puede compartir datos que se muestran en una pantalla y realizar una captura de pantalla es solo un método. Por ejemplo, un usuario que intenta compartir la información que se muestra puede tomar una foto de ella con su teléfono de cámara, volver a escribir los datos o simplemente retransmitirla verbalmente a alguien.

Como demuestran estos ejemplos, incluso si todas las plataformas y todo el software admiten las API de Rights Management para bloquear capturas de pantalla, la tecnología por sí sola no siempre puede impedir que los usuarios compartan datos que no deberían. Rights Management puede ayudar a proteger sus datos importantes mediante directivas de autorización y uso, pero esta solución de administración de derechos empresariales debe usarse con otros controles. Por ejemplo, implemente la seguridad física, supervise cuidadosamente a las personas que tienen acceso autorizado a los datos de su organización e invierta en educación de los usuarios para que los usuarios comprendan qué datos no se deben compartir.

¿Cuál es la diferencia entre un usuario que protege un correo electrónico con No reenviar y una plantilla que no incluye la derecha Reenviar?

A pesar de su nombre y su apariencia, No reenviar no es lo opuesto a la derecha de reenvío o a una plantilla. En realidad, es un conjunto de derechos que incluyen restringir la copia, impresión y guardar el correo electrónico fuera del buzón, además de restringir el reenvío de correos electrónicos. Los derechos se aplican dinámicamente a los usuarios a través de los destinatarios elegidos y no se asignan estáticamente por el administrador. Para obtener más información, vea la sección No reenviar para correos electrónicos en Configurar los derechos de uso de Azure Information Protection.