Preparar usuarios y grupos para Azure Information Protection

Se aplica a: Azure Information Protection, Office 365

Relevante para:cliente de etiquetado unificado AIP y cliente clásico

Nota

Para proporcionar una experiencia de cliente unificada y simplificada, el cliente clásico de Azure Information Protection y la administración de etiquetas en Azure Portal están en desuso a partir del 31 de marzo de 2021. Ya no se proporciona soporte técnico para las versiones clásicas de cliente y el mantenimiento ya no se lanzará.

El cliente clásico se retirará oficialmente y dejará de funcionar el 31 de marzo de 2022.

Todos los clientes del cliente clásico de Azure Information Protection actuales deben migrar Microsoft Information Protection la plataforma unificada de etiquetado y actualizar al cliente de etiquetado unificado. Más información en nuestro blog de migración.

Antes de implementar Azure Information Protection para su organización, asegúrese de que tiene cuentas para usuarios y grupos en Azure AD para el inquilino de su organización.

Hay diferentes formas de crear estas cuentas para usuarios y grupos, entre las que se incluyen:

  • Los usuarios se crean en el Centro de administración de Microsoft 365 y en los grupos del centro de Exchange Online administración.

  • Los usuarios y grupos se crean en Azure Portal.

  • Puede crear los usuarios y el grupo mediante Azure AD PowerShell y Exchange Online cmdlets.

  • Cree los usuarios y grupos en su Active Directory local y sincronice con Azure AD.

  • Puede crear los usuarios y grupos en otro directorio y sincronizarlos para Azure AD.

Al crear usuarios y grupos mediante los tres primeros métodos de esta lista, con una excepción, se crean automáticamente en Azure AD y Azure Information Protection puede usar estas cuentas directamente. Sin embargo, muchas redes empresariales usan un directorio local para crear y administrar usuarios y grupos. Azure Information Protection no puede usar estas cuentas directamente; debe sincronizarlos para Azure AD.

La excepción a la que se hace referencia en el párrafo anterior son las listas de distribución dinámicas que puede crear para Exchange Online. A diferencia de las listas de distribución estáticas, estos grupos no se replican a Azure AD por lo que Azure Information Protection no puede usar.

Cómo usan los usuarios y grupos Azure Information Protection

Existen tres escenarios para usar usuarios y grupos con Azure Information Protection:

Para asignar etiquetas a los usuarios al configurar la directiva de Azure Information Protection para que las etiquetas se puedan aplicar a documentos y correos electrónicos. Solo los administradores pueden seleccionar estos usuarios y grupos:

  • La directiva predeterminada de Azure Information Protection se asigna automáticamente a todos los usuarios del espacio empresarial Azure AD. Sin embargo, también puede asignar etiquetas adicionales a usuarios o grupos especificados mediante directivas de ámbito.

Para asignar derechos de uso y controles de acceso al usar el servicio de Azure Rights Management para proteger documentos y correos electrónicos. Los administradores y usuarios pueden seleccionar estos usuarios y grupos:

  • Los derechos de uso determinan si un usuario puede abrir un documento o correo electrónico y cómo puede usarlo. Por ejemplo, si solo pueden leerlo, leerlo e imprimirlo, o leerlo y editarlo.

  • Los controles de acceso incluyen una fecha de expiración y si se requiere una conexión a Internet para el acceso.

Para configurar el servicio Azure Rights Management para admitir escenarios específicos y, por lo tanto, solo los administradores seleccionan estos grupos. Algunos ejemplos son configurar lo siguiente:

  • Superusuarias, de modo que los servicios o personas designados puedan abrir contenido cifrado si es necesario para eDiscovery o recuperación de datos.

  • Administración delegada del servicio Azure Rights Management usuario.

  • Controles de incorporación para admitir una implementación por fases.

Requisitos de Azure Information Protection para cuentas de usuario

Para asignar etiquetas:

  • Todas las cuentas de Azure AD pueden usarse para configurar directivas de ámbito que asignen etiquetas adicionales a los usuarios.

Para asignar derechos de uso y controles de acceso y configurar el servicio Azure Rights Management usuario:

  • Para autorizar usuarios, se usan dos atributos Azure AD: proxyAddresses y userPrincipalName.

  • El Azure AD proxyAddresses almacena todas las direcciones de correo electrónico de una cuenta y se puede rellenar de diferentes maneras. Por ejemplo, un usuario de Microsoft 365 que tiene un buzón de Exchange Online automáticamente tiene una dirección de correo electrónico que se almacena en este atributo. Si asigna una dirección de correo electrónico alternativa para Microsoft 365 usuario, también se guarda en este atributo. También puede rellenarse con las direcciones de correo electrónico que se sincronizan desde cuentas locales.

    Azure Information Protection puede usar cualquier valor en este atributo Azure AD proxyAddresses, siempre que el dominio se haya agregado al inquilino (un "dominio comprobado"). Para obtener más información sobre cómo comprobar dominios:

  • El Azure AD userPrincipalName solo se usa cuando una cuenta del inquilino no tiene valores en el atributo Azure AD proxyAddresses. Por ejemplo, puede crear un usuario en Azure Portal o crear un usuario para Microsoft 365 que no tenga un buzón.

Asignar derechos de uso y controles de acceso a usuarios externos

Además de usar Azure AD proxyAddresses y Azure AD userPrincipalName para los usuarios de su inquilino, Azure Information Protection también usa estos atributos de la misma manera para autorizar usuarios de otro inquilino.

Otros métodos de autorización:

  • Para las direcciones de correo electrónico que no están en Azure AD, Azure Information Protection puede autorizar estas direcciones cuando se autentican con una cuenta de Microsoft. Sin embargo, no todas las aplicaciones pueden abrir contenido protegido cuando se usa una cuenta de Microsoft para la autenticación. Más información

  • Cuando se envía un correo electrónico mediante Cifrado de mensajes de Office 365 con nuevas capacidades a un usuario que no tiene una cuenta en Azure AD, el usuario se autentica primero mediante la federación con un proveedor de identidad social o mediante un código de acceso único. A continuación, se usa la dirección de correo electrónico especificada en el correo electrónico protegido para autorizar al usuario.

Requisitos de Azure Information Protection para cuentas de grupo

Para asignar etiquetas:

  • Para configurar directivas de ámbito que asignen etiquetas adicionales a los miembros del grupo, puede usar cualquier tipo de grupo en Azure AD que tenga una dirección de correo electrónico que contenga un dominio comprobado para el inquilino del usuario. Un grupo que tiene una dirección de correo electrónico a menudo se conoce como un grupo habilitado para correo.

    Por ejemplo, puede usar un grupo de seguridad habilitado para correo, un grupo de distribución estática y un Microsoft 365 correo. No puede usar un grupo de seguridad (dinámico o estático) porque este tipo de grupo no tiene una dirección de correo electrónico. Tampoco puede usar una lista de distribución dinámica de Exchange Online porque este grupo no se replica en Azure AD.

Para asignar derechos de uso y controles de acceso:

  • Puede usar cualquier tipo de grupo en Azure AD que tenga una dirección de correo electrónico que contenga un dominio comprobado para el inquilino del usuario. Un grupo que tiene una dirección de correo electrónico a menudo se conoce como un grupo habilitado para correo.

Para configurar el servicio de Azure Rights Management:

  • Puede usar cualquier tipo de grupo en Azure AD que tenga una dirección de correo electrónico de un dominio comprobado en su inquilino, con una excepción. Esa excepción es cuando configura los controles de incorporación para usar un grupo, que debe ser un grupo de seguridad Azure AD para el inquilino.

  • Puede usar cualquier grupo de Azure AD (con o sin una dirección de correo electrónico) de un dominio comprobado en su inquilino para la administración delegada del servicio Azure Rights Management correo electrónico.

Asignar derechos de uso y controles de acceso a grupos externos

Además de usar los proxyAddresses de Azure AD para grupos de su inquilino, Azure Information Protection también usa este atributo de la misma manera para autorizar grupos de otro inquilino.

Usar cuentas de Active Directory local para Azure Information Protection

Si tiene cuentas administradas localmente que desea usar con Azure Information Protection, debe sincronizar estas cuentas con Azure AD. Para facilitar la implementación, le recomendamos que use Azure AD Conectar. Sin embargo, puede usar cualquier método de sincronización de directorios que logre el mismo resultado.

Al sincronizar las cuentas, no es necesario sincronizar todos los atributos. Para obtener una lista de los atributos que deben sincronizarse, consulte la sección Azure RMS de la Azure Active Directory datos.

En la lista de atributos de Azure Rights Management, verá que para los usuarios, los atributos ad locales de correo,proxyAddressesy userPrincipalName son necesarios para la sincronización. Los valores de correo y proxyAddresses se sincronizan con el Azure AD proxyAddresses. Para obtener más información, vea Cómo se rellena el atributo proxyAddresses en Azure AD

Confirmar que los usuarios y grupos están preparados para Azure Information Protection

Puede usar Azure AD PowerShell para confirmar que los usuarios y grupos se pueden usar con Azure Information Protection. También puede usar PowerShell para confirmar los valores que se pueden usar para autorizarlos.

Por ejemplo, con el módulo de PowerShell V1 para Azure Active Directory, MSOnline, en una sesión de PowerShell, conéctese primero al servicio y proporcione sus credenciales de administrador global:

Connect-MsolService

Nota: Si este comando no funciona, puede ejecutar Install-Module MSOnline para instalar el módulo MSOnline.

A continuación, configure la sesión de PowerShell para que no trunca los valores:

$Formatenumerationlimit =-1

Confirmar que las cuentas de usuario están listas para Azure Information Protection

Para confirmar las cuentas de usuario, ejecute el siguiente comando:

Get-Msoluser | select DisplayName, UserPrincipalName, ProxyAddresses

La primera comprobación es asegurarse de que se muestran los usuarios que desea usar con Azure Information Protection.

A continuación, compruebe si la columna ProxyAddresses está rellenada. Si es así, los valores de correo electrónico de esta columna se pueden usar para autorizar al usuario para Azure Information Protection.

Si la columna ProxyAddresses no se rellena, el valor de UserPrincipalName se usa para autorizar al usuario para el servicio Azure Rights Management usuario.

Por ejemplo:

Nombre para mostrar UserPrincipalName ProxyAddresses
Jagannath Reddy jagannathreddy@contoso.com {}
Ankur Roy ankurroy@contoso.com {SMTP: ankur.roy@contoso.com , smtp: ankur.roy@onmicrosoft.contoso.com }

En este ejemplo:

  • La cuenta de usuario de Jagannath Reddy será autorizada por jagannathreddy@contoso.com .

  • La cuenta de usuario de Ankur Roy se puede autorizar mediante ankur.roy@contoso.com y , pero no ankur.roy@onmicrosoft.contoso.comankurroy@contoso.com .

En la mayoría de los casos, el valor de UserPrincipalName coincide con uno de los valores del campo ProxyAddresses. Esta es la configuración recomendada, pero si no puede cambiar el UPN para que coincida con la dirección de correo electrónico, debe seguir los pasos siguientes:

  1. Si el nombre de dominio del valor UPN es un dominio comprobado para su inquilino de Azure AD, agregue el valor UPN como otra dirección de correo electrónico en Azure AD para que el valor UPN se pueda usar ahora para autorizar la cuenta de usuario de Azure Information Protection.

    Si el nombre de dominio del valor UPN no es un dominio comprobado para el inquilino, no se puede usar con Azure Information Protection. Sin embargo, el usuario aún puede ser autorizado como miembro de un grupo cuando la dirección de correo electrónico del grupo usa un nombre de dominio comprobado.

  2. Si el UPN no es enrutable (por ejemplo, ), configure el id. de inicio de sesión alternativo para los usuarios e indique cómo iniciar sesión en Office mediante este inicio de sesión ankurroy@contoso.local alternativo. También debe establecer una clave del Registro para Office.

    Con los cambios de UPN para los usuarios, se pierde la continuidad empresarial durante al menos 24 horas o hasta que los cambios de UPN se reflejen correctamente en el sistema.

    Para obtener más información, vea Configurar el id. de inicio de sesión alternativo y Office aplicaciones solicitan periódicamente credenciales para SharePoint, OneDrive y Lync Online.

Sugerencia

Puede usar el cmdlet Export-Csv para exportar los resultados a una hoja de cálculo para facilitar la administración, como la búsqueda y la edición en masa para importar.

Por ejemplo: Get-MsolGroup | select DisplayName, ProxyAddresses | Export-Csv -Path UserAccounts.csv

Nota

Con los cambios de UPN para los usuarios, se pierde la continuidad empresarial durante al menos 24 horas o hasta que los cambios de UPN se reflejen correctamente en el sistema.

Confirmar que las cuentas de grupo están listas para Azure Information Protection

Para confirmar cuentas de grupo, use el siguiente comando:

Get-MsolGroup | select DisplayName, ProxyAddresses

Asegúrese de que se muestran los grupos que desea usar con Azure Information Protection. Para los grupos que se muestran, las direcciones de correo electrónico de la columna ProxyAddresses se pueden usar para autorizar a los miembros del grupo para el Azure Rights Management correo electrónico.

A continuación, compruebe que los grupos contienen los usuarios (u otros grupos) que desea usar para Azure Information Protection. Puede usar PowerShell para hacerlo (por ejemplo, Get-MsolGroupMember)o usar el portal de administración.

Para los dos Azure Rights Management de configuración del servicio que usan grupos de seguridad, puede usar el siguiente comando de PowerShell para buscar el id. de objeto y el nombre para mostrar que se pueden usar para identificar estos grupos. También puede usar Azure Portal para buscar estos grupos y copiar los valores del id. de objeto y el nombre para mostrar:

Get-MsolGroup | where {$_.GroupType -eq "Security"}

Consideraciones de Azure Information Protection si cambian las direcciones de correo electrónico

Si cambia la dirección de correo electrónico de un usuario o grupo, le recomendamos que agregue la dirección de correo electrónico antigua como una segunda dirección de correo electrónico (también conocida como dirección de proxy, alias o dirección de correo electrónico alternativa) al usuario o grupo. Al hacerlo, la dirección de correo electrónico antigua se agrega al atributo Azure AD proxyAddresses. Esta administración de cuentas garantiza la continuidad empresarial de los derechos de uso u otras configuraciones que se guardaron cuando la dirección de correo electrónico antigua estaba en uso.

Si no puede hacerlo, el usuario o grupo con la nueva dirección de correo corre el riesgo de que se le deniegue el acceso a documentos y correos electrónicos que estaban previamente protegidos con la dirección de correo electrónico antigua. En este caso, debe repetir la configuración de protección para guardar la nueva dirección de correo electrónico. Por ejemplo, si al usuario o grupo se le otorgaron derechos de uso en plantillas o etiquetas, edite esas plantillas o etiquetas y especifique la nueva dirección de correo electrónico con los mismos derechos de uso que concedió a la dirección de correo electrónico anterior.

Tenga en cuenta que es raro que un grupo cambie su dirección de correo electrónico y si asigna derechos de uso a un grupo en lugar de a usuarios individuales, no importa si cambia la dirección de correo electrónico del usuario. En este escenario, los derechos de uso se asignan a la dirección de correo electrónico del grupo y no a las direcciones de correo electrónico de usuario individuales. Este es el método más probable (y recomendado) para que un administrador configure los derechos de uso que protegen los documentos y los correos electrónicos. Sin embargo, es más posible que los usuarios asignen permisos personalizados para usuarios individuales. Como no siempre puede saber si se ha usado una cuenta de usuario o un grupo para conceder acceso, es más seguro agregar siempre la dirección de correo electrónico antigua como una segunda dirección de correo electrónico.

Almacenamiento en caché de pertenencia a grupos de Azure Information Protection

Por motivos de rendimiento, Azure Information Protection almacena en caché la pertenencia a grupos. Esto significa que los cambios en la pertenencia a grupos en Azure AD pueden tardar hasta tres horas en tener efecto cuando Azure Information Protection usa estos grupos y este período de tiempo está sujeto a cambios.

Recuerde que debe tener en cuenta este retraso en los cambios o pruebas que realice al usar grupos para conceder derechos de uso o configurar el servicio Azure Rights Management, o al configurar directivas de ámbito.

Pasos siguientes

Cuando haya confirmado que los usuarios y grupos se pueden usar con Azure Information Protection y está listo para empezar a proteger documentos y correos electrónicos, compruebe si necesita activar el servicio Azure Rights Management usuario. Este servicio debe activarse para poder proteger los documentos y correos electrónicos de su organización:

  • A partir de febrero de 2018: si la suscripción que incluye Azure Rights Management o Azure Information Protection se obtuvo durante o después de este mes, el servicio se activará automáticamente.

  • Si su suscripción se obtuvo antes de febrero de 2018: debe activar el servicio usted mismo.

Para obtener más información, que incluye comprobar el estado de activación, vea Activar el servicio de protección de Azure Information Protection.