Guía de administración: Configuraciones personalizadas para el cliente Azure Information Protection clásico

Se aplica a: Active Directory Rights Management Services, Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Relevante para: Azure Information Protection cliente clásico para Windows. Para el cliente de etiquetado unificado, consulte la guía unificada de administraciónde cliente de etiquetado .

Nota

Para proporcionar una experiencia de cliente unificada y simplificada, a partir del 31 de marzo de 2021, el cliente clásico de Azure Information Protection y la administración de etiquetas en Azure Portal están en desuso desde el 31 de marzo de 2021. Aunque el cliente clásico sigue funcionando como está configurado, no se proporcionará ningún soporte adicional, y las versiones de mantenimiento ya no se publicarán para el cliente clásico.

El contenido de este artículo proporciona soporte técnico solo a clientes que tengan soporte extendido. Se recomienda migrar a etiquetado unificado y actualizar al cliente de etiquetado unificado. Obtenga más información en el reciente entrada de blog sobre desuso.

Use la siguiente información para configuraciones avanzadas que podría necesitar para escenarios específicos o un subconjunto de usuarios cuando administre el cliente de Azure Information Protection.

Algunas de estas opciones requieren la modificación del Registro y otras usan la configuración avanzada que debe configurar en Azure Portal y, después, publicarlas para que los clientes las descarguen.

Configuración avanzada de cliente clásico en el portal

  1. Si aún no lo ha hecho, en una nueva ventana del explorador,inicie sesión en el Azure Portal y, a continuación, vaya al Azure Information Protection explorador.

  2. En la opción de menú > Etiquetas de clasificaciones: Seleccione Directivas.

  3. En el Azure Information Protection - Directivas, seleccione el menú contextual (...) junto a la directiva para que contenga la configuración avanzada. Después, seleccione Configuración avanzada.

    Puede establecer la configuración avanzada para la directiva global, así como para las directivas con ámbito.

  4. En el panel Configuración avanzada, escriba el nombre y el valor de configuración avanzada y, a continuación, seleccione Guardar y cerrar.

  5. Asegúrese de que los usuarios de esta directiva reinician las aplicaciones de Office que hubieran abierto.

  6. Si ya no necesita la configuración y desea revertir al comportamiento predeterminado: en el panel Configuración avanzada, seleccione el menú contextual (...) junto a la configuración que ya no necesita y, a continuación, seleccione Eliminar. Después, haga clic en Guardar y cerrar.

Configuración de cliente clásica avanzada disponible

Configuración Escenario e instrucciones
DisableDNF Mostrar u ocultar el botón No reenviar en Outlook
DisableMandatoryInOutlook Excluir Outlook mensajes del etiquetado obligatorio
CompareSubLabelsInAttachmentAction Habilitación de la compatibilidad con el orden para subetiquetas
ContentExtractionTimeout Cambiar la configuración de tiempo de espera para el analizador
EnableBarHiding Ocultación de manera permanente de la barra de Azure Information Protection
EnableCustomPermissions Configuración de las opciones de permisos personalizados para que estén disponibles o no disponibles para los usuarios
EnableCustomPermissionsForCustomProtectedFiles Para los archivos protegidos con permisos personalizados, mostrar siempre los permisos personalizados a los usuarios en el Explorador de archivos
EnablePDFv2Protection No proteger archivos PDF con el estándar ISO de cifrado de archivos PDF
FileProcessingTimeout Cambiar la configuración de tiempo de espera para el analizador
LabelbyCustomProperty Migración de las etiquetas de Secure Islands y otras soluciones de etiquetado
LabelToSMIME Configuración de una etiqueta para aplicar la protección de S/MIME en Outlook
LogLevel Cambio del nivel de registro local
LogMatchedContent Deshabilitación del envío de coincidencias de tipo de información para un subconjunto de usuarios
OutlookBlockTrustedDomains Implementación de mensajes emergentes en Outlook que adviertan, justifiquen o bloqueen los correos electrónicos que se envían
OutlookBlockUntrustedCollaborationLabel Implementación de mensajes emergentes en Outlook que adviertan, justifiquen o bloqueen los correos electrónicos que se envían
OutlookDefaultLabel Establecimiento de otra etiqueta predeterminada para Outlook
OutlookJustifyTrustedDomains Implementación de mensajes emergentes en Outlook que adviertan, justifiquen o bloqueen los correos electrónicos que se envían
OutlookJustifyUntrustedCollaborationLabel Implementación de mensajes emergentes en Outlook que adviertan, justifiquen o bloqueen los correos electrónicos que se envían
OutlookRecommendationEnabled Habilitación de la clasificación recomendada en Outlook
OutlookOverrideUnlabeledCollaborationExtensions Implementación de mensajes emergentes en Outlook que adviertan, justifiquen o bloqueen los correos electrónicos que se envían
OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Implementación de mensajes emergentes en Outlook que adviertan, justifiquen o bloqueen los correos electrónicos que se envían
OutlookWarnTrustedDomains Implementación de mensajes emergentes en Outlook que adviertan, justifiquen o bloqueen los correos electrónicos que se envían
OutlookWarnUntrustedCollaborationLabel Implementación de mensajes emergentes en Outlook que adviertan, justifiquen o bloqueen los correos electrónicos que se envían
PostponeMandatoryBeforeSave Quita "No ahora" en los documentos cuando utilice el etiquetado obligatorio
ProcessUsingLowIntegrity Deshabilitación del nivel de integridad bajo para el analizador
PullPolicy Soporte técnico para equipos desconectados
RemoveExternalContentMarkingInApp Quitar encabezados y pies de página de otras soluciones de etiquetado
ReportAnIssueLink Agregar "Notificar un problema" para los usuarios
RunAuditInformationTypesDiscovery Deshabilitación del envío de información confidencial detectada en documentos a Azure Information Protection analytics
RunPolicyInBackground Activación de la clasificación que se ejecuta continuamente en segundo plano
ScannerConcurrencyLevel Limitar el número de subprocesos que usa el analizador
SyncPropertyName Etiquetado de un documento de Office mediante el uso de una propiedad personalizada existente
SyncPropertyState Etiquetado de un documento de Office mediante el uso de una propiedad personalizada existente

Evitar solicitudes de inicio de sesión solo para equipos AD RMS

De forma predeterminada, el cliente de Azure Information Protection intenta conectarse automáticamente al servicio Azure Information Protection. Para equipos que solo establecen comunicación con AD RMS, esta configuración puede producir una solicitud de inicio de sesión para los usuarios que no es necesaria. Se puede evitar esta solicitud de inicio de sesión modificando el Registro.

  • Busque el siguiente nombre de valor y después establezca los datos del valor en 0:

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload

Independientemente de esta configuración, el cliente de Azure Information Protection sigue aún el proceso de detección del servicio de RMS estándar para buscar su clúster de AD RMS.

Inicio de sesión como un usuario diferente

En un entorno de producción, los usuarios normalmente no necesitarán iniciar sesión como un usuario diferente cuando estén utilizando el cliente de Azure Information Protection. No obstante, como administrador, es posible que tenga que iniciar sesión como un usuario diferente durante la fase de pruebas.

Puede comprobar con qué cuenta ha iniciado sesión en el cuadro de diálogo Microsoft Azure Information Protection: abra una aplicación de Office y, en la pestaña Inicio del grupo Protección, haga clic en Proteger y finalmente en Ayuda y comentarios. El nombre de cuenta se muestra en la sección Estado del cliente.

Asegúrese de comprobar el nombre de dominio de la cuenta de inicio de sesión que se muestra. Puede ser fácil no darse cuenta de que inició sesión con el nombre de cuenta correcto, pero con un dominio incorrecto. Un síntoma de usar una cuenta incorrecta podría ser no poder descargar la directiva de Azure Information Protection o no verse las etiquetas de comportamiento esperadas.

Para iniciar sesión como un usuario diferente:

  1. Vaya a %localappdata%\Microsoft\MSIP y elimine el archivo TokenCache.

  2. Reinicie todas las aplicaciones de Office abiertas e inicie sesión con su cuenta de usuario diferente. Si no ve un mensaje en la aplicación de Office para iniciar sesión en el servicio Azure Information Protection, vuelva al cuadro de diálogo Microsoft Azure Information Protection y haga clic en Iniciar sesión desde la sección Estado del cliente actualizada.

Además:

  • Si tras completar estos pasos, la sesión del cliente de Azure Information Protection todavía se inicia con la cuenta antigua, elimine todas las cookies de Internet Explorer y, luego, repita los pasos 1 y 2.

  • Si usa el inicio de sesión único, debe cerrar la sesión en Windows e iniciarla con la otra cuenta de usuario después de eliminar el archivo de token. El cliente Azure Information Protection se autentica entonces automáticamente mediante la cuenta de usuario que tiene iniciada sesión actualmente.

  • Esta solución se admite para iniciar sesión como otro usuario desde el mismo inquilino. No se admite para iniciar sesión como otro usuario desde un inquilino diferente. Para probar Azure Information Protection con varios inquilinos, use equipos diferentes.

  • Puede usar la opción Restablecer configuración de Ayuda y comentarios para cerrar sesión y eliminar la directiva de Azure Information Protection descargada.

Exigencia del modo de solo protección cuando la organización tiene una combinación de licencias

Si su organización no tiene ninguna licencia para Azure Information Protection, pero tiene licencias para Microsoft 365 que incluyen el servicio Azure Rights Management para proteger los datos, el cliente clásico de AIP se ejecuta automáticamente en modo de solo protección.

Sin embargo, si la organización tiene una suscripción para Azure Information Protection, de forma predeterminada todos los equipos Windows pueden descargar la directiva de Azure Information Protection. El cliente de Azure Information Protection no lleva a cabo la comprobación de licencias ni el cumplimiento.

Si tiene algunos usuarios que no tienen una licencia para Azure Information Protection pero que tienen una licencia para Microsoft 365 que incluye el servicio Azure Rights Management, edite el Registro en los equipos de estos usuarios para evitar que los usuarios ejecuten las características de clasificación y etiquetado sin licencia de Azure Information Protection.

Busque el siguiente nombre de valor y establezca los datos del valor en 0:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload

Además, compruebe que estos equipos no tienen un archivo denominado Policy.msip en la carpeta %LocalAppData%\Microsoft\MSIP. Si el archivo existe, elimínelo. Este archivo contiene la directiva de Azure Information Protection y podría haberse descargado antes de que editara el Registro, o si el cliente de Azure Information Protection se instaló con la opción de demostración.

Agregar "Notificar un problema" para los usuarios

Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.

Cuando especifique la siguiente configuración de cliente avanzada, los usuarios verán una opción Notificar un problema que se puede seleccionar desde el cuadro de diálogo del cliente Ayuda y comentarios. Especifique una cadena HTTP para el vínculo. Por ejemplo, una página web personalizada que tiene para que los usuarios notifiquen problemas o una dirección de correo electrónico que vaya a su departamento de soporte técnico.

Para establecer esta configuración avanzada, especifique las cadenas siguientes:

  • Clave: ReportAnIssueLink

  • Valor: <HTTP string>

Valor de ejemplo para un sitio web: https://support.contoso.com

Valor de ejemplo para una dirección de correo electrónico: mailto:helpdesk@contoso.com

Ocultación de la opción de menú Clasificar y Proteger en el Explorador de archivos de Windows

Cree el siguiente nombre de valor DWORD (con cualquier datos de valor):

HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable

Soporte técnico para equipos desconectados

De forma predeterminada, el cliente de Azure Information Protection intenta conectarse automáticamente al servicio Azure Information Protection para descargar la directiva más reciente de Azure Information Protection. Si tiene equipos que sabe que no podrán conectarse a Internet durante un período de tiempo, puede evitar que el cliente intente conectarse al servicio editando el Registro.

Tenga en cuenta que sin una conexión a Internet, el cliente no puede aplicar la protección (ni quitarla) mediante la clave basada en la nube de su organización. En su lugar, el cliente está limitado al uso de etiquetas que aplican solo clasificación, o protección que usa HYOK.

Puede evitar una solicitud de inicio de sesión para el servicio de Azure Information Protection mediante un ajuste de cliente avanzado que debe configurar en Azure Portal. A continuación, descargue la directiva para equipos. O bien, puede evitar esta solicitud de inicio de sesión modificando el Registro.

  • Para configurar el ajuste de cliente avanzado:

    1. Escriba las siguientes cadenas:

      • Clave: PullPolicy

      • Valor: False

    2. Descargue la directiva con este ajuste e instálela en equipos mediante las instrucciones siguientes.

  • Como alternativa, para editar el Registro:

    • Busque el siguiente nombre de valor y después establezca los datos del valor en 0:

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload

El cliente debe tener un archivo de directiva válido denominado Policy.msip en la carpeta %LocalAppData%\Microsoft\MSIP.

Puede exportar la directiva global o una directiva de ámbito desde Azure Portal y copiar el archivo exportado en el equipo cliente. También puede utilizar este método para reemplazar un archivo de directiva no actualizado con la directiva más reciente. Sin embargo, la exportación de la directiva no es compatible con el escenario donde un usuario pertenece a más de una directiva de ámbito. También tenga en cuenta que si los usuarios seleccionan la opción Restablecer configuración de Ayuda y comentarios, esta acción elimina el archivo de directiva y hace que el cliente no funcione hasta que se reemplace manualmente el archivo de directiva o el cliente se conecte al servicio para descargar la directiva.

Al exportar la directiva desde Azure Portal, se descarga un archivo comprimido que contiene varias versiones de la directiva. Estas versiones de la directiva se corresponden con las distintas versiones del cliente de Azure Information Protection:

  1. Descomprima el archivo y use la tabla siguiente para identificar qué archivo de directiva necesita.

    Nombre de archivo Versión de cliente correspondiente
    Policy1.1.msip Versión 1.2
    Policy1.2.msip Versión 1.3 - 1.7
    Policy1.3.msip Versión 1.8 - 1.29
    Policy1.4.msip Versión 1.32 y posteriores
  2. Cambie el nombre del archivo identificado aPolicy.msip y, a continuación, cópielo en la carpeta %LocalAppData%\Microsoft\MSIP en los equipos que tengan instalado el cliente Azure Information Protection cliente.

Si el equipo desconectado ejecuta la versión de ga actual del analizador de Azure Information Protection, hay pasos de configuración adicionales que debe realizar. Para obtener más información, vea Restricción: El servidor del analizador no puede tener conectividad a Internet en los requisitos previos de implementación del analizador.

Mostrar u ocultar el botón No reenviar en Outlook

El método recomendado para configurar esta opción es mediante la configuración de directiva Agregar el botón No reenviar a la cinta Outlook opciones. Sin embargo, también puede configurar esta opción mediante una configuración de cliente avanzada que se establece en Azure Portal.

Al establecer esta configuración, se oculta o se muestra el botón No reenviar en la cinta de Outlook. Esta configuración no tiene ningún efecto en la opción No reenviar en los menús de Office.

Para establecer esta configuración avanzada, especifique las cadenas siguientes:

  • Clave: DisableDNF

  • Valor: True para ocultar el botón o False para mostrarlo.

Configuración de las opciones de permisos personalizados para que estén disponibles o no disponibles para los usuarios

El método recomendado para configurar esta opción es mediante la configuración de directiva Hacer que la opción de permisos personalizados esté disponible para los usuarios. Sin embargo, también puede configurar esta opción mediante una configuración de cliente avanzada que se establece en Azure Portal.

Cuando establece esta configuración y publica la directiva para los usuarios, las opciones de permisos personalizados están visibles para que los usuarios seleccionen su propia configuración de protección o están ocultas para que los usuarios no puedan seleccionar su propia configuración de protección a menos que se les solicite.

Para establecer esta configuración avanzada, especifique las cadenas siguientes:

  • Clave: EnableCustomPermissions

  • Valor: True para hacer que la opción de permisos personalizados esté visible, o bien False para ocultar esta opción.

Para los archivos protegidos con permisos personalizados, mostrar siempre los permisos personalizados a los usuarios en el Explorador de archivos

Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.

Al configurar la configuración de directiva Hacer que la opción de permisos personalizados esté disponible para los usuarios o la configuración de cliente avanzada equivalente en la sección anterior, los usuarios no podrán ver ni cambiar los permisos personalizados que ya están establecidos en un documento protegido.

Si crea y establece esta configuración avanzada de cliente, los usuarios podrán ver y cambiar los permisos personalizados de un documento protegido al usar el Explorador de archivos y hacer clic en el archivo con el botón derecho. La opción Permisos personalizados del botón Proteger de la cinta de Office permanece oculta.

Para establecer esta configuración avanzada, especifique las cadenas siguientes:

  • Clave: EnableCustomPermissionsForCustomProtectedFiles

  • Valor: True

Nota

Esta característica actualmente está en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Ocultación de manera permanente de la barra de Azure Information Protection

Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal. Úsese solo cuando la configuración de directiva Mostrar la Information Protection en Office aplicaciones esté establecida en En.

De forma predeterminada, si un usuario desmarca la opción Mostrar barra situada en la pestaña Inicio del grupo Protección, en el botón Proteger, dejará de mostrarse la barra de Information Protection en la aplicación de Office. Sin embargo, la barra se mostrará automáticamente la próxima vez que se abra una aplicación de Office.

Para evitar esto después de haber seleccionado ocultar la barra, use esta configuración de cliente. Esta configuración no tiene ningún efecto si el usuario cierra la barra utilizando el icono Cerrar esta barra.

Aunque la barra de Azure Information Protection permanece oculta, los usuarios todavía pueden seleccionar una etiqueta de una barra mostrada de manera temporal si se ha configurado la clasificación recomendada, o bien si el documento o correo electrónico deben tener una etiqueta.

Para establecer esta configuración avanzada, especifique las cadenas siguientes:

  • Clave: EnableBarHiding

  • Valor: True

Habilitación de la compatibilidad con el orden para subetiquetas en datos adjuntos

Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.

Use esta configuración cuando tenga subetiquetas y haya definido la siguiente configuración de directiva:

  • Para los mensajes de correo electrónico con datos adjuntos, aplicar una etiqueta que coincida con la clasificación más alta de los datos adjuntos

Configure las siguientes cadenas:

  • Clave: CompareSubLabelsInAttachmentAction

  • Valor: True

Sin esta configuración, la primera etiqueta que se encuentre en la etiqueta principal con la clasificación más alta se aplica al correo electrónico.

Con esta configuración, la subetiqueta que se ordenó en el último lugar de la etiqueta principal con la clasificación más alta se aplica al correo electrónico. Si tiene que volver a ordenar las etiquetas para aplicar la etiqueta que quiere para este escenario, consulte Eliminación o cambio de orden de una etiqueta en Azure Information Protection.

Excluir Outlook mensajes del etiquetado obligatorio

Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.

De forma predeterminada, al habilitar la configuración de directiva Todos los documentos y correos electrónicos deben tener una etiqueta , todos los documentos guardados y los correos electrónicos enviados deben tener una etiqueta aplicada. Al configurar la siguiente configuración avanzada, la configuración de directiva solo se aplica a Office documentos y no a Outlook mensajes.

Para establecer esta configuración avanzada, especifique las cadenas siguientes:

  • Clave: DisableMandatoryInOutlook

  • Valor: True

Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.

Al configurar una etiqueta para la clasificación recomendada, se pide a los usuarios que acepten o descarten la etiqueta recomendada en Word, Excel y PowerPoint. Esta opción extiende esta recomendación de etiqueta para mostrarse también en Outlook.

Para establecer esta configuración avanzada, especifique las cadenas siguientes:

  • Clave: OutlookRecommendationEnabled

  • Valor: True

Nota

Esta característica actualmente está en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Implementación de mensajes emergentes en Outlook que adviertan, justifiquen o bloqueen los correos electrónicos que se envían

Esta opción usa diversas opciones de configuración de cliente avanzadas que se deben definir en Azure Portal.

Si crea y establece las configuraciones avanzadas de cliente siguientes, los usuarios verán mensajes emergentes en Outlook que les podrán advertir antes de enviar un correo electrónico o pedirles que proporcionen una justificación del motivo del envío, o bien que impidan que se envíe un correo electrónico para los escenarios siguientes:

  • Su correo electrónico o los datos adjuntos del correo electrónico tienen una etiqueta específica:

    • Los datos adjuntos pueden ser cualquier tipo de archivo.
  • Su correo electrónico o los datos adjuntos del correo electrónico no tienen una etiqueta:

    • Los datos adjuntos pueden ser un documento de Office o PDF.

Cuando se cumplen estas condiciones, el usuario ve un mensaje emergente con una de las siguientes acciones:

  • Advertir: el usuario puede confirmar y enviar, o cancelar.

  • Justificar: se solicita al usuario una justificación (opciones predefinidas o de forma libre). Después, el usuario puede enviar o cancelar el correo electrónico. El texto de justificación se escribe en el encabezado x del correo electrónico para que otros sistemas lo puedan leer. Por ejemplo, los servicios de prevención de pérdida de datos (DLP).

  • Bloquear: se impide que el usuario envíe el correo electrónico mientras la condición permanece. El mensaje incluye el motivo del bloqueo del correo electrónico para que el usuario pueda solucionar el problema. Por ejemplo, quitar destinatarios específicos, o bien etiquetar el correo electrónico.

Cuando los mensajes emergentes son para una etiqueta específica, puede configurar excepciones para los destinatarios por nombre de dominio.

Las acciones resultantes de los mensajes emergentes se registran en el registro de eventos local Windows registros de aplicaciones y > servicios Azure Information Protection:

  • Mensajes de advertencia: Id. de información 301

  • Mensajes de justificación: Id. de información 302

  • Mensajes de bloqueo: Id. de información 303

Entrada de evento de ejemplo de un mensaje de justificación:

Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Price list.msg
Item Name: Price list
Process Name: OUTLOOK
Action: Justify
User Justification: My manager approved sharing of this content
Action Source: 
User Response: Confirmed

Las secciones siguientes contienen instrucciones de configuración para cada configuración de cliente avanzada y puede verlas en acción con Tutorial:Configuración de Azure Information Protection para controlar el uso compartido en exceso de información mediante Outlook .

Para implementar los mensajes emergentes de advertencia, justificación o bloqueo para etiquetas específicas:

Para implementar los mensajes emergentes para etiquetas específicas, debe conocer el identificador para esas etiquetas. El valor del identificador de etiqueta se muestra en el panel Etiqueta, al ver o configurar la directiva Azure Information Protection en el Azure Portal. En el caso de los archivos que tienen etiquetas aplicadas, también puede ejecutar el cmdlet de PowerShell Get-AIPFileStatus para reconocer el identificador de etiqueta (MainLabelId o SubLabelId). Si una etiqueta tiene subetiquetas, especifique únicamente el identificador de una subetiqueta, no el de la etiqueta principal.

Cree una o varias de las siguientes configuraciones avanzadas de cliente con las claves siguientes. Para los valores, especifique una o más etiquetas por sus identificadores, cada una separada por comas.

Valor de ejemplo para varios identificadores de etiqueta como una cadena separada por comas: dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f

  • Mensajes de advertencia:

    • Clave: OutlookWarnUntrustedCollaborationLabel

    • Valor: <label IDs, comma-separated>

  • Mensajes de justificación:

    • Clave: OutlookJustifyUntrustedCollaborationLabel

    • Valor: <label IDs, comma-separated>

  • Mensajes de bloqueo:

    • Clave: OutlookBlockUntrustedCollaborationLabel

    • Valor: <label IDs, comma-separated>

Para excluir los nombres de dominio de los mensajes emergentes configurados para etiquetas específicas

Para las etiquetas que ha especificado con estos mensajes emergentes, puede excluir nombres de dominio específicos para que los usuarios no vean los mensajes de los destinatarios que tienen ese nombre de dominio incluido en su dirección de correo electrónico. En este caso, los correos electrónicos se envían sin interrupción. Para especificar varios dominios, agréguelos como una sola cadena, separados por comas.

Una configuración habitual es mostrar los mensajes emergentes solo para los destinatarios externos a la organización o que no sean asociados autorizados de esta. En tal caso, especifique todos los dominios de correo electrónico que usan la organización y los asociados.

Cree la siguiente configuración avanzada de cliente y, para el valor, especifique uno o varios dominios, cada uno separado por una coma.

Valor de ejemplo para varios dominios como una cadena separada por comas: contoso.com,fabrikam.com,litware.com

  • Mensajes de advertencia:

    • Clave: OutlookWarnTrustedDomains

    • Valor: <domain names, comma separated>

  • Mensajes de justificación:

    • Clave: OutlookJustifyTrustedDomains

    • Valor: <domain names, comma separated>

  • Mensajes de bloqueo:

    • Clave: OutlookBlockTrustedDomains

    • Valor: <domain names, comma separated>

Por ejemplo, ha especificado la configuración de cliente avanzada OutlookBlockUntrustedCollaborationLabel para la etiqueta Confidencial \ Todos los empleados. Ahora especifique la configuración de cliente avanzada adicional de OutlookBlockTrustedDomains y contoso.com. Como resultado, un usuario puede enviar un correo electrónico a cuando está etiquetado como Confidencial \ Todos los empleados, pero se le bloqueará el envío de un correo electrónico con la misma etiqueta a una cuenta john@sales.contoso.com de Gmail.

Para implementar los mensajes emergentes de advertencia, justificación o bloqueo para correos electrónicos o datos adjuntos sin una etiqueta:

Cree la siguiente configuración de cliente avanzada con uno de los valores siguientes:

  • Mensajes de advertencia:

    • Clave: OutlookUnlabeledCollaborationAction

    • Valor: Advertir

  • Mensajes de justificación:

    • Clave: OutlookUnlabeledCollaborationAction

    • Valor: Justificación

  • Mensajes de bloqueo:

    • Clave: OutlookUnlabeledCollaborationAction

    • Valor: Bloquear

  • Desactive estos mensajes:

    • Clave: OutlookUnlabeledCollaborationAction

    • Valor: Desactivado

Para definir extensiones de nombre de archivo específicas para los mensajes emergentes de advertencia, justificación o bloqueo para los datos adjuntos de correo electrónico que no tienen una etiqueta

De forma predeterminada, los mensajes emergentes de advertencia, justificación o bloqueo se aplican a todos Office documentos y documentos PDF. Puede refinar esta lista especificando qué extensiones de nombre de archivo deben mostrar los mensajes de advertencia, justificación o bloqueo con una propiedad de cliente avanzada adicional y una lista separada por comas de extensiones de nombre de archivo.

Valor de ejemplo para varias extensiones de nombre de archivo que se definen como una cadena separada por comas: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM

En este ejemplo, un documento PDF sin etiquetar no dará lugar a mensajes emergentes de advertencia, justificación ni bloqueo.

  • Clave: OutlookOverrideUnlabeledCollaborationExtensions

  • Valor: <file name extensions to display messages, comma separated>

Para especificar una acción diferente para los mensajes de correo electrónico sin datos adjuntos

De forma predeterminada, el valor que especifique para OutlookUnlabeledCollaborationAction para advertir, justificar o bloquear mensajes emergentes se aplica a correos electrónicos o datos adjuntos que no tienen una etiqueta. Puede refinar esta configuración especificando otra configuración de cliente avanzada para los mensajes de correo electrónico que no tienen datos adjuntos.

Cree la siguiente configuración de cliente avanzada con uno de los valores siguientes:

  • Mensajes de advertencia:

    • Clave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

    • Valor: Advertir

  • Mensajes de justificación:

    • Clave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

    • Valor: Justificación

  • Mensajes de bloqueo:

    • Clave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

    • Valor: Bloquear

  • Desactive estos mensajes:

    • Clave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

    • Valor: Desactivado

Si no especifica esta configuración de cliente, el valor que especifique para OutlookUnlabeledCollaborationAction se usará para los mensajes de correo electrónico sin etiquetar sin datos adjuntos, así como para los mensajes de correo electrónico sin etiquetar con datos adjuntos.

Establecimiento de otra etiqueta predeterminada para Outlook

Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.

Al configurar esta opción, Outlook no aplica la etiqueta predeterminada configurada en la directiva de Azure Information Protection para la opción Seleccione la etiqueta predeterminada. Por el contrario, Outlook puede aplicar otra etiqueta predeterminada o ninguna.

Para aplicar otra etiqueta, debe especificar el identificador de etiqueta. El valor de id. de etiqueta se muestra en el panel Etiqueta, al ver o configurar la directiva Azure Information Protection en el Azure Portal. En el caso de los archivos que tienen etiquetas aplicadas, también puede ejecutar el cmdlet de PowerShell Get-AIPFileStatus para reconocer el identificador de etiqueta (MainLabelId o SubLabelId). Si una etiqueta tiene subetiquetas, especifique únicamente el identificador de una subetiqueta, no el de la etiqueta principal.

Para que Outlook no aplique la etiqueta predeterminada, especifique Ninguna.

Para establecer esta configuración avanzada, especifique las cadenas siguientes:

  • Clave: OutlookDefaultLabel

  • Valor: <label ID> o Ninguno

Configuración de una etiqueta para aplicar la protección de S/MIME en Outlook

Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.

Use esta configuración únicamente cuando tenga una implementación de S/MIME en funcionamiento y desee que una etiqueta aplique automáticamente este método de protección para los correos electrónicos en lugar de la protección de Rights Management de Azure Information Protection. La protección resultante es la misma que cuando un usuario selecciona manualmente las opciones de S/MIME de Outlook.

Esta configuración requiere que especifique una configuración avanzada de cliente llamada LabelToSMIME para cada etiqueta de Azure Information Protection a la que desee aplicar la protección S/MIME. Después, para cada entrada, establezca el valor utilizando la sintaxis siguiente:

[Azure Information Protection label ID];[S/MIME action]

El valor de id. de etiqueta se muestra en el panel Etiqueta, al ver o configurar la directiva Azure Information Protection en el Azure Portal. Para usar S/MIME con una subetiqueta, especifique siempre el identificador de solo la subetiqueta, no de la etiqueta principal. Cuando especifique una subetiqueta, la etiqueta principal debe estar en el mismo ámbito o en la directiva global.

La acción de S/MIME puede ser:

  • Sign;Encrypt: para aplicar una firma digital y cifrado S/MIME

  • Encrypt: para aplicar solo cifrado S/MIME

  • Sign: para aplicar solo una firma digital

Valores de ejemplo para un identificador de etiqueta de dcf781ba-727f-4860-b3c1-73479e31912b:

  • Para aplicar una firma digital y cifrado S/MIME:

    dcf781ba-727f-4860-b3c1-73479e31912b;Sign;Encrypt

  • Para aplicar solo cifrado S/MIME:

    dcf781ba-727f-4860-b3c1-73479e31912b;Encrypt

  • Para aplicar solo una firma digital:

    dcf781ba-727f-4860-b3c1-73479e31912b;Sign

Como resultado de esta configuración, cuando se aplica la etiqueta para un mensaje de correo electrónico, la protección S/MIME se aplica al correo electrónico además de la clasificación de la etiqueta.

Si la etiqueta especificada está configurada para la protección de Rights Management en Azure Portal, la protección de S/MIME reemplaza la protección de Rights Management solo en Outlook. En el resto de escenarios que admiten el etiquetado, se aplicará la protección de Rights Management.

Si desea que la etiqueta sea visible solo en Outlook, configure la etiqueta para aplicar la acción única definida por el usuario de No reenviar, como se describe en el Inicio rápido: Configuración de una etiqueta para usuarios para proteger fácilmente los correos electrónicos que contienen información confidencial.

Quita "No ahora" en los documentos cuando utilice el etiquetado obligatorio.

Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.

Cuando utilice la configuración de directiva de Todos los documentos y mensajes de correo electrónico deben tener una etiqueta, se pedirá a los usuarios que seleccionen una etiqueta cuando guarden por primera vez un documento de Office y cuando envíen un mensaje de correo electrónico. Para los documentos, los usuarios pueden seleccionar No ahora para descartar temporalmente el aviso para seleccionar una etiqueta y volver al documento. Sin embargo, no pueden cerrar el documento guardado sin etiquetarlo.

Al configurar esta opción, se quita la opción Ahora no para que los usuarios tengan que seleccionar una etiqueta cuando se guarda el documento por primera vez.

Para establecer esta configuración avanzada, especifique las cadenas siguientes:

  • Clave: PostponeMandatoryBeforeSave

  • Valor: False

Activación de la clasificación que se ejecuta continuamente en segundo plano

Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.

Al configurar esta opción, se cambia el comportamiento predeterminado de cómo el cliente de Azure Information Protection aplica etiquetas automáticas y recomendadas a los documentos:

  • Para Word, Excel y PowerPoint, la clasificación automática se ejecuta continuamente en segundo plano.

  • El comportamiento no cambia para Outlook.

Cuando el Azure Information Protection comprueba periódicamente los documentos para las reglas de condición que especifique, este comportamiento habilita la clasificación y protección automáticas y recomendadas para los documentos almacenados en Microsoft SharePoint. Los archivos de gran tamaño también se guardan más rápidamente porque las reglas de condición ya se han ejecutado.

Las reglas de condición no se ejecutan en tiempo real mientras el usuario escribe. En su lugar, se ejecutan periódicamente como una tarea en segundo plano si se modifica el documento.

Para establecer esta configuración avanzada, especifique las cadenas siguientes:

  • Clave: RunPolicyInBackground

  • Valor: True

Nota

Esta característica actualmente está en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

No proteger archivos PDF con el estándar ISO de cifrado de archivos PDF

Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.

Cuando la versión más reciente del cliente de Azure Information Protection protege un archivo PDF, la extensión de nombre de archivo resultante sigue siendo .pdf y cumple con el estándar ISO de cifrado de archivos PDF. Para obtener más información sobre este estándar, vea la sección Cifrado 7.6 en el documento que se deriva de ISO-1 32000 que publica Adobe Systems Incorporated.

Si necesita el cliente para revertir al comportamiento de las versiones anteriores del cliente que protegía archivos PDF mediante el uso de una extensión de nombre de archivo .ppdf, use la siguiente configuración avanzada escribiendo la siguiente cadena:

  • Clave: EnablePDFv2Protection

  • Valor: False

Por ejemplo, podría necesitar esta configuración para todos los usuarios si usa un lector de PDF que no sea compatible con el estándar ISO para el cifrado de archivos PDF. También podría tener que configurarla para algunos usuarios cuando implemente gradualmente un cambio de lector PDF que admita el formato nuevo. Otra posible razón para usar esta configuración es que necesita agregar protección a documentos PDF firmados. Los documentos PDF firmados también se pueden proteger con el formato .ppdf, ya que esta protección se implementa como un contenedor para el archivo.

Para que el analizador de Azure Information Protection utilice el nuevo valor, haya que reiniciar el servicio del analizador. Además, el analizador no podrá proteger documentos PDF de forma predeterminada. Si desea que los documentos PDF estén protegidos por el analizador cuando EnablePDFv2Protection está establecido en False, debe editar el Registro.

Para más información sobre el nuevo cifrado de archivos PDF, consulte la entrada de blog New support for PDF encryption with Microsoft Information Protection (Nueva compatibilidad con el cifrado de archivos PDF con Microsoft Information Protection).

Para obtener una lista de los lectores PDF que admiten el estándar ISO para el cifrado PDF y los lectores que admiten formatos anteriores, vea Lectores PDF compatibles con Microsoft Information Protection.

Conversión de archivos .ppdf existentes en archivos .pdf protegidos

Cuando el cliente de Azure Information Protection haya descargado la directiva de cliente con la nueva configuración, puede usar comandos de PowerShell para convertir archivos .ppdf existentes en archivos .pdf protegidos que usan el estándar ISO de cifrado de archivos PDF.

Para usar las siguientes instrucciones con archivos que no ha protegido usted mismo, debe tener un derecho de uso de Rights Management para quitar la protección de los archivos, o ser un superusuario. Para habilitar la característica como superusuario y configurar su cuenta como tal, consulte Configuración de superusuarios para Azure Rights Management y los servicios de detección o la recuperación de datos.

Además, cuando use estas instrucciones con archivos que no haya protegido usted mismo, se convertirá en el emisor de RMS. En este escenario, el usuario que originalmente protegió el documento ya no puede realizar su seguimiento ni revocarlo. Si los usuarios necesitan realizar un seguimiento de sus documentos PDF protegidos y revocarlos, pídales que quiten manualmente la etiqueta y luego vuelvan a aplicarla mediante el Explorador de archivos, mediante clic con el botón derecho.

Para usar comandos de PowerShell para convertir los archivos .ppdf existentes en archivos .pdf protegidos que usan el estándar ISO de cifrado de archivos PDF, siga estos pasos:

  1. Use Get-AIPFileStatus con el archivo .ppdf. Por ejemplo:

    Get-AIPFileStatus -Path \\Finance\Projectx\sales.ppdf
    
  2. En la salida, anote los siguientes valores de parámetro:

    • El valor (GUID) de SubLabelId, si lo hay. Si este valor está en blanco, no se ha usado una subetiqueta, así que anote en su lugar el valor de MainLabelId.

      Nota: Si no hay ningún valor para MainLabelId, el archivo no está etiquetado. En este caso, puede usar los comandos Unprotect-RMSFile y Protect-RMSFile en lugar de los comandos del paso 3 y 4.

    • El valor de RMSTemplateId. Si este valor tiene acceso restringido, significa que un usuario ha protegido el archivo mediante permisos personalizados en lugar de usar la configuración de protección que está configurada para la etiqueta. Si continúa, la configuración de protección de la etiqueta sobrescribirá esos permisos personalizados. Decida si desea continuar o pida al usuario (valor mostrado para RMSIssuer) que quite la etiqueta y vuelva a aplicarla, junto con sus permisos personalizados originales.

  3. Quite la etiqueta mediante Set-AIPFileLabel con el parámetro RemoveLabel. Si va a usar la configuración de directiva de Users must provide justification to set a lower classification label, remove a label, or remove protection (Los usuarios deben proporcionar justificación para establecer una etiqueta de clasificación inferior, quitar una etiqueta o quitar la protección), debe especificar también el parámetro Justification con el motivo. Por ejemplo:

    Set-AIPFileLabel \\Finance\Projectx\sales.ppdf -RemoveLabel -JustificationMessage 'Removing .ppdf protection to replace with .pdf ISO standard'
    
  4. Vuelva a aplicar la etiqueta original mediante la especificación del valor de la etiqueta que identificó en el paso 1. Por ejemplo:

    Set-AIPFileLabel \\Finance\Projectx\sales.pdf -LabelId d9f23ae3-1234-1234-1234-f515f824c57b
    

El archivo conserva la extensión de nombre de archivo .pdf, pero se clasifica como antes, y se protege mediante el estándar ISO de cifrado de archivos PDF.

Compatibilidad con los archivos protegidos por Secure Islands

Si utiliza Secure Islands para proteger documentos, es posible que, como resultado de esta protección, haya protegido los archivos de imagen y texto y los archivos protegidos genéricamente. Por ejemplo, los archivos que tienen una extensión de nombre de archivo .ptxt, .pjpeg o .pfile. Cuando el registro se edita tal y como se indica a continuación, Azure Information Protection puede descifrar estos archivos:

Agregue el siguiente valor DWORD de EnableIQPFormats a la siguiente ruta de acceso del registro y establezca el valor en 1:

  • Para obtener una versión de 64 bits de Windows: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP

  • Para obtener una versión de 32 bits de Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIP

Como resultado de esta modificación del registro, se admiten los siguientes escenarios:

  • El visor de Azure Information Protection puede abrir estos archivos protegidos.

  • El analizador de Azure Information Protection puede examinar estos archivos en busca de información confidencial.

  • El Explorador de archivos, PowerShell y el analizador de Azure Information Protection pueden etiquetar estos archivos. Como resultado, puede aplicar una etiqueta de Azure Information Protection que aplica una nueva protección de Azure Information Protection, o que quita la protección existente de Secure Islands.

  • Puede usar la personalización de etiquetas del cliente de migración para convertir la etiqueta de Secure Islands de estos archivos protegidos en una etiqueta de Azure Information Protection.

Nota

Esta característica actualmente está en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Migración de las etiquetas de Secure Islands y otras soluciones de etiquetado

Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.

Esta configuración no es compatible actualmente con el comportamiento predeterminado que protege los archivos PDF mediante el estándar ISO de cifrado de archivos PDF. En este caso, los archivos .ppdf no se pueden abrir con el Explorador de archivos, PowerShell o el analizador. Para resolver este problema, use la opción del cliente avanzado para no usar el estándar ISO para cifrado de archivos PDF.

Para documentos de Office y documentos PDF etiquetados por Secure Islands, puede volver a etiquetar estos documentos con una etiqueta de Azure Information Protection mediante la asignación que defina. También se utiliza este método para reutilizar etiquetas de otras soluciones cuando sus etiquetas están en documentos de Office.

Nota

Si tiene otros archivos además de documentos PDF y de Office que están protegidos por Secure Islands, puede volver a etiquetarlos después de modificar el registro tal y como se describe en la sección anterior.

Como resultado de esta opción de configuración, el cliente de Azure Information Protection aplica la nueva etiqueta de Azure Information Protection de la siguiente manera:

  • Para documentos Office: cuando el documento se abre en la aplicación de escritorio, la nueva etiqueta de Azure Information Protection se muestra como establecida y se aplica cuando se guarda el documento.

  • Para el Explorador de archivos: en el cuadro de diálogo Azure Information Protection, la nueva etiqueta de Azure Information Protection se muestra como establecida y se aplica cuando el usuario selecciona Aplicar. Si el usuario selecciona Cancelar, no se aplica la nueva etiqueta.

  • Para PowerShell: Set-AIPFileLabel se aplica la nueva etiqueta de Azure Information Protection. Get-AIPFileStatus no muestra la nueva etiqueta de Azure Information Protection hasta que se establece por otro método.

  • Para el analizador de Azure Information Protection: la detección informa cuándo se establecerá la nueva etiqueta de Azure Information Protection y esta etiqueta se puede aplicar con el modo de aplicación.

Esta configuración requiere que especifique una configuración avanzada de cliente llamada LabelbyCustomProperty para cada etiqueta de Azure Information Protection que desee asignar a la etiqueta antigua. Después, para cada entrada, establezca el valor utilizando la sintaxis siguiente:

[Azure Information Protection label ID],[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]

El valor de id. de etiqueta se muestra en el panel Etiqueta, al ver o configurar la directiva Azure Information Protection en el Azure Portal. Para especificar una subetiqueta, la etiqueta principal debe estar en el mismo ámbito o en la directiva global.

Especifique un nombre de regla de migración de su elección. Utilice un nombre descriptivo que le ayude a identificar cómo una o más etiquetas de su solución de etiquetado anterior deben asignarse a una etiqueta de Azure Information Protection. El nombre se muestra en los informes de analizador y en el Visor de eventos. Tenga en cuenta que esta configuración no quita la etiqueta original ni ningún distintivo visual del documento que pueda haber aplicado la etiqueta original. Para quitar los encabezados y los pies de página, vea la sección siguiente, Quitar encabezados y pies de página de otras soluciones de etiquetado.

Ejemplo 1: Asignación uno a uno del mismo nombre de etiqueta

Requisito: Los documentos que tienen una etiqueta de Islas seguras de "Confidencial" se deben volver a etiquetar como "confidenciales" Azure Information Protection.

En este ejemplo:

  • La etiqueta de Azure Information Protection que quiere usar se denomina Confidencial y tiene el identificador 1ace2cc3-14bc-4142-9125-bf946a70542c.

  • La etiqueta de Secure Islands se denomina Confidencial y se almacena en la propiedad personalizada denominada Clasificación.

La configuración de cliente avanzada es la siguiente:

Nombre Value
LabelbyCustomProperty 1ace2cc3-14bc-4142-9125-bf946a70542c,"La etiqueta de Secure Islands es Confidential",Classification,Confidential

Ejemplo 2: Asignación uno a uno para un nombre de etiqueta diferente

Requisito: Los documentos etiquetados como "confidenciales" por Secure Islands se deben volver a etiquetar como "extremadamente confidenciales" Azure Information Protection.

En este ejemplo:

  • La etiqueta de Azure Information Protection que quiere usar se denomina Extremadamente confidencial y tiene el identificador 3e9df74d 3168 48af 8b11 037e3021813f.

  • La etiqueta de Secure Islands se denomina Confidencial y se almacena en la propiedad personalizada denominada Clasificación.

La configuración de cliente avanzada es la siguiente:

Nombre Value
LabelbyCustomProperty 3e9df74d-3168-48af-8b11-037e3021813f,"La etiqueta de Secure Islands es Sensitive",Classification,Sensitive

Ejemplo 3: Asignación de varios a uno de nombres de etiqueta

Requisito: tiene dos etiquetas de Secure Islands que incluyen la palabra "Internal" y desea que los documentos que tengan cualquiera de estas etiquetas de Secure Islands se vuelvan a etiquetar como "General" Azure Information Protection.

En este ejemplo:

  • La etiqueta de Azure Information Protection que quiere usar se denomina General y tiene el identificador 2beb8fe7 8293 444 c 9768 7fdc6f75014d.

  • La etiqueta de Secure Islands incluye la palabra Interno y se almacena en la propiedad personalizada denominada Clasificación.

La configuración de cliente avanzada es la siguiente:

Nombre Value
LabelbyCustomProperty 2beb8fe7-8293-444c-9768-7fdc6f75014d,"La etiqueta de Secure Islands contiene Internal",Classification,.*Internal.*

Quitar encabezados y pies de página de otras soluciones de etiquetado

Esta opción usa diversas opciones de configuración de cliente avanzadas que se deben definir en Azure Portal.

La configuración le permite quitar o reemplazar los encabezados o pies de página basados en texto de los documentos cuando otra solución de etiquetado haya aplicado esos distintivos visuales. Por ejemplo, el pie de página anterior contiene el nombre de una etiqueta antigua que ahora se ha migrado a Azure Information Protection con un nuevo nombre de etiqueta y su propio pie de página.

Cuando el cliente recibe esta configuración en su directiva, los encabezados y pies de página antiguos se quitan o se reemplazan cuando el documento se abre en la aplicación de Office y se aplican al documento las etiquetas de Azure Information Protection existentes.

Esta configuración no es compatible con Outlook, y es necesario tener precaución al usarla con Word, Excel y PowerPoint, ya que puede afectar negativamente al rendimiento de estas aplicaciones para los usuarios. La configuración permite definir las opciones por aplicación, por ejemplo, buscar texto en los encabezados y los pies de página de documentos de Word, pero no en las hojas de cálculo de Excel ni en las presentaciones de PowerPoint.

Dado que la coincidencia de patrones afecta al rendimiento de los usuarios, se recomienda limitar los tipos de aplicación de Office (W ord, E X cel, P owerPoint) a solo los que deben buscarse:

  • Clave: RemoveExternalContentMarkingInApp

  • Valor: <Office application types WXP>

Ejemplos:

  • Para buscar solo en documentos de Word, especifique W.

  • Para buscar en documentos de Word y presentaciones de PowerPoint, especifique WP.

Necesita al menos otro ajuste de cliente avanzado, ExternalContentMarkingToRemove, para especificar el contenido del encabezado o pie de página y cómo quitarlo o reemplazarlo.

Nota

Esta característica actualmente está en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Cómo configurar ExternalContentMarkingToRemove

Al especificar el valor de cadena para la clave ExternalContentMarkingToRemove, existen tres opciones que usan expresiones regulares:

  • Una coincidencia parcial para quitar todo el contenido del encabezado o el pie de página.

    Ejemplo: los encabezados o los pies de página contienen la cadena TEXT TO REMOVE. Quiere quitar por completo estos encabezados o pies de página. Debe especificar el valor *TEXT*.

  • Una coincidencia completa para quitar solo palabras específicas del encabezado o el pie de página.

    Ejemplo: los encabezados o los pies de página contienen la cadena TEXT TO REMOVE. Solo quiere quitar la palabra TEXT, lo que deja la cadena de encabezado o pie de página como TO REMOVE. Debe especificar el valor TEXT .

  • Una coincidencia completa para quitar todo el contenido del encabezado o el pie de página.

    Ejemplo: los encabezados o los pies de página contienen la cadena TEXT TO REMOVE. Quiere quitar los encabezados o los pies de página que contienen exactamente esta cadena. Debe especificar el valor ^TEXT TO REMOVE$.

La coincidencia de patrones para la cadena que especifique no distingue mayúsculas de minúsculas. La longitud de cadena máxima es de 255 caracteres.

Dado que algunos documentos podrían incluir caracteres invisibles o diferentes tipos de espacios o tabulaciones, la cadena que especifique para una palabra o frase podría no detectarse. Siempre que sea posible, especifique una sola palabra distintiva para el valor y no olvide probar los resultados antes de su implementación en la producción.

  • Clave: ExternalContentMarkingToRemove

  • Valor: <string to match, defined as regular expression>

Encabezados o pies de página multilínea

Si el texto de un encabezado o un pie de página tiene más de una línea, debe crear una clave y un valor para cada línea. Por ejemplo, imagine que tiene el siguiente pie de página con dos líneas:

The file is classified as Confidential
Label applied manually

Para quitar este pie de página multilínea, debe crear las dos entradas siguientes:

  • Clave 1: ExternalContentMarkingToRemove

  • Valor de clave 1: * confidencial*

  • Clave 2: ExternalContentMarkingToRemove

  • Valor clave 2: * etiqueta aplicada*

Optimización para PowerPoint

Los pies de página de PowerPoint se implementan como formas. Para evitar la eliminación de las formas con el texto especificado que son encabezados ni pies de página, use un ajuste de cliente avanzado adicional denominado PowerPointShapeNameToRemove. También se recomienda usar este ajuste para evitar comprobar el texto de todas las formas, ya que es un proceso que hace un uso intensivo de recursos.

Si no especifica este ajuste de cliente avanzado adicional y PowerPoint está incluido en el valor de clave RemoveExternalContentMarkingInApp, se comprobarán todas las formas en busca del texto especificado en el valor ExternalContentMarkingToRemove.

Para buscar el nombre de la forma que se usa como encabezado o pie de página:

  1. En PowerPoint, muestre el panel de selección: pestaña Formato > grupo Organizar > Panel de selección.

  2. Seleccione la forma en la diapositiva que contiene el encabezado o el pie de página. El nombre de la forma seleccionada aparece resaltado en el panel de selección.

Use el nombre de la forma de especificar un valor de cadena para la clave PowerPointShapeNameToRemove.

Por ejemplo, el nombre de la forma es fc. Para quitar la forma con este nombre, especifique el valor fc.

  • Clave: PowerPointShapeNameToRemove

  • Valor: <PowerPoint shape name>

Cuando haya más de una forma de PowerPoint para quitar, cree tantas claves PowerPointShapeNameToRemove como formas quiera quitar. Para cada entrada, especifique el nombre de la forma que quiere quitar.

De forma predeterminada, solo se comprueban las diapositivas patrón en busca de encabezados y pies de página. Para ampliar esta búsqueda a todas las diapositivas, lo que es proceso que hace un uso mucho más intensivo de recursos, use un ajuste de cliente avanzado adicional denominada RemoveExternalContentMarkingInAllSlides:

  • Clave: RemoveExternalContentMarkingInAllSlides

  • Valor: True

Etiquetado de un documento de Office mediante el uso de una propiedad personalizada existente

Nota

Si usa esta configuración y la configuración para migrar etiquetas de Secure Islands y otras soluciones de etiquetado, la configuración de migración de etiquetado tiene prioridad.

Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.

Al configurar esta opción, puede clasificar (y, opcionalmente, proteger) un documento de Office cuando tiene una propiedad personalizada existente con un valor que coincide con uno de los nombres de etiqueta. Esta propiedad personalizada se puede establecer desde otra solución de clasificación, o bien se puede establecer como una propiedad mediante SharePoint.

Como resultado de esta configuración, cuando un usuario abre y guarda en una aplicación de Office un documento sin una etiqueta de Azure Information Protection, el documento se etiqueta para que coincida con el valor de propiedad correspondiente.

Esta configuración requiere la especificación de dos ajustes avanzados que funcionan conjuntamente. El primero se denomina SyncPropertyName, y es el nombre de propiedad personalizada que se ha establecido desde la otra solución de clasificación, o una propiedad establecida mediante SharePoint. El segundo se denomina SyncPropertyState y debe establecerse en OneWay.

Para establecer esta configuración avanzada, especifique las cadenas siguientes:

  • Clave 1: SyncPropertyName

  • Valor de clave 1: <property name>

  • Clave 2: SyncPropertyState

  • Valor de la clave 2: OneWay

Use estas claves y los valores correspondientes solo para una propiedad personalizada.

Por ejemplo, tiene una columna de SharePoint denominada Clasificación con los valores posibles de Público, General y Muy confidencial/Todos los empleados. Los documentos se almacenan en SharePoint y tienen establecidos los valores Público, General o Muy confidencial/Todos los empleados para la propiedad Clasificación.

Para etiquetar un documento de Office con uno de estos valores de clasificación, establezca SyncPropertyName en Clasificación y SyncPropertyState en OneWay.

Ahora, cuando un usuario abra y guarde uno de estos documentos de Office, se le denominará Público, General o Muy confidencial/Todos los empleados si tiene etiquetas con estos nombres en la directiva de Azure Information Protection. Si no tienen etiquetas con estos nombres, el documento permanecerá sin etiquetar.

Deshabilitación del envío de información confidencial detectada en documentos a Azure Information Protection analytics

Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.

Cuando el Azure Information Protection se usa en Office, busca información confidencial en los documentos cuando se guardan por primera vez. Si el cliente no está configurado para no enviar información de auditoría, los tipos de información confidencial encontrados (predefinidos o personalizados) se envían a Azure Information Protection analytics.

La configuración que controla si el cliente envía información de auditoría es la configuración de directiva de Enviar datos de auditoría a Azure Information Protection Log Analytics. Cuando esta configuración de directiva sea On porque desea enviar información de auditoría que incluya acciones de etiquetado, pero no quiere enviar tipos de información confidencial encontrados por el cliente, escriba las cadenas siguientes:

  • Clave: RunAuditInformationTypesDiscovery

  • Valor: False

Si establece esta configuración de cliente avanzada, la información de auditoría todavía se puede enviar desde el cliente, pero la información se limita a la actividad de etiquetado.

Por ejemplo:

  • Con esta configuración, puede ver que un usuario ha accedido a Financial.docx que está etiquetado como Confidencial \ Ventas.

  • Sin esta configuración, puede ver que Financial.docx 6 números de tarjeta de crédito.

    • Si también habilita análisis más profundos enlos datos confidenciales, podrá ver además cuáles son esos números de tarjeta de crédito.

Deshabilitación del envío de coincidencias de tipo de información para un subconjunto de usuarios

Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.

Al activar la casilla para el análisis de Azure Information Protection que permite realizar análisis más profundos en los datos confidenciales, recopila las coincidencias de contenido de los tipos de información confidencial o las condiciones personalizadas, de forma predeterminada, todos los usuarios envían esta información, lo que incluye las cuentas de servicio que ejecutan el analizador de Azure Information Protection. Si tiene algunos usuarios que no deberían enviar estos datos, cree la configuración de cliente avanzada siguiente en una directiva con ámbito para estos usuarios:

  • Clave: LogMatchedContent

  • Valor: Deshabilitar

Limitar el número de subprocesos que usa el analizador

Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.

De forma predeterminada, el analizador usa todos los recursos de procesador disponibles en el equipo que ejecuta el servicio de analizador. Si necesita limitar el consumo de CPU mientras este servicio realiza los exámenes, cree la siguiente configuración avanzada.

Como valor, especifique el número de subprocesos simultáneos que el analizador puede ejecutar en paralelo. El analizador usa un subproceso independiente para cada archivo que examina, por lo que esta configuración de limitación también define el número de archivos que se pueden examinar en paralelo.

Al configurar por primera vez el valor para las pruebas, se recomienda especificar 2 por núcleo y, luego, supervisar los resultados. Por ejemplo, si ejecuta el analizador en un equipo que tiene 4 núcleos, primero establezca el valor en 8. Si es necesario, aumente o disminuya ese número, según el rendimiento resultante que necesite para el equipo del analizador y las tasas de examen.

  • Clave: ScannerConcurrencyLevel

  • Valor: <number of concurrent threads>

Deshabilitación del nivel de integridad bajo para el analizador

Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.

De forma predeterminada, el analizador de Azure Information Protection se ejecuta con un nivel de integridad bajo. Esta configuración proporciona un mayor aislamiento de seguridad, pero a costa del rendimiento. Un nivel de integridad bajo es adecuado si el analizador se ejecuta con una cuenta que tiene derechos con privilegios (por ejemplo, una cuenta de administrador local) debido a que esta configuración ayuda a proteger el equipo que ejecuta el analizador.

Sin embargo, cuando la cuenta de servicio que ejecuta el analizador solo tiene los derechos documentados en los requisitos previosde implementación del analizador, el nivel de integridad bajo no es necesario y no se recomienda porque afecta negativamente al rendimiento.

Para obtener más información acerca de los niveles de integridad de Windows, vea What is the Windows Integrity Mechanism? (¿Qué es el mecanismo de integridad de Windows?).

Para configurar este valor avanzado de modo que el analizador se ejecute con un nivel de integridad asignado automáticamente por Windows (una cuenta de usuario estándar se ejecuta con un nivel de integridad medio), especifique las siguientes cadenas:

  • Clave: ProcessUsingLowIntegrity

  • Valor: False

Cambiar la configuración de tiempo de espera del analizador

Esta configuración usa la configuración avanzada de cliente que debe configurar en el Azure Portal.

De forma predeterminada, el analizador de Azure Information Protection tiene un período de tiempo de espera de 00:15:00 (15 minutos) para inspeccionar cada archivo en busca de tipos de información confidencial o las expresiones regex que ha configurado para condiciones personalizadas. Cuando se alcanza el período de tiempo de espera para este proceso de extracción de contenido, se detienen los resultados anteriores al tiempo de espera y se detiene la inspección adicional del archivo. En este escenario, se registra el siguiente mensaje de error en %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (comprimido si hay varios registros): Error de GetContentParts con La operación se canceló en los detalles.

Si experimenta este problema de tiempo de espera debido a archivos grandes, puede aumentar este período de tiempo de espera para la extracción de contenido completa:

  • Clave: ContentExtractionTimeout

  • Valor: <hh:min:sec>

El tipo de archivo puede influir en cuánto tiempo se tarda en examinar un archivo. Tiempos de análisis de ejemplo:

  • Un archivo de Word de 100 MB típico: 0,5-5 minutos

  • Un archivo PDF típico de 100 MB: 5-20 minutos

  • Un archivo de 100 MB Excel 100 MB: 12-30 minutos

Para algunos tipos de archivo muy grandes, como los archivos de vídeo, considere la posibilidad de excluirlos del examen agregando la extensión de nombre de archivo a la opción Tipos de archivo para examinar en el perfil del analizador.

Además, el analizador de Azure Information Protection tiene un período de tiempo de espera de 00:30:00 (30 minutos) para cada archivo que procesa. Este valor tiene en cuenta el tiempo que puede tardar en recuperar un archivo de un repositorio y guardarlo temporalmente localmente para acciones que pueden incluir descifrado, extracción de contenido para inspección, etiquetado y cifrado.

Aunque el analizador de Azure Information Protection puede examinar decenas a cientos de archivos por minuto, si tiene un repositorio de datos que tiene un gran número de archivos muy grandes, el analizador puede superar este período de tiempo de espera predeterminado y, en el Azure Portal, parece detenerse después de 30 minutos. En este escenario, se registra el siguiente mensaje de error en %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (comprimido si hay varios registros) y el analizador .csv archivo de registro: La operación se canceló.

De forma predeterminada, un analizador con procesadores de 4 núcleos tiene 16 subprocesos para el examen y la probabilidad de encontrar 16 archivos grandes en un período de tiempo de 30 minutos depende de la relación de los archivos grandes. Por ejemplo, si la velocidad de examen es de 200 archivos por minuto y el 1 % de los archivos supera el tiempo de espera de 30 minutos, hay una probabilidad de más del 85 % de que el analizador encuentre la situación de tiempo de espera de 30 minutos. Estos tiempos de espera pueden dar lugar a tiempos de examen más largos y un mayor consumo de memoria.

En esta situación, si no puede agregar más procesadores principales al equipo del analizador, considere la posibilidad de reducir el período de tiempo de espera para mejorar las tasas de análisis y reducir el consumo de memoria, pero con la confirmación de que algunos archivos se excluirán. Como alternativa, considere la posibilidad de aumentar el período de tiempo de espera para obtener resultados de análisis más precisos, pero con la confirmación de que esta configuración probablemente dará lugar a velocidades de examen más bajas y un mayor consumo de memoria.

Para cambiar el período de tiempo de espera para el procesamiento de archivos, configure la siguiente configuración de cliente avanzada:

  • Clave: FileProcessingTimeout

  • Valor: <hh:min:sec>

Cambio del nivel de registro local

Esta opción utiliza una configuración de cliente avanzada que se debe definir en Azure Portal.

De forma predeterminada, el cliente de Azure Information Protection escribe los archivos de registro del cliente en la carpeta %localappdata%\Microsoft\MSIP. Estos archivos están diseñados para solución de problemas por parte del Soporte técnico de Microsoft.

Para cambiar el nivel de registro de estos archivos, configure el siguiente parámetro de cliente avanzado:

  • Clave: LogLevel

  • Valor: <logging level>

Establezca el nivel de registro en uno de los siguientes valores:

  • Desactivado: no hay registro local.

  • Error: solo errores.

  • Información: registro mínimo, que no incluye ningún valor de evento (la configuración predeterminada para el analizador).

  • Depurar: información completa.

  • Seguimiento: registro detallado (la configuración predeterminada para los clientes). Para el escáner, esta configuración tiene un impacto significativo en el rendimiento y debe habilitarse para el escáner solo si Soporte técnico de Microsoft lo solicita. Si le piden que establezca este nivel de registro para el escáner, recuerde establecer un valor diferente cuando se hayan recopilado los registros pertinentes.

Esta configuración de cliente avanzada no cambia la información que se envía a Azure Information Protection para la creación de informes centrales, ni cambia la información que se escribe en el registro de eventos local.

Integración con la clasificación de mensajes Exchange heredados

Outlook en la Web ahora admite el etiquetado integrado para Exchange Online, que es el método recomendado para etiquetar correos electrónicos en Outlook en la Web. Sin embargo, si necesita etiquetar correos electrónicos en OWA y usa Exchange Server, que aún no admite etiquetas de confidencialidad, puede usar la clasificación de mensajes de Exchange para extender las etiquetas Azure Information Protection a Outlook en la Web.

Outlook Mobile no admite la clasificación de mensajes de Exchange.

Para lograr esta solución:

  1. Use el cmdlet New-MessageClassification de Exchange PowerShell para crear clasificaciones de mensajes con la propiedad Name que se asigna a los nombres de sus etiquetas en la directiva de Azure Information Protection.

  2. Cree una regla de flujo de correo de Exchange para cada etiqueta. Aplique la regla cuando las propiedades del mensaje incluyan la clasificación que ha configurado, y modifique las propiedades del mensaje para establecer un encabezado de mensaje.

    Para el encabezado del mensaje, encontrará la información que se debe especificar inspeccionando los encabezados de Internet de un correo electrónico que envió y clasificó mediante la etiqueta Azure Information Protection mensaje. Busque el encabezado msip_labels y la cadena que sigue inmediatamente, hasta y excluyendo el punto y coma. Por ejemplo:

    msip_labels: MSIP_Label_0e421e6d-ea17-4fdb-8f01-93a3e71333b8_Enabled=True

    Luego, para el encabezado del mensaje en la regla, especifique msip_labels para el encabezado y el resto de la cadena para el valor del encabezado. Por ejemplo:

    Ejemplo de regla de flujo de correo de Exchange Online que establece el encabezado del mensaje para una etiqueta de Azure Information Protection

    Nota: Cuando la etiqueta es una subetiqueta, también debe especificar la etiqueta principal antes de la subetiqueta en el valor de encabezado, con el mismo formato. Por ejemplo, si su subetiqueta tiene un GUID de 27efdf94-80a0-4d02-b88c-b615c12d69a9, su valor podría tener un aspecto similar al siguiente: MSIP_Label_ab70158b-bdcc-42a3-8493-2a80736e9cbd_Enabled=True;MSIP_Label_27efdf94-80a0-4d02-b88c-b615c12d69a9_Enabled=True

Antes de probar esta configuración, recuerde que, al crear o editar reglas de flujo de correo, normalmente se produce un retraso (espere una hora, por ejemplo). Con la regla en vigor, se producen ahora los eventos siguientes al utilizar los usuarios Outlook en la Web:

  • Los usuarios seleccionan la clasificación de mensajes de Exchange y envían el correo electrónico.

  • La regla de Exchange detecta la clasificación de Exchange y, en función de esta, modifica el encabezado del mensaje para agregar la clasificación de Azure Information Protection.

  • Cuando los destinatarios internos ven el correo electrónico en Outlook y tienen instalado el cliente de Azure Information Protection, verán asignada la etiqueta de Azure Information Protection.

Si las etiquetas de Azure Information Protection aplican protección, agregue esta protección a la configuración de regla: seleccione la opción para modificar la seguridad del mensaje, aplique la protección de derechos y, a continuación, seleccione la plantilla de protección o la opción No reenviar.

También puede configurar reglas de flujo de correo para realizar la asignación inversa. Cuando se detecta una etiqueta de Azure Information Protection, se establece una clasificación de mensajes de Exchange correspondiente.

  • Para cada etiqueta de Azure Information Protection, cree una regla de flujo de correo que se aplique cuando el encabezado msip_labels incluya el nombre de la etiqueta (por ejemplo, General) y aplique una clasificación de mensajes que se asigne a ella.

Pasos siguientes

Ahora que personalizó el cliente de Azure Information Protection, consulte en los siguientes recursos información adicional que puede necesitar para la compatibilidad con este cliente: