Requisitos de Azure Information ProtectionAzure Information Protection requirements

****Se aplica a** : Azure Information Protection****Applies to**: Azure Information Protection

*Pertinente para: Cliente de etiquetado unificado de AIP y cliente clásico de AIP.**Relevant for: AIP unified labeling client and AIP classic client.*

Nota

Para proporcionar una experiencia de cliente unificada y simplificada, el cliente clásico de Azure Information Protection y la administración de etiquetas en Azure Portal están en desuso desde el 31 de marzo de 2021.To provide a unified and streamlined customer experience, the Azure Information Protection classic client and Label Management in the Azure Portal are deprecated as of March 31, 2021. Aunque el cliente clásico sigue funcionando como está configurado, no se proporcionará ningún soporte adicional, y las versiones de mantenimiento ya no se publicarán para el cliente clásico.While the classic client continues to work as configured, no further support is provided, and maintenance versions will no longer be released for the classic client.

Se recomienda migrar al etiquetado unificado y actualizar al cliente de etiquetado unificado.We recommend that you migrate to unified labeling and upgrade to the unified labeling client. Obtenga más información en nuestro último blog sobre desuso.Learn more in our recent deprecation blog.

Antes de implementar Azure Information Protection, asegúrese de que el sistema cumple los requisitos previos siguientes:Before deploying Azure Information Protection, ensure that your system meets the following prerequisites:

Suscripción a Azure Information ProtectionSubscription for Azure Information Protection

Debe tener un plan de Azure Information Protection para la clasificación, el etiquetado y la protección mediante el escáner o el cliente de Azure Information Protection.You must have an Azure Information Protection plan for classification, labeling, and protection using the Azure Information Protection scanner or client. Para comprobar de que la suscripción incluye las características de Azure Information Protection que quiera usar, compruebe la lista de características en Precios de Azure Information Protection.To verify that your subscription includes the Azure Information Protection features you want to use, check the feature list at Azure Information Protection pricing.

Si tiene preguntas sobre suscripciones o licencias, no las publique en esta página.If you have questions about subscriptions or licensing, do not post them on this page. Vea si se han respondido preguntas frecuentes sobre licencias.Instead, see if they are answered in the frequently asked questions for licensing. Si no encuentra la respuesta a su pregunta, póngase en contacto con el administrador de su cuenta de Microsoft o el servicio de Soporte técnico de Microsoft.If your question is not answered there, contact your Microsoft Account Manager or Microsoft Support.

Sugerencia

Para obtener una imagen completa de los requisitos de licencia de Microsoft Information Protection (MIP) por característica, vea la hoja de cálculo de comparación de licencias para el cumplimiento de Microsoft 365.For a full picture of the Microsoft Information Protection (MIP) licensing requirements per feature, see the Microsoft 365 Compliance Licensing Comparison spreadsheet.

Azure Active DirectoryAzure Active Directory

Para admitir la autenticación y autorización para Azure Information Protection, debe tener una instancia de Azure Active Directory (AD).To support authentication and authorization for Azure Information Protection, you must have an Azure Active Directory (AD). Para usar las cuentas de usuario del directorio local (AD DS), también debe configurar la integración de directorios.To use user accounts from your on-premises directory (AD DS), you must also configure directory integration.

  • Como Azure Information Protection admite el inicio de sesión único (SSO) , ya no se solicita repetidamente a los usuarios sus credenciales.Single sign-on (SSO) is supported for Azure Information Protection so that users are not repeatedly prompted for their credentials. Si utiliza otra solución de proveedor para la federación, consulte con ese proveedor cómo configurarlo para Azure AD.If you use another vendor solution for federation, check with that vendor for how to configure it for Azure AD. WS-Trust es un requisito común para que estas soluciones admitan el inicio de sesión único.WS-Trust is a common requirement for these solutions to support single sign-on.

  • Multi-Factor Authentication (MFA) es compatible con Azure Information Protection si tiene el software cliente necesario y la infraestructura de MFA configurada correctamente.Multi-factor authentication (MFA) is supported with Azure Information Protection when you have the required client software and have correctly configured the MFA-supporting infrastructure.

El acceso condicional es compatible con la vista previa de documentos protegidos con Azure Information Protection.Conditional access is supported in preview for documents protected by Azure Information Protection. Para obtener más información, vea: Veo que Azure Information Protection aparece como una aplicación en la nube disponible para el acceso condicional. ¿Cómo funciona?For more information, see: I see Azure Information Protection is listed as an available cloud app for conditional access—how does this work?

Se requieren requisitos previos adicionales para escenarios específicos, como cuando se usa la autenticación multifactor o basada en certificados, o cuando los valores UPN no coinciden con las direcciones de correo electrónico del usuario.Additional prerequisites are required for specific scenarios, such as when using certificate-based or multi-factor authentication, or when UPN values don't match user email addresses.

Para más información, consulte:For more information, see:

Dispositivos clienteClient devices

Los equipos de usuario o los dispositivos móviles deben ejecutar un sistema operativo compatible con Azure Information Protection.User computers or mobile devices must run on an operating system that supports Azure Information Protection.

Sistemas operativos admitidos con dispositivos clienteSupported operating systems for client devices

Los clientes de Azure Information Protection para Windows admitidos son los sistemas operativos siguientes:The Azure Information Protection clients for Windows are supported are the following operating systems:

  • Windows 10 (x86, x64).Windows 10 (x86, x64). No se admite la escritura a mano en la compilación de Windows 10 RS4 y posteriores.Handwriting is not supported in the Windows 10 RS4 build and later.

  • Windows 8.1 (x86, x64)Windows 8.1 (x86, x64)

  • Windows 8 (x86, x64)Windows 8 (x86, x64)

  • Windows Server 2019Windows Server 2019

  • Windows Server 2016Windows Server 2016

  • Windows Server 2012 R2 y Windows Server 2012Windows Server 2012 R2 and Windows Server 2012

Para más información sobre la compatibilidad con versiones anteriores de Windows, póngase en contacto con su representante de soporte técnico o de cuenta de Microsoft.For details about support in earlier versions of Windows, contact your Microsoft account or support representative.

Nota

Cuando el cliente de Azure Information Protection protege los datos mediante el servicio Azure Rights Management, pueden consumirlos los mismos dispositivos que admiten el servicio Azure Rights Management.When the Azure Information Protection clients protect the data by using the Azure Rights Management service, the data can be consumed by the same devices that support the Azure Rights Management service.

ARM64ARM64

ARM64 no se admite actualmente.ARM64 is not currently supported.

Máquinas virtualesVirtual machines

Si está trabajando con máquinas virtuales, compruebe con el proveedor de software de la solución de escritorio virtual si hay alguna configuración adicional necesaria para ejecutar el etiquetado unificado o el cliente de Azure Information Protection.If you're working with virtual machines, check whether the software vendor for your virtual desktop solution as additional configurations required for running the Azure Information Protection unified labeling or the Azure Information Protection client.

Por ejemplo, en el caso de las soluciones de Citrix, es posible que tenga que deshabilitar los enlaces de la interfaz de programación de aplicaciones (API) de Citrix para Office, el cliente de etiquetado unificado de Azure Information Protection o el cliente de Azure Information Protection.For example, for Citrix solutions, you might need to disable Citrix Application Programming Interface (API) hooks for Office, the Azure Information Protection unified labeling client, or the Azure Information Protection client.

Estas aplicaciones usan los siguientes archivos, respectivamente: winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe, msip.viewer.exeThese applications use the following files, respectively: winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe, msip.viewer.exe

Compatibilidad de servidorServer support

Para cada una de las versiones de servidor mencionadas anteriormente, se admiten clientes de Azure Information Protection para los Servicios de Escritorio remoto.For each of the server versions listed above, Azure Information Protection clients are supported for Remote Desktop Services.

Si elimina perfiles de usuario al utilizar los clientes de Azure Information Protection con los Servicios de Escritorio remoto, no elimine la carpeta %Appdata%\Microsoft\Protect.If you delete user profiles when you use the Azure Information Protection clients with Remote Desktop Services, do not delete the %Appdata%\Microsoft\Protect folder.

Además, no se admiten Server Core ni Nano Server.Additionally, Server Core and Nano Server are not supported.

Requisitos adicionales por clienteAdditional requirements per client

Cada cliente de Azure Information Protection tiene requisitos adicionales.Each Azure Information Protection client has additional requirements. Para obtener detalles, consulte:For details, see:

APLICACIONESApplications

Los clientes de Azure Information Protection pueden etiquetar y proteger documentos y correos electrónicos mediante las aplicaciones de Microsoft Word, Excel, PowerPoint y Outlook de cualquiera de las siguientes ediciones de Office:The Azure Information Protection clients can label and protect documents and emails by using Microsoft Word, Excel, PowerPoint, and Outlook from any of the following Office editions:

  • Aplicaciones de Office (versiones publicadas en la tabla de las versiones admitidas de las aplicaciones de Microsoft 365 por canal de actualización) de entre las aplicaciones de Microsoft 365 Empresa o Microsoft 365 Empresa Premium, cuando se asigna al usuario una licencia de Azure Rights Management (también conocido como Azure Information Protection para Office 365)Office apps, for the versions listed in the table of supported versions for Microsoft 365 Apps by update channel, from Microsoft 365 Apps for Business or Microsoft 365 Business Premium, when the user is assigned a license for Azure Rights Management (also known as Azure Information Protection for Office 365)

  • Aplicaciones de Microsoft 365 para empresasMicrosoft 365 Apps for Enterprise

  • Office Professional Plus 2019Office Professional Plus 2019

  • Office Professional Plus 2016Office Professional Plus 2016

  • Office Professional Plus 2013 con Service Pack 1Office Professional Plus 2013 with Service Pack 1

  • Office Professional Plus 2010 con Service Pack 2Office Professional Plus 2010 with Service Pack 2

Las demás ediciones de Office no pueden proteger los documentos y correos electrónicos mediante un servicio de Rights Management.Other editions of Office cannot protect documents and emails by using a Rights Management service. En el caso de estas ediciones, Azure Information Protection solo se admite para la clasificación y las etiquetas que aplican protección no se muestran en los usuario.For these editions, Azure Information Protection is supported for classification only, and labels that apply protection are not displayed for users.

Las etiquetas se muestran en una barra situada en la parte superior del documento de Office; se puede acceder a ellas desde el botón Confidencialidad del cliente de etiquetado unificado, o bien desde el botón Proteger del cliente clásico.Labels are displayed in a bar displayed at the top of the Office document, accessible from the Sensitivity button in the unified labeling client, or the Protect button in the classic client.

Para más información, consulte Aplicaciones compatibles con la protección de datos de Azure Rights Management.For more information, see Applications that support Azure Rights Management data protection.

Importante

El soporte extendido de Office 2010 finalizó el 13 de octubre de 2020.Office 2010 extended support ended on October 13, 2020. Para más información, consulte AIP y versiones heredadas de Windows y Office.For more information, see AIP and legacy Windows and Office versions.

Características y funcionalidades de Office no admitidasOffice features and capabilities not supported

  • Los clientes de Azure Information Protection para Windows no admiten varias versiones de Office en el mismo equipo, ni tampoco se pueden cambiar las cuentas de usuario de Office.The Azure Information Protection clients for Windows do not support multiple versions of Office on the same computer, or switching user accounts in Office.

  • La característica de combinación de correspondencia de Office no se admite con ninguna característica de Azure Information Protection.The Office mail merge feature is not supported with any Azure Information Protection feature.

Firewalls e infraestructura de redFirewalls and network infrastructure

Si tiene un firewall o dispositivos de red que intervengan que se deben configurar para permitir conexiones específicas, puede consultar los requisitos de conectividad de red en el artículo de Office: Direcciones URL e intervalos de direcciones IP de Office 365.If you have a firewalls or similar intervening network devices that are configured to allow specific connections, the network connectivity requirements are listed in this Office article: Microsoft 365 Common and Office Online.

Azure Information Protection tiene los siguientes requisitos adicionales:Azure Information Protection has the following additional requirements:

  • Cliente de etiquetado unificadoUnified labeling client. Para descargar etiquetas y directivas de etiqueta, permita la siguiente dirección URL mediante HTTPS: *.protection.outlook.com.To download labels and label policies, allow the following URL over HTTPS: *.protection.outlook.com

  • Proxies web.Web proxies. Si usa un proxy web que precisa de autenticación, debe configurarlo para usar la autenticación integrada de Windows con las credenciales de inicio de sesión de Active Directory del usuario.If you use a web proxy that requires authentication, you must configure the proxy to use integrated Windows authentication with the user's Active Directory sign in credentials.

    Para admitir Proxy.pac cuando se usa un proxy para adquirir un token, agregue la siguiente nueva clave del Registro:To support Proxy.pac files when using a proxy to acquire a token, add the following new registry key:

    • Ruta de acceso: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\Path: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
    • Clave: UseDefaultCredentialsInProxyKey: UseDefaultCredentialsInProxy
    • Tipo: DWORDType: DWORD
    • Valor: 1Value: 1
  • Conexiones de cliente a servicio de TLS.TLS client-to-service connections. No termine ninguna conexión TLS de cliente a servicio (por ejemplo, para realizar una inspección de los paquetes) a la dirección URL aadrm.com.Do not terminate any TLS client-to-service connections, for example to perform packet-level inspection, to the aadrm.com URL. Si lo hace, interrumpirá la asignación de certificados que los clientes de RMS utilizan con las entidades de certificación administradas por Microsoft para ayudar a proteger su comunicación con el servicio Azure Rights Management.Doing so breaks the certificate pinning that RMS clients use with Microsoft-managed CAs to help secure their communication with the Azure Rights Management service.

    Para determinar si la conexión de cliente se termina antes de alcanzar el servicio Azure Rights Management, use los siguientes comandos de PowerShell:To determine whether your client connection is terminated before it reaches the Azure Rights Management service, use the following PowerShell commands:

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
    $request.GetResponse()
    $request.ServicePoint.Certificate.Issuer
    

    El resultado debería mostrar que la CA emisora es de una entidad de certificación de Microsoft, por ejemplo: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.The result should show that the issuing CA is from a Microsoft CA, for example: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US.

    Si ve un nombre de CA emisora que no es de Microsoft, es muy probable que la conexión segura de cliente a servicio finalice y que tenga que volver a configurarla en el firewall.If you see an issuing CA name that is not from Microsoft, it is likely that your secure client-to-service connection is being terminated and needs reconfiguration on your firewall.

  • TLS versión 1.2 o posterior (solo cliente de etiquetado unificado).TLS version 1.2 or higher (unified labeling client only). El cliente de etiquetado unificado requiere la versión 1.2 de TLS o superior para garantizar el uso de protocolos seguros criptográficamente y se alinea con las directrices de seguridad de Microsoft.The unified labeling client requires a TLS version of 1.2 or higher to ensure the use of cryptographically secure protocols and align with Microsoft security guidelines.

  • Servicio de configuración mejorada (ECS) de Microsoft 365.Microsoft 365 Enhanced Configuration Service (ECS). AIP debe tener acceso a la dirección URL config.edge.skype.com, que es un servicio de configuración mejorada (ECS) de Microsoft 365.AIP must have access to the config.edge.skype.com URL, which is a Microsoft 365 Enhanced Configuration Service (ECS).

    ECS proporciona a Microsoft la capacidad de volver a configurar las instalaciones de AIP sin necesidad de que usted tenga que volver a implementar AIP.ECS provides Microsoft the ability to reconfigure AIP installations without the need for you to redeploy AIP. Se usa para controlar la implementación gradual de características o actualizaciones, mientras que el impacto de la implementación se supervisa a partir de los datos de diagnóstico que se recopilan.It’s used to control the gradual rollout of features or updates, while the impact of the rollout is monitored from diagnostic data being collected.

    ECS también se usa para mitigar los problemas de seguridad o rendimiento con una característica o actualización.ECS is also used to mitigate security or performance issues with a feature or update. ECS también admite cambios de configuración relacionados con datos de diagnóstico, para ayudar a garantizar que se recopilan los eventos adecuados.ECS also supports configuration changes related to diagnostic data, to help ensure that the appropriate events are being collected.

    Limitar la dirección URL config.edge.skype.com puede afectar a la capacidad de Microsoft para mitigar los errores, así como a la capacidad de los usuarios para probar características en versión preliminar.Limiting the config.edge.skype.com URL may affect Microsoft’s ability to mitigate errors and may affect your ability to test preview features.

    Para obtener más información, vea Servicios esenciales para Office - Implementar Office.For more information, see Essential services for Office - Deploy Office.

  • Conectividad de red de URL de registro de auditoría.Audit logging URL network connectivity. AIP debe poder acceder a las siguientes URL para admitir los registros de auditoría de AIP:AIP must be able to access the following URLs in order to support AIP audit logs:

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com (solo datos de dispositivos Android)https://*.aria.microsoft.com (Android device data only)

    Para obtener más información, consulte Requisitos previos de los informes.For more information, see Prerequisites for AIP reporting.

Coexistencia de AD RMS y Azure RMSCoexistence of AD RMS with Azure RMS

El uso de AD RMS y Azure RMS en paralelo, en la misma organización, para proteger el contenido por parte del mismo usuario de la misma organización, solo se admite en AD RMS para protección de HYOK (Hold Your Own Key) con Azure Information Protection.Using AD RMS and Azure RMS side by side, in the same organization, to protect content by the same user in the same organization, is only supported in AD RMS for HYOK (hold your own key) protection with Azure Information Protection.

Este escenario no se admite durante la migración.This scenario is not supported during migration. Las rutas de acceso de migración admitidas incluyen:Supported migration paths include:

Sugerencia

Si implementa Azure Information Protection y después decide que ya no quiere usar este servicio en la nube, vea Retirada y desactivación de Azure Information Protection.If you deploy Azure Information Protection and then decide that you no longer want to use this cloud service, see Decommissioning and deactivating Azure Information Protection.

En otros escenarios que no son de migración, donde ambos servicios están activos en la misma organización, ambos servicios se deben configurar para que solo uno de ellos permita que un usuario determinado proteja el contenido.For other, non-migration scenarios, where both services are active in the same organization, both services must be configured so that only one of them allows any given user to protect content. Configure estos escenarios de la manera siguiente:Configure such scenarios as follows:

  • Utilice el redireccionamientos para una migración de AD RMS a Azure RMS.Use redirections for an AD RMS to Azure RMS migration

  • Si ambos servicios deben estar activos para distintos usuarios al mismo tiempo, use configuraciones de servicio para exigir la exclusividad.If both services must be active for different users at the same time, use service-side configurations to enforce exclusivity. Utilice los controles de incorporación de Azure RMS en el servicio en la nube y una ACL en la dirección URL de publicación para establecer el modo de solo lectura para AD RMS.Use the Azure RMS onboarding controls in the cloud service, and an ACL on the Publish URL to set Read-Only mode for AD RMS.

Etiquetas de servicioService Tags

Si usa un punto de conexión de Azure y un NSG, asegúrese de permitir el acceso a todos los puertos para las siguientes etiquetas de servicio:If you are using an Azure endpoint and an NSG, make sure to allow access to all ports for the following Service Tags:

  • AzureInformationProtectionAzureInformationProtection
  • AzureActiveDirectoryAzureActiveDirectory
  • AzureFrontDoor.FrontendAzureFrontDoor.Frontend

Además, en este caso, el servicio Azure Information Protection también depende de las siguientes direcciones IP y número de puerto:Additionally, in this case, the Azure Information Protection service also depends on the following IP addresses and port:

  • 13.107.9.19813.107.9.198
  • 13.107.6.19813.107.6.198
  • 2620:1ec:4::1982620:1ec:4::198
  • 2620:1ec:a92::1982620:1ec:a92::198
  • 13.107.6.18113.107.6.181
  • 13.107.9.18113.107.9.181
  • Puerto 443, para el tráfico HTTPSPort 443, for HTTPS traffic

Asegúrese de crear reglas que permitan el acceso de salida a estas direcciones IP específicas y a través de este puerto.Make sure to create rules that allow outbound access to these specific IP addresses, and via this port.

Servidores locales permitidos para protección de datos de Azure Rights ManagementSupported on-premises servers for Azure Rights Management data protection

Los siguientes servidores local se admiten en Azure Information Protection al usar el conector de Azure Rights Management.The following on-premises servers are supported with Azure Information Protection when you use the Azure Rights Management connector.

Este conector actúa como una interfaz de comunicaciones y una retransmisión entre los servidores locales y el servicio Azure Rights Management usado por Azure Information Protection para proteger los documentos y los correos electrónicos de Office.This connector acts as a communications interface, and relays between on-premises servers and the Azure Rights Management service, which is used by Azure Information Protection to protect Office documents and emails.

Para usar este conector, necesita configurar la sincronización de directorios entre los bosques de Active Directory y Azure Active Directory.To use this connector, you must configure directory synchronization between your Active Directory forests and Azure Active Directory.

Los servidores admitidos incluyen:Supported servers include:

Tipo de servidorServer type Versiones compatiblesSupported versions
Exchange ServerExchange Server - Exchange Server 2016- Exchange Server 2016
- Exchange Server 2013- Exchange Server 2013
- Exchange Server 2010- Exchange Server 2010
Office SharePoint ServerOffice SharePoint Server - Office SharePoint Server 2016- Office SharePoint Server 2016
- Office SharePoint Server 2013- Office SharePoint Server 2013
- Office SharePoint Server 2010- Office SharePoint Server 2010
Servidores de archivos que ejecutan Windows Server y usan Infraestructura de clasificación de archivos (FCI)File servers that run Windows Server and use File Classification Infrastructure (FCI) - Windows Server 2016- Windows Server 2016
- Windows Server 2012 R2- Windows Server 2012 R2
- Windows Server 2012- Windows Server 2012

Para más información, consulte Implementación del conector de Azure Rights Management.For more information, see Deploying the Azure Rights Management connector.

Sistemas operativos admitidos con Azure Rights ManagementSupported operating systems for Azure Rights Management

Los siguientes sistemas operativos se admiten con el servicio Azure Rights Management, que ofrece protección de datos para AIP:The following operating systems support the Azure Rights Management service, which provides data protection for AIP:

SOOS Versiones compatiblesSupported versions
Equipos WindowsWindows computers - Windows 7 (x86, x64)- Windows 7 (x86, x64)
- Windows 8 (x86 y x64)- Windows 8 (x86, x64)
- Windows 8.1 (x86 y x64)- Windows 8.1 (x86, x64)
- Windows 10 (x86 y x64)- Windows 10 (x86, x64)
macOSmacOS versión mínima de macOS 10.8 (Mountain Lion)Minimum version of macOS 10.8 (Mountain Lion)
Teléfonos y tabletas AndroidAndroid phones and tablets Versión mínima Android 6.0.Minimum version of Android 6.0
iPhone e iPadiPhone and iPad Versión mínima de iOS 11.0Minimum version of iOS 11.0
Teléfonos y tabletas de WindowsWindows phones and tablets Windows 10 MobileWindows 10 Mobile

Pasos siguientesNext steps

Una vez que haya revisado todos los requisitos de AIP y confirmado que el sistema es compatible, continúe con la preparación de usuarios y grupos para Azure Information Protection.Once you've reviewed all AIP requirements and confirmed that your system complies, continue with Preparing users and groups for Azure Information Protection.