Administración de datos personales de Azure Information Protection

Se aplica a: Azure Information Protection

Pertinente para: cliente de etiquetado unificado de AIP y cliente clásico de AIP

Nota

Para proporcionar una experiencia de cliente unificada y simplificada, el cliente clásico de Azure Information Protection y la administración de etiquetas en Azure Portal están en desuso desde el 31 de marzo de 2021. Aunque el cliente clásico sigue funcionando como está configurado, no se proporcionará ningún soporte adicional, y las versiones de mantenimiento ya no se publicarán para el cliente clásico.

Se recomienda migrar al etiquetado unificado y actualizar al cliente de etiquetado unificado. Obtenga más información en nuestro último blog sobre desuso.

Cuando configura y usa Azure Information Protection, las direcciones de correo electrónico y las direcciones IP se almacenan y se utilizan por el servicio Azure Information Protection. Estos datos personales pueden encontrarse en los siguientes elementos:

  • Superusuarias y administradores delegados para el servicio de protección

  • Registros de administración para el servicio de protección

  • Registros de uso para el servicio de protección

  • Registros de uso para los clientes Azure Information Protection cliente y el cliente RMS

Solo cliente clásico de AIP:

  • La directiva de Azure Information Protection

  • Plantillas para el servicio de protección

  • Registros de seguimiento de documentos

Nota

En este artículo se presentan los pasos para eliminar los datos personales del dispositivo o el servicio, y pueden utilizarse para cumplir con sus obligaciones en el marco del RGPD. Si desea obtener información general sobre el RGPD, consulte la sección sobre RGPD del Portal de confianza de servicio.

Visualización de los datos personales que usa Azure Information Protection

Nota

Cuando se usa Azure Information Protection para clasificar y proteger documentos y mensajes de correo electrónico, las direcciones de correo electrónico y las direcciones IP de los usuarios podrían guardarse en archivos de registro.

Superusuarias y administradores delegados para el servicio de protección

Ejecute el cmdlet Get-AipServiceSuperUser y el cmdlet get-aipservicerolebasedadministrator para ver qué usuarios tienen asignado el rol de superusuario o el rol de administrador global para el servicio de protección (Azure Rights Management) desde Azure Information Protection. Se muestran las direcciones de correo electrónico de los usuarios a los que se haya asignado cualquiera de estos roles.

Registros de administración para el servicio de protección

Ejecute el cmdlet Get-AipServiceAdminLog para obtener un registro de acciones de administrador para el servicio de protección (Azure Rights Management) de Azure Information Protection. Este registro incluye datos personales en el formato de direcciones de correo electrónico y direcciones IP. El registro está en texto no cifrado y, después de descargarlo, se pueden buscar los detalles de un administrador específico sin conexión.

Por ejemplo:

PS C:\Users> Get-AipServiceAdminLog -Path '.\Desktop\admin.log' -FromTime 4/1/2018 -ToTime 4/30/2018 -Verbose
The Rights Management administration log was successfully generated and can be found at .\Desktop\admin.log.

Registros de uso para el servicio de protección

Ejecute el cmdlet Get-AipServiceUserLog para recuperar un registro de acciones del usuario final que usan el servicio de protección de Azure Information Protection. El registro podría incluir datos personales en el formato de direcciones de correo electrónico y direcciones IP. El registro está en texto no cifrado y, después de descargarlo, se pueden buscar los detalles de un administrador específico sin conexión.

Por ejemplo:

PS C:\Users> Get-AipServiceUserLog -Path '.\Desktop\' -FromDate 4/1/2018 -ToDate 4/30/2018 -NumberOfThreads 10
Acquiring access to your user log…
Downloading the log for 2018-04-01.
Downloading the log for 2018-04-03.
Downloading the log for 2018-04-06.
Downloading the log for 2018-04-09.
Downloading the log for 2018-04-10.
Downloaded the log for 2018-04-01. The log is available at .\Desktop\rmslog-2018-04-01.log.
Downloaded the log for 2018-04-03. The log is available at .\Desktop\rmslog-2018-04-03.log.
Downloaded the log for 2018-04-06. The log is available at .\Desktop\rmslog-2018-04-06.log.
Downloaded the log for 2018-04-09. The log is available at .\Desktop\rmslog-2018-04-09.log.
Downloaded the log for 2018-04-10. The log is available at .\Desktop\rmslog-2018-04-10.log.
Downloading the log for 2018-04-12.
Downloading the log for 2018-04-13.
Downloading the log for 2018-04-14.
Downloading the log for 2018-04-16.
Downloading the log for 2018-04-18.
Downloaded the log for 2018-04-12. The log is available at .\Desktop\rmslog-2018-04-12.log.
Downloaded the log for 2018-04-13. The log is available at .\Desktop\rmslog-2018-04-13.log.
Downloaded the log for 2018-04-14. The log is available at .\Desktop\rmslog-2018-04-14.log.
Downloaded the log for 2018-04-16. The log is available at .\Desktop\rmslog-2018-04-16.log.
Downloaded the log for 2018-04-18. The log is available at .\Desktop\rmslog-2018-04-18.log.
Downloading the log for 2018-04-24.
Downloaded the log for 2018-04-24. The log is available at .\Desktop\rmslog-2018-04-24.log.

Registros de uso para los clientes Azure Information Protection cliente y el cliente RMS

Cuando se aplican etiquetas y protección a documentos y correos electrónicos, las direcciones de correo electrónico y las direcciones IP pueden almacenarse en archivos de registro en el equipo del usuario en las siguientes ubicaciones:

  • Para el Azure Information Protection etiquetado unificado y clientes clásicos: %localappdata%\Microsoft\MSIP\Logs

  • Para el cliente RMS: %localappdata%\Microsoft\MSIPC\msip\Logs

Además, el cliente Azure Information Protection registra estos datos personales en el registro de eventos local de Windows Registros de aplicaciones y > servicios Azure Information Protection.

Cuando el cliente Azure Information Protection ejecuta el analizador, los datos personales se guardan en %localappdata%\Microsoft\MSIP\Scanner\Reports en el equipo de Windows Server que ejecuta el analizador.

Puede desactivar la información de registro para el cliente de Azure Information Protection y el analizador mediante el uso de las siguientes configuraciones:

Nota

Si está interesado en ver o eliminar datos personales, consulte la guía de Microsoft en Microsoft Compliance Manager y en la sección RGPD del sitio de cumplimiento de Microsoft 365 Enterprise . Si quiere obtener información general sobre el RGPD, vea la sección sobre RGPD del Portal de confianza del servicio.

Plantillas de protección

Relevante para: solo cliente clásico de AIP

Ejecute el cmdlet Get-AipServiceTemplate para obtener una lista de plantillas de protección. Puede usar el identificador de plantilla para obtener detalles de una plantilla específica. El objeto RightsDefinitions muestra los datos personales, si existen.

Ejemplo:

PS C:\Users> Get-AipServiceTemplate -TemplateId fcdbbc36-1f48-48ca-887f-265ee1268f51 | select *


TemplateId              : fcdbbc36-1f48-48ca-887f-265ee1268f51
Names                   : {1033 -> Confidential}
Descriptions            : {1033 -> This data includes sensitive business information. Exposing this data to
                          unauthorized users may cause damage to the business. Examples for Confidential information
                          are employee information, individual customer projects or contracts and sales account data.}
Status                  : Archived
RightsDefinitions       : {admin@aip500.onmicrosoft.com -> VIEW, VIEWRIGHTSDATA, EDIT, DOCEDIT, PRINT, EXTRACT,
                          REPLY, REPLYALL, FORWARD, EXPORT, EDITRIGHTSDATA, OBJMODEL, OWNER,
                          AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@aip500.onmicrosoft.com -> VIEW,
                          VIEWRIGHTSDATA, EDIT, DOCEDIT, PRINT, EXTRACT, REPLY, REPLYALL, FORWARD, EXPORT,
                          EDITRIGHTSDATA, OBJMODEL, OWNER, admin2@aip500.onmicrosoft.com -> VIEW, VIEWRIGHTSDATA, EDIT,
                          DOCEDIT, PRINT, EXTRACT, REPLY, REPLYALL, FORWARD, EXPORT, EDITRIGHTSDATA, OBJMODEL, OWNER}
ContentExpirationDate   : 1/1/0001 12:00:00 AM
ContentValidityDuration : 0
ContentExpirationOption : Never
LicenseValidityDuration : 7
ReadOnly                : False
LastModifiedTimeStamp   : 1/26/2018 6:17:00 PM
ScopedIdentities        : {}
EnableInLegacyApps      : False
LabelId                 :

Registros de seguimiento de documentos

Relevante para: solo cliente clásico de AIP

Ejecute el cmdlet Get-AipServiceDocumentLog para recuperar información del sitio de seguimiento de documentos sobre un usuario específico. Para obtener información de seguimiento asociada a los registros de documento, use el cmdlet Get-AipServiceTrackingLog.

Por ejemplo:

PS C:\Users> Get-AipServiceDocumentLog -UserEmail "admin@aip500.onmicrosoft.com"


ContentId             : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer                : admin@aip500.onmicrosoft.com
Owner                 : admin@aip500.onmicrosoft.com
ContentName           :
CreatedTime           : 3/6/2018 10:24:00 PM
Recipients            : {
                        PrimaryEmail: johndoe@contoso.com
                        DisplayName: JOHNDOE@CONTOSO.COM
                        UserType: External,
                        PrimaryEmail: alice@contoso0110.onmicrosoft.com
                        DisplayName: ALICE@CONTOSO0110.ONMICROSOFT.COM
                        UserType: External
                        }
TemplateId            :
PolicyExpires         :
EULDuration           :
SendRegistrationEmail : True
NotificationInfo      : Enabled: False
                        DeniedOnly: False
                        Culture:
                        TimeZoneId:
                        TimeZoneOffset: 0
                        TimeZoneDaylightName:
                        TimeZoneStandardName:

RevocationInfo        : Revoked: False
                        RevokedTime:
                        RevokedBy:


PS C:\Users> Get-AipServiceTrackingLog -UserEmail "admin@aip500.onmicrosoft.com"

ContentId            : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer               : admin@aip500.onmicrosoft.com
RequestTime          : 3/6/2018 10:45:57 PM
RequesterType        : External
RequesterEmail       : johndoe@contoso.com
RequesterDisplayName : johndoe@contoso.com
RequesterLocation    : IP: 167.220.1.54
                       Country: US
                       City: redmond
                       Position: 47.6812453974602,-122.120736471666

Rights               : {VIEW,OBJMODEL}
Successful           : False
IsHiddenInfo         : False

No hay ninguna búsqueda por ObjectID. Sin embargo, no está limitado por el parámetro -UserEmail y no es necesario que la dirección de correo electrónico que especifique forme parte de su inquilino. Si la dirección de correo electrónico proporcionada se almacena en cualquier lugar de los registros de seguimiento de documentos, la entrada del seguimiento de documentos se devuelve en la salida del cmdlet.

Protección y control del acceso a la información personal

Los datos personales que ve y especifica en Azure Portal solo están accesibles para los usuarios a los que se ha asignado uno de los siguientes roles de administrador de Azure Active Directory:

  • Azure Information Protection administrador

  • Administrador de cumplimiento

  • Administrador de datos de cumplimiento

  • Administrador de seguridad

  • Lector de seguridad

  • Administrador global

  • Lector global

Los datos personales que se ven y especifican mediante el módulo AIPService (o el módulo anterior, AADRM) solo son accesibles para los usuarios a los que se han asignado los roles de administrador de Azure Information Protection, Administrador de cumplimiento, administrador de datos de cumplimiento o administrador global de Azure Active Directory o el rol de administrador global para el servicio de protección.

Actualizar datos personales

Cliente de etiquetado unificado:

Para el cliente de etiquetado unificado, las etiquetas de confidencialidad y las directivas de etiquetas se configuran en el Centro de cumplimiento de Microsoft 365. Para obtener más información, vea la documentación de Microsoft 365.

Cliente clásico:

Para el cliente clásico, puede actualizar las direcciones de correo electrónico para las directivas con ámbito y la configuración de protección en la directiva Azure Information Protection aplicación. Para obtener más información, vea Configuración de la directiva de Azure Information Protection para usuarios específicos mediante directivas de ámbito y Configuración de una etiqueta para la protección de Rights Management.

Para la configuración de protección, puede actualizar la misma información mediante cmdlets de PowerShell desde el módulo AIPService.

No puede actualizar las direcciones de correo electrónico para los superusuarios y administradores delegados. Para ello, lo que puede hacer es quitar la cuenta de usuario especificada y agregar la cuenta de usuario con la dirección de correo electrónico actualizada.

Superusuarias y administradores delegados para el servicio de protección

Cuando tenga que actualizar la dirección de correo electrónico de un superusuario:

  1. Use Remove-AipServiceSuperUser para quitar el usuario y la dirección de correo electrónico antigua.

  2. Use Add-AipServiceSuperUser para agregar el usuario y la nueva dirección de correo electrónico.

Cuando tenga que actualizar la dirección de correo electrónico de un administrador delegado:

  1. Use Remove-AipServiceRoleBasedAdministrator para quitar el usuario y la dirección de correo electrónico antigua.

  2. Use Add-AipServiceRoleBasedAdministrator para agregar el usuario y la nueva dirección de correo electrónico.

Plantillas de protección

Relevante para: solo cliente clásico

Ejecute el cmdlet Set-AipServiceTemplateProperty para actualizar la plantilla de protección. Dado que los datos personales están dentro de la propiedad , también deberá usar el RightsDefinitions cmdlet New-AipServiceRightsDefinition para crear un objeto de definiciones de derechos con la información actualizada y usar el objeto rights definitions con el Set-AipServiceTemplateProperty cmdlet .

Eliminar datos personales

Para la configuración de protección, puede eliminar la misma información mediante cmdlets de PowerShell desde el módulo AIPService.

Para eliminar direcciones de correo electrónico de superusuario y administradores delegados, quite estos usuarios mediante el cmdlet Remove-AipServiceSuperUser y Remove-AipServiceRoleBasedAdministrator.

Para eliminar datos personales en registros de seguimiento de documentos, registros de administración o registros de uso para el servicio de protección, use la sección siguiente para generar una solicitud con Soporte técnico de Microsoft.

Para eliminar datos personales en los archivos de registro de cliente y los registros de analizador que se almacenan en los equipos, use cualquier herramienta estándar de Windows para quitar los archivos o los datos personales de los archivos.

Para eliminar datos personales con el Soporte técnico de Microsoft

Use los tres pasos siguientes para solicitar que Microsoft elimine los datos personales en los registros de seguimiento de documentos, los registros de administración o los registros de uso del servicio de protección.

Paso 1: Iniciar la solicitud de eliminación Póngase en Soporte técnico de Microsoft para abrir un Azure Information Protection de soporte técnico con una solicitud para eliminar datos del inquilino. Necesita demostrar que es un administrador del inquilino de Azure Information Protection y entender que este proceso tarda varios días en confirmarse. Al enviar la solicitud, debe proporcionar información adicional, dependiendo de los datos que deban eliminarse.

  • Para eliminar el registro de administración, proporcione la fecha de finalización. Se eliminarán todos los registros de administración hasta esa fecha de finalización.
  • Para eliminar los registros de uso, proporcione la fecha de finalización. Se eliminarán todos los registros de uso hasta esa fecha de finalización.
  • Para eliminar los registros de seguimiento de documentos, proporcione el valor UserEmail. Se eliminará toda la información de seguimiento de documentos relativa a UserEmail.

La eliminación de los datos es una acción permanente. No hay manera de recuperar los datos una vez que se haya procesado una solicitud de eliminación. Se recomienda que los administradores exporten los datos necesarios antes de enviar una solicitud de eliminación.

Paso 2: Esperar la comprobación Microsoft comprobará que la solicitud para eliminar uno o más registros es legítima. Este proceso puede tardar hasta cinco días laborables.

Paso 3: Obtener la confirmación de la eliminación Los Servicios de soporte técnico de Microsoft (CSS) le enviarán un correo electrónico para confirmar que se han eliminado los datos.

Exportar datos personales

Cuando se usan los cmdlets de PowerShell AIPService o AADRM, los datos personales están disponibles para la búsqueda y exportación como un objeto de PowerShell. El objeto de PowerShell se puede convertir a JSON y guardarlo usando el cmdlet ConvertTo-Json.

Azure Information Protection sigue los términos de privacidad de Microsoft para la generación de perfiles o las actividades de marketing que se basan en datos personales.

Informes y auditoría

Solo los usuarios a los que se han asignado permisos de administrador pueden usar el módulo AIPService o ADDRM para buscar y exportar datos personales. Estas operaciones quedan registradas en el registro de administración que se puede descargar.

Para las acciones de eliminación, la solicitud de soporte técnico actúa como trazo de auditoría y notificación de las acciones realizadas por Microsoft. Después de la eliminación, los datos eliminados no estarán disponibles para la búsqueda y exportación, y el administrador puede comprobarlo mediante los cmdlets Get del módulo AIPService.